ES 引入基础鉴权

最新推荐文章于 2024-02-07 00:04:11 发布
最新推荐文章于 2024-02-07 00:04:11 发布
阅读量1.2k 收藏 2
点赞数
分类专栏: 系统内核 开发基础 程序人生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40601534/article/details/113309643
版权

背景

主搜几个集群发生过删库,继而引发大规模的数据修复重建,浪费了开发、运维同学的大量时间精力。为了能从访问上对人员的操作进行限制和记录,需要引入对ES集群进行权限校验的机制。

思路

  1. 开启ES本身的权限校验及相关配置
  2. 接入Ldap的权限校验体系
  3. migrate所有应用中的ES链接创建方式
  4. 通过公用的cerebro和kibana对ES集群进行访问

实施路径

ES集群

  1. 在配置文件中开启包括集群SSL、安全性认证等在内的配置
    1. 需要通过统一的认证中心生成证书
  2. 根据需要设置不同权限的用户组
  3. 为每个既存应用创建对应的账号密码
  4. 接入Ldap权限体系,对个人的访问进行验证
  5. 给ES集群的Master节点添加SLB对所有流量进行监控和记录

应用

  1. 创建时注册应用专用的账号密码
  2. 修改原有ES链接代码,添加安全认证部分
  3. 新应用构建时通过配置中心 + 安全认证的方式进行链接建立

个人

  1. 从直接使用变成通过Ldap认证的方式进行登入
  2. 通过统一的客户端对ES集群进行使用

主要milestone

  1. ES权限部分使用的调研
    1. 开启和接入方式
    2. 不同权限组的使用范围
    3. client连接方式的修改sample
  2. Ldap的接入
  3. 既存系统的改造
    1. 配置的引入
    2. client的修改
  4. 服务的迁移和测试

实际操作

  1. 修改ES配置文件$ES_HOME/config/elasticsearch.yml,添加以下配置并重启
    1. xpack.monitoring.collection.enabled=true
    2. xpack.security.enabled=true
    3. xpack.security.transport.ssl.enabled=true
  2. 创建证书(参考)
    1. 登陆任意一个节点,找到 ESbin 目录
    2. 运行命令 /bin/elasticsearch-certutil ca
      1. 一路 y
      2. 生成文件 elastic-stack-ca.p12
    3. 运行命令 ./bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12
      1. 一路 y
      2. 生成文件 elastic-certificates.p12
      3. 把这个文件拷贝到所有节点的 config 目录里
  3. 创建账号密码
    1. 登陆任意一个节点,找到 ESbin 目录
    2. 运行命令 ./bin/elasticsearch-setup-passwords auto 自动生成密码,或者 ./bin/elasticsearch-setup-passwords interactive 手动填写密码
    3. 主要记得两个账户的密码,kibanaelastic,一个用来连接和认证 kibana,一个是整个集群的 superuser 超级管理员
  4. 修改ES配置文件$ES_HOME/config/elasticsearch.yml,添加以下配置并重启
    1. xpack.security.transport.ssl.keystore.type=PKCS12
    2. xpack.security.transport.ssl.verification_mode=certificate
    3. xpack.security.transport.ssl.keystore.path=elastic-certificates.p12
    4. xpack.security.transport.ssl.truststore.path=elastic-certificates.p12
    5. xpack.security.transport.ssl.truststore.type=PKCS12
  5. (可选)修改 Kibana 配置文件 $KIBANA_HOME/config/kibana.yml并重启。主要修改 password 字段,改成上面生成的密码
    1. elasticsearch.username: kibana
    2. elasticsearch.password: changeme
  6. 通过 elastic 账号密码登陆ES进行后续配置
  7. 禁用无用的账户
    1. PUT /_security/user/$USER_NAME/_disable
    2. curl -XPUT http://elastic@$elastic_pwd:$ES_URL:9200/_security/user/$USER_NAME/_disable
  8. 创建需要的账户
    1. Kibana
      POST /_security/user/ccy_test_1
{
    "password" : "ccy_test_1",
    "roles" : [ "ccy_test_1" ],
    "metadata" : {
        "description":"ccy service account"
    }
}
    2. 命令行
      curl -XPOST 'http://elastic@$ELASTIC_PWD:$ES_URL:9200/_security/user/$SERVICE_USER' \
-H 'Content-Type: application/json' \
-d '{·
    "password" : "$SERVICE_USER",
    "roles" : [ "$SERVICE_ROLE" ],
    "metadata" : {
        "description":"ccy service account"
    }
}'
  9. 创建需要的权限
    1. Kibana
      POST /_security/role/ccy_test_1
{
    "indices": [
        {
        "names": [
            "ms_ccy_*"
        ],
        "privileges": [
            "read",
            "write",
            "create",
            "delete",
            "create_index",
            "index"
        ]
        }
    ],
    "metadata": {
        "description":"ccy service account role"
    }
}
    2. 命令行
      curl -XPOST 'http://elastic@$ELASTIC_PWD:$ES_URL:9200/_security/role/$SERVICE_ROLE' \
-H 'Content-Type: application/json' \
-d '{
    "indices": [
        {
            "names": [
                "$INDEX_PATTERN"
            ],
            "privileges": [
                "read",
                "write",
                "create",
                "delete",
                "create_index",
                "index"
            ]
        }
    ],
    "metadata": {
        "description":"ccy service account role"
    }
}'
  10. 给账号指定

