创建tls并替换至Elasticsearch8,实现通过IP实现https访问

已于 2024-07-18 23:58:18 修改
阅读量142 收藏
点赞数 3
文章标签: 服务器 运维
于 2024-07-18 23:35:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dickence/article/details/140535506
版权

O、背景

今天在配置Elasticsearch8相关内容,原本很简单就可以应用,安装ES时,可以选择是否使用https,如果就是测试使用的话,或内网使用,直接使用http协议即可,比较简单。但手头的项目比较特殊,必须使用https协议,直接启用,使用ES中自带的http_ca.crt文件,调用报错,发现http_ca.crt配置的地址是localhost,而在集群环境中,都是使用是内网IP。于是,花了大半天的时间,研究了一下重新生成TLS相关的所有资料的方式。

具体过程记录如下:

一、创建TLS

 (转自生成自签名 SSL 证书 | Rancher文档

1、创建脚本

#!/bin/bash

help ()
{
    echo  ' ================================================================ '
    echo  ' --ssl-domain: 生成ssl证书需要的主域名,如不指定则默认为www.rancher.local,如果是ip访问服务,则可忽略;'
    echo  ' --ssl-trusted-ip: 一般ssl证书只信任域名的访问请求,有时候需要使用ip去访问server,那么需要给ssl证书添加扩展IP,多个IP用逗号隔开;'
    echo  ' --ssl-trusted-domain: 如果想多个域名访问,则添加扩展域名(SSL_TRUSTED_DOMAIN),多个扩展域名用逗号隔开;'
    echo  ' --ssl-size: ssl加密位数,默认2048;'
    echo  ' --ssl-cn: 国家代码(2个字母的代号),默认CN;'
    echo  ' --ca-cert-recreate: 是否重新创建 ca-cert,ca 证书默认有效期 10 年,创建的 ssl 证书有效期如果是一年需要续签,那么可以直接复用原来的 ca 证书,默认 false;'
    echo  ' 使用示例:'
    echo  ' ./create_self-signed-cert.sh --ssl-domain=www.test.com --ssl-trusted-domain=www.test2.com \ '
    echo  ' --ssl-trusted-ip=1.1.1.1,2.2.2.2,3.3.3.3 --ssl-size=2048 --ssl-date=3650'
    echo  ' ================================================================'
}

case "$1" in
    -h|--help) help; exit;;
esac

if [[ $1 == '' ]];then
    help;
    exit;
fi

CMDOPTS="$*"
for OPTS in $CMDOPTS;
do
    key=$(echo ${OPTS} | awk -F"=" '{print $1}' )
    value=$(echo ${OPTS} | awk -F"=" '{print $2}' )
    case "$key" in
        --ssl-domain) SSL_DOMAIN=$value ;;
        --ssl-trusted-ip) SSL_TRUSTED_IP=$value ;;
        --ssl-trusted-domain) SSL_TRUSTED_DOMAIN=$value ;;
        --ssl-size) SSL_SIZE=$value ;;
        --ssl-date) SSL_DATE=$value ;;
        --ca-date) CA_DATE=$value ;;
        --ssl-cn) CN=$value ;;
        --ca-cert-recreate) CA_CERT_RECREATE=$value ;;
        --ca-key-recreate) CA_KEY_RECREATE=$value ;;
    esac
done

# CA相关配置
CA_KEY_RECREATE=${CA_KEY_RECREATE:-false}
CA_CERT_RECREATE=${CA_CERT_RECREATE:-false}

CA_DATE=${CA_DATE:-3650}
CA_KEY=${CA_KEY:-cakey.pem}
CA_CERT=${CA_CERT:-cacerts.pem}
CA_DOMAIN=cattle-ca

# ssl相关配置
SSL_CONFIG=${SSL_CONFIG:-$PWD/openssl.cnf}
SSL_DOMAIN=${SSL_DOMAIN:-'www.rancher.local'}
SSL_DATE=${SSL_DATE:-3650}
SSL_SIZE=${SSL_SIZE:-2048}

## 国家代码(2个字母的代号),默认CN;
CN=${CN:-CN}

SSL_KEY=$SSL_DOMAIN.key
SSL_CSR=$SSL_DOMAIN.csr
SSL_CERT=$SSL_DOMAIN.crt

echo -e "\033[32m ---------------------------- \033[0m"
echo -e "\033[32m       | 生成 SSL Cert |       \033[0m"
echo -e "\033[32m ---------------------------- \033[0m"

