/DOCS
Облачная платформаAdvanced

Настройка Выделенного балансировщика нагрузки для OpenSearch Кластера

Эта статья полезна?
Язык статьи: Русский
Показать оригинал
Страница переведена автоматически и может содержать неточности. Рекомендуем сверяться с английской версией.

CSS интегрирует общие балансировщики нагрузки, через которые можно обеспечить доступ к кластеру из публичной сети, а также через сервис VPC Endpoint. Выделенные балансировщики нагрузки обеспечивают большую производительность и более разнообразные функции, чем общие балансировщики нагрузки. В этой теме описано, как настроить выделенный балансировщик нагрузки для кластера.

Сценарии

Преимущества подключения к кластеру через выделенный балансировщик нагрузки:

  • Кластер без защиты также может использовать возможности сервиса Elastic Load Balance (ELB).
  • Можно использовать пользовательские сертификаты для двухсторонней аутентификации HTTPS.
  • Поддерживается мониторинг и настройка тревог трафика семиуровневого уровня, позволяющие постоянно отслеживать статус кластера.

Существует восемь различных форм сервиса ELB для кластеров в разных режимах безопасности, подключающихся к выделенному балансировщику нагрузки. Таблица 1 описывает возможности ELB для различных конфигураций кластера. Таблица 2 Описывает конфигурации различных форм сервиса ELB

