Elasticsearch:使用 IP 过滤器限制连接

于 2020-07-06 16:10:54 发布
阅读量6.6k 收藏 5
点赞数 2
分类专栏: Elastic Elasticsearch 文章标签: elasticsearch 大数据 数据库
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/UbuntuTouch/article/details/107154165
版权
Elastic 同时被 2 个专栏收录
1586 篇文章 913 订阅
订阅专栏
Elasticsearch
1076 篇文章 605 订阅
订阅专栏

你还可以将 IP过滤 应用于应用程序客户端,节点客户端或传输客户端来限制或允许一些 IP 对于 Elasticsearch 的访问。如果节点的IP地址在黑名单中,则 Elasticsearch 安全功能允许连接到 Elasticsearch,但该连接将立即被丢弃,并且不处理任何请求。Elasticsearch 安装并非旨在通过 Internet 公开访问。 IP过滤和 Elasticsearch 安全功能的其他功能不会改变这种情况。在使用这项功能的时候,必须注意的一点是:IP过滤 是金和白金许可的一部分。

在今天的文章中,我们来展示如何使用这些功能。

准备工作

如果你还没有安装自己的 Elasticsearch 及 Kibana 的话,那么请参阅我之前的文章:

整个的安装都非常直接。在这里我就不重复了。整个系统的配置如下:

由于这个功能是 金和白金许可的一部分,那么我们必须在 Kibana 中启动30天试用:

选择 Start my trial:

这样我们就完成了对金和白金许可的试用。

对于那些喜欢使用 API 的用户来说,你也可以参照 _license 终点:

POST /_license/start_trial?acknowledge=true

使用 HTTP filter

为了使用 HTTP filter,我们来修改 Elasticsearch 的配置文件 config/elasticsearch.yml:

config/elasticsearch.yml

xpack.security.http.filter.allow: "192.168.0.4"
xpack.security.http.filter.deny: "192.168.0.0/24"

我们在 Elasticsearch 的配置文件中添加上面的两行配置。重新启动 Elasticsearch。上面的两行表示只允许从 IP 地址 192.168.0.4 来进行访问,但是不支持从任何其它的 IP 地址,比如 192.168.0.0/24 进行访问。

为了验证这个,我们最如下的实验。我们的 Elasticsearch 运行于 IP 地址 192.168.0.3 上。这个可以通过如下的命令来进行查询:

ifconfig | grep 192
$ ifconfig | grep 192
	inet 192.168.0.3 netmask 0xffffff00 broadcast 192.168.0.255

我们在当前 Elasticsearch 运行的电脑上运行:

curl 192.168.0.3:9200 -u elastic:password
$ ifconfig | grep 192
	inet 192.168.0.3 netmask 0xffffff00 broadcast 192.168.0.255
liuxg:~ liuxg$ curl 192.168.0.3:9200 -u elastic:password
curl: (52) Empty reply from server

显然,上面的访问是失败的。我们接下来使用另外一个电脑,它的 IP 地址是:192.168.0.4:

$ ifconfig | grep 192
        inet 192.168.0.4  netmask 255.255.255.0  broadcast 192.168.0.255
liuxg@liuxgu:~$ curl 192.168.0.3:9200 -u elastic:password
{
  "name" : "liuxg",
  "cluster_name" : "elasticsearch",
  "cluster_uuid" : "PpiZRc6DQyin2reBiEngZg",
  "version" : {
    "number" : "7.8.0",
    "build_flavor" : "default",
    "build_type" : "tar",
    "build_hash" : "757314695644ea9a1dc2fecd26d1a43856725e65",
    "build_date" : "2020-06-14T19:35:50.234439Z",
    "build_snapshot" : false,
    "lucene_version" : "8.5.1",
    "minimum_wire_compatibility_version" : "6.8.0",
    "minimum_index_compatibility_version" : "6.0.0-beta1"
  },
  "tagline" : "You Know, for Search"
}

上面显示在 192.168.0.4 电脑上发送的请求,我们可以得到相应的输出,表明我们的 IP filter 是正确工作的。

在很多的情况下,我们更喜欢通过 API  来进行操作,因为这样更容易维护。否则每次都需要重新编辑 config/elasticsearch.yml 文件,并重新启动 Elasticsearch。