# 如果存在 ca-key, 并且需要重新创建 ca-key
if [[ -e ./${CA_KEY} ]] && [[ ${CA_KEY_RECREATE} == 'true' ]]; then

    # 先备份旧 ca-key,然后重新创建 ca-key
    echo -e "\033[32m ====> 1. 发现已存在 CA 私钥,备份 "${CA_KEY}" 为 "${CA_KEY}"-bak,然后重新创建 \033[0m"
    mv ${CA_KEY} "${CA_KEY}"-bak-$(date +"%Y%m%d%H%M")
    openssl genrsa -out ${CA_KEY} ${SSL_SIZE}

    # 如果存在 ca-cert,因为 ca-key 重新创建,则需要重新创建 ca-cert。先备份然后重新创建 ca-cert
    if [[ -e ./${CA_CERT} ]]; then
        echo -e "\033[32m ====> 2. 发现已存在 CA 证书,先备份 "${CA_CERT}" 为 "${CA_CERT}"-bak,然后重新创建 \033[0m"
        mv ${CA_CERT} "${CA_CERT}"-bak-$(date +"%Y%m%d%H%M")
        openssl req -x509 -sha256 -new -nodes -key ${CA_KEY} -days ${CA_DATE} -out ${CA_CERT} -subj "/C=${CN}/CN=${CA_DOMAIN}"
    else
        # 如果不存在 ca-cert,直接创建 ca-cert
        echo -e "\033[32m ====> 2. 生成新的 CA 证书 ${CA_CERT} \033[0m"
        openssl req -x509 -sha256 -new -nodes -key ${CA_KEY} -days ${CA_DATE} -out ${CA_CERT} -subj "/C=${CN}/CN=${CA_DOMAIN}"
    fi

# 如果存在 ca-key,并且不需要重新创建 ca-key
elif [[ -e ./${CA_KEY} ]] && [[ ${CA_KEY_RECREATE} == 'false' ]]; then

    # 存在旧 ca-key,不需要重新创建,直接复用
    echo -e "\033[32m ====> 1. 发现已存在 CA 私钥,直接复用 CA 私钥 "${CA_KEY}" \033[0m"

    # 如果存在 ca-cert,并且需要重新创建 ca-cert。先备份然后重新创建
    if [[ -e ./${CA_CERT} ]] && [[ ${CA_CERT_RECREATE} == 'true' ]]; then
        echo -e "\033[32m ====> 2. 发现已存在 CA 证书,先备份 "${CA_CERT}" 为 "${CA_CERT}"-bak,然后重新创建 \033[0m"
        mv ${CA_CERT} "${CA_CERT}"-bak-$(date +"%Y%m%d%H%M")
        openssl req -x509 -sha256 -new -nodes -key ${CA_KEY} -days ${CA_DATE} -out ${CA_CERT} -subj "/C=${CN}/CN=${CA_DOMAIN}"

    # 如果存在 ca-cert,并且不需要重新创建 ca-cert,直接复用
    elif [[ -e ./${CA_CERT} ]] && [[ ${CA_CERT_RECREATE} == 'false' ]]; then
        echo -e "\033[32m ====> 2. 发现已存在 CA 证书,直接复用 CA 证书 "${CA_CERT}" \033[0m"
    else
        # 如果不存在 ca-cert ,直接创建 ca-cert
        echo -e "\033[32m ====> 2. 生成新的 CA 证书 ${CA_CERT} \033[0m"
        openssl req -x509 -sha256 -new -nodes -key ${CA_KEY} -days ${CA_DATE} -out ${CA_CERT} -subj "/C=${CN}/CN=${CA_DOMAIN}"
    fi

# 如果不存在 ca-key
else
    # ca-key 不存在,直接生成
    echo -e "\033[32m ====> 1. 生成新的 CA 私钥 ${CA_KEY} \033[0m"
    openssl genrsa -out ${CA_KEY} ${SSL_SIZE}

