騰訊雲 Elasticsearch 運維篇（十五）實現Elasticsearch 基於白名單設置的公網訪問

• 2020 年 2 月 24 日
• 筆記

前言 |

騰訊雲 Elasticsearch是一個搭建於雲平台下的存儲、搜索、分析引擎，可以預見它的安全性在企業中的位置是非常重要的。所以，一般我們不對外網暴露其訪問埠。那如果因為某種原因確實需要在外網環境下安全有效的進行連接改怎麼解決呢？下面我帶大家來解決這個問題，強烈建議生產環境謹慎此操作，測試可以。

前面我們在購買騰訊雲ES集群的時候，官方現在推薦購買的版本是6.8.2白金版，因為它集成了Elasticsearch X-Pack的所有高級功能，其中就有安全訪問策略，需要在訪問集群服務時輸入授權資訊。同時還支援Kibanah黑白名單、帳號密碼等登錄限制。而這些優點是其它版本比如基礎版、開原版所不擁有的。再加上6.8.2這個主版本目前來看算主流應用，比ES5.X有更新，比7.X版本使用時間更久，更穩定。因此，選擇6.8.2版本毋庸置疑。

一、騰訊雲ES外網設置

1， 名詞解釋：白名單–允許訪問的清單 黑名單-不允許訪問的清單

2，登錄騰訊雲Elasticsearch 控制台，開啟Elasticsearch實例的公網地址訪問功能，然後將待訪問Elasticsearch的設備的公網 IP配置到公網地址白名單中。如下圖所示：

3，在接下來，平台會給你安全提示，並給你一個URL:9200的訪問地址，這個地址是後面你要去訪問此ES的地址，你要記下來。但是你用此網站去瀏覽器訪問是沒有許可權的！ 注意：開啟對外訪問許可權外，ES集群默認禁止所有IPV4地址的訪問

4，設置ES訪問IP白名單。比如：我只允許我的電腦去連接這個ES集群。查看我的IP是多少？如下圖：

５，是將我得這個私有IP設置為ES對外訪問的白名單中？？顯然不對。ES集群怎麼會識別我的私有IP呢？答案是：公有IP。也就是說ES集群的白名單應該設置為我的私有IP對應的公網地址。如果要多個IP，那就隔開添加即可，最多添加10個；那我PC公網地址是哪個呢？很簡單，去百度搜一下，如下：

６，將此公網IP設置進ES的白名單中。去騰訊雲控制台上設置。設置完後，重啟ES集群。

７，外網驗證訪問是否成功。把剛記下的訪問鏈接去瀏覽器試試，

8，在彈出的登錄對話框中，輸入Elasticsearch實例的訪問用戶名和密碼（登錄kibana控制台的用戶名和密碼），單擊登錄。

9，但是我們知道，瀏覽器更多的是簡單的GET或者驗證查詢，但是我們如果想要修改管理集群怎麼辦呢？可以在本機安裝HEAD 插件或者Celebro插件。這裡本機安裝的是Celebro插件 windows版（可以去Git上下載或翻看本人前面博文教程），打開如下：

那麼這就是整個Tencent ES 白名單設置過程，這樣，就只允許我這台機器通過網路實現安全驗證的管理騰訊雲ES集群。

二、Kibana黑白名單設置

我們平時都是通過Kibana去操作Tencent ES集群，但是如果知道kibana鏈接，就能在所有PC上實現登錄那也不安全。所以，黑白名單機制就大有用處。同樣我們需要去控制台–訪問控制去添加Kibana的黑白名單設置，然後重啟ES集群服務（方法同上）。這樣就實現了特定機器通過用戶密碼的安全訪問，保證了ES集群的安全。

三、總結

本文又講了一下ES、Kibana的黑白名單機制並進行了實際操作，再次重申一下，ES一般不對外暴露其訪問地址，僅僅用於測試與學習，不建議用於生產部署。