Таблица 1 Возможности ELB для разных кластеров

Режим безопасности

Форма сервиса, предоставляемая ELB для внешних систем

Балансировка нагрузки ELB

Мониторинг трафика ELB

ELB двухсторонняя аутентификация

Режим без безопасности

Без аутентификации

Поддерживается

Поддерживается

Не поддерживается

Односторонняя аутентификация

Двухсторонняя аутентификация

Поддерживается

Поддерживается

Поддерживается

Режим безопасности + HTTP

Аутентификация по паролю

Поддерживается

Поддерживается

Не поддерживается

Односторонняя аутентификация + Аутентификация паролем

Двустроронняя аутентификация + Аутентификация паролем

Поддерживается

Поддерживается

Поддерживается

Режим безопасности + HTTPS

Односторонняя аутентификация + Аутентификация паролем

Двустроронняя аутентификация + Аутентификация паролем

Поддерживается

Поддерживается

Поддерживается

Таблица 2 Конфигурации для разных форм ELB в зависимости от кластера

Режим безопасности

Форма услуги, предоставляемая ELB для внешних систем

Прослушиватель ELB

Прослушиватель ELB

ELB Слушатель

Группа серверов бэкенда

Группа серверов бэкенда

Группа серверов бэкенда

Протокол фронтенда

Порт фронтенда

Аутентификация SSL

Протокол бэкенда

Порт проверки работоспособности

Путь проверки работоспособности

Режим без безопасности

Без аутентификации

HTTP

9200

Без аутентификации

HTTP

9200

/

Односторонняя аутентификация

HTTPS

9200

Односторонняя аутентификация

HTTP

9200

Двусторонняя аутентификация

HTTPS

9200

Двусторонняя аутентификация

HTTP

9200

Режим безопасности + HTTP

Аутентификация по паролю

HTTP

9200

Без аутентификации

HTTP

9200

/_opendistro/_security/health

Односторонняя аутентификация + Аутентификация по паролю

HTTPS

9200

Односторонняя аутентификация

HTTP

9200

Двусторонняя аутентификация + Аутентификация паролем

HTTPS

9200

Двусторонняя аутентификация

HTTP

9200

Режим безопасности + HTTPS

Односторонняя аутентификация + Аутентификация паролем

HTTPS

9200

Односторонняя аутентификация

HTTPS

9200

Двусторонняя аутентификация + Аутентификация паролем

HTTPS

9200

Двусторонняя аутентификация

HTTPS

9200

Ограничения

  • Не рекомендуется подключать балансировщик нагрузки, связанный с публичным IP-адресом, к кластеру без режима безопасности. Предоставление доступа из публичной сети через такой балансировщик нагрузки может вызвать риски безопасности, так как к кластеру без режима безопасности можно получить доступ по HTTP без аутентификации безопасности.
  • Кластеры с режимом безопасности, поддерживающие HTTPS, не поддерживают аутентификацию фронтенда на основе HTTP. Если фронтенд использует HTTP, сначала отключите режим безопасности для вашего кластера. Для получения подробностей см Изменение режима безопасности кластера OpenSearch. Прежде чем изменять режим безопасности, сначала отключите балансировку нагрузки. После изменения режима безопасности снова включите балансировку нагрузки.

Требования

  • Создан выделенный балансировщик нагрузки. Для получения подробностей см . Этот балансировщик нагрузки должен соответствовать следующим требованиям:
    • Её VPC совпадает с VPC кластера CSS. Сеть между ними соединена.
    • IP в качестве бэкенда включён. Это необходимо для подключения выделенного балансировщика нагрузки к кластеру CSS.
    • Определите, нужно ли настраивать EIP в зависимости от потребностей сервиса. Публичный IP-адрес отображается для балансировщика нагрузки, соединяющего кластер CSS, только если настроен EIP. Это позволит публичному сетевому доступу к кластеру через этот балансировщик нагрузки.
  • Если listener ELB использует HTTPS, загрузите серверный сертификат или CA‑сертификат в консоль ELB. Для подробностей см. .
    • Если используется односторонняя аутентификация, загрузите серверный сертификат.
    • Если используется двусторонняя аутентификация, загрузите серверный сертификат и CA‑сертификат.

Подключение кластера к балансировщику нагрузки

  1. Войдите в консоль управления CSS.
  2. В навигационной панели слева выберите Кластеры > OpenSearch.
  3. В списке кластеров щелкните название целевого кластера. Отобразится страница информации о кластере.
  4. Щелкните Доступ к кластеру вкладку, а затем щелкните Балансировка нагрузки вкладка. На OpenSearch вкладка, включить Балансировка нагрузки. В отображаемом диалоговом окне установите параметры.
    Таблица 3 Настройка балансировки нагрузки

    Параметр

    Описание

    Балансировщик нагрузки

    Выберите созданный ранее выделенный балансировщик нагрузки.

    Чтобы создать выделенный балансировщик нагрузки, см. .

    Агентство

    Чтобы настроить балансировщик нагрузки, вам необходимо иметь разрешение на доступ к ресурсам ELB. Настроив IAM‑агентство, вы можете предоставить CSS доступ к его ресурсам ELB через связанную учётную запись.

    • Если вы настраиваете агентство впервые, щёлкните Автоматически создать IAM‑агентство для создания css-elb-agency.
    • Если ранее автоматически создано IAM-агентство, вы можете нажать Авторизация в один клик чтобы иметь права, связанные с ELB Администратор роль или ELB FullAccess системная политика удаляется автоматически, и вместо неё автоматически добавляются следующие пользовательские политики для реализации более точного контроля прав.
      "elb:loadbalancers:list",
      "elb:loadbalancers:get",
      "elb:certificates:list",
      "elb:healthmonitors:*",
      "elb:members:*",
      "elb:pools:*",
      "elb:listeners:*"
    • Чтобы использовать Автоматически создать IAM-агентство и Авторизация в один клик, требуются следующие минимальные права:
      "iam:agencies:listAgencies",
      "iam:roles:listRoles",
      "iam:agencies:getAgency",
      "iam:agencies:createAgency",
      "iam:permissions:listRolesForAgency",
      "iam:permissions:grantRoleToAgency",
      "iam:permissions:listRolesForAgencyOnProject",
      "iam:permissions:revokeRoleFromAgency",
      "iam:roles:createRole"
    • Чтобы использовать IAM-агентство, требуются следующие минимальные права:
      "iam:agencies:listAgencies",
      "iam:agencies:getAgency",
      "iam:permissions:listRolesForAgencyOnProject",
      "iam:permissions:listRolesForAgency"

  5. Нажмите OK чтобы включить балансировку нагрузки.

