利用nginx增强elasticseach http安全性

最新推荐文章于 2024-04-24 10:26:23 发布
最新推荐文章于 2024-04-24 10:26:23 发布
阅读量863 收藏 3
点赞数 1
分类专栏: elasticsearch 文章标签: elasticsearch 安全 openssl ssl nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiashiwen/article/details/76914374
版权

背景

最近公司安全检查,elasticsearch http端口处于开放状态,虽然在内网但依然风险很大.解决安全问题的套路基本上有两个:一个是官方的shield;还有一个是search guard.shield需要license,果断放弃.实际考察了一下search guard.东西不错但配置繁琐些,需要生产证书.而且不支持关闭node验证.公司大部分程序是java client开发的,这就意味着所有上线应用都要重新加证书才能正常工作,兄弟门改完了还得回归测试,成本有点高.于是想到了万能的nginx,反向代理+basic auth基本能够解决问题.


实施步骤

首先要修改elasticsearch.yml,加上下面一行来绑定http地址到127.0.0.1(只允许本地访问)

  
  
  1. http.host: 127.0.0.1

然后重启elasticsearch,现在9200端口只对本地开放,其他机器上访问全都被拒.

接下来配置nginx反向代理及ssl

生成ssl证书及密钥

  
  
  1.  openssl req \
  2.  -newkey rsa:4096 -nodes -sha256 -keyout eshttp.key \
  3.  -x509 -days 3650 -out eshttp.crt


生成basic auth所需密码文件

  
  
  1. printf "admin:$(openssl passwd -crypt admin)\n" >>htpasswd

conf.d/upstream.conf

  
  
  1. upstream eslocalhttp {
  2. 	server 127.0.0.1:9200 max_fails=3 fail_timeout=4s weight=9;
  3. }


conf.d/open_eshttpproxy.conf

  
  
  1. server {
  2. 	server_name eshttproxy;
  3.         listen	8080;
  4.         ssl on;
  5.         ssl_certificate /etc/nginx/conf.d/eshttp.crt;
  6.         ssl_certificate_key /etc/nginx/conf.d/eshttp.key;
  7. 	location / {
  8.              auth_basic "Restricted";
  9.              auth_basic_user_file /etc/nginx/conf.d/htpasswd;
  10.              proxy_redirect off;
  11.              proxy_bind 127.0.0.1;
  12. 	     proxy_pass http://eslocalhttp;
  13. 	}
  14. }

最后编写docker-compose.yml

  
  
  1. #  For elasticsearch local http proxy
  3. version: '2'
  5. services:
  6.   esproxy-nginx:
  7.       image: nginx:alpine 
  8.       cpuset: '0' 
  9.       volumes:
  10.         - /etc/localtime:/etc/localtime:ro
  11.         - ./conf.d:/etc/nginx/conf.d
  12.       network_mode: "host"
  13.       container_name: esproxy-nginx

启动docker

  
  
