Транспортный SSL должен быть включен, если защита включена для [базовой] лицензии

Question

Я установил Elasticsearch 7.1 в Ubuntu. Я хочу защитить кластер паролем, поэтому я установил: xpack.security.enabled: true в elasticsearch.yml файл. Теперь, когда я перезапускаю Elasticsearch, я получаю сообщение:

Транспортный SSL должен быть включен, если защита включена на [basic] лицензия. Пожалуйста, установите [xpack.security.transport.ssl.enabled] на [true] или отключите безопасность, установив [xpack.security.enabled]

Я использую базовую лицензию. Я видел это руководство , в котором объясняется, как использовать elasticsearch-certutil для установки сертификатов SSL на узлах.

Вопросы:

1. Можно ли защитить паролем кластер, не задав для xpack.security.transport.ssl.enabled значение true?

2. Если у меня есть руководство, упомянутое выше, и я устанавливаю сертификаты SSL на кластерasticsearch, нужен ли мне какой-либо ssl-сертификат на моем веб-сервере? Я не хочу, чтобы связь между веб-сервером иasticsearch использовала SSL.

Answer 1

Согласно этому ответу :

Для кластера, работающего в производственном режиме с производственной лицензией, после включения защиты транспортный протокол TLS / SSL также должен быть включен,С другой стороны, если мы работаем с пробной лицензией, транспорт TLS / SSL не обязателен.

---

Это невозможно.В рабочем режиме, если вы хотите использовать какие-либо функции безопасности xpack, включив (настройка xpack.security.enabled = true), вам необходимо использовать сертификат TLS / SSl.

По умолчанию веб-сервер (и Kibana) могут связываться с кластером без какого-либо сертификата TLS / SSL (сертификат используется для связи внутри узлов).Если вы хотите использовать TLS / SSL между кластером и вашим веб-сервером, вам нужно установить xpack.security.http.ssl.enabled, что по умолчанию установлено в false.