我将在服务器A上运行一些软件,以便在服务器B上的弹性search中添加和删除条目。
我如何允许这些远程创build和删除操作,但仍然保持ES安全? IPtables是正确的路线还是有更好的解决scheme?
通常的解决scheme(据我所知,当然是我所实现的)是iptables(限制直接访问)的组合,然后通过在Apache,Nginx,您select的Web服务器中的反向代理提供访问。 networkingsearch“安全elasticsearch”提出了很多相关的东西。
取决于你正在尝试做什么,反向代理是否合适。 我们用kibana和shibboleth来限制查询访问 – 意味着我们正在使用我们的标准访问控制的东西。 数据由logstash提供 – 在iptables中允许直接访问 – 不通过Apache。
它看起来像现在的艺术已经显着上升,因为我们虽然build立了我们的集群(见例如http://www.elastic.co/guide/en/shield/current/architecture.html )
如果你有$,那么你可以得到Elasticsearch的Shield软件。 这将允许您使用PKI证书对ES群集进行身份validation和授权。 结合iptables限制访问,这应该是你需要的一切。
如果您试图免费使用它,那么在Apache前面使用Apache作为反向代理,通过某种身份validation(如基本用户/密码或基于证书的身份validationSSL)将SSL置于顶端。安全。 同样,iptables可以阻止从外部直接访问ES,您可以使用Apache访问规则或iptables来阻止未经授权的IP。