Облачная платформаAdvanced

Изменение режима безопасности кластера Elasticsearch

Эта статья полезна?

Язык статьи: Русский

Страница переведена автоматически и может содержать неточности. Рекомендуем сверяться с английской версией.

С помощью CSS, когда требования к безопасности кластера Elasticsearch меняются, вы можете изменить настройки режима безопасности.

Настройте режим безопасности в соответствии с требованиями к безопасности вашего кластера.

Таблица 1 Режимы безопасности кластера
Тип кластера	Ключевые настройки	Описание	Сценарий применения
Кластер без режима безопасности	Режим безопасности: отключен	Доступ к такому кластеру не требует аутентификации пользователя, и данные передаются в открытом виде с использованием HTTP.	Используйте при создании кластера для внутреннего тестирования или рабочих нагрузок с низким уровнем требований к безопасности. Преимущество: простой доступ к кластеру. Недостаток: плохая безопасность, так как любой может получить доступ к кластеру. Когда режим безопасности отключён, доступ из публичной сети и доступ Kibana из публичной сети не могут быть включены. Убедитесь, что кластер развернут в безопасной среде. Не открывайте сетевой интерфейс кластера для публичной сети.
Кластер в режиме безопасности	Кластер в режиме безопасности + HTTP: Режим безопасности: включено Доступ HTTPS: отключено	Такой кластер требует аутентификации пользователей. Он поддерживает контроль доступа и шифрование данных, и использует HTTP для передачи данных в открытом виде.	Используется для баланса безопасности и производительности. Преимущество: аутентификация пользователей повышает безопасность кластера. Доступ на основе HTTP обеспечивает высокую производительность кластера. Разрешения пользователей можно настроить для обеспечения надлежащей изоляции. Недостаток: доступ из публичной сети не поддерживается. Убедитесь, что кластер развернут в защищённой среде. Не раскрывайте сетевой интерфейс кластера в общедоступную сеть.
Кластер в режиме безопасности	Кластер в режиме безопасности + HTTPS: Режим безопасности: включено Доступ HTTPS: включено	Такой кластер требует аутентификации пользователей. Он поддерживает контроль доступа и шифрование данных, а также использует HTTPS для шифрования коммуникаций и повышения безопасности данных.	Используйте, когда безопасность важнее производительности и требуется доступ к публичной сети. Преимущество: Аутентификация пользователей повышает безопасность кластера. HTTPS повышает безопасность кластера, шифруя всю коммуникацию через публичную сеть. Разрешения пользователей можно настроить для обеспечения правильной изоляции. Недостаток: При использовании HTTPS шифрование и дешифрование данных вводят вычислительные накладные расходы и влияют на производительность чтения и записи кластера.

Таблица 2 перечисляет различные типы изменений режима безопасности, поддерживаемых для кластеров CSS.

Таблица 2 Сценарии изменения режима безопасности
Действие	Сценарий	Процесс изменения
Переключение с режима без безопасности на режим безопасности	Режим без безопасности → Режим безопасности + HTTP: Изменить кластер из режима без безопасности в режим безопасности + HTTP.	Выберите узел и измените файлы конфигурации Elasticsearch, Kibana, и Cerebro. Перезапустите процессы Elasticsearch, Kibana, и Cerebro и восстановите данные. После восстановления узла перейдите к следующему узлу и повторите указанные выше шаги. Это продолжается, пока все узлы не будут изменены.
	Режим без безопасности → Режим безопасности + HTTPS: Изменить кластер из режима без безопасности в режим безопасности + HTTPS.
Переключение с режима безопасности на режим без безопасности	Режим безопасности → Режим без безопасности: Изменить кластер из режима безопасности + HTTP в режим без безопасности. Изменить кластер из режима безопасности + HTTPS в режим без безопасности.
Переключение между HTTP и HTTPS в режиме безопасности	HTTP → HTTPS: Изменить кластер из режима безопасности + HTTP в режим безопасности + HTTPS.
Переключение между HTTP и HTTPS в режиме безопасности	HTTPS → HTTP: Изменить кластер из режима безопасности + HTTPS в режим безопасности + HTTP.

