Сертификаты на кластер или сертификат на поставщика услуг?

Question

У нас есть поставщик услуг, который принимает запрос и создает кластер эластичного поиска.

Какова лучшая практика выдачи сертификата ssl? 1. Должны ли мы выдавать сертификат на кластер? 2. или достаточно одного кластера для моего поставщика услуг, который будет использоваться для доступа к кластерам?

Я предполагаю, что выдача нового сертификата при создании кластера лучше.

Пожалуйста, предоставьте мне вход.

Также, внутри кластера, мне действительно нужно включить ssl, чтобы модули взаимодействовали друг с другом, передавая сертификат?

Answer 1

Да, вам определенно следует использовать TLS для шифрования сетевого трафика в, из и внутри кластеров Elasticsearch, работающих на общей и управляемой версии K8S (GKE).

Кроме того, я бы выбрал максимальное разделение клиентовпробелы с:

• пространствами имен Kubernetes
• пространство имен обслуживания / учетные записи
  
  и даже тома на основе PD-SSD с предоставленным заказчиком шифрованием ключами

Я не уверен, что вам известно о существовании ' Elastic Cloud в Kubernetes ' (ECK) - он применяет шаблон Kubernetes Operator для запуска и работы кластеров Elasticsearch на вашем собственном K8Sкластер в GCP.Рассматривайте это также как набор рекомендаций по наиболее безопасному запуску кластера Elasticsearch, здесь - краткое руководство.