Безопасность и порты ElasticSearch

Я установил кластер эластичного поиска с двумя узлами данных, одним главным узлом и одним клиентским узлом с KIBANA.

Я запускал его с отключенным iptables на каждом узле (CC 6). Теперь мне нужно включить iptables, и я хочу знать, какой из портов (9200, 9300) мне нужно открыть на каждом узле и в каком направлении (входящий или исходящий). Находка использует uni-cast.

Я также хотел бы знать, на каком узле я должен разместить аутентификацию, то есть только на клиентском узле?

 Cluster: mycluster
 data-node1
 data-node2
 master-node1
 client-node1

Спасибо.


kibana-4
person Ijaz Ahmad Khan    schedule 20.01.2016    source источник

Ответы (1)


arrow_upward
1
arrow_downward

9200 используется для HTTP API, 9300 используется для связи между узлами и кластером.

Для приведенной выше конфигурации я бы:

  1. Привяжите порт 9200 на всех хостах к 127.0.0.1

  2. Привяжите порт 9300 на всех хостах к локальной сети, т.е. 192.168.x.x

  3. Запустите nginx и примените базовую аутентификацию (например, htpasswd), обратный прокси-сервер к 127.0.0.1:5601 (kibana), предполагая, что ваш клиентский узел запущен на том же компьютере, что и Kibana.

  4. В вашей конфигурации Kibana подключите его к localhost:9200 и привяжите интерфейс к 127.0.0.1

person Or Weinberger    schedule 20.01.2016
comment
Спасибо. Но вместо localhost или 127.0.0.1 я привязал network.host к IP-адресу каждого узла. Значит, я должен использовать вместо этого эти IP-адреса? - person Ijaz Ahmad Khan; 20.01.2016
comment
Да, просто убедитесь, что вы не привязываете какие-либо общедоступные хосты. - person Or Weinberger; 20.01.2016
comment
Если вы привязываетесь к внешнему адресу, люди могут подключаться напрямую и в обход вашего прокси. - person Sobrique; 20.01.2016