    # 如果存在旧的 ca-cert,先做备份,然后重新生成 ca-cert
    if [[ -e ./${CA_CERT} ]]; then
        echo -e "\033[32m ====> 2. 发现已存在 CA 证书,先备份 "${CA_CERT}" 为 "${CA_CERT}"-bak,然后重新创建 \033[0m"
        mv ${CA_CERT} "${CA_CERT}"-bak-$(date +"%Y%m%d%H%M")
        openssl req -x509 -sha256 -new -nodes -key ${CA_KEY} -days ${CA_DATE} -out ${CA_CERT} -subj "/C=${CN}/CN=${CA_DOMAIN}"
    else
        # 不存在旧的 ca-cert,直接生成 ca-cert
        echo -e "\033[32m ====> 2. 生成新的 CA 证书 ${CA_CERT} \033[0m"
        openssl req -x509 -sha256 -new -nodes -key ${CA_KEY} -days ${CA_DATE} -out ${CA_CERT} -subj "/C=${CN}/CN=${CA_DOMAIN}"
    fi

fi

echo -e "\033[32m ====> 3. 生成 Openssl 配置文件 ${SSL_CONFIG} \033[0m"
cat > ${SSL_CONFIG} <<EOM
[req]
req_extensions = v3_req
distinguished_name = req_distinguished_name
[req_distinguished_name]
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage = clientAuth, serverAuth
EOM

if [[ -n ${SSL_TRUSTED_IP} || -n ${SSL_TRUSTED_DOMAIN} || -n ${SSL_DOMAIN} ]]; then
    cat >> ${SSL_CONFIG} <<EOM
subjectAltName = @alt_names
[alt_names]
EOM
    IFS=","
    dns=(${SSL_TRUSTED_DOMAIN})
    dns+=(${SSL_DOMAIN})
    for i in "${!dns[@]}"; do
      echo DNS.$((i+1)) = ${dns[$i]} >> ${SSL_CONFIG}
    done

    if [[ -n ${SSL_TRUSTED_IP} ]]; then
        ip=(${SSL_TRUSTED_IP})
        for i in "${!ip[@]}"; do
          echo IP.$((i+1)) = ${ip[$i]} >> ${SSL_CONFIG}
        done
    fi
fi

echo -e "\033[32m ====> 4. 生成服务 SSL KEY ${SSL_KEY} \033[0m"
openssl genrsa -out ${SSL_KEY} ${SSL_SIZE}

echo -e "\033[32m ====> 5. 生成服务 SSL CSR ${SSL_CSR} \033[0m"
openssl req -sha256 -new -key ${SSL_KEY} -out ${SSL_CSR} -subj "/C=${CN}/CN=${SSL_DOMAIN}" -config ${SSL_CONFIG}

echo -e "\033[32m ====> 6. 生成服务 SSL CERT ${SSL_CERT} \033[0m"
openssl x509 -sha256 -req -in ${SSL_CSR} -CA ${CA_CERT} \
    -CAkey ${CA_KEY} -CAcreateserial -out ${SSL_CERT} \
    -days ${SSL_DATE} -extensions v3_req \
    -extfile ${SSL_CONFIG}

echo -e "\033[32m ====> 7. 证书制作完成 \033[0m"
echo
echo -e "\033[32m ====> 8. 以 YAML 格式输出结果 \033[0m"
echo "----------------------------------------------------------"
echo "ca_key: |"
cat $CA_KEY | sed 's/^/  /'
echo
echo "ca_cert: |"
cat $CA_CERT | sed 's/^/  /'
echo
echo "ssl_key: |"
cat $SSL_KEY | sed 's/^/  /'
echo
echo "ssl_csr: |"
cat $SSL_CSR | sed 's/^/  /'
echo
echo "ssl_cert: |"
cat $SSL_CERT | sed 's/^/  /'
echo

echo -e "\033[32m ====> 9. 附加 CA 证书到 Cert 文件 \033[0m"
cat ${CA_CERT} >> ${SSL_CERT}
echo "ssl_cert: |"
cat $SSL_CERT | sed 's/^/  /'
echo

echo -e "\033[32m ====> 10. 重命名服务证书 \033[0m"
echo "cp ${SSL_DOMAIN}.key tls.key"
cp ${SSL_DOMAIN}.key tls.key
echo "cp ${SSL_DOMAIN}.crt tls.crt"
cp ${SSL_DOMAIN}.crt tls.crt

