腾讯云 Elasticsearch 运维篇（十五）实现Elasticsearch 基于白名单设置的公网访问

前言 |

腾讯云 Elasticsearch是一个搭建于云平台下的存储、搜索、分析引擎，可以预见它的安全性在企业中的位置是非常重要的。所以，一般我们不对外网暴露其访问端口。那如果因为某种原因确实需要在外网环境下安全有效的进行连接改怎么解决呢？下面我带大家来解决这个问题，强烈建议生产环境谨慎此操作，测试可以。

前面我们在购买腾讯云ES集群的时候，官方现在推荐购买的版本是6.8.2白金版，因为它集成了Elasticsearch X-Pack的所有高级功能，其中就有安全访问策略，需要在访问集群服务时输入授权信息。同时还支持Kibanah黑白名单、账号密码等登录限制。而这些优点是其它版本比如基础版、开原版所不拥有的。再加上6.8.2这个主版本目前来看算主流应用，比ES5.X有更新，比7.X版本使用时间更久，更稳定。因此，选择6.8.2版本毋庸置疑。

一、腾讯云ES外网设置

1， 名词解释：白名单--允许访问的清单 黑名单-不允许访问的清单

2，登录腾讯云Elasticsearch 控制台，开启Elasticsearch实例的公网地址访问功能，然后将待访问Elasticsearch的设备的公网 IP配置到公网地址白名单中。如下图所示：

打开ES对外访问权限

3，在接下来，平台会给你安全提示，并给你一个URL:9200的访问地址，这个地址是后面你要去访问此ES的地址，你要记下来。但是你用此网站去浏览器访问是没有权限的！ 注意：开启对外访问权限外，ES集群默认禁止所有IPV4地址的访问

4，设置ES访问IP白名单。比如：我只允许我的电脑去连接这个ES集群。查看我的IP是多少？如下图：

本机IP

５，是将我得这个私有IP设置为ES对外访问的白名单中？？显然不对。ES集群怎么会识别我的私有IP呢？答案是：公有IP。也就是说ES集群的白名单应该设置为我的私有IP对应的公网地址。如果要多个IP，那就隔开添加即可，最多添加10个；那我PC公网地址是哪个呢？很简单，去百度搜一下，如下：

查找本机公网IP地址

６，将此公网IP设置进ES的白名单中。去腾讯云控制台上设置。设置完后，重启ES集群。

白名单设置成功

７，外网验证访问是否成功。把刚记下的访问链接去浏览器试试，

8，在弹出的登录对话框中，输入Elasticsearch实例的访问用户名和密码（登录kibana控制台的用户名和密码），单击登录。

ES验证密码

9，但是我们知道，浏览器更多的是简单的GET或者验证查询，但是我们如果想要修改管理集群怎么办呢？可以在本机安装HEAD 插件或者Celebro插件。这里本机安装的是Celebro插件 windows版（可以去Git上下载或翻看本人前面博文教程），打开如下：

Celebro插件链接ES

那么这就是整个Tencent ES 白名单设置过程，这样，就只允许我这台机器通过网络实现安全验证的管理腾讯云ES集群。

二、Kibana黑白名单设置

我们平时都是通过Kibana去操作Tencent ES集群，但是如果知道kibana链接，就能在所有PC上实现登录那也不安全。所以，黑白名单机制就大有用处。同样我们需要去控制台--访问控制去添加Kibana的黑白名单设置，然后重启ES集群服务（方法同上）。这样就实现了特定机器通过用户密码的安全访问，保证了ES集群的安全。

Kibana黑白名单设置

三、总结

本文又讲了一下ES、Kibana的黑白名单机制并进行了实际操作，再次重申一下，ES一般不对外暴露其访问地址，仅仅用于测试与学习，不建议用于生产部署。