我一直在尝试使用基本身份验证和TLS来保护Elasticsearch集群。
我已经成功地使用Search-Guard做到了这一点。 Couchbase XDCR到Elasticsearch会出现问题。
我使用名为elasticsearch-transport-couchbase的插件,在Elasticsearch集群上启用TLS和Basic Auth时完全没问题。但是当使用Search-Guard启用时,我无法做到这一点。
据我所知,问题在于elasticsearch-transport-couchbase插件。之前在Github repo的一些问题中已经讨论过这个问题。
它也是我能找到的唯一一个可以用于Couchbase的XDCR的插件。
我很好奇其他人的经历。有没有人和我一样处于同样的境地,并且能够通过TLS从Couchbase到Elasticsearch设置XDCR?
或许还有其他一些我可以使用的更合适的工具我错过了?
答案 0 :(得分:3)
Couchbase传输插件尚不支持XDCR TLS,它在路线图上,但不会很快发生。 Search-guard将SSL添加到ES中的HTTP / REST端点,但该插件会打开自己的端点(默认情况下在端口9091上),Search-guard不会触摸该端点。我将看一下是否可以扩展搜索保护以应用于传输插件 - 主要问题在于Couchbase XDCR端,它不期望在目标端点上使用SSL。
答案 1 :(得分:2)
Couchbase Elasticsearch连接器的4.0版支持与Couchbase Server和/或Elasticsearch的安全连接。
参考:https://docs.couchbase.com/elasticsearch-connector/4.0/secure-connections.html
答案 2 :(得分:1)
小更新。我们通过与xinetd建立一个stunnel解决了这个问题。因此,与ELS的所有通信都必须通过TLS将终止的隧道。
我们阻止了对端口9200的访问,并将9091限制为Couchbase群集主机,将9300限制为仅限其他ELS节点。
似乎工作得很好。