个人中心
文章发布
退出
作者热门文章
- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
26
4
我想创建一个安全的 Elasticsearch 集群。
关于我的用例。我想要一个 Multi-Tenancy 系统。用户必须对自己的 namespace 具有管理访问权限。经过几次尝试后,我现在只为用户提供他们自己的集群(通过 docker)。
尝试 1: 在具有 Multi-Tenancy 的专用节点上进行屏蔽。这需要我为每个用户修改角色 yml 文件。这既麻烦又痛苦。
尝试 2: Docker 容器 + Shield:经过反复试验,这看起来工作正常,但我不喜欢许可,而且我也不明白它是如何保护TCP 传输。
尝试 3: Docker 容器 + nginx 反向代理和 htpasswd:这对于保护 http 传输非常有效,并且现在与 kibana 配合得很好 basic auth is supported in Kibana .不幸的是,这限制了我的聚类能力,因为 9300 是完全开放的。
尝试 4: 我正准备尝试 docker 容器 + Search Guard:这看起来是一个不错的选择,但我仍然不确定应该如何保护 tcp 传输。
人们实际上如何保护 Multi-Tenancy Elasticsearch 集群?
最佳答案
您走在正确的轨道上。 ES 本质上不是 Multi-Tenancy 的,您真的无法确定您是否已正确保护/命名空间访问。此外,ES 缺少身份验证和 https,因此您也会遇到这些问题。我知道您可以为特权付费,并且您可以采取一些其他技巧来获得它,但实际上,该系统是针对每个客户的,而不是针对 Multi-Tenancy 的。
我还警告不要假设使用 docker 的 Multi-Tenancy 是一个可行的解决方案。同样,docker 安全性还不是一个众所周知/已解决的问题。在内核之上进行虚拟化时存在风险。主要风险是内核是大量代码,而不是公认的硬件虚拟化技术。以在管理程序上运行的亚马逊 ec2 实例为例。管理程序通过硬件实现 VM 之间的大部分边界 - 即,有助于在硬件级别隔离不同 VM 的特殊 CPU 程序。
因为管理程序是一小段代码(与内核相比),所以更容易审计。由于管理程序使用硬件功能来强制隔离,因此更加安全。
一方面,Docker 实际上在每个进程的基础上增加了安全性(即,如果运行 nginx 的应用程序被黑客攻击并且 docker 设置良好,那么入侵者也将不得不突破 docker 实例)。另一方面,它远不如机器虚拟化。
我的建议是为每个客户创建一个集群 VM,并在每个 VM 集群上运行 ES docker 和其他应用程序 docker。
关于security - 保护 Elasticsearch 集群,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/36800702/
26
4
0
我在这里有一个问题,我不知道这是否正常。 但是我认为这里有些湖,安装插件elasticsearch-head之后,我在浏览器中启动url“http://localhost:9200/_plugin/h
我写了这个 flex 搜索查询: es.search(index=['ind1'],doc_type=['doc']) 我得到以下结果: {'_shards': {'failed': 0, 'skip
在ElasticSearch.Net v.5中,存在一个属性 Elasticsearch.Net.RequestData.Path ,该属性在ElasticSearch.Net v.6中已成为depr
如何让 elasticsearch 应用新配置?我更改了文件 ~ES_HOME/config/elasticsearch.yml 中的一个字符串: # Disable HTTP completely:
我正在尝试使用以下分析器在 elastic serach 7.1 中实现部分子字符串搜索 PUT my_index-001 { "settings": { "analysis": {
假设一个 elasticsearch 服务器在很短的时间内接收到 100 个任务。有些任务很短,有些任务很耗时,有些任务是删除任务,有些是插入和搜索查询。 elasticsearch 是如何决定先运行
我需要根据日期过滤一组值(在此处添加字段),然后按 device_id 对其进行分组。所以我正在使用以下东西: { "aggs":{ "dates_between":{ "fi
我在 Elasticsearch 中有一个企业索引。索引中的每个文档代表一个业务,每个业务都有business_hours。我试图允许使用星期几和时间过滤营业时间。例如,我们希望能够进行过滤,以显示我
我有一个这样的过滤查询 query: { filtered: { query: { bool: { should: [{multi_match: {
Elasticsearch 相当新,所以可能不得不忍受我,我遇到了一个问题,如果我使用 20 个字符或更少的字符搜索文档,文档会出现,但是查询中同一个单词中的任何更多字符,我没有结果: 使用“苯氧甲基
我试图更好地理解 ElasticSearch 的内部结构,所以我想知道 ElasticSearch 在内部计算以下两种情况的术语统计信息的方式是否存在任何差异。 第一种情况是当我有这样的文件时: {
在我的 elasticsearch 索引中,我索引了一堆工作。为简单起见,我们只说它们是一堆职位。当人们在我的搜索引擎中输入职位时,我想“自动完成”可能的匹配。 我在这里调查了完成建议:http://
我在很多映射中使用多字段。在 Elastic Search 的文档中,指示应将多字段替换为“fields”参数。参见 http://www.elasticsearch.org/guide/en/ela
我有如下查询, query = { "query": {"query_string": {"query": "%s" % q}}, "filter":{"ids
我有一个Json数据 "hits": [ { "_index": "outboxprov1", "_type": "deleted-c
这可能是一个初学者的问题,但我对大小有一些疑问。 根据 Elasticsearch 规范,大小的最大值可以是 10000,我想在下面验证我的理解: 示例查询: GET testindex-2016.0
我在 Elastic Search 中发现了滚动功能,这看起来非常有趣。看了那么多文档,下面的问题我还是不清楚。 如果偏移量已经存在那么为什么要使用滚动? 即将到来的记录呢?假设它完成了所有数据的滚动
我有以下基于注释的 Elasticsearch 配置,我已将索引设置为不被分析,因为我不希望这些字段被标记化: @Document(indexName = "abc", type = "efg
我正在尝试在单个索引中创建多个类型。例如,我试图在host索引中创建两种类型(post,ytb),以便在它们之间创建父子关系。 PUT /ytb { "mappings": { "po
我尝试创建一个简单的模板,包括一些动态模板,但我似乎无法为文档编制索引。 我得到错误: 400 {"error":"MapperParsingException[mapping [_default_]
我是一名优秀的程序员,十分优秀!