文章目录
简介
对生产环境的Elasticsearch集群开启安全特性是必要的,而Elastic Stack已经提供了基于X-PACK的安全能力。X-Pack是Elasticsearch的一个扩展包,将安全,警告,监视,图形和报告功能捆绑在一个易于安装的软件包中,可以轻松的启用或者关闭相关功能。开源版本的Elasticsearch拥有基本许可证,拥有X-PACK提供的核心安全功能。基本许可证默认禁用Elasticsearch安全特性,使用xpack.security
相关配置可以实现允许匿名访问、执行消息身份验证、建立文档和字段级别的安全性、使用SSL加密通信、审计等相关功能,所有这些配置都可以在elasticsearch.yml文件中进行配置。本文将会介绍有关配置安全特性、TLS/SSL加密传输和PKI客户端证书的详细步骤:
- 启用Elasticsearch安全特性;
- 配置传输层TLS/SSL加密传输;
- 设置内置用户密码;
- 配置HTTP层TLS/SSL加密传输;
- 配置Kibana到Elasticsearch的校验;
X-Pack提供以下几个方面保护Elasticsearch集群安全的功能:1)用户验证;2)授权和基于角色的访问控制;3)节点/客户端认证和信道加密;4)审计。以上这些都是X-pack的核心功能。
启用Elasticsearch安全特性
首先,需要修改集群中每个节点上的elasticsearch.yml文件以启用安全特性:
xpack.security.enabled: true
xpack.security.transport.ssl.enabled: true
一旦集群启用安全特性,还必须启用TLS/SSL加密传输,否则将会看到如下错误日志:
Transport SSL must be enabled if security is enabled on a [basic] license. Please set [xpack.security.transport.ssl.enabled] to [true] or