Security 保护ElasticSearch和Couchbase的最佳实践

我一直在尝试用基本身份验证和TLS保护Elasticsearch集群

我已经成功地使用Search Guard做到了这一点。Couchbase XDCR到Elasticsearch出现问题

我正在使用一个名为elasticsearch transport couchbase的插件，该插件在elasticsearch集群上没有启用TLS和基本身份验证的情况下非常好。但当启用搜索守卫时，我无法实现这一点

据我所知，问题在于elasticsearch transport couchbase插件。这一点以前也曾在其网站的一些问题中讨论过

它也是我能找到的唯一一个可以从Couchbase用于XDCR的插件

我很好奇其他人对此的经历。是否有人与我处于相同的情况，能够使用TLS设置从Couchbase到Elasticsearch的XDCR

---

或者可能还有一些我错过的更合适的工具可以使用？

Couchbase传输插件还不支持XDCR TLS，它已经在路线图上，但不会很快实现。Search guard将SSL添加到ES中的HTTP/REST端点，但该插件会打开自己的端点（默认情况下在端口9091上），而Search guard不会触及该端点。我将看看是否有可能扩展search guard以应用于传输插件-主要问题在Couchbase XDCR端，它不希望在目标端点上使用SSL。

一个小的更新。我们通过与xinetd合作来解决这个问题。因此，与ELS的所有通信都必须通过TLS将终止的Tunnel

我们阻止了对端口9200的访问，并将9091限制为Couchbase群集主机，9300仅限于其他ELS节点

---

似乎工作正常。

Couchbase Elasticsearch连接器的4.0版支持到Couchbase服务器和/或Elasticsearch的安全连接

---

参考资料：

您能扩展您的解决方案吗？我也在寻找解决办法。