С CSS, когда меняются требования к безопасности кластера OpenSearch, вы можете изменить его настройки режима безопасности.
Настройте режим безопасности в соответствии с требованиями безопасности вашего кластера.
Доступ по HTTPS можно отключить только для кластеров OpenSearch 1.3.6 и 2.19.0 с режимом безопасности. Для остальных версий доступ по HTTPS включается принудительно и не может быть отключён.
Тип кластера | Ключевые настройки | Описание | Применимый сценарий |
|---|---|---|---|
Кластер без режима безопасности | Режим безопасности: отключено | Доступ к такому кластеру не требует аутентификации пользователя, и данные будут передаваться в открытом виде с использованием HTTP. | Используйте при создании кластера для внутреннего тестирования или нагрузок с низким уровнем безопасности.
Убедитесь, что кластер развернут в безопасной среде. Не раскрывайте сетевой интерфейс кластера в публичную сеть. |
Security-mode cluster | Security-mode cluster + HTTP:
| Такой кластер требует аутентификации пользователя. Он поддерживает контроль доступа и шифрование данных, и использует HTTP для передачи данных в открытом виде. | Используйте для баланса безопасности и производительности.
Убедитесь, что кластер развернут в защищённой среде. Не раскрывайте сетевой интерфейс кластера в публичную сеть. |
Кластер в режиме безопасности + HTTPS:
| Такой кластер требует аутентификации пользователей. Он поддерживает контроль доступа и шифрование данных, а также использует HTTPS для шифрования связи и повышения безопасности данных. | Используйте, когда безопасность важнее производительности и требуется доступ через публичную сеть.
|
Таблица 2 перечисляет различные типы изменений режима безопасности, поддерживаемые для кластеров CSS.
Действие | Сценарий | Процесс изменения |
|---|---|---|
Переключение с незащищённого режима на режим безопасности | Незащищённый режим → Режим безопасности + HTTP: Изменить кластер из незащищённого режима в режим безопасности + HTTP. |
|
Незащищённый режим → Режим безопасности + HTTPS: Изменить кластер из незащищённого режима в режим безопасности + HTTPS. | ||
Переключение с режима безопасности на незащищённый режим | Режим безопасности → Незащищённый режим:
| |
Переключение между HTTP и HTTPS в режиме безопасности | HTTP → HTTPS: Изменить кластер из режима безопасности + HTTP в режим безопасности + HTTPS. | |
HTTPS → HTTP: Изменить кластер из режима безопасности + HTTPS в режим безопасности + HTTP. |
Влияние изменения
Перед изменением режима безопасности для кластера необходимо оценить потенциальные последствия и просмотреть оперативные рекомендации. Это обеспечивает надлежащее планирование изменения, минимизируя прерывание сервиса.
Действие | Прерывание сервиса | Режим аутентификации | Производительность | Доступ к публичной сети | Учётная запись безопасности |
|---|---|---|---|---|---|
Режим без безопасности → Режим безопасности + HTTP | Да | Требуется аутентификация | N/A | Запрещено | N/A |
Режим без безопасности → Режим безопасности + HTTPS | Да | Требуется аутентификация | Понижено | Разрешено | N/A |
Режим безопасности → Режим без безопасности | Да | Аутентификация не требуется | Усилено | Отключено автоматически | Удалено навсегда |
HTTP → HTTPS | Да | Без изменений | Понижено | Разрешено | N/A |
HTTPS → HTTP | Да | Без изменений | Улучшено | Отключено автоматически | N/A |
Описание воздействия:
- Режим безопасности может быть включен или отключен для кластера, и кластер с режимом безопасности может использовать как HTTPS, так и HTTP.
- Перебои в работе сервиса: При изменении режима безопасности кластера кластер автоматически перезапускается, что приводит к временной недоступности сервиса.
- Режим аутентификации: Изменение режима безопасности кластера также меняет механизм пользовательской аутентификации. Логика аутентификации клиента должна быть обновлена соответственно. Если адаптация клиента не может быть выполнена своевременно, сервисы могут быть прерваны.
- Влияние на производительность: При одинаковой конфигурации аппаратного обеспечения переключение с HTTP на HTTPS приводит к потере производительности (например, пропускной способности) примерно на 20 % при высокой одновременности. С другой стороны, когда кластер переключается с HTTPS на HTTP, производительность кластера повышается.
- Общий доступ из публичной сети: Только кластеры с режимом безопасности, использующие HTTPS, поддерживают общий доступ из публичной сети.
- Учётная запись безопасности: Когда режим безопасности отключён для кластера, система навсегда удаляет учётную запись безопасности кластера.
- Влияние инструмента: Если режим безопасности изменён для кластера, у которого открыта текущая сессия OpenSearch Dashboards, на OpenSearch Dashboards будет отображено сообщение об ошибке. Чтобы исправить ошибку, очистите кэш и снова запустите OpenSearch Dashboards.
Изменение режима безопасности для кластера меняет его режим доступности, что может вызвать перебои в работе сервиса. Вы должны выполнять эту операцию до того, как сервисы будут запущены, либо когда перебои в работе могут быть допущены.
Продолжительность изменения
Следующая формула может быть использована для оценки того, сколько времени потребуется для изменения режима безопасности кластера:
Продолжительность изменения (мин) = 5 (мин) x Общее количество узлов для изменения + Продолжительность восстановления данных (мин)
где,
- 5 минут указывает, сколько обычно занимает операция, не связанная с восстановлением данных (например, инициализация), на один узел. Это эмпирическое значение.
