Когда доступ к публичной сети включен для кластера Elasticsearch, кластер автоматически получает публичный IP‑адрес с выделенной динамической BGP‑пропускной способностью, что делает его доступным из Интернета через HTTPS. Вы можете настроить контроль доступа к публичной сети по IP‑адресам или диапазонам IP‑адресов.
Для включения доступа к публичной сети для кластеров Elasticsearch обычно используется общий балансировщик нагрузки. Если вашим нагрузкам требуется более быстрый доступ, рекомендуется использовать выделенный балансировщик нагрузки для подключения к вашим кластерам. Подробности о его конфигурации см. Настройка выделенного балансировщика нагрузки для кластера Elasticsearch.
Ограничения
- Включение доступа к публичной сети для кластера CSS может привести к дополнительным расходам, так как потребуется использовать EIP и ресурсы пропускной способности.
- Для включения доступа к публичной сети для кластера Elasticsearch необходимо выполнить два условия: версия кластера 6.5.4 или новее; режим безопасности и доступ по HTTPS должны быть включены.
- Доступ из публичной сети и сервис VPC Endpoint используют общий балансировщик нагрузки. Если вы настроите белый список для доступа из публичной сети, и поскольку этот белый список развернут на общем балансировщике нагрузки, он будет контролировать не только доступ из публичной сети, но и доступ с использованием частных IP-адресов через VPCEP. В этом случае необходимо добавить IP-адрес 198.19.128.0/17 в белый список доступа из публичной сети, чтобы разрешить трафик через VPCEP.
Включение доступа из публичной сети
Чтобы включить доступ из публичной сети для существующего кластера, выполните следующие действия:
- Войдите в консоль управления CSS.
- В навигационной панели слева выберите Clusters > Elasticsearch.
- В списке кластеров щелкните название целевого кластера. Отобразится страница информации о кластере.
- На Обзор вкладке, проверьте, Режим безопасности и Доступ HTTPS включены в Конфигурация область.
- Если они включены, перейдите к следующему шагу, чтобы включить публичный сетевой доступ.
- Если любой из них отключен, публичный сетевой доступ нельзя включить для кластера.
- Щелкните Включить рядом с Публичный сетевой доступ. В отображаемом диалоговом окне настройте необходимые параметры.
Таблица 1 Включение публичного сетевого доступа Параметр
Описание
Пропускная способность
Пропускная способность кластера для публичного сетевого доступа.
Диапазон значений: от 1 Mbit/s до 200 Mbit/s
Настроить белый список
Контролировать доступ к кластеру из публичной сети с помощью белого списка.
- Если белый список настроен, только IP‑адреса, присутствующие в этом белом списке, могут получить доступ к кластеру через публичную сеть.
Щелкните +Добавить. В отображаемом текстовом поле введите IP‑адреса или CIDR‑блоки, которым разрешён доступ к кластеру из публичной сети. Разделяйте их запятыми (,). Каждое значение должно быть уникальным. Пример допустимых значений: 192.168.1.1,10.0.0.0/24. Примеры недопустимых значений: 0.0.0.0, xx.xx.xx.xx/0, 172.16.0.0-172.16.255.255, нестандартные форматы (например, 192.168.1), и дублирующиеся значения.
- Если белый список не настроен, все публичные IP‑адреса могут получать доступ к кластеру. Однако это может представлять риск безопасности и следует избегать.
- Если белый список настроен, только IP‑адреса, присутствующие в этом белом списке, могут получить доступ к кластеру через публичную сеть.
- Нажмите OK для включения публичного доступа к сети.
После включения публичного доступа к сети отображаются публичный IP‑адрес, контроль доступа к публичной сети и информация о пропускной способности.
Управление публичным доступом к сети
Когда публичный доступ к сети включён, вы можете проверить публичный IP‑адрес и изменить настройки пропускной способности и контроля доступа.
- Войдите в консоль управления CSS.
- В навигационной панели слева выберите Clusters > Elasticsearch.
- В списке кластеров нажмите имя целевого кластера. Отобразится страница информации о кластере.
- На Обзор вкладка, управлять настройками публичного доступа к сети в Конфигурация область.
- Проверка публичного IP-адреса
Запишите IP-адрес и номер порта, отображаемые рядом Доступ к публичной сети.
- Изменение настроек контроля доступа к публичной сети
Щелкните Изменить рядом с Контроль доступа к публичной сети. В отображаемом диалоговом окне добавьте или удалите IP-адреса или блоки CIDR из белого списка. Щелкните OK чтобы сохранить изменение.
- Изменение пропускной способности публичной сети
Щелкните Изменить рядом с Пропускная способность. В отображаемом диалоговом окне измените пропускную способность. Щелкните OK чтобы сохранить изменение.
- Проверка публичного IP-адреса
Disabling Public Network Access
Если публичный сетевой доступ более не требуется для кластера, отключите его, чтобы освободить ресурсы.
После отсоединения Public IP address кластер более не может быть доступен из Интернета через этот IP-адрес. Если вы отключите публичный сетевой доступ для кластера, а затем включите его снова, Public IP address для доступа к кластеру может измениться. Будьте осторожны.
- Войдите в консоль управления CSS.
- В левой навигационной панели выберите Clusters > Elasticsearch.
- В списке кластеров щелкните имя целевого кластера. Отобразится страница информации о кластере.
- На Overview вкладке, найдите Public Network Access в Configuration область, и нажмите Отключить рядом с ним. В отображаемом диалоговом окне введите CONFIRM и нажмите OK.
После отключения публичного сетевого доступа, публичный IP-адрес и Public Network Access Control и Пропускная способность параметры исчезают.
Доступ к кластеру через публичный IP-адрес
После включения публичного сетевого доступа, кластеру присваивается публичный IP-адрес. Вы можете использовать этот IP-адрес плюс номер порта для доступа к этому кластеру.
Например, если публичный IP-адрес 10.62.xxx.xxx и номер порта 9200, выполните следующую команду cURL, чтобы просмотреть индексы в кластере.
curl -u username:password -k 'https://10.62.xxx.xxx:9200/_cat/indices'
где, имя пользователя и пароль укажите имя пользователя и пароль кластера с включённым HTTPS в режиме безопасности.