  1. sudo docker-compse up -d

现在可以通过https://yourip:8080/ 访问elasticsearch的restful了

完整项目见:https://github.com/jiashiwen/eshttpproxy


来留去送
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nginx 全能HTTP+Web 指南 完整版pdf
04-20
Nginx (engine x) 是一个高性能的HTTP和反向代理web服务器 [13] ,同时也提供了IMAP/POP3/SMTP服务。其特点是占有内存少,并发能力强,事实上nginx的并发能力在同类型的网页服务器中表现较好。 Nginx全能指南是一本介绍Nginx服务器的书,首先,简要介绍Nginx的基本概念和作用,如反向代理、负载均衡等。然后,列举Nginx的优点,如高性能、可扩展性、稳定性等。接着,介绍如何安装和配置Nginx,并提供一些实用的技巧和工具。最后,总结Nginx的优势和不足,以及适用的场景和案例。本文旨在为读者提供一份全面而实用的Nginx指南,帮助其更好地使用和管理Nginx服务器。
kibana+docker_Docker Nginx &&Tomcat &&ES+Kibana
weixin_39800918的博客
11-29 155
Nginx 1查看镜像版本alpine 微缩版本Docker Hub​registry.hub.docker.com2.下载nginxdocker pull nginx3.运行nginx启动docker 后台运行nginx(-d) 别名为nginx01(--name) 对外端口3344 (宿主机端口)对内80(容器端口) (-p 3344:80) nginx(启动镜像名)docker run...
全面指南:如何配置ElasticsearchNginx实现HTTPS加密传输 — 提升数据安全性
猫头虎:授渔优于赠鱼,兴趣引领智慧,探索之乐尤显珍贵。商务合作:Libin9iOak,共赴知识与乐趣的探索之旅!
07-29 194
喵,大家好!🐾 我是猫头虎博主,今天带大家深入探索和研究技术世界的一角——ElasticsearchNginxHTTPS配置!如果你是在寻找“如何配置ES和NginxHTTPS转发”这类技术词条,那么这篇博客就是你的不二之选。本文将详细演示配置过程,并使用表格来总结关键知识点,确保你可以轻松掌握并应用到实践中。准备好了吗?让我们开始这场技术盛宴吧!在我们开始配置之前,让我们先了解一下HTTPS和它的重要性。关键点描述重要性SSL证书为HTTPS传输加密提供必要的认证信息高。
nginxElasticsearch结合使用
pan-zy的专栏
12-29 3295
Elasticsearch是一种先进的,高性能的,可扩展的开源搜索引擎,提供全文搜索和实时分析的结构化和非结构化的数据。 它的特定是可以通过HTTP使用 RESTful API,很容易的融入现有的web架构。因此在高并发的情况下,采用nginx反向代理负载均衡到多台Elasticsearch 服务器上。 架构图: 这种架构的优点是: 记录每个API请求的日志
elasticsearch+Nginx+django+cas+mysql实现单点登录认证
gwfy007的博客
04-21 1203
elasticsearch+Nginx+django+cas+mysql平台搭建 系统结构功能图: 系统简介: 1.django项目放到了nginx容器中,采用的是nginx+uwsgi的方案。django访问端口5050。 nginx listen 8000端口,访问8000端口会转到5050 端口 2.nginx反向代理elasticsearchelasticsearch...
Elastic:使用 Nginx 来保护 Elastic Stack
Elastic 中国社区官方博客
01-05 5563
在我之前的文章 “反向代理及负载均衡在 Elasticsearch 中的应用” 中,我已经详述了如何使用 Nginx 来作为一个反向代理来访问 Elastic Stack。在今天的文章中,我将详述如何使用 Nginx 来保护 Elastic Stack。基于 Elastic Stack Basic 许可以上,我们都可以使用 Elastic Stack 所提供的安全方案来对 Elastic Stack 进行保护。针对 OSS 的用户来说,我们可以使用 Nginx 所提供的安全措施来对我们的 Elastic S
使用nginx 代理内网中的es的head插件访问
健康平安的活着的专栏
08-11 1997
现在不想把9200端口暴露出去,改用80端口,现在使用nginx进行反向代理操作。
Nginx 80端口转发隐藏真实ElasticSearch地址端口
灵动的艺术的博客
11-05 4193
Nginx 80端口转发隐藏Redis真实地址端口redis.conf/etc/hosts测试远程连接Spring Boot配置 一般来讲,如果我们直接将Redis的地址和端口暴露出去,容易被攻击,为安全起见,我们可以利用Nginx代理分发隐藏Redis地址信息。 redis.conf 我们可以在Nginx的站点目录下配置redis.conf vim /usr/local/nginx/sites-...
Elasticsearch教程,Elasticsearch安全篇,通过Nginx http basic 限制访问
weixin_34301132的博客
02-15 1046
2019独角兽企业重金招聘Python工程师标准>>> ...
elasticsearch设置登录用户名和密码 & nginx代理免密登录kibana
穿拖鞋写程序
03-15 4685
ELK从7.x开始就内置了x-pack的安全鉴权机制,不用单独付费购买了。因此,可以直接在es中配置登录用户名和密码,以增强系统安全性。 需要说明的是,kibana实际使用的是es的内置账户,所以配置kibana账号其实就是配置es的账号。 一、运行环境 es和kibana都采用docker安装,docker-compose.yml如下: version: '3' services: es-data-node: image: docker.elastic.co/elasticsearc
windows平台nginx编译nginx-http-flv-module
03-28
windows平台nginx编译nginx-http-flv-module,可直接运行,基于nginx-1.17.10编译
nginx-http-flv-module(windows版)
04-14
已编译好的nginx-http-flv-molule(windows版) 基于: --> openssl-1.1.1g --> pcre-8.44 --> zlib-1.2.11 --> nginx-http-module-v1.2.10 --> nginx-1.21.6 ======================== 在网上查找半天都只有教程,...
windows-nginx-http-flv.zip
07-09
windows上可直接运行 nginx-http-flv
使用nginx方式实现http转换为https的示例代码
09-29
主要介绍了使用nginx方式实现http转换为https的示例代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Gitee和Git学习笔记
qq_47326711的博客
04-17 1176
git和gitee的指令学习笔记
分布式版本控制工具 Git 的使用方式
最新发布
学而不思则罔,思而不学则殆
04-24 741
Git是一款免费的开源分布式版本控制系统,旨在快速高效地处理从小型到超大型项目的所有项目。它可以追踪文件的更改,并能多人协同开发。代码备份版本控制多人协作权限控制。
【git】Git回退版本常用命令及多种场景应用指南
九日的博客
04-18 463
Git提供了灵活而强大的版本回退机制,但每个命令和选项的使用都需谨慎,以避免不必要的版本混乱或数据丢失。希望本文的介绍能帮助你更好地理解和应用Git回退版本的相关命令。
centos7搭建git服务器
qq_36391380的博客
04-21 209
git服务器搭建
GitHub的使用
十一、的博客
04-19 846
Git 是一个分布式版本控制系统,可以帮助您和您的团队有效协作,同时保证项目历史记录的安全Emacs全称为Editor MACroS(宏编辑器),最初由Richard Stallman于1975年在MIT与Guy Steele共同开发。它不仅是一个文本编辑器,还具有许多其他功能,使其更像是一个集成开发环境(IDE)多功能性:除了基本的文本编辑功能,Emacs还提供了大量的编程工具,如代码编译、调试、版本控制等。它还支持多种编程语言和环境。
nginx安全性问题
10-17
nginx是一款高性能的Web服务器和反向代理服务器,但是它也存在一些安全性问题。其中比较常见的有以下几点: 1. 配置文件安全问题:nginx的配置文件中包含了很多敏感信息,如服务器IP地址、端口号、SSL证书等,如果...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值