    Отображается информация о балансировщике нагрузки.

  6. В Слушатель область, щелкните чтобы настроить информацию слушателя.
    Таблица 4 Конфигурация слушателя

    Параметр

    Описание

    Протокол фронтенда

    Протокол, используемый клиентом и слушателем для распределения трафика.

    Выберите HTTP или HTTPS.

    Выберите этот протокол исходя из ваших требований к подключению.

    Порт фронтенда

    Порт, используемый клиентом и слушателем для распределения трафика.

    Установите этот параметр в соответствии с требованиями сайта.

    Аутентификация SSL

    Режим аутентификации клиента. Установите этот параметр только когда Протокол Frontend установлен в HTTPS.

    Поддерживается как однонаправленная, так и двунаправленная аутентификация.

    Выберите режим аутентификации, соответствующий вашим потребностям.

    Сертификат сервера

    Сертификат сервера используется для рукопожатия SSL. Содержимое сертификата и закрытый ключ должны быть указаны. Требуется только когда Протокол Frontend установлен в HTTPS.

    Выберите сертификат сервера, созданный на ELB.

    Сертификат CA

    Также называется сертификатом открытого ключа клиента CA. Он используется для проверки издателя сертификата клиента. Требуется только когда Аутентификация SSL установлен в Двусторонняя аутентификация.

    Выберите сертификат CA, созданный на ELB.

    Когда включена двусторонняя аутентификация HTTPS, установить HTTPS‑соединение можно только в том случае, если клиент может предоставить сертификат, выданный доверенным CA.

    Рисунок 1 Настройка слушателя


  7. (Optional) В Слушатель области, щелкните Настроить рядом с Контроль доступа чтобы перейти к списку слушателей балансировщика нагрузки. Нажмите "Настроить" в столбце "Контроль доступа" слушателя, чтобы настроить контроль доступа для этого слушателя. Для получения дополнительной информации см. раздел "What Is Access Control?" в Elastic Load Balance Руководство пользователя.

    Без политик контроля доступа все IP‑адреса могут получать доступ к кластеру CSS через этот балансировщик нагрузки, что может создать риски безопасности.

  8. В Health Check области, вы можете проверить результат проверки состояния для каждого IP‑адреса узла.
    Таблица 5 Описание результата проверки состояния

    Health Check Result

    Description

    Normal

    IP‑адрес узла подключен.

    Abnormal

    IP‑адрес узла отключён.

  9. Если кластер больше не нуждается в выделенном балансировщике нагрузки, отсоедините его для освобождения ресурсов.

    Выберите Load Balancing > OpenSearch, отключить Балансировка нагрузки. В отображаемом диалоговом окне нажмите OK.

    Caution

    После того как балансировщик нагрузки будет отключен, любые конфигурации слушателей или группы серверов back‑end будут удалены без возможности восстановления.

Доступ к кластеру через балансировщик нагрузки с помощью команд cURL

  1. В левой навигационной панели консоли CSS выберите Кластеры.
  2. Войдите в консоль управления CSS.
  3. В левой навигационной панели выберите Clusters > OpenSearch.
  4. В списке кластеров нажмите имя целевого кластера. Отобразится страница информации о кластере.
  5. Щелкните Доступ к кластеру вкладку и затем нажмите Балансировка нагрузки tab. На OpenSearch tab, запишите частный или публичный IP-адрес или IPv6-адрес балансировщика нагрузки, а также протокол/порт фронтенда прослушивателя.
    Caution

    Не рекомендуется подключать балансировщик нагрузки, связанный с публичным IP-адресом, к кластеру в режиме без безопасности. Доступ из публичной сети с использованием такого балансировщика нагрузки может привести к рискам безопасности, поскольку кластер в режиме без безопасности может быть доступен по HTTP без аутентификации.