2、参数说明

--ssl-domain: 生成ssl证书需要的主域名,如不指定则默认为www.rancher.local,如果是ip访问服务,则可忽略;
--ssl-trusted-ip: 一般ssl证书只信任域名的访问请求,有时候需要使用ip去访问server,那么需要给ssl证书添加扩展IP,多个IP用逗号隔开;
--ssl-trusted-domain: 如果想多个域名访问,则添加扩展域名(TRUSTED_DOMAIN),多个TRUSTED_DOMAIN用逗号隔开;
--ssl-size: ssl加密位数,默认2048;
--ssl-cn: 国家代码(2个字母的代号),默认CN;
使用示例:
./create_self-signed-cert.sh --ssl-domain=www.test.com --ssl-trusted-domain=www.test2.com \
--ssl-trusted-ip=1.1.1.1,2.2.2.2,3.3.3.3 --ssl-size=2048 --ssl-date=3650

3、应用

bash ./self-sign-ssl.sh --ssl-trusted-ip=1.1.1.1

生成的文件如下:

cacerts.pem  cacerts.srl  cakey.pem  openssl.cnf  tls.crt  tls.key  www.rancher.local.crt  www.rancher.local.csr  www.rancher.local.key

4、验证

openssl verify -CAfile cacerts.pem tls.crt    # OK
openssl x509 -in tls.crt -noout -text         # 检查返回的IP

二、部署生成的内容至Elasticsearch

1、取得Elasticsearch中配置的原p12文件的密码

# 取得http.p12的密码
elasticsearch-keystore show xpack.security.http.ssl.keystore.secure_password

# 如果是要取得transport.p12的密码,使用下面的语句
elasticsearch-keystore show xpack.security.transport.ssl.keystore.secure_password

2、使用tls.key与tls.crt生成新的p12

openssl pkcs12 -export -in tls.crt -inkey tls.key -out elasticsearch-keystore.p12 -name elasticsearch-key -CAfile cacerts.pem -caname root -chain


# 注意,需要密码时,要使用上一步取得的密码,可以避免其它设置

复制生成的 .p12文件至config或config/certs文件夹下,记录下路径,后面写入到config/elasticsearch.yml中

3、编辑config/elasticsearch.yml

cluster.name: "docker-cluster"
network.host: 0.0.0.0

#----------------------- BEGIN SECURITY AUTO CONFIGURATION -----------------------
#
# The following settings, TLS certificates, and keys have been automatically
# generated to configure Elasticsearch security features on 17-07-2024 22:46:53
#
# --------------------------------------------------------------------------------

# Enable security features
xpack.security.enabled: true

xpack.security.enrollment.enabled: true

# Enable encryption for HTTP API client connections, such as Kibana, Logstash, and Agents
xpack.security.http.ssl:
  enabled: true
  keystore.path: certs/elasticsearch-keystore.p12    # 修改的内容1(http)
  keystore.type: PKCS12

# Enable encryption and mutual authentication between cluster nodes
xpack.security.transport.ssl:
  enabled: true
  verification_mode: certificate
  keystore.path: certs/transport.p12                # 修改的内容2(transport)
  truststore.path: certs/transport.p12              # 修改的内容3(transport)
#----------------------- END SECURITY AUTO CONFIGURATION -------------------------

