更改OpenSearch集群安全模式
当OpenSearch集群的安全性有变更需求时,CSS服务支持切换集群安全模式。
OpenSearch安全集群只有1.3.6和2.19.0版本支持关闭HTTPS访问,其他版本均强制启用HTTPS访问,不可关闭。
|
集群类型 |
关键配置 |
集群描述 |
适用场景 |
|---|---|---|---|
|
非安全集群 |
“安全模式”:关闭 |
非安全模式的集群无需安全认证即可访问,采用HTTP协议明文传输数据。 |
适合内部测试或对安全性要求不高的场景。
建议确认访问环境的安全性,勿将访问接口暴露到公网环境上。 |
|
安全集群 |
安全模式+HTTP协议的集群:
|
安全模式的集群需要通过安全认证才能访问,且支持对集群进行授权、加密等功能。采用HTTP协议明文传输数据。 |
适合对安全性有一定要求,但对性能要求较高的场景。
建议确认访问环境的安全性,勿将访问接口暴露到公网环境上。 |
|
安全模式+HTTPS协议的集群:
|
安全模式的集群需要通过安全认证才能访问,且支持对集群进行授权、加密等功能。采用HTTPS协议进行通信加密,使数据更安全。 |
适合对安全性和数据传输加密要求较高、且需要公网访问的场景。
|
|
变更类型 |
适用场景 |
变更流程 |
|---|---|---|
|
非安全模式切换为安全模式 |
非安全 → 安全+HTTP:“非安全模式的集群”切换为“安全模式+HTTP协议的集群” |
|
|
非安全 → 安全+HTTPS:“非安全模式的集群”切换为“安全模式+HTTPS协议的集群” |
||
|
安全模式切换为非安全模式 |
安全 → 非安全:
|
|
|
切换安全模式下的协议 |
HTTP → HTTPS:“安全模式+HTTP协议的集群”切换为“安全模式+HTTPS协议的集群” |
|
|
HTTPS → HTTP:“安全模式+HTTPS协议的集群”切换为“安全模式+HTTP协议的集群” |
前提条件
- 建议更改集群安全模式前,先完成数据备份。
- 集群必须处于“可用”状态,且无正在进行的任务。
- 确认集群是否启用“负载均衡”,如果启用了,则先关闭集群的“负载均衡”,待安全模式变更完成后再开启“负载均衡”。避免变更过程中造成通过负载均衡实例访问集群异常。
变更影响
在更改安全模式前,您需要了解以下关键影响和操作建议,以便合理规划变更,最小化业务影响。
|
变更类型 |
业务是否会中断 |
认证方式变化 |
性能影响 |
公网访问变化 |
安全账号风险 |
|---|---|---|---|---|---|
|
非安全 → 安全+HTTP |
是 |
增加安全认证 |
不涉及 |
不支持 |
不涉及 |
|
非安全 → 安全+HTTPS |
是 |
增加安全认证 |
下降 |
支持 |
不涉及 |
|
安全 → 非安全 |
是 |
移除安全认证 |
提升 |
自动禁用 |
永久删除 |
|
HTTP → HTTPS |
是 |
无变化 |
下降 |
支持 |
不涉及 |
|
HTTPS → HTTP |
是 |
无变化 |
提升 |
自动禁用 |
不涉及 |
变更影响说明:
- 非安全表示非安全模式的集群;安全表示安全模式的集群。
- 业务中断:在更改集群安全模式的过程中,集群会自动重启,导致业务暂时不可用。
- 认证方式变化:更改集群安全模式后,访问集群时的安全认证机制会发生改变,此时客户端必须同步更新认证逻辑。如未及时完成适配,可能导致业务服务中断。
- 性能影响:当集群安全模式变更导致通信协议从HTTP切换为HTTPS后,在相同硬件配置下,集群处理高并发请求时的性能指标(如吞吐量)将出现约20%的下降。相反,当通信协议从HTTPS切换为HTTP后,集群性能会有所提升。
- 公网访问变化:只有安全模式+HTTPS协议的集群才支持配置公网访问,其他类型的集群都不支持。
- 安全账号风险:当安全模式变更为非安全模式的集群,系统会清理安全集群的账号,所有安全账号将被永久删除。