  6. Выполните следующие cURL‑команды на ECS, чтобы проверить, может ли выделенный балансировщик нагрузки подключиться к кластеру.
    Таблица 6 Команды для доступа к различным типам кластеров

    Security Mode

    Service Form Provided by ELB for External Systems

    cURL Command for Accessing a Cluster

    Режим без безопасности

    Без аутентификации

    curl  http://IP:port

    Односторонняя аутентификация

    curl --cacert ./ca.crt https://IP:port

    Двухсторонняя аутентификация

    curl --cacert ./ca.crt --cert ./client.crt --key ./client.key https://IP:port

    режим безопасности + HTTP

    аутентификация по паролю

    curl  http://IP:port -u user:pwd

    однонаправленная аутентификация + аутентификация по паролю

    curl --cacert ./ca.crt https://IP:port -u user:pwd

    двунаправленная аутентификация + аутентификация по паролю

    curl --cacert ./ca.crt --cert ./client.crt --key ./client.key https://IP:port -u user:pwd

    режим безопасности + HTTPS

    однонаправленная аутентификация + аутентификация по паролю

    curl --cacert ./ca.crt https://IP:port -u user:pwd

    двунаправленная аутентификация + аутентификация по паролю

    curl --cacert ./ca.crt --cert ./client.crt --key ./client.key https://IP:port -u user:pwd
    Таблица 7 Переменные

    Переменная

    Описание

    IP

    IP-адрес экземпляра балансировщика нагрузки.

    порт

    Протокол и порт фронтенда, настроенные для слушателя.

    пользователь

    Имя пользователя кластера. Этот параметр требуется только для кластера с режимом безопасности.

    пароль

    Пароль указанного выше имени пользователя. Этот параметр требуется только для кластера security-mode.

    Если информация о кластере возвращена, соединение успешно.

См. также: Пример кода для ESSecuredClientWithCerDemo, Пример кода для SecuredHttpClientConfigCallback, и pom.xml Пример кода.