4、重启Elasticsearch,重启Elasticsearch,重启Elasticsearch

重要事项说三遍。本人白白浪费了很多时间,才想起应该重启一下。

5、修改elastic账号密码

elasticsearch-reset-password -u elastic -i

6、测试

使用tls.crt文件,使用curl命令访问服务器

curl --cacert tls.crt -u elastic:1231231231213 https://<<your-ip>>:<<your-port>>

Dickence
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ElasticSearch实战(四十八)-Debeizum 实现 MySQL 数据实时同步方案
专注基础架构领域
09-25 652
前文我们通过 Canal 来实时同步数据,Debeizum 是一种比 Canal 更好的实时同步方案,它底层是基于 Kafka-connect 为核心构建的,可以完美对接 Kafka 家族生态,上游支持接入MongoDB、MySQL、PostgreSQL、SQL Server、Oracle、Db2、Cassandra、Vitess,下游是只支持接入 Kafka,然后我们再从 Kafka 中消费数据,可以选择 Kafka-connect 也可以选择 Logstash 来再做一层数据清洗,
Spring Data Elasticsearch高亮查询实现
Java猿人一枚的博客
03-29 4485
Spring Data Elasticsearch高亮查询实现Maven依赖application.yml配置自定义ResultMapper封装高亮查询方法 Spring Data Elasticsearch和Spring Data JPA类似,封装了很多易用的查询API,大大简化了我们从elasticsearch集群查询数据的操作,只需实现 ElasticsearchCrudRepository...
ElasticSearch 8.12.0 K8S部署实践【超详细】【一站式】
fireshark
02-23 3338
近日在k8s上部署了一个ES8.12.0的集群,在部署过程中,发现无论是官方、还是网上的文章,都没有一站式能搞定的(官网文档非常碎片化,出了问题只能去官网的问题反馈去查,网上的其他文章可能是版本的问题与最新版ES不太适配),因此把我的部署过程整理分享出来,希望能帮到需要的同学。
配置 SSL、TLS 以及 HTTPS 来确保 Elasticsearch、Kibana、Beats 和 Logstash 的安全
Elastic 中国社区官方博客
07-30 2889
运行的是 Elastic Stack 6.7.x/7.0.x 或更早版本?然后查看博文“如何设置 TLS...”,以获得有关如何在您的版本中确保通信安全的帮助信息。如想使用本篇博文中所讲的免费安全功能,您需要使用 Elastic Stack 6.8/7.1 或更新版本。 从 Elastic Stack 6.8 和 7.1 开始,Elastic 在默认分发包(基础许可证)中发布了一些免费安全功能。新推出的功能包括:使用 SSL 对网络流量进行加密、创建和管理用户、定义角色来保护索引级和集群级访问权限,..
Elasticsearch:如何使用自定义的证书安装 Elastic Stack 8.x
Elastic 中国社区官方博客
05-12 2934
在今天的文章中,我们用自己创建的证书一步一步地来安装 Elastic Stack 8.x。我们将在 Ubuntu 20.04 上来进行展示。我们将安装最新的 Elastic Stack 8.7.1。
TLS应用在Elastic Statck:Elasticsearch,kibana,Beat和Logstash
qq_30801257的博客
11-28 615
原文作者:Jared Carey 本文翻译BLOG,原文地址:https://www.elastic.co/blog/tls-elastic-stack-elasticsearch-kibana-logstash-filebeat。 传输层安全性(TransportLayerSecurity,TLS)可以部署在整个Elastic Statck中,允许加密通信,这样您就可以在夜间轻松地休息,因为...
Elastic:使用 Docker 安装 Elastic Stack 8.x 并开始使用
热门推荐
Elastic 中国社区官方博客
02-15 1万+
Elastic Stack 8.0 终于于最近发布了。在我之前的文章 “Elastic Stack 8.0 安装 - 保护你的 Elastic Stack 现在比以往任何时候都简单” 我已经详细地描述了如何在本地部署 Elasticsearch 及 Kibana。设置 Elasticsearch 的最简单方法是使用 Elastic Cloud 上的 Elasticsearch Service 创建托管部署。如果你更喜欢管理自己的测试环境,可以使用 Docker 安装和运行 Elasticsearch。在今.
Observability:为 Logstash 输出配置 SSL/TLS - Elastic Agent
Elastic 中国社区官方博客
06-26 1754