- Общее количество узлов — это сумма количества узлов данных, узлов‑мастеров, клиентских узлов и узлов холодных данных в кластере.
Продолжительность восстановления данных (min) = Общий размер данных (MB)/[Общее количество vCPU узлов данных x 32 (MB/s) x 60 (s)]
где,
- 32 MB/s указывает, что каждый vCPU может обрабатывать 32 MB данных в секунду. Это эмпирическое значение.
- Приведённые выше формулы используют оценки при идеальных условиях. Фактическая скорость восстановления данных зависит от нагрузки кластера.
Требования
- Все критически важные данные были выполнены в бэкапе. Для подробностей смотрите Создание Снапшотов для бэкапа данных кластера OpenSearch.
- Статус кластера Доступно, и нет текущих задач.
- Проверьте, включена ли балансировка нагрузки для кластера. Если да, отключите балансировку нагрузки сначала. Включите балансировку нагрузки снова после изменения режима безопасности. Это предотвращает ошибки доступа к кластеру через балансировщик нагрузки во время изменения.
Переход от режима без безопасности к режиму безопасности
Вы можете изменить кластер в режиме без безопасности на кластер в режиме безопасности, использующий HTTP или HTTPS. После включения режима безопасности кластера требуется аутентификация пользователей для доступа к кластеру.
- Войдите в консоль управления CSS.
- В левой навигационной панели выберите Кластеры > OpenSearch.
- В списке кластеров найдите целевой кластер, и выберите Подробнее > Изменить конфигурацию в Операция столбце. Эта Изменить конфигурацию страница отображается.
- Выберите Изменить режим безопасности вкладка.
- Включите режим безопасности. Введите и подтвердите пароль администратора кластера.
Рисунок 1 Переключение с режима без безопасности на режим безопасности
- Включить или отключить Доступ HTTPS.
- Если включить Доступ HTTPS, HTTPS используется для шифрования коммуникаций кластера, и доступ из публичной сети может быть включен для кластера.
- Если отключить Доступ HTTPS, используется HTTP, и доступ из публичной сети запрещён для кластера.
- Нажмите Отправить, и подтвердите информацию. Список кластеров отображается.
Эта Статус задачи кластера Изменение режима безопасности. Когда статус кластера изменяется на Доступен, режим безопасности успешно изменён.
Переключение с режима безопасности на режим без безопасности
Вы можете изменить кластер с режимом безопасности, использующий HTTP или HTTPS, на кластер без безопасности. После отключения режима безопасности кластера аутентификация пользователей больше не требуется для доступа к кластеру.
- Кластеры с отключённым режимом безопасности не требуют аутентификации пользователей, и HTTP используется для передачи данных в открытом виде. Убедитесь, что такой кластер развернут в безопасной среде, и не раскрывайте сетевой интерфейс кластера в публичную сеть.
- При переключении кластера с режима безопасности на режим без безопасности индексы, используемые кластером с режимом безопасности, будут удалены. Создайте бэкап данных перед изменением режима безопасности.
- Если публичный IP-адрес был назначен кластеру в режиме безопасности, отмените его назначение перед изменением режима безопасности.
- Если публичный сетевой доступ к OpenSearch Dashboards включен для кластера в режиме безопасности, отключите его перед изменением режима безопасности.
- Войдите в консоль управления CSS.
- В навигационной панели слева выберите Кластеры > OpenSearch.
- В списке кластеров найдите целевой кластер и выберите Больше > Изменить конфигурацию в Операция столбце. Это Изменить конфигурацию страница отображается.
- Выберите Изменить режим безопасности вкладка.
- Отключить режим безопасности.
Рисунок 2 Переключение из режима безопасности в режим без безопасности
- Щелкните Отправить. В отображаемом диалоговом окне подтвердите информацию. Страница списка кластеров отображается.
Это Состояние задачи кластера Изменение режима безопасности. Когда статус кластера меняется на Доступно, режим безопасности успешно изменён.
Переключение между HTTP и HTTPS в режиме безопасности
Вы можете изменить протокол кластера безопасности.
- Если публичный IP-адрес был назначен кластеру в режиме безопасности, удалите его перед изменением с HTTPS на HTTP.
- Если версия кластера OpenSearch 2.x или новее, HTTPS включён по умолчанию и не может быть отключён, когда включён режим безопасности. Это означает, что вы не можете изменить с "Security Mode + HTTPS" на "Security Mode + HTTP".
- Войдите в консоль управления CSS.
- В навигационной панели слева выберите Кластеры > OpenSearch.
- В списке кластеров найдите целевой кластер и выберите Больше > Modify Configuration в Операция столбце. This Modify Configuration страница отображается.
- Выберите Change Security Mode вкладка.
- Включить или отключить HTTPS Доступ.
Рисунок 3 Настройка протокола
- Если включить HTTPS Доступ,
HTTPS используется для шифрования коммуникации кластера, и вы можете включить доступ к публичной сети для кластера.
- Если отключить HTTPS Доступ, отображается сообщение тревоги. Щелкните OK для отключения протокола.
Коммуникация кластера больше не шифруется, и доступ к публичной сети не может быть включен.
- Если включить HTTPS Доступ,
- Щелкните Отправить, и подтвердите информацию. Список кластеров отображён.
The Состояние задачи кластера Изменение режима безопасности. Когда статус кластера меняется на Доступно, режим безопасности был успешно изменён.