Как использовать безопасную конфигурацию докеризованного OpenSearch?
У меня есть выделенный сервер с запущенным OpenSearch в Docker. Я использую пример конфигурации без панели мониторинга:
version: '3'
services:
opensearch-node1: # This is also the hostname of the container within the Docker network (i.e. https://opensearch-node1/)
image: opensearchproject/opensearch:latest # Specifying the latest available image - modify if you want a specific version
container_name: opensearch-node1
environment:
- cluster.name=opensearch-cluster # Name the cluster
- node.name=opensearch-node1 # Name the node that will run in this container
- discovery.seed_hosts=opensearch-node1,opensearch-node2 # Nodes to look for when discovering the cluster
- cluster.initial_cluster_manager_nodes=opensearch-node1,opensearch-node2 # Nodes eligible to serve as cluster manager
- bootstrap.memory_lock=true # Disable JVM heap memory swapping
- "OPENSEARCH_JAVA_OPTS=-Xms512m -Xmx512m" # Set min and max JVM heap sizes to at least 50% of system RAM
ulimits:
memlock:
soft: -1 # Set memlock to unlimited (no soft or hard limit)
hard: -1
nofile:
soft: 65536 # Maximum number of open files for the opensearch user - set to at least 65536
hard: 65536
volumes:
- opensearch-data1:/usr/share/opensearch/data # Creates volume called opensearch-data1 and mounts it to the container
ports:
- 9200:9200 # REST API
- 9600:9600 # Performance Analyzer
networks:
- opensearch-net # All of the containers will join the same Docker bridge network
opensearch-node2:
image: opensearchproject/opensearch:latest # This should be the same image used for opensearch-node1 to avoid issues
container_name: opensearch-node2
environment:
- cluster.name=opensearch-cluster
- node.name=opensearch-node2
- discovery.seed_hosts=opensearch-node1,opensearch-node2
- cluster.initial_cluster_manager_nodes=opensearch-node1,opensearch-node2
- bootstrap.memory_lock=true
- "OPENSEARCH_JAVA_OPTS=-Xms512m -Xmx512m"
ulimits:
memlock:
soft: -1
hard: -1
nofile:
soft: 65536
hard: 65536
volumes:
- opensearch-data2:/usr/share/opensearch/data
networks:
- opensearch-net
volumes:
opensearch-data1:
opensearch-data2:
networks:
opensearch-net:
OpenSearch работает с SSL (насколько я понимаю, самоподписанным). Когда я пытаюсь выполнить локальный запрос извне с помощью завитка:
curl -XGET https://127.0.0.1:9200 -u 'admin:admin' -v
Это показывает мне ошибку:
curl: (35) OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to 127.0.0.1:9200
В чем дело? Как работать с защищенной версией OpenSearch?
1 ответ
Как вы можете видеть в разделе « Начало работы с межкластерной репликацией », всеcurlс этим покончено-k, чтобы обойти проверку сертификата.
Дажеopensearch-project/OpenSearchвыпуск 1633 («Предоставить инструмент управления сертификатами для дистрибутивов opensearch») включает сценарий с:
To access your secured cluster open https://<hostname>:<HTTP port>
and log in with admin/admin.
Example:
curl -k https://localhost:9200 -u admin:admin
(Ignore the SSL certificate warning because we installed self-signed certificates)
Но вы также можете перейти на страницу документации « Генерация самозаверяющих сертификатов », где рассматривается эта проблема:
Если у вас нет доступа к центру сертификации (ЦС) вашей организации и вы хотите использовать OpenSearch не для демонстрационных целей, вы можете создать свои собственные самозаверяющие сертификаты с помощью OpenSSL.
Он включает в себя создание самозаверяющего сертификата, а также сертификата администратора.
Затем вы можете добавить файлы сертификатов вopensearch.yml