Пример кода для ESSecuredClientWithCerDemo

  1
  2
  3
  4
  5
  6
  7
  8
  9
 10
 11
 12
 13
 14
 15
 16
 17
 18
 19
 20
 21
 22
 23
 24
 25
 26
 27
 28
 29
 30
 31
 32
 33
 34
 35
 36
 37
 38
 39
 40
 41
 42
 43
 44
 45
 46
 47
 48
 49
 50
 51
 52
 53
 54
 55
 56
 57
 58
 59
 60
 61
 62
 63
 64
 65
 66
 67
 68
 69
 70
 71
 72
 73
 74
 75
 76
 77
 78
 79
 80
 81
 82
 83
 84
 85
 86
 87
 88
 89
 90
 91
 92
 93
 94
 95
 96
 97
 98
 99
100
101
102
103import org.apache.commons.io.IOUtils;
import org.apache.http.auth.AuthScope;
import org.apache.http.auth.UsernamePasswordCredentials;
import org.apache.http.client.CredentialsProvider;
import org.apache.http.impl.client.BasicCredentialsProvider;
import org.apache.http.HttpHost;
import org.apache.http.nio.conn.ssl.SSLIOSessionStrategy;
import org.elasticsearch.action.search.SearchRequest;
import org.elasticsearch.action.search.SearchResponse;
import org.elasticsearch.client.RequestOptions;
import org.elasticsearch.client.RestClient;
import org.elasticsearch.client.RestClientBuilder;
import org.elasticsearch.client.RestHighLevelClient;
import org.elasticsearch.index.query.QueryBuilders;
import org.elasticsearch.search.SearchHit;
import org.elasticsearch.search.SearchHits;
import org.elasticsearch.search.builder.SearchSourceBuilder;
import java.io.FileInputStream;
import java.io.IOException;
import java.security.KeyStore;
import java.security.SecureRandom;
import javax.net.ssl.HostnameVerifier;
import javax.net.ssl.KeyManagerFactory;
import javax.net.ssl.SSLContext;
import javax.net.ssl.SSLSession;
import javax.net.ssl.TrustManagerFactory;
public class ESSecuredClientWithCerDemo {
    private static final String KEY_STORE_PWD = "";
    private static final String TRUST_KEY_STORE_PWD = "";
    private static final String CA_JKS_PATH = "ca.jks";
    private static final String CLIENT_JKS_PATH = "client.jks";
    private static final String ELB_ADDRESS = "127.0.0.1";
    private static final int ELB_PORT = 9200;
    private static final String CSS_USERNAME = "user";
    private static final String CSS_PWD = "";
    public static void main(String[] args) {
       // Создать клиент.
        RestHighLevelClient client = initESClient(ELB_ADDRESS, CSS_USERNAME, CSS_PWD);
        try {
            // Поиск с использованием match_all, который эквивалентен {\"query\": {\"match_all\": {}}}.
            SearchRequest searchRequest = new SearchRequest();
            SearchSourceBuilder searchSourceBuilder = new SearchSourceBuilder();
            searchSourceBuilder.query(QueryBuilders.matchAllQuery());
            searchRequest.source(searchSourceBuilder);
            // query
            SearchResponse searchResponse = client.search(searchRequest, RequestOptions.DEFAULT);
            System.out.println("query result: " + searchResponse.toString());
            SearchHits hits = searchResponse.getHits();
            for (SearchHit hit : hits) {
                System.out.println(hit.getSourceAsString());
            }
            System.out.println("query success");
            Thread.sleep(2000L);
        } catch (InterruptedException | IOException e) {
            e.printStackTrace();
        } в конце {
            IOUtils.closeQuietly(client);
        }
    }
    приватный статический RestHighLevelClient initESClient(String clusterAddress, String userName, String password) {
        final CredentialsProvider credentialsProvider = new BasicCredentialsProvider();
        credentialsProvider.setCredentials(AuthScope.ANY, new UsernamePasswordCredentials(userName, password));
        SSLContext ctx = null;
        try {
            KeyStore ks = getKeyStore(CLIENT_JKS_PATH, KEY_STORE_PWD, "JKS");
            KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509");
            kmf.init(ks, KEY_STORE_PWD.toCharArray());
            KeyStore tks = getKeyStore(CA_JKS_PATH, TRUST_KEY_STORE_PWD, "JKS");
            TrustManagerFactory tmf = TrustManagerFactory.getInstance("SunX509");
            tmf.init(tks);
            ctx = SSLContext.getInstance("SSL", "SunJSSE");
            ctx.init(kmf.getKeyManagers(), tmf.getTrustManagers(), new SecureRandom());
        } catch (Exception e) {
            e.printStackTrace();
        }
        SSLIOSessionStrategy sessionStrategy = new SSLIOSessionStrategy(ctx, new HostnameVerifier() {
            @Override
            public boolean verify(String arg0, SSLSession arg1) {
                return true;
            }
        });
        SecuredHttpClientConfigCallback httpClientConfigCallback = new SecuredHttpClientConfigCallback(sessionStrategy,
            credentialsProvider);
        RestClientBuilder builder = RestClient.builder(new HttpHost(clusterAddress, ELB_PORT, "https"))
            .setHttpClientConfigCallback(httpClientConfigCallback);
        RestHighLevelClient client = new RestHighLevelClient(builder);
        return client;
    }
    private static KeyStore getKeyStore(String path, String pwd, String type) {
        KeyStore keyStore = null;
        FileInputStream is = null;
        try {
            is = new FileInputStream(path);
            keyStore = KeyStore.getInstance(type);
            keyStore.load(is, pwd.toCharArray());
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            IOUtils.closeQuietly(is);
        }
        return keyStore;
    }
}

