我一直在尝试尝试使用基本身份验证和 TLS 来保护 Elasticsearch 集群。
我已经使用 Search-Guard 成功地做到了这一点。问题发生在 Couchbase XDCR 到 Elasticsearch。
我正在使用一个名为 elasticsearch-transport-couchbase 的插件,如果没有在 Elasticsearch 集群上启用 TLS 和基本身份验证,它就非常好。但是当使用 Search-Guard 启用它时,我无法做到这一点。
据我所知,问题在于 elasticsearch-transport-couchbase 插件。之前在他们的Github repo上的一些问题中也讨论了这一点。
它也是我能找到的唯一一个可用于 Couchbase 的 XDCR 的插件。
我很好奇其他人对此的体验。有没有人和我一样的情况,并且能够使用 TLS 设置从 Couchbase 到 Elasticsearch 的 XDCR?
或者也许还有一些我错过的其他更合适的工具可以使用?
Couchbase 传输插件还不支持 XDCR TLS,它在路线图上,但不会很快发生。Search-guard 将 SSL 添加到 ES 中的 HTTP/REST 端点,但插件会打开自己的端点(默认情况下在端口 9091 上),Search-guard 不会触及。我将看看是否可以扩展 search-guard 以应用于传输插件 - 主要问题出在 Couchbase XDCR 端,它不希望在目标端点上使用 SSL。
Couchbase Elasticsearch 连接器 4.0 版支持与 Couchbase 服务器和/或 Elasticsearch 的安全连接。
参考:https ://docs.couchbase.com/elasticsearch-connector/4.0/secure-connections.html
一个小更新。我们通过使用 xinetd 设置 stunnel 来解决这个问题。因此,与 ELS 的所有通信都必须通过 TLS 将终止的通道。
我们阻止了对端口 9200 的访问,并将 9091 限制为 Couchbase-cluster 主机,将 9300 限制为其他 ELS 节点。
似乎工作得很好。