服务端升级

  1. 用服务的appid注册账号密码(运维维护)
  2. JavaClient 构建的时候添加以下代码
import org.apache.http.auth.AuthScope;
import org.apache.http.auth.UsernamePasswordCredentials;
import org.apache.http.client.CredentialsProvider;
import org.apache.http.impl.client.BasicCredentialsProvider;

...


final CredentialsProvider credentialsProvider = new BasicCredentialsProvider();
credentialsProvider.setCredentials(AuthScope.ANY, new UsernamePasswordCredentials(ES_USER, ES_PWD));

RestClientBuilder builder = RestClient.builder(httpHosts)
        
        .setHttpClientConfigCallback(httpClientBuilder -> httpClientBuilder
                .setDefaultCredentialsProvider(credentialsProvider))
        ;
死敌wen
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
【硬刚ESES基础(四十八)集群身份认证与用户鉴权
微信搜:import_bigdata,大数据领域硬核原创作者
10-13 458
本文是对《【硬刚大数据之学习路线篇】从零到大数据专家的学习指南(全面升级版)》的ES部分补充。 如何为集群启用X-Pack Security 如何为内置用户设置密码 设置 Kibana与ElasticSearch通信鉴权 使用安全API创建对特定索引具有有限访问权限的用户 This tutorial involves a single node cluster, but if you had multiple nodes, you would enable Elasticsearch secur
Elasticsearch7.x.x开启X-pack鉴权,按步骤执行就能成功!
游语
04-28 4803
摘要 ElasticSearch是一个基于Lucene的分布式搜索和分析引擎。Elasticsearch能够以快速有效的方式对各种数据进行存储和索引。当前ES已经广泛应用于各个领域,包括应用程序搜索、网站搜索、企业搜索、日志处理和分析、基础设施指标和容器监测、应用程序性能监测、地理空间数据分析和可视化、安全分析、业务分析等。由于大部分ES没有增加安全策略,导致数据可能被别人随意访问。简单放一则案例:在线交易经纪商FBS曝光20TB数据,160亿条记录。所以我们使用ES的时候要注意数据安全问题。一般来说我们的
ES 鉴权添加密码
weixin_48617665的博客
12-09 811
elasticsearch 鉴权 添加密码
ES鉴权设计以及相关探讨
李姓门徒
02-07 1591
鉴权,分别由**鉴**和**权**组成 - **鉴**: 表示身份认证,认证相关用户是否存在以及相关的用户名和密码是否一致 - **权**: 完成身份的**鉴**后,还需要判断用户是否有相关操作的权限。 因此对于某一个用户来说,通常情况下,需要完成**鉴**和**权**才能够满足一个完整的业务场景,因此通常将**鉴权**放在一起考量。本文探讨es鉴权常用的鉴权方式以及相关鉴权设计方式。
flink写入es带有用户名密码
12-23
在大数据处理领域,Apache Flink 是一款强大的流处理框架,而Elasticsearch(ES)则是一种流行的实时分布式搜索引擎和分析引擎。将Flink与Elasticsearch集成,可以实现实时数据流的高效存储和检索。当Elasticsearch...
elasticsearch-java中文文档 -5.6.3版本
11-19
**Elasticsearch-Java中文文档5.6.3版本详解** Elasticsearch是一款高度可扩展的开源全文搜索引擎,被广泛应用于大数据分析、日志聚合、实时搜索等领域。Java API是与Elasticsearch进行交互的主要方式之一,使得...
sentinel-dashboard-plus:sentinel dashboard 升级,规则管理及推送持久化到Nacos、实时监控数据存储在ES
05-26
生产环境 sentinel dashboard的使用需改造几个特性:规则管理及推送持久化到Nacos、实时监控数据存储在ES、集成saas平台用户鉴权。 ​ 创建一个maven工程(sentinel-dashboard-plus),引入GitHub上开源的最新...
人工智能-项目实践-信息检索-一个基于微服务架构的前后端分离博客系统 使用Vue + Element ,后端使用Spring c
最新发布
02-28