刚才在上面,我们可以看到,在安装 Elasticsearch 的电脑上,我们并不能访问 Elasticsearch,这是因为 192.168.0.3 这个 IP地址被禁止了。我们在下面通过 API 的方式来重新打开这个 IP 地址的访问。到目前为止,我们的 Kibana 也不能访问。

curl -u elastic:password -XPUT 'http://192.168.0.3:9200/_cluster/settings?pretty=true' -H 'Content-Type: application/json' -d '
{
    "persistent": {
    "xpack.security.http.filter.deny": "_all",
    "xpack.security.http.filter.allow": ["localhost"]
  }
}'

在上面,我们允许 localhost 这个 IP 地址的访问,并且屏蔽其他 IP 地址的访问。在上面,我们必须在目前允许的 IP 地址 192.168.0.4 的机器上运行上面的命令,因为只有这台机器是可以被访问的。运行的结果是:

经过上面的执行后,我们重新在 IP 地址为 192.168.0.4 上的机器上重新运行如下的命令:

显然目前的这台机器的访问已经被阻止了。

我们回到 Elasticsearch 运行的机器上,并使用 localhost 来进行访问:

上面显示,我们针对 localhost 的访问是成功的。这正说明了我们的 API 的使用是成功的。它可以动态地为我们做 http filter.

使用 IP filter

按照同样的道理,我们可以针对 transport 来做 IP filter,只不过我们使用如下的一对设置:

xpack.security.transport.filter.allow: "192.168.0.1"
xpack.security.transport.filter.deny: "192.168.0.0/24"

使用这个可以有效地阻止一些不相关的节点加入我们的集群。详细的情况,我这里就不做累述了。请大家自己去尝试。

参考:

【1】https://www.elastic.co/guide/en/elasticsearch/reference/current/ip-filtering.html#_enabling_ip_filtering

