我一直在尝试使用基本身份验证和TLS来保护Elasticsearch集群。
我已经成功地使用Search-Guard做到了这一点。使用Couchbase XDCR到Elasticsearch会出现问题。
我正在使用一个名为elasticsearch-transport-couchbase的插件,如果没有在Elasticsearch集群上启用TLS和Basic Auth,它就完美无缺。但是当使用Search-Guard启用时,我无法做到这一点。
据我所知,问题在于elasticsearch-transport-couchbase插件。这也在他们的Github repo的一些问题中已经讨论过。
它也是我能找到的唯一可以用于Couchbase的XDCR的插件。
我很好奇其他人的经历。有没有人和我一样处于同样的境地,并且能够通过TLS从Couchbase到Elasticsearch设置XDCR?
或者也许还有其他一些我可以使用的更合适的工具我错过了?
Couchbase传输插件还不支持XDCR TLS,它在路线图上,但不会很快发生。 Search-guard将SSL添加到ES中的HTTP / REST端点,但该插件会打开自己的端点(默认情况下在端口9091上),Search-guard不会触摸该端点。我将看看是否可以扩展搜索保护以应用于传输插件 - 主要问题是Couchbase XDCR方面,它不期望目标端点上的SSL。
Couchbase Elasticsearch连接器的4.0版支持与Couchbase Server和/或Elasticsearch的安全连接。
参考:https://docs.couchbase.com/elasticsearch-connector/4.0/secure-connections.html
一个小小的更新。我们通过与xinetd建立一个stunnel解决了这个问题。因此,与ELS的所有通信都必须通过TLS将终止的隧道。
我们阻止了对端口9200的访问,并将9091限制为Couchbase集群主机,将9300限制为仅限其他ELS节点。
似乎工作得很好。