引入ElasticSearch 作为全文检索服务 引入Minio对象存储,同时支持本地文件存储 引入 RBAC 权限管理设计,灵活的权限控制,按钮级别的细粒度权限控制,支持网关统一鉴权 采用自定义参数校验注解,轻松实现后端参数...
最新版linux kibana-8.0.0-linux-x86_64.tar.gz
02-11
2. 鉴权集成:Kibana 可以与Elasticsearch的X-Pack安全模块或其他身份验证系统集成,以实现用户登录和权限控制。 3. 防火墙设置:确保防火墙规则允许Kibana监听的端口对外通信,并限制不必要的访问。 性能优化: 1....
关于es升级到8.x时,配置权限鉴权失败
m0_49142769的博客
04-03 197
ElasticsearchClient,并且权限验证也加了,仍然鉴权失败,请检查是否有配置异步最大连接数和最大路由参数,如果配置了,就注释或者删除, 不然 鉴权不通过。ES升级到8之后,配置完。ps:可能是es版本bug。
01.elasticsearch-security_es鉴权机制
寒夜
06-27 8162
1.概述   es 官方有security开启的操作流程,这篇文章的主要是为了搞清楚这些流程中的每一步是否必要,有什么含义。 先总结官方步骤如下 检查使用license,因为不同的license能够使用的权限验证方式也是不一样的。 检查集群,保证每一个node都进行了设置 xpack.security.enabled: true 这个会开启security设置,也就开启了node之间使用ssl和基于用户的访问模式 想要跑在专用的jvm上(这个一般用不到) 开启node之间的transport层面的ssl/
ES用户认证
war3c009的博客
06-27 2476
ES用户认证
java创建elasticsearch5.X的Client,鉴权鉴权两种模式
fsj_42930508的博客
05-09 826
java连接客户端主要为两种方式,一种是没有鉴权,一种是集群通过search-guard添加ssl鉴权。 无鉴权模式 import org.elasticsearch.client.Client; import org.elasticsearch.client.transport.TransportClient; import org.elasticsearch.common.settings...
elasticsearch6.7开启鉴权
m0_37549390的博客
05-30 490
elasticsearch basic版默认x-pack模块security特性不可用,需要申请试用获得授权才可以试用security特性
ElasticSearch学习(十)—— 增加身份认证
yilia_jia的博客
02-16 3180
目录 es设置用户名密码认证 elasticsearch.yml 中添加配置 重启elasticsearch服务 设置elasticsearch密码 访问验证 kibana设置用户名密码认证 kibana.yml添加验证信息 启动kibana 访问验证 JAVA REST Client设置身份认证 HTTP Client设置身份认证 es设置用户名密码认证 elasticsearch.yml 中添加配置 # 配置X-Pack http.cors.enabl.
Elasticsearch核心技术与实战学习笔记 56 | 集群身份认证与用户鉴权
bohu83的博客
07-26 392
一 序 本文属于极客时间Elasticsearch核心技术与实战学习笔记系列。 本周扫盲了下pmp的的预习课,所以耽误了ES学习。 二 安全问题 ES 在默认安装后,不提供任何形式的安全防护 错误的配置信息导致公网可以访问 ES 集群 在elasticsearch.yml文件中,server.host被错误的配置为0.0.0.0 这个就不如MySQL那种严谨了。 2.1数据安全性的基本需求 身份认证 鉴定用户是否合法 用户鉴权 指定哪个用户可以访问哪个索引...
ES漏洞修复、使用X-Pack用户认证
weixin_40471737的博客
07-26 738
例如,要授予JohnDoe对匹配模式events*的所有索引的完全访问权限,并使他能够在Kibana中为这些索引创建可视化和仪表板,您可以创建events_admin角色并将该角色分配给新的johndoe用户。使用X-Pack,您不再需要担心每个插件的版本是否正确,只需为您正在运行的Elasticsearch版本安装X-Pack,一切顺利!在大多数情况下,您可以简单地在集群中的一个节点上运行bin/x-pack/setup-passwords工具。...
ES系列:basic证书有效期、证书申请、官方说明
NIO4444
02-18 587
https://license.elastic.co/registration
elasticsearch8.2 http开启鉴权
07-20
从Elasticsearch 7.9版本开始,基于XPack安全性插件的鉴权功能已经在开源版本中被移除。如果您使用的是Elasticsearch 8.2版本或更高版本,您需要购买商业许可证并安装Elasticsearch的安全性扩展才能启用鉴权功能。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值