Ограничения

Настройки режима безопасности можно изменять только для кластеров Elasticsearch, созданных после ноября 2022 г. и версии 6.5.4 или новее.

Влияние изменения

Перед изменением режима безопасности кластера необходимо оценить потенциальные последствия и ознакомиться с рекомендациями по эксплуатации. Это позволяет корректно спланировать изменение, минимизируя перебои в обслуживании.

Таблица 3 Обзор влияния
Действие	Перебой в обслуживании	Режим аутентификации	Производительность	Доступ из публичной сети	Security Account
Режим без безопасности → Режим безопасности + HTTP	Да	Требуется аутентификация	N/A	Запрещено	N/A
Режим без безопасности → Режим безопасности + HTTPS	Да	Требуется аутентификация	Понижено	Разрешено	N/A
Режим безопасности → Режим без безопасности	Да	Аутентификация не требуется	Улучшено	Отключено автоматически	Удалено навсегда
HTTP → HTTPS	Да	Без изменений	Понижено	Разрешено	N/A
HTTPS → HTTP	Да	Без изменений	Улучшено	Автоматически отключено	N/A

Описание воздействия:

Режим безопасности можно включить или отключить для кластера, и кластер с режимом безопасности может использовать как HTTPS, так и HTTP.
Сбой сервиса: При изменении режима безопасности кластера кластер автоматически перезапускается, что приводит к кратковременной недоступности сервиса.
Режим аутентификации: Изменение режима безопасности кластера также меняет механизм аутентификации пользователей. Логика аутентификации клиента должна быть обновлена соответствующим образом. Если адаптация клиента не может быть выполнена своевременно, сервисы могут быть прерваны.
Влияние на производительность: При одинаковой аппаратной конфигурации переход с HTTP на HTTPS приводит к потере производительности (например, пропускной способности) примерно на 20% при высокой конкурентности. Напротив, когда кластер переходит с HTTPS на HTTP, производительность кластера повышается.
Доступ из публичной сети: Только кластеры в режиме безопасности, использующие HTTPS, поддерживают доступ из публичной сети.
Учетная запись безопасности: Когда режим безопасности отключен для кластера, система навсегда удаляет учетную запись безопасности кластера.
Влияние на инструмент: Если режим безопасности изменяется для кластера с активной сессией Kibana, на Kibana будет отображено сообщение об ошибке сессии. Чтобы исправить ошибку, очистите кеш и запустите Kibana снова.

Изменение режима безопасности кластера меняет его режим доступа, что может привести к перебоям в работе сервисов. Вы должны выполнять эту операцию до ввода сервисов в эксплуатацию или когда возможны перебои в работе сервисов.

Продолжительность изменения

Следующая формула может быть использована для оценки того, сколько времени займет изменение режима безопасности кластера:

Продолжительность изменения (min) = 5 (min) x Общее количество узлов для изменения + Продолжительность восстановления данных (min)

где,

5 минут указывает, как долго обычно занимают операции, не связанные с восстановлением данных (e.g., инициализация) на каждый узел. Это эмпирическое значение.
Общее количество узлов — это сумма количества узлов данных, мастер‑узлов, клиентских узлов и узлов холодных данных в кластере.

Продолжительность восстановления данных (min) = Общий объём данных (MB)/[Общее количество vCPU в узлах данных x 32 (MB/s) x 60 (s)]

где,

32 MB/s указывает, что каждый vCPU может обрабатывать 32 MB данных в секунду. Это эмпирическое значение.
Приведённые выше формулы используют оценки при идеальных условиях. Фактическая скорость восстановления данных зависит от нагрузки кластера.

Требования

Все критически важные данные были резервированы. Для подробностей см. Создание Снапшотов для резервного копирования данных кластера Elasticsearch.
Статус кластера Доступен, и нет текущих задач.
Проверьте, включена ли балансировка нагрузки для кластера. Если да, сначала отключите балансировку нагрузки. Затем снова включите балансировку нагрузки после изменения режима безопасности. Это предотвращает ошибки доступа к кластеру через балансировщик нагрузки во время изменения.