Elastic 中国社区官方博客
关注
专栏目录
博客
Elastic 8.16:BBQ、LLM 可观察性、保护你的云资产
11-13 1271
今天,我们很高兴地宣布 Elastic 8.16 正式发布!
博客
Elastic:如何成为一名 Elastic 认证工程师,Elastic 认证分析师及 Elastic 认证可观测性工程师
10-28 2万+
Elasticsearch 无疑是是目前世界上最为流行的大数据搜索引擎。根据 DB - Engines 的统计,Elasticsearch 雄踞排行榜第一名,并且市场还在不断地扩大:能够成为一名 Elastic 认证工程师也是很多开发者的梦想。这个代表了 Elastic 的最高认证,在业界也得到了很高的认知度。得到认证的工程师,必须除了具有丰富的 Elastic Stack 知识,而且必须有丰富的操作及有效的解决问题的能力。拥有这个认证证书,也代表了个人及公司的荣誉。针对个人的好处是,你可以..
博客
Elastic:开发者上手指南
02-25 15万+
你们好,我是Elastic的刘晓国。如果大家想开始学习Elastic的话,那么这里将是你理想的学习园地。在我的博客几乎涵盖了你想学习的许多方面。在这里,我来讲述一下作为一个菜鸟该如何阅读我的这些博客文章。我们可以按照如下的步骤来学习:1)Elasticsearch简介:对Elasticsearch做了一个简单的介绍2)Elasticsearch中的一些重要概念:cluster, n..........................................................
博客
Elastic:培训视频 - ​在生产环境中配置 Fleet Server 和 Elastic Agent 之间的安全
01-06 1万+
在这篇文章中,我将会把我写的有些内容录制成视频,供大家参考。希望对大家有所帮助。优酷的视频频道地址在这里。Elastic 简介及Elastic Stack 安装:优酷,腾讯 Elastic Stack docker 部署:优酷,腾讯 Elasticsearch中的一些重要概念(Cluster/Shards/Replica/Document/Type/Index):优酷,腾讯 开始使用El...............
博客
Elasticsearch 简介
08-08 17万+
Elasticsearch是一个非常强大的搜索引擎。它目前被广泛地使用于各个IT公司。Elasticsearch是由Elastic公司创建并开源维护的。它的开源代码位于https://github.com/elastic/elasticsearch。同时,Elastic公司也拥有Logstash及Kibana开源项目。这个三个开源项目组合在一起,就形成了 ELK软件栈。他们三个共同形成了一个强大的...
博客
Elasticsearch retrievers 通常与 Elasticsearch 8.16.0 一起正式发布!
11-15 676
Elasticsearch 检索器经过了重大改进,现在可供所有人使用。了解其架构和用例。在这篇博文中,我们将再次深入探讨检索器(retrievers)。我们已经在之前的博文中讨论过它们,从到。现在,我们很高兴地宣布,检索器已随 Elasticsearch 8.16.0 已正式发布,在这篇博文中,我们将从技术角度介绍如何实现它们,并有机会讨论新推出的功能!
博客
Elastic Agent:可灵活地在任何地方发送和处理任何数据
11-15 537
Elastic Agent 是一款功能强大且用途广泛的工具,可用于从各种数据源(包括自定义用户应用程序)收集日志和指标。现在,Elastic Agent 提供了无与伦比的灵活性,可以将数据准确地传递到需要的地方,从而通过单个代理实现安全性和可观察性用例。本博客介绍了最新版本的 Elastic Agent 中提供的功能以及如何定制它们以适合你的特定用例。
博客
加速 AI 创新:引入 Elastic AI 生态系统
11-15 382
生成式人工智能 (Generative AI - GenAI) 正在改变我们所熟知的商业格局。为了简化和加速开发人员构建和部署检索增强生成 (retrieval augmented generation - RAG) 应用程序的方式,Elastic 自豪地宣布推出,将丰富的 Elasticsearch 向量数据库集成与行业领先的 AI 技术提供商整合在一起。通过每次一个集成来加速 AI 应用程序开发,
博客
Elasticsearch:管理和排除 Elasticsearch 内存故障
11-15 748
随着 Elastic Cloud 提供可观察性、安全性和搜索等解决方案,我们将使用 Elastic Cloud 的用户范围从完整的运营团队扩大到包括数据工程师、安全团队和顾问。作为 Elastic 支持代表,我很乐意与各种各样的用户和用例互动。随着受众的扩大,我看到了更多关于管理资源分配的问题,特别是对分配健康状况​​进行故障排除和避免断路器的问题。我明白了!当我开始使用 Elasticsearch 时,我也有同样的问题。
博客
使用真实 Elasticsearch 进行更快的集成测试
11-14 581
集成测试可以在不改变测试本身的情况下运行得更快 —— 只需重新考虑数据初始化和容器生命周期管理。Elasticsearch 应该只启动一次,而不是每次测试都启动一次。当数据尽可能接近 Elasticsearch 并高效传输时,数据初始化效率最高。虽然减少测试数据集大小是一种明显的优化(这里没有介绍),但有时并不切实际。因此,我们专注于展示技术方法。总体而言,我们显著缩短了测试套件的持续时间 —— 从 5.5 分钟缩短到 30 秒左右 —— 降低了成本并加快了反馈循环。
博客
