- elasticsearch/
elasticsearch 为什么filebeat只需要证书,metricbeat需要密钥、ca和证书?
elasticsearch 为什么filebeat只需要证书,metricbeat需要密钥、ca和证书?
我对整个麋鹿堆栈非常陌生,我刚刚成功地设置了filebeat和metricbeat以连接到远程麋鹿堆栈。所有v6.0.0-rc1 SSL设置让我有点困惑,剩下的问题是: 为什么filebeat只需要证书,metricbeat需要密钥、ca和证书 filebeat.yml
ssl:
certificate_authorities:
- /host/certs/logstash-beats.crt
output.logstash:
hosts: ["host.url:5044"]
ssl.certificate_authorities: ["/host/certs/reporter-ca.crt"]
ssl.certificate: "/host/certs/reporter.crt"
ssl.key: "/host/certs/reporter-private.key"
TLS/SSL使用公钥基础设施。需要进行身份验证的服务需要公钥和私钥。另一个端点(验证服务)只需要公钥(或者更好的是只需要CA证书-公钥)。在默认情况下使用TLS/SSL时,只有客户端连接到的“服务器”将被验证。在这个场景中,beats是客户端,Logstash是服务器 此外,服务器可以请求客户机进行自身身份验证(使用证书)。此MODU称为客户端身份验证,必须在服务器(Logstash)中显式启用。启用客户端身份验证后,客户端还需要证书和私钥+服务器需要证书(或CAs证书)来验证/验证客户端 无论如何,当使用客户机身份验证时,每个客户机都应该有自己的客户机证书和匹配的IP/域名。加上Logstash应该只有CAs公共证书进行验证。这归结为拥有一个合适的CA基础设施 切勿与其他计算机共享端点/计算机的私钥 将私钥分发给每个metricbeat代理是否不好 的确如此 该私钥应该有密码吗 如果可能的话,是的(因为私钥应该加密),但这很可能会混淆访问,因为必须进行配置才能使用密钥。不过,如果密钥被盗,加密密钥可以在一定程度上减少损坏 在没有客户端身份验证的情况下,beats配置应(至少)类似于: 通过客户端身份验证,beats配置应(至少)类似于:
我想,filebeat已经有了认证配置。“你会错过什么吗?”斯蒂芬斯给出了一个相当深刻的回答:
output.logstash:
hosts: ["host.url:5044"]
ssl.certificate_authorities:
- /host/certs/logstash-beats.crt
output.logstash:
hosts: ["host.url:5044"]
ssl.certificate_authorities:
- /host/certs/logstash-beats.crt
ssl.certificate: "/host/certs/reporter.crt"
ssl.key: "/host/certs/reporter-private.key"
ssl.key_passphrase: ...