深入 Elasticsearch(15):认证、授权与加密
上一篇解决了性能模型和调优思路——定位瓶颈再针对性调整。这一篇进入 ES 的安全层怎样保护集群。
ES 8.x 默认启用安全功能。在此之前安全是 X-Pack 的商业特性。理解安全层的架构——加密、认证、授权、审计——才能正确配置生产集群的访问控制。
本文只抓一个问题:ES 的安全层从外到内有哪几层,各自保护什么。
四层安全从外到内依次拦截请求,每一层解决一个独立的安全问题:
graph LR
R[Client Request] --> L1[TLS 加密<br/>防窃听/篡改]
L1 --> L2[Authentication<br/>你是谁]
L2 --> L3[Authorization<br/>你能做什么]
L3 --> L4[Audit Log<br/>你做了什么]
L4 --> O[Operation]
style L1 fill:#4a90d9,color:#fff
style L2 fill:#50b86c,color:#fff
style L3 fill:#e6a23c,color:#fff
style L4 fill:#909399,color:#fff后文逐层展开。
安全特性的历史变化
| 版本 | 安全状态 |
|---|---|
| < 6.8 | X-Pack 商业功能,需要 Gold/Platinum license |
| 6.8 / 7.1 | 基础安全免费化(Basic license 即可使用认证、TLS、RBAC) |
| 8.0+ | 安全默认启用。首次启动自动生成 CA 证书、TLS 配置、elastic 用户密码 |
ES 8.x 首次启动时会自动完成:生成自签名 CA 证书和节点证书、启用 transport 和 HTTP 层的 TLS、生成 elastic 超级用户的初始密码、生成 enrollment token 供新节点加入集群。
洋葱模型:四层安全
1 | |
Layer 1:TLS 加密
两个层面的加密:
| 层面 | 配置 | 保护内容 |
|---|---|---|
| Transport layer(节点间) | xpack.security.transport.ssl |
节点间数据传输、shard 复制 |
| HTTP layer(客户端到集群) | xpack.security.http.ssl |
REST API 请求和响应 |
Transport TLS 在安全启用后是强制的(节点间通信必须加密)。HTTP TLS 可选但强烈建议启用。
Layer 2:认证(Authentication)
认证回答"你是谁"。ES 使用 realm chain——按顺序尝试多个认证提供者:
| Realm 类型 | License | 认证方式 |
|---|---|---|
native |
Basic(免费) | ES 内部用户数据库 |
file |
Basic | 本地文件(elasticsearch-users 命令管理) |
| API keys | Basic | Bearer token,无需用户名密码 |
| Service tokens | Basic | 服务间认证 |
ldap |
Gold | LDAP/Active Directory |
saml |
Gold | SAML 2.0 SSO |
oidc |
Gold | OpenID Connect |
pki |
Gold | 客户端证书 |
一个请求到达时,ES 按配置顺序尝试各 realm,直到某个 realm 认证成功。
1 | |
Layer 3:授权(Authorization)
授权回答"你能做什么"。ES 使用 RBAC(基于角色的访问控制)。用户不直接持有权限,而是通过角色间接获取——一个用户可以绑定多个角色,权限取并集:
graph LR
U1[User: log_reader] --> R1[Role: read_only_logs]
U1 --> R2[Role: kibana_user]
U2[User: admin] --> R3[Role: superuser]
R1 --> P1[Index: logs-*<br/>read]
R1 --> P2[Field: message,<br/>timestamp, level]
R1 --> P3[Doc: level=error]
R2 --> P4[Cluster: monitor]
R3 --> P5[Cluster: all]
R3 --> P6[Index: all]
style U1 fill:#4a90d9,color:#fff
style U2 fill:#4a90d9,color:#fff
style R1 fill:#50b86c,color:#fff
style R2 fill:#50b86c,color:#fff
style R3 fill:#50b86c,color:#fffRole 包含两类权限:
| 权限类型 | 粒度 | 示例 |
|---|---|---|
| Cluster privileges | 集群级操作 | monitor, manage, manage_security |
| Index privileges | 索引级操作 | read, write, create_index, manage |
Index privileges 可以细化到字段级(Field Level Security)和文档级(Document Level Security):
1 | |
这个 role 只能读取 logs-* 索引中 level=error 的文档,且只能看到 message、timestamp、level 三个字段。
1 | |
Layer 4:审计日志
审计日志记录认证和授权事件——谁在什么时候做了什么操作,是否成功。需要在 elasticsearch.yml 中启用:
1 | |
审计日志默认输出到 <ES_HOME>/logs/<cluster_name>_audit.json。
License 影响
| 功能 | Basic(免费) | Gold | Platinum |
|---|---|---|---|
| 原生认证(native/file) | ✓ | ✓ | ✓ |