如何使用混合搜索来查找电子商务产品目录
11-14 755
在本文中,我们将演示如何实现将全文搜索的结果与向量搜索相结合的混合搜索。通过统一这两种方法,混合搜索可以扩大结果的广度,充分利用两种搜索策略的优势。除了集成混合搜索之外,我们还将演示如何添加功能,使你的搜索解决方案更加强大。这些功能包括分面和个性化产品促销。此外,我们还将向你展示如何使用 Elastic 的行为分析工具捕获用户交互并生成有价值的见解。
博客
使用 start-local 脚本在本地运行 Elasticsearch
11-13 755
​使用 start-local 脚本在 Docker 中快速设置 Elasticsearch 和 Kibana 以进行本地开发或测试。此设置附带一个月的试用许可证,其中包括所有 Elastic 功能。试用期过后,许可证将恢复为免费和开放 - Basic。有关更多信息,请参阅 Elastic 订阅。
博客
Elasticsearch 和 Kibana 8.16:Kibana 获得上下文和 BBQ 速度并节省开支!
11-13 596
Elastic Search AI 平台(Elasticsearch、Kibana 和机器学习)的 8.16 版本包含大量新功能,可提高性能、优化工作流程和简化数据管理。深入了解这些更新和更多增强功能 - 所有这些都旨在提高速度、生产力和可用性。Elastic 8.16 中还有什么新功能?查看以了解更多信息 >>
博客
Elasticsearch 8.16:适用于生产的混合对话搜索和创新的向量数据量化,其性能优于乘积量化 (PQ)
11-13 1035
Elasticsearch 8.16 引入了 BBQ(Better Binary Quantization - 更好的二进制量化)—— 一种压缩向量化数据的创新方法,其性能优于传统方法,例如乘积量化 (Product Quantization - PQ)。Elastic 是第一家实施这种方法的向量数据库供应商,它使此功能可用于实际搜索工作负载,减少必要的计算资源,同时保持低查询延迟和高排名质量。
博客
Elastic Observability 8.16:增强的 OpenTelemetry 支持、高级日志分析和简化的入门流程
11-13 1014
Elastic Observability 8.16 现已- 这是唯一一款包含此最新版本所有新功能的托管 Elasticsearch 产品。你还可以和我们的云编排产品 - Elastic Cloud Enterprise 和 Elastic Cloud for Kubernetes - 以获得自我管理体验。Elastic 8.16 还有哪些新功能?查看了解更多信息 >>
博客
根据日志和指标构建更好的服务水平目标 (SLOs)
11-12 876
服务级别目标 (SLO) 是站点可靠性工程 (SRE) 的重要组成部分,如Google 的 SRE 手册中所述。它们提供了量化和管理服务可靠性的框架。服务级别指标 (Service Level Indicators - SLI):这些是经过精心挑选的指标,例如正常运行时间、延迟、吞吐量、错误率或其他重要指标,它们代表服务的各个方面,从运营或业务角度来看很重要。因此,SLI 是所提供服务级别(延迟、正常运行时间等)的度量,它被定义为良好事件与总事件的比率,范围在 0% 到 100% 之间。
博客
Lucene 和 Elasticsearch 中更好的二进制量化 (BBQ)
11-12 1380
Lucene 和 Elasticsearch 中更好的二进制量化 (BBQ)。嵌入模型输出 float32 向量,通常对于高效处理和实际应用来说太大。Elasticsearch 支持 int8 标量量化,以减小向量大小,同时保持性能。其他方法会降低检索质量,并且不适用于实际使用。
博客
开始使用 Elastic AI Assistant 进行可观察性和 Microsoft Azure OpenAI
11-11 750
​最近,Elastic 宣布,AI Assistant for Observability 现已面向所有 Elastic 用户开放。AI Assistant 为 Elastic Observability 提供了一种新工具,可提供大型语言模型 (LLM) 连接聊天和上下文洞察来解释错误并提出补救措施。与 Microsoft Copilot 作为引入新功能并提高开发人员工作效率的 AI 伴侣类似,Elastic AI Assistant 也是一种 AI 伴侣,可以帮助你快速从可观察性数据中获取额外价值。
博客
Elastic 通用分析:提高性能并降低成本
11-11 678
在这篇博客中,我们将介绍我们的一位工程师的一项发现如何帮助我们在 QA 环境中节省数千美元的成本,并且一旦我们将这一变化部署到生产中,还可以节省更多的成本。在当今的云服务和 SaaS 平台时代,持续改进不仅仅是一个目标,而是一种必需品。在 Elastic,我们一直在寻找方法来微调我们的系统,无论是我们的内部工具还是 Elastic Cloud 服务。我们最近在 Elastic Cloud QA 环境中进行的性能优化调查,由。
博客
OpenTelemetry Python Elastic 分发简介
11-11 860
宣布 OpenTelemetry Python Elastic 分发的第一个 alpha 版本。在本篇博文中了解使用 OpenTelemetry 来检测 Python 应用程序是多么简单。我们很高兴地宣布的 alpha 版本。该项目是一个定制的 OpenTelemetry 发行版,它允许我们配置更好的默认值,以便将 OpenTelemetry 与 Elastic 云产品结合使用。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值