在我之前的文章 “Observability:如何把 Elastic Agent 采集的数据输入到 Logstash 并最终写入到 Elasticsearch”,我详细介绍了如何使用 Elastic Agents 采集数据并把数据通过 Logstash 发送至 Elasticsearch。细心的开发者可能注意到从 Elastic Agents 到 Logstash 直接的链接它不是加密的。这个在实际的使用中可能会有安全的隐患。那么我们该如何配置这个链接之间的安全呢?
k8s容器部署elasticsearch+kibana+cerebro
weixin_42507440的博客
06-30 783
k8s容器部署elasticsearch+kibana+cerebro
nginx配置ssl证书实现https访问的示例
09-30
【Nginx配置SSL证书实现HTTPS访问】 在互联网中,HTTPS协议已经成为网站安全的基本标准,它通过SSL(Secure Socket Layer)或其更新版本TLS(Transport Layer Security)来加密通信,确保用户数据的安全传输。本...
基于mbedTLS实现的嵌入式固件知识产权保护方案
01-19
嵌入式应用的领域越来越广泛,功能需求也越来越复杂,有些嵌入式产品要求在产品出厂后,使用过程中保留有固件升级的功能,以保证用户...MbedTLS前身是开源加密算法库PolarSLL,现已被arm公司收购并由arm技术团队进行维
tls-技术原理与旁路解密实现方法 (1).pdf
07-30
TLS(安全传输层协议)是HTTPS使用的加密协议,用于在两个通信应用程序之间提供保密性和数据完整性。TLS协议因其保密性、完整性及认证性,至今仍在互联网底层架构中占据重要地位。本文档为TLS1.0的技术原理及旁路...
linux下C语言实现https请求源码
02-24
2. **创建SSL上下文**:使用`SSL_CTX_new()`创建一个`SSL_CTX`对象,并指定使用的SSL/TLS版本和协议。 3. **加载服务器证书和私钥**:通过`SSL_CTX_use_certificate_file()`和`SSL_CTX_use_PrivateKey_file()`加载...
TLS加密Java实现
02-26
通过理解并应用上述知识点,开发者可以在Java应用程序中实现安全的TLS加密通信,为用户提供安全的数据传输环境。在实际项目中,还应考虑性能优化、安全性更新以及遵循最佳实践,以确保系统的安全性和稳定性。
UWA学堂上新|服务器AOI(Area Of Interest)算法和功能实现
UWA—简单优化,优化简单!
07-12 456
基于.NetCore开发MMORPG分布式游戏服务器系列篇6
Linux 命令 —— top命令(查看进程资源占用)
longool的博客
07-14 1089
top 命令是 Linux/Unix 系统中常用的进程监控工具,可以实时显示系统中各个进程的资源占用情况,是一个快照信息,包括CPU、内存等。进入 linux 系统,直接输入 top,回车,就会显示如下所示的信息。1、第一行:时间上的统计top - 15:10:50:表示当前系统的时间是15:10:50;up 10 min:表示系统当前已经运行了10分钟。user:表示当前登录系统的用户数为1。
Linux chmod 命令简介
最新发布
地球空间
07-17 396
权限时,因为它会给予所有用户对文件或文件夹的完全访问权限,这可能会带来安全风险。命令用于改变文件或文件夹的访问权限。这会给指定文件夹及其内部的所有文件和子文件夹的所有者读、写和执行的权限,同时给组用户读和执行的权限。这会给指定文件夹及其内部的所有文件和子文件夹的所有者读和写权限,但不允许执行。这会给指定文件夹以及其内部的所有文件和子文件夹的每个用户读、写和执行的权限。这会从指定文件夹及其内部的所有文件和子文件夹的所有用户那里移除写权限。这会给指定文件夹及其内部的所有文件和子文件夹的所有用户添加执行权限。
【Linux】:文件fd
Yikefore的博客
07-14 818
文件fd的详细解析!
Elasticsearch限制IP访问
04-11
Elasticsearch是一个开源的分布式搜索和分析引擎,它提供了丰富的功能和灵活的配置选项。在保护Elasticsearch集群安全性方面,限制IP访问是一种常见的做法。下面是一些关于Elasticsearch限制IP访问的介绍: 1. 配置网络绑定地址: Elasticsearch默认监听所有网络接口,可以通过配置`network.host`参数来指定只监听特定的IP地址或者网卡。例如,设置为`network.host: 192.168.0.1`表示只允许来自该IP地址的访问。 2. 配置防火墙规则: 可以使用防火墙软件(如iptables)来限制Elasticsearch访问。通过配置适当的规则,可以允许或者拒绝特定IP地址或者IP地址段的访问。 3. 使用插件或者代理服务器Elasticsearch提供了一些插件(如Search Guard)或者代理服务器(如Nginx)来实现更复杂的访问控制策略。这些工具可以提供更细粒度的访问控制,例如基于用户身份验证、角色权限等。 4. 启用SSL/TLS加密: 通过启用SSL/TLS加密,可以确保数据在网络传输过程中的安全性。同时,也可以使用SSL/TLS证书来验证客户端的身份,从而限制只有特定的客户端可以访问Elasticsearch

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值