Elastic Stack 6.8/7.1或更高版本用户的重要注意事项:弹性堆栈的默认分布现在包含了可以永久免费启用的安全特性。这包括TLS加密、用户身份验证和基于角色的访问控制。退房Elasticsearch安全入门执行细节
当为使用生产许可证运行的群集启用Elasticsearch安全性时,传输通信必须使用TLS/SSL,并且必须正确设置。此外,一旦启用了安全性,所有到Elasticsearch集群的通信都必须经过身份验证,包括来自Kibana和/或应用服务器的通信。
Kibana和/或应用服务器可以向Elasticsearch集群进行身份验证的最简单方法是在配置文件或源代码中嵌入用户名和密码。然而,在许多组织中,禁止在这些位置存储用户名和密码。在这种情况下,一种选择是使用公钥基础设施(PKI)(客户端证书)用于对Elasticsearch群集进行身份验证。
首先,将安全性与TLS/SSL和PKI一起配置可能会让人望而生畏,因此本博客将逐步指导如何:启用安全性;配置TLS/SSL;为内置用户设置密码;使用PKI进行身份验证;最后,如何使用PKI向Elasticsearch集群验证Kibana。
启用安全性以下步骤在Elastic Stack 6.5版上进行了测试。安全功能可以是在默认发行版中启用免费从版本6.8/7.1开始。 为了启用安全性,有必要使用黄金或铂金认购,或通过启用的试用许可证Kibana或美国石油学会. 例如,以下命令将通过API启用试用许可证:
curl -X POST "localhost:9200/_xpack/license/start_trial?acknowledge=true"
