Link Search Menu Expand Document Documentation Menu
文档

跨集群复制安全性

您可以将 安全插件 与跨集群复制结合使用,以限制用户执行某些操作。例如,您可能希望某些用户只能在领导者或跟随者集群上执行复制活动。

因为跨集群复制涉及多个集群,所以集群可能具有不同的安全配置。支持以下配置:

  • 两个集群上都完全启用了安全插件
  • 两个集群上仅为 TLS 启用了安全插件 (plugins.security.ssl_only)
  • 两个集群上均未安装或禁用了安全插件(不推荐)

在领导者和跟随者集群上都启用节点到节点加密,以确保集群之间的复制流量经过加密。

基本权限

为了让非管理员用户执行复制活动,他们必须映射到适当的权限。

安全插件有两个内置角色,涵盖了大多数复制用例:cross_cluster_replication_leader_full_access,它在领导者集群上提供复制权限;以及 cross_cluster_replication_follower_full_access,它在跟随者集群上提供复制权限。有关每个角色的说明,请参见 预定义角色

如果您不想使用默认角色,可以组合单独的复制 权限 以满足您的需求。大多数权限对应特定的 REST API 操作。例如,indices:admin/plugins/replication/index/pause 权限允许您暂停复制。

映射领导者和跟随者集群角色

启动复制创建复制规则 操作是特殊情况。它们涉及领导者和跟随者集群上的后台进程,这些进程必须与角色关联。当您执行这些操作之一时,必须在请求中显式传递 leader_cluster_rolefollower_cluster_role,然后 OpenSearch 会在所有后端复制任务中使用它们。

为了使非管理员能够启动复制和创建复制规则,请在每个集群上创建相同的用户(例如,replication_user),并将其映射到远程集群上的 cross_cluster_replication_leader_full_access 角色,以及跟随者集群上的 cross_cluster_replication_follower_full_access 角色。有关教程,请参见 将用户映射到角色

然后将这些角色添加到请求中,并使用适当的凭据进行签名

curl -XPUT -k -H 'Content-Type: application/json' -u 'replication_user:password' 'https://:9200/_plugins/_replication/follower-01/_start?pretty' -d '
{
   "leader_alias": "leader-cluster",
   "leader_index": "leader-01",
   "use_roles":{
      "leader_cluster_role": "cross_cluster_replication_leader_full_access",
      "follower_cluster_role": "cross_cluster_replication_follower_full_access"
   }
}'

您可以创建自己的自定义领导者和跟随者集群角色,使用单独的权限,但我们建议使用默认角色,它们非常适合大多数用例。

复制权限

以下部分列出了跨集群复制可用的索引和集群级权限。

跟随者集群

安全插件支持跟随者集群的以下权限:

indices:admin/plugins/replication/index/setup/validate
indices:admin/plugins/replication/index/start
indices:admin/plugins/replication/index/pause
indices:admin/plugins/replication/index/resume
indices:admin/plugins/replication/index/stop
indices:admin/plugins/replication/index/update
indices:admin/plugins/replication/index/status_check
indices:data/write/plugins/replication/changes
cluster:admin/plugins/replication/autofollow/update

领导者集群

安全插件支持领导者集群的以下权限:

indices:admin/plugins/replication/index/setup/validate
indices:data/read/plugins/replication/file_chunk
indices:data/read/plugins/replication/changes
剩余 350 字符

有问题?

想贡献?