Porta aberta ElasticSearch 9300 para comunicação nó a nó e todas as máquinas na mesma network com o mesmo cluster.name pode ingressar automaticamente neste cluster?
Duvido que seja seguro permitir que todos os nós se unam?
Caso contrário, preciso definir network.host para um endereço IP fixo? Ou há um jeito melhor?
Respostas:
0 para resposta № 1Depende realmente da pilha de rede do seunós e como você interage com seu cluster. Se todos eles estiverem executando em uma rede local, inacessível a partir do exterior, em geral, permitir que outros nós se unam livremente está OK, pois significa que alguém de dentro da sua rede está tentando se unir.
No entanto, se seus nós tiverem um endereço IP público,é uma boa ideia alterar as portas padrão usadas, desativar a descoberta multicast do Zen e fornecer a cada nó uma lista dos outros nós que têm permissão para se comunicar com ele.
Diretamente do arquivo elasticsearch.yml:
# 1. Disable multicast discovery (enabled by default):
#
discovery.zen.ping.multicast.enabled: false
#
# 2. Configure an initial list of master nodes in the cluster
# to perform discovery when new nodes (master or data) are started:
#
discovery.zen.ping.unicast.hosts: ["enter_ip_here","enter_other_ip:port","etc..."]
Observe que essas configurações precisam ser as mesmas em todos os nós (exceto a lista de hosts obviamente) e é necessário reiniciar o nó para que elas sejam levadas em consideração.
Além disso, você pode realmente definir o network.host para um IP fixo. Esse IP deve ser o que aparece na lista de discovery.zen.ping.unicast.hosts.