- 组件影响:对于已打开过OpenSearch Dashboards会话框的集群,在更改集群安全模式后,OpenSearch Dashboards会提示Session错误,此时需要清理缓存再打开OpenSearch Dashboards才能正常访问。
由于更改安全模式会导致节点访问方式改变,此过程可能会引起业务中断,建议在业务上线前或集群可接受停机变更的场景下使用。
变更时长
变更集群安全模式的时长估算公式如下:
变更时长(分钟)= 5(分钟)x 节点总个数 + 数据恢复时长(分钟)
- 5分钟为初始化等非数据恢复操作的基准耗时,是经验值。
- 节点总个数是集群的数据节点、Master节点、Client节点和冷数据节点数量之和。
数据恢复时长(分钟)= 数据总量(MB)÷ [ 数据节点的CPU核数 x 32(MB/s)x 60(秒)]
- 32MB/s表示每个CPU核每秒可处理32MB数据,是经验值。
- 以上公式为理想状态下的理论估算值,实际恢复速率受集群负载影响。
非安全模式切换为安全模式
介绍集群从“非安全模式”切换为“安全模式+HTTP协议”或“安全模式+HTTPS协议”的操作。当集群从非安全模式变更为安全模式后,访问集群将需要进行安全认证。
- 登录云搜索服务管理控制台。
- 在左侧导航栏,选择“集群管理 > OpenSearch”。
- 在集群列表,选择目标集群,单击操作列的“更多>形态变更”进入形态变更页面。
- 选择“更改安全模式”页签。
- 在更改安全模式页面,打开“安全模式”的开关,输入并确认集群的管理员密码。
图1 非安全模式切换为安全模式
- 选择集群是否启用“HTTPS访问”。
- 打开开关:实现“非安全模式”切换为“安全模式+HTTPS协议”。集群通讯使用HTTPS协议,通讯数据将进行加密,且可以启用集群的公网访问功能。
- 关闭开关:实现“非安全模式”切换为“安全模式+HTTP协议”。集群通讯使用HTTP协议,无法启用集群的公网访问功能。
- 单击“提交申请”,确认后将返回集群列表页面。
安全模式切换为非安全模式
介绍集群从“安全模式+HTTP协议”或“安全模式+HTTPS协议”切换为“非安全模式”的操作。当集群从安全模式变更为非安全模式后,访问集群将不再需要进行安全认证。
- 非安全模式的集群将无需安全认证即可访问,且采用的是HTTP协议传输数据,所以请确保集群访问环境的安全性,勿将访问接口暴露到公网环境上。
- 在安全模式切换为非安全模式的过程中,变更任务会删除原安全模式的集群用到的索引。切换前请做好数据备份,以免数据丢失。
- 如果集群已绑定公网IP,则无法将安全模式切换为非安全模式,需要先解绑公网IP,才能切换。
- 如果集群已启用Dashboards公网访问,则无法将安全模式切换为非安全模式,需要先关闭Dashboards公网访问功能,才能切换。
- 登录云搜索服务管理控制台。
- 在左侧导航栏,选择“集群管理 > OpenSearch”。
- 在集群列表,选择目标集群,单击操作列的“更多>形态变更”进入形态变更页面。
- 选择“更改安全模式”页签。
- 在更改安全模式页面,关闭“安全模式”的开关。
图2 安全模式切换为非安全模式
- 单击“提交申请”,在弹窗中确认后将返回集群列表页面。
切换安全模式下的协议
介绍安全模式的集群切换访问协议的操作,包括“安全模式+HTTP协议”切换为“安全模式+HTTPS协议”、“安全模式+HTTPS协议”切换为“安全模式+HTTP协议”。
- 如果集群已绑定公网IP,则无法将协议从HTTPS切换到HTTP,需要先解绑公网IP,才能切换安全模式下的协议。
- 当OpenSearch集群版本为2.x及以上时,启用安全模式会默认启用HTTPS访问,且不支持关闭。因此不支持“安全模式+HTTPS协议”切换为“安全模式+HTTP协议”。
- 登录云搜索服务管理控制台。
- 在左侧导航栏,选择“集群管理 > OpenSearch”。
- 在集群列表,选择目标集群,单击操作列的“更多>形态变更”进入形态变更页面。
- 选择“更改安全模式”页签。
- 在更改安全模式页面,修改“HTTPS访问”的开关切换安全模式下的集群访问协议。
图3 切换协议
- 单击“提交申请”,确认后将返回集群列表页面。
