CSS интегрирует общие балансировщики нагрузки, через которые вы можете обеспечить доступ к кластеру из публичной сети, а также через сервис VPC Endpoint. Выделенные балансировщики нагрузки обеспечивают более высокую производительность и более разнообразные функции, чем общие балансировщики нагрузки. В этой теме описывается, как настроить выделенный балансировщик нагрузки для кластера.
Преимущества подключения к кластеру через выделенный балансировщик нагрузки:
Существует восемь различных форм сервиса ELB для кластеров в разных режимах безопасности, чтобы подключиться к выделенному балансировщику нагрузки. Таблица 1 описывает возможности ELB для различных конфигураций кластера. Таблица 2 описывает конфигурации для различных форм служб ELB.
Режим безопасности | Форма службы, предоставляемая ELB для внешних систем | ELB Load Balancing | ELB Traffic Monitoring | ELB Two-way Authentication |
|---|---|---|---|---|
Без защиты | Нет аутентификации | Да | Да | Нет |
Односторонняя аутентификация Двухсторонняя аутентификация | Да | Да | Да | |
Режим безопасности + HTTP | Аутентификация пароля | Да | Да | Нет |
Односторонняя аутентификация + Парольная аутентификация Двусторонняя аутентификация + Парольная аутентификация | Да | Да | Да | |
Режим безопасности + HTTPS | Односторонняя аутентификация + Парольная аутентификация Двусторонняя аутентификация + Парольная аутентификация | Да | Да | Да |
Security Mode | Форма сервиса, предоставляемая ELB для внешних систем | ELB Listener | ELB Listener | ELB Listener | Группа серверов бэкенда | Группа серверов бэкенда | Группа серверов бэкенда |
|---|---|---|---|---|---|---|---|
Протокол фронтенда | Порт фронтенда | Аутентификация SSL | Протокол бэкенда | Порт проверки работоспособности | Путь проверки работоспособности | ||
Безопасность отсутствует | Без аутентификации | HTTP | 9200 | Без аутентификации | HTTP | 9200 | / |
Односторонняя аутентификация | HTTPS | 9200 | Односторонняя аутентификация | HTTP | 9200 | ||
Двухсторонняя аутентификация | HTTPS | 9200 | Двухсторонняя аутентификация | HTTP | 9200 | ||
Режим безопасности + HTTP | Парольная аутентификация | HTTP | 9200 | Без аутентификации | HTTP | 9200 | /_opendistro/_security/health |
Односторонняя аутентификация + Парольная аутентификация | HTTPS | 9200 | Односторонняя аутентификация | HTTP | 9200 | ||
Двухсторонняя аутентификация + Парольная аутентификация | HTTPS | 9200 | Двусторонняя аутентификация | HTTP | 9200 | ||
Режим безопасности + HTTPS | Односторонняя аутентификация + Аутентификация пароля | HTTPS | 9200 | Односторонняя аутентификация | HTTPS | 9200 | |
Двусторонняя аутентификация + Аутентификация пароля | HTTPS | 9200 | Двусторонняя аутентификация | HTTPS | 9200 |
Параметр | Описание |
|---|---|
Балансировщик нагрузки | Выберите ранее созданный выделенный балансировщик нагрузки. Чтобы создать выделенный балансировщик нагрузки, см. . |
Агентство | Чтобы настроить балансировщик нагрузки, у вас должно быть разрешение на доступ к ресурсам ELB. Настроив IAM агентство, вы можете предоставить CSS доступ к его ресурсам ELB через связанный аккаунт.
|
Отображена информация о балансировщике нагрузки.
для настройки информации о прослушивателе.
Parameter | Description |
|---|---|
Frontend Protocol | Протокол, используемый клиентом и прослушивателем для распределения трафика. Выберите HTTP или HTTPS. Выберите этот протокол в зависимости от ваших требований к подключению. |
Frontend Port | Порт, используемый клиентом и прослушивателем для распределения трафика. Установите этот параметр в соответствии с требованиями сайта. |
SSL Authentication | Режим аутентификации для клиента при доступе к серверу. Установите этот параметр только когда Фронтенд протокол установлен в HTTPS. Поддерживается как односторонняя, так и двусторонняя аутентификация. Выберите режим аутентификации, соответствующий вашим потребностям. |
Серверный сертификат | Серверный сертификат используется для SSL handshake. Содержание сертификата и закрытый ключ должны быть предоставлены. Требуется только когда Фронтенд протокол установлен в HTTPS. Выберите серверный сертификат, созданный в ELB. |
CA сертификат | Также называется клиентским публичным ключевым сертификатом CA. Он используется для проверки эмитента клиентского сертификата. Требуется только когда SSL аутентификация установлено Two-way authentication. Выберите сертификат CA, созданный на ELB. Когда включена двухсторонняя аутентификация HTTPS, HTTPS‑соединение может быть установлено только тогда, когда клиент может предоставить сертификат, выданный доверенным CA. |
Figure 1 Конфигурация слушателя

Без политик контроля доступа все IP-адреса могут получать доступ к кластеру CSS через этот балансировщик нагрузки, что может создавать угрозы безопасности.
Health Check Result | Описание |
|---|---|
Нормальный | IP-адрес узла подключен. |
Аномальный | IP-адрес узла отключен. |
Выберите Load Balancing > Elasticsearch, отключить Балансировка нагрузки. В появившемся диалоговом окне нажмите OK.
После отключения балансировщика нагрузки любые конфигурации слушателей или групп серверов бэкенда будут удалены без возможности восстановления.
Не рекомендуется подключать load balancer, ассоциированный с public IP-адресом, к кластеру в режиме non-security. Разрешение доступа к публичной сети через такой load balancer может вызвать риски безопасности, поскольку кластер в режиме non-security может быть доступен через HTTP без security authentication.
Режим безопасности | Форма службы, предоставленная ELB для внешних систем | cURL команда для доступа к кластеру |
|---|---|---|
Non-security | Без аутентификации |
|
Односторонняя аутентификация |
| |
Двусторонняя аутентификация |
| |
Режим безопасности + HTTP | Аутентификация по паролю |
|
Односторонняя аутентификация + Аутентификация по паролю |
| |
Двунаправленная аутентификация + Аутентификация по паролю |
| |
Режим безопасности + HTTPS | Односторонняя аутентификация + Аутентификация по паролю |
|
Двунаправленная аутентификация + Аутентификация по паролю |
|
Переменная | Описание |
|---|---|
IP | IP-адрес экземпляра балансировщика нагрузки. |
порт | Протокол и порт фронтенда, настроенные для слушателя. |
пользователь | Имя пользователя кластера. Этот параметр требуется только для кластера с режимом безопасности. |
пароль | Пароль указанного выше имени пользователя. Этот параметр требуется только для кластера в режиме security-mode. |
Если информация о кластере возвращается, соединение успешно.