Эта тема описывает, как изменить режим безопасности существующего кластера
Сценарий
Вы можете создать кластер, выбрав его режим безопасности и веб‑протокол (HTTP или HTTPS). Для получения подробной информации о различиях между кластерами с различными настройками режима безопасности (включая HTTP/HTTPS), см Таблица 1.
Тип кластера | Описание | Характеристики | |
|---|---|---|---|
Кластер без режима безопасности | Кластер, у которого режим безопасности отключён | В таком кластере доступ к кластеру не потребует аутентификации пользователя, а данные будут передаваться в открытом виде с использованием HTTP. Убедитесь, что клиент находится в безопасной среде, и не раскрывайте интерфейс доступа к кластеру в публичной сети | Этот тип кластера в основном используется для внутренних сервисов и тестирования.
|
Кластер в режиме безопасности | Кластер в режиме безопасности + HTTP | Кластер в режиме безопасности требует аутентификации пользователя. Он поддерживает контроль доступа и шифрование данных, и использует HTTP для передачи данных в открытом виде. Убедитесь, что клиент находится в защищённой среде, и не открывайте интерфейс доступа к кластеру в публичной сети. | Поддерживается контроль доступа по разрешениям пользователей. Этот тип кластера подходит для нагрузок, требующих высокой производительности.
|
Кластер в режиме безопасности + HTTPS | Кластер с режимом безопасности требует аутентификации пользователя. Он поддерживает контроль доступа и шифрование данных, и использует HTTPS для шифрования коммуникации и повышения безопасности данных. | Этот тип кластера подходит, когда требуется высокий уровень безопасности и нужен публичный сетевой доступ.
| |
Таблица 2 перечисляет варианты, доступные вам при изменении модели безопасности кластера.
Сценарий | Подробности |
|---|---|
Изменить Кластер из режима без безопасности в режим безопасности + HTTP. | |
Изменить Кластер из режима без безопасности в режим безопасности + HTTPS. | |
Изменить кластер из режима безопасности + HTTP в режим без безопасности. | |
Изменить кластер из режима безопасности + HTTPS в режим без безопасности. | |
Изменить кластер из режима безопасности + HTTP в режим безопасности + HTTPS. | |
Изменить кластер из режима безопасности + HTTPS в режим безопасности + HTTP. |
Требования
- Рекомендуется выполнить бэкап данных перед изменением режима безопасности кластера.
- Целевой кластер доступен и не имеет активных задач.
- Проверьте, включена ли балансировка нагрузки для кластера. Если да, отключите балансировку нагрузки для кластера. Снова включите балансировку нагрузки после изменения режима безопасности. Это предотвращает ошибки доступа к кластеру через балансировщик нагрузки во время изменения.
Ограничения
- Только кластеры (версия которых 6.5.4 или выше), созданные после ноября 2022 года, поддерживают изменение режима безопасности.
- Кластер автоматически перезапускается при изменении режима безопасности. Сервисы прерываются во время перезапуска. Режим аутентификации для вызова кластера изменится после перезапуска, и конфигурации клиентов необходимо скорректировать соответственно.
- Если кластер уже открыл окно сессии Kibana, после изменения режима безопасности кластера будет показано сообщение об ошибке сеанса. В этом случае очистите кэш и откройте Kibana снова.
- Отключение режима безопасности для кластера очищает учетную запись безопасности. Очищенную учетную запись нельзя восстановить.
Переключение с режима без безопасности на режим безопасности
Вы можете изменить кластер без безопасности на кластер с безопасностью, использующий HTTP или HTTPS. После включения режима безопасности кластера требуется аутентификация безопасности для доступа к кластеру.
- Войдите в CSS консоль управления.
- В навигационной панели слева выберите Кластеры > Elasticsearch. Страница управления кластером Elasticsearch отображается.
- Выберите Больше > Изменить конфигурацию в Операция столбец целевого кластера. Эта Изменить конфигурацию страница отображается.
- Выберите Настроить режим безопасности вкладка.
- Включить режим безопасности. Введите и подтвердите пароль администратора кластера.
Рисунок 1 Включение режима безопасности
- Включить или отключить HTTPS Access.
- Если вы включите HTTPS Access: Протокол HTTPS используется для шифрования коммуникации кластера, и вы можете настроить публичные сети для доступа к кластеру.
- Если вы отключите HTTPS Доступ: Протокол HTTP используется, и вы не можете настроить публичные сети для доступа к кластеру.
- Нажмите Отправить. Подтвердите информацию, и страница списка кластеров будет отображена.
Эта Статус задачи кластера Режим безопасности изменяется. Когда статус кластера изменяется на Доступно, режим безопасности успешно изменён.
Переключение с режима Security на режим Non-Security
Вы можете изменить кластер безопасности, использующий HTTP или HTTPS, на незашищённый кластер. После отключения режима безопасности кластера аутентификация больше не требуется для доступа к кластеру.
- Кластеры в режиме без защиты могут быть доступны без аутентификации, и для передачи данных используется протокол HTTP. Обеспечьте безопасность среды доступа к кластеру и не публикуйте интерфейс доступа в публичную сеть.
- Во время переключения с режима безопасности на режим без защиты индексы исходного кластера безопасности будут удалены. Создайте бэкап данных перед отключением режима безопасности.
- Если кластер безопасности привязан к публичному IP-адресу, отвяжите его перед изменением режима безопасности.
- Если у кластера безопасности включён публичный доступ Kibana, отключите его перед изменением режима безопасности.
- Войдите в CSS консоль управления.
- В левой навигационной панели выберите Кластеры. На отображаемом Кластеры страница, найдите целевой кластер и выберите Больше > Изменить конфигурацию в Операция столбце.
- Выберите Настроить режим безопасности вкладку.
- Отключить режим безопасности.
Рисунок 2 Отключение режима безопасности
- Нажмите Отправить. В отображаемом диалоговом окне подтвердите информацию. Страница списка кластеров отображается.
Эта Состояние задачи кластера Режим безопасности меняется. Когда статус кластера меняется на Доступно, режим безопасности успешно изменён.
Переключение протокола кластеров безопасности
Вы можете изменить протокол кластера безопасности.
Если кластер безопасности привязан к публичному IP-адресу, его необходимо отвязать перед изменением протокола HTTPS на HTTP.
- Войдите в CSS консоль управления.
- В левом навигационном поле выберите Кластеры. На отображаемой Кластеры странице, найдите целевой кластер и выберите Больше > Изменить конфигурацию в Операция столбце.
- Выберите Настройте режим безопасности вкладка.
- Включить или отключить HTTPS Доступ.
Рисунок 3 Настройка протокола
- Если вы включите HTTPS Доступ:
HTTPS протокол используется для шифрования коммуникации кластера и вы можете настроить доступ из публичной сети.
- Если вы отключите HTTPS Доступ: Отображается сообщение тревоги. Щелкните OK чтобы отключить функцию.
Коммуникация кластера больше не шифруется, и функция доступа из публичной сети не может быть включена.
- Если вы включите HTTPS Доступ:
- Щелкните Подтвердить. Подтвердите информацию и отображается страница списка кластеров.
Эта Статус задачи кластера Режим безопасности меняется. Когда статус кластера меняется на Доступно, режим безопасности успешно изменён.