| TLS 加密 | ✓ | ✓ | ✓ |
| RBAC | ✓ | ✓ | ✓ |
| API keys | ✓ | ✓ | ✓ |
| LDAP/SAML/OIDC | — | ✓ | ✓ |
| Field/Document Level Security | — | ✓ | ✓ |
| 审计日志 | — | ✓ | ✓ |
Basic license 覆盖了生产环境的基本安全需求。企业级需求(LDAP 集成、细粒度权限、审计)需要 Gold 或 Platinum。
模式提炼:安全层的洋葱模型
1 | |
| 系统 | 加密 | 认证 | 授权 | 审计 |
|---|---|---|---|---|
| ES | TLS (transport + HTTP) | Realm chain | RBAC (cluster + index) | Audit log |
| MySQL | TLS | User/Password, PAM, LDAP | GRANT/REVOKE | Audit plugin |
| MongoDB | TLS | SCRAM, x.509, LDAP | Role-based | Audit log |
| Kafka | TLS, SASL | SASL (PLAIN/SCRAM/GSSAPI) | ACL | Authorizer log |
工程迁移表
| 概念 | Elasticsearch | MySQL | MongoDB | Kafka |
|---|---|---|---|---|
| 认证方式 | Realm chain (native/LDAP/SAML) | User/Password, PAM | SCRAM, x.509 | SASL |
| 权限模型 | RBAC (Role → Privileges) | GRANT (User → DB.Table) | RBAC (Role → Actions) | ACL (Principal → Topic) |
| 字段级安全 | Field Level Security (Gold+) | Column-level GRANT | 无内置 | 无 |
| 文档级安全 | Document Level Security (Gold+) | Row-level (Views/Policies) | 无内置 | 无 |
| 默认安全 | 8.x 默认启用 | 默认无加密 | 默认无认证 | 默认无认证 |
常见误解
误解一:ES 默认是安全的(所有版本)。 只有 8.x 起默认启用安全。7.x 及之前需要手动配置。很多旧版集群在内网环境裸奔,没有任何认证和加密。
误解二:有了 TLS 就足够了。 TLS 保护传输层,防止窃听和篡改。但没有认证的话,任何知道集群地址的人都可以访问。TLS + 认证 + 授权三层缺一不可。
误解三:API key 和用户密码一样。 API key 是无状态的 Bearer token,适合服务间通信和 CI/CD。它可以设定过期时间、限定权限范围,比用户密码更适合自动化场景。
练习
-
用
GET _security/_authenticate查看当前认证用户信息和 role。 -
创建一个只有
read权限的 role,绑定到一个新用户。用新用户尝试写入数据,验证权限被拒绝。 -
查看
GET _xpack/usage?filter_path=security了解当前集群的安全功能使用情况。
系列导航
| 上一篇 | 下一篇 |
|---|---|
| 性能模型:搜索延迟、写入吞吐与调优思路 | 生产运维:集群扩缩、监控指标与故障排查 |
参考资料
All articles on this blog are licensed under CC BY-NC-SA 4.0 unless otherwise stated.
Related Articles
2026-06-26
深入 Elasticsearch(10):数据分布的核心机制
上一篇解决了聚合分析框架——Bucket、Metric、Pipeline 三层聚合在搜索结果上提供实时分析。这一篇进入数据怎样分布到多个 shard 上。 ES 把一个 index 的数据分成多个 shard,分布到不同的节点上。分片的核心是路由公式——决定一条文档应该落在哪个 shard 上。这个公式看起来简单,但它的分母不可变这一约束影响了 ES 的整个容量规划思路。 本文只抓一个问题:分片路由公式怎样工作,以及分片数不可变的约束从何而来。 路由公式 1shard_num = hash(_routing) % number_of_primary_shards 默认情况下 _routing 等于文档的 _id。这个公式把文档 ID 的哈希值对 primary shard 数取模,得到目标 shard 编号。 5 条文档经过这个公式分配到 3 个 shard 的过程: graph LR D1["doc _id=1"] --> H["hash(_id) % 3"] D2["doc _id=2"] -...
2026-06-26
深入 Elasticsearch(11):故障恢复与读写模型
上一篇解决了数据怎样分布到 shard 上——路由公式和分片数不可变的约束。这一篇进入 shard 的副本机制和故障恢复。 每个 primary shard 可以有零个或多个 replica shard。Replica 提供两个能力:高可用(primary 故障时 replica 接管)和读扩展(搜索请求可以命中 replica)。理解 primary-replica 的同步模型,才能在一致性和可用性之间做出正确的配置选择。 本文只抓一个问题:primary 和 replica 之间怎样同步数据,primary 故障时怎样恢复。 写入模型 一条文档的写入路径经过 primary shard 再转发到 replica: 12345678910Client → Coordinating Node(路由到 primary shard 所在节点) → Primary Shard: 1. 本地执行写入(buffer + translog) 2. 并行转发给所有 in-sync replica → Replica Shard(s): 3. 本地执行同样的...