Пример кода для SecuredHttpClientConfigCallback

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59import org.apache.http.client.CredentialsProvider;
import org.apache.http.impl.nio.client.HttpAsyncClientBuilder;
import org.apache.http.nio.conn.ssl.SSLIOSessionStrategy;
import org.elasticsearch.client.RestClientBuilder;
import org.elasticsearch.common.Nullable;
import java.util.Objects;
class SecuredHttpClientConfigCallback implements RestClientBuilder.HttpClientConfigCallback {
    @Nullable
    private final CredentialsProvider credentialsProvider;
    /**
     * {@link SSLIOSessionStrategy} для всех запросов, позволяющий включить шифрование SSL / TLS.
     */
    private final SSLIOSessionStrategy sslStrategy;
    /**
     * Создаёт новый {@link SecuredHttpClientConfigCallback}.
     *
     * @param credentialsProvider Провайдер учётных данных, если указаны имя пользователя/пароль
     * @param sslStrategy         Стратегия SSL, если предоставлены SSL / TLS
     * @throws NullPointerException если {@code sslStrategy} {@code null}
     */
    SecuredHttpClientConfigCallback(final SSLIOSessionStrategy sslStrategy,
        @Nullable final CredentialsProvider credentialsProvider) {
        this.sslStrategy = Objects.requireNonNull(sslStrategy);
        this.credentialsProvider = credentialsProvider;
    }
    /**
     * Получить {@link CredentialsProvider}, который будет добавлен в HTTP client.
     *
     * @return Может быть {@code null}.
     */
    @Nullable
    CredentialsProvider getCredentialsProvider() {
        return credentialsProvider;
    }
    /**
     * Получить {@link SSLIOSessionStrategy}, который будет добавлен в HTTP client.
     *
     * @return Никогда {@code null}.
     */
    SSLIOSessionStrategy getSSLStrategy() {
        return sslStrategy;
    }
    /**
     * Устанавливает {@linkplain HttpAsyncClientBuilder#setDefaultCredentialsProvider(CredentialsProvider) провайдер учетных данных},
     *
     * @param httpClientBuilder Клиент для настройки.
     * @return Всегда {@code httpClientBuilder}.
     */
    @Override
    public HttpAsyncClientBuilder customizeHttpClient(final HttpAsyncClientBuilder httpClientBuilder) {
        // включить SSL / TLS
        httpClientBuilder.setSSLStrategy(sslStrategy);
        // включить аутентификацию пользователя
        if (credentialsProvider != null) {
            httpClientBuilder.setDefaultCredentialsProvider(credentialsProvider);
        }
        return httpClientBuilder;
    }
}

pom.xml Пример кода

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <groupId>1</groupId>
    <artifactId>ESClient</artifactId>
    <version>1.0-SNAPSHOT</version>
    <name>ESClient</name>


    <properties>
        <maven.компилятор.исходный>8</maven.компилятор.исходный>
        <maven.компилятор.цель>8</maven.компилятор.цель>
        <проект.сборка.sourceEncoding>UTF-8</проект.сборка.sourceEncoding>
        <elasticsearch.версия>7.10.2</elasticsearch.версия>
    </свойства>
    <зависимости>
        <зависимость>
            <groupId>org.elasticsearch.клиент</groupId>
            <artifactId>transport</artifactId>
            <version>${elasticsearch.version}</version>
        </dependency>
        <dependency>
            <groupId>org.elasticsearch</groupId>
            <artifactId>elasticsearch</artifactId>
            <version>${elasticsearch.version}</версия>
        </зависимость>
        <зависимость>
            <groupId>org.elasticsearch.client</groupId>
            <artifactId>elasticsearch-rest-высокий-уровень-клиент</artifactId>
            <версия>${elasticsearch.версия}</версия>
        </зависимость>
        <зависимость>
            <groupId>commons-io</groupId>
            <artifactId>commons-io</artifactId>
            <version>2.11.0</version>
        </зависимость>
    </зависимости>
</проект>
Поддержка Юридические документы
© 2026 Cloud.ru