Переключение с режима без безопасности на режим безопасности

Вы можете изменить кластер в режиме без безопасности на кластер в режиме безопасности, использующий HTTP или HTTPS. После включения режима безопасности кластера требуется аутентификация пользователя для доступа к кластеру.

Войдите в консоль управления CSS.
В навигационной панели слева выберите Кластеры > Elasticsearch.
В списке кластеров найдите целевой кластер и выберите Больше > Изменить конфигурацию в Операция столбце. Это Изменить конфигурацию страница отображается.
Выберите Изменить режим безопасности вкладка.
Включите режим безопасности. Введите и подтвердите пароль администратора кластера.
Рисунок 1 Включение режима безопасности
Включить или отключить HTTPS Access.
- Если вы включите HTTPS Access, HTTPS используется для шифрования коммуникаций кластера, и публичный доступ к сети может быть включен для кластера.
- Если вы отключите HTTPS Access, HTTP используется, и публичный доступ к сети запрещён для кластера.
Щелкните Подтвердить, и подтвердите информацию. Список кластеров отображается.
Этот Статус задачи кластера Изменение режима безопасности. Когда статус кластера изменяется на Доступно, режим безопасности был успешно изменён.

Переключение с режима безопасности на режим без безопасности

Вы можете изменить кластер с режимом безопасности, использующий HTTP или HTTPS, на кластер без режима безопасности. После отключения режима безопасности кластера аутентификация пользователя больше не требуется для доступа к кластеру.

Кластеры с отключённым режимом безопасности не требуют аутентификации пользователя, и HTTP используется для передачи данных в открытом виде. Убедитесь, что такие кластеры развернуты в защищённой среде, и не раскрывайте сетевой интерфейс кластера публичной сети.
При переключении кластера с режима безопасности на режим без безопасности индексы, использованные кластером с режимом безопасности, будут удалены. Создайте резервную копию данных перед изменением режима безопасности.
Если публичный IP-адрес был назначен кластеру в режиме безопасности, отмените назначение перед изменением режима безопасности.
Если публичный сетевой доступ Kibana включён для кластера в режиме безопасности, отключите его перед изменением режима безопасности.

Войдите в консоль управления CSS.
В навигационной панели слева выберите Clusters > Elasticsearch.
В списке кластеров найдите целевой кластер и выберите Ещё > Изменить конфигурацию в Операция столбце. Эта Изменить конфигурацию страница отображается.
Выберите Изменить режим безопасности вкладку.
Отключите режим безопасности.
Рисунок 2 Отключение режима безопасности
Нажмите Отправить. В появившемся диалоговом окне подтвердите информацию. Страница списка кластеров отображается.
Это Статус задачи кластера Изменение режима безопасности. Когда статус кластера меняется на Доступно, режим безопасности успешно изменён.

Переключение между HTTP и HTTPS в режиме безопасности

Вы можете изменить протокол кластера безопасности.

Если публичный IP‑адрес был назначен кластеру в режиме безопасности, снимите его перед изменением с HTTPS на HTTP.

Войдите в консоль управления CSS.
В навигационной панели слева выберите Кластеры > Elasticsearch.
В списке кластеров найдите целевой кластер, и выберите Больше > Изменить конфигурацию в Операция столбце. Страница Изменить конфигурацию страница отображается.
Выберите Изменить режим безопасности вкладка.
Включить или отключить HTTPS Доступ.
Рисунок 3 Настройка протокола
- Если вы включите HTTPS Доступ,
  HTTPS используется для шифрования коммуникации кластера и вы можете включить публичный сетевой доступ для кластера.
- Если вы отключите HTTPS-доступ, отображается сообщение тревоги. Нажмите OK чтобы отключить протокол.
  Коммуникация кластера больше не шифруется, и включить публичный сетевой доступ невозможно.
Нажмите Отправить, и подтвердите информацию. Список кластеров отображается.
Это Состояние задачи кластера Изменение режима безопасности. Когда статус кластера меняется на Доступно, режим безопасности был успешно изменён.

Родительская тема: Управление кластерами Elasticsearch

Поддержка Юридические документы