2026-06-26
深入 Elasticsearch(03):Mapping 与字段类型
上一篇解决了 Lucene 内部的段和索引结构。这一篇进入 ES 如何把 JSON 文档映射到 Lucene 字段。 一个 JSON 文档写入 ES 后,每个字段会变成 Lucene 内部的某种数据结构——倒排索引、BKD-tree、Doc Values 或 Stored Fields。这个从"JSON 字段"到"Lucene 数据结构"的翻译规则,就是 mapping。 本文只抓一个问题:mapping 在 ES 中扮演什么角色,以及 dynamic mapping 和 explicit mapping 的差异会怎样影响搜索行为。 Mapping 是什么 Mapping 定义了一个 index 中文档的字段名、字段类型和索引方式。可以类比为关系型数据库的 DDL(CREATE TABLE),但有几个关键区别: Mapping 允许动态推断。写入一个未知字段时,ES 可以自动猜测类型并添加到 mapping 中。 Mapping 一旦创建,字段类型不可修改。只能添加新字段,不能把一个 text 字段改成 keyword。要改变已有字段的...
2026-06-26
深入 Elasticsearch(12):Master 选举与集群状态同步
上一篇解决了副本机制和故障恢复——primary-replica 的同步模型和 failover 流程。这一篇进入谁来决定 shard 分配、节点角色——集群协调层。 cluster state 是 ES 集群的元数据核心(第 01 篇已经介绍过它的结构)。这一篇聚焦在 cluster state 的写入方——master 节点——是怎样被选举出来的,以及选举机制在 ES 7.x 经历了什么根本性变化。 本文只抓一个问题:ES 的 master 选举算法和脑裂防护机制。 选举机制的演变 ES 7.0 之前使用 Zen Discovery,一种基于 Bully 算法变体的选举机制。这套机制需要手动配置 discovery.zen.minimum_master_nodes,配置不当容易导致脑裂。 ES 7.0 起改用全新的选举机制,基于学术论文中的共识算法思想(接近 Raft 但不是完整 Raft 实现)。新机制自动管理 quorum,不再需要手动配置 minimum_master_nodes。 版本 选举机制 脑裂防护 < 7.0 Zen Discovery ...
2026-06-26
深入 Elasticsearch(05):近实时、Translog 与 Refresh/Flush
上一篇解决了文本怎样变成词项——analysis pipeline 把原始文本标准化为可索引的 term。这一篇进入文档写入后怎样变成可搜索的。 一条文档经过 analysis 生成词项后,并不会立即对搜索可见。ES 的写入路径涉及内存缓冲、translog 持久化、refresh 生成新 segment、flush 提交到磁盘四个步骤。这套机制让 ES 在写入吞吐和搜索延迟之间取得平衡,也是"近实时搜索"(near-real-time, NRT)这个名字的由来。 本文只抓一个问题:ES 的近实时搜索是怎么实现的,refresh 和 flush 的区别在哪里。 写入路径的完整流程 一条文档从客户端发出到最终持久化到磁盘,经过以下步骤: 123456789101112131415Document → Coordinating Node(路由到目标 shard 的 primary) → Primary Shard: 1. 写入 in-memory buffer(indexing buffer) 2. 追加到 translog(顺序写磁盘,...
2026-06-26
深入 Elasticsearch(02):Segment、倒排索引与 Doc Values
上一篇解决了 ES 集群级架构——节点角色、集群状态和数据路径。这一篇进入单个 shard 内部的 Lucene 存储结构。 ES 的每个 shard 就是一个 Lucene index。Lucene index 不是一整块文件,而是由多个不可变的段(segment)组成。理解 segment 的内部结构,才能理解后续文章中 refresh、flush、merge、搜索延迟等机制为什么是那样设计的。 本文只抓一个问题:一个 Lucene segment 内部有哪些数据结构,它们各自承担什么角色。 Segment:不可变的存储单元 一个 Lucene index 由零个或多个 segment 组成。每个 segment 是一批文档的完整索引——包含这批文档的倒排索引、正排数据、字段信息等所有内容。 12345Lucene Index (= ES Shard)├── Segment 0 (committed, immutable)├── Segment 1 (committed, immutable)├── Segment 2 (committed, immutable)└─...