V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
samun
V2EX  ›  问与答

测试环境 Elasticsearch 集群被多次删,请教问题排查办法。

  •  
  •   samun · 2022-07-06 13:53:34 +08:00 · 917 次点击
    这是一个创建于 872 天前的主题,其中的信息可能已经有所发展或是发生改变。
    背景:es5.6
    阿里云服务器 三节点 ES 只有一个节点开启快照
    有安全组 只对公司网络开启 9200 端口


    起因: 某天下午同事反馈数据被删,查看主节点日志,发现删除记录,删完试图创建 read_me 索引 用的高版本 restapi 报错了。
    已采取的措施:1.修改测试环境相关服务器密码,22 端口 ip 白名单限制。2.公司内部访问 9200 9300 通过 nginx 域名代理其他端口访问 http 端口增加 basic 认证 es 机器独立安全组,开启阿里云内网白名单。3.阿里云漏洞病毒扫描。4 ,关闭模糊匹配删除索引。4.开启集群所有机器快照。
    采取以上措施后,两周后又被删了好几次,现在想不通了,接下来打算增加 xpack ,但还是想找到原因。
    10 条回复    2022-07-14 09:30:28 +08:00
    samun
        1
    samun  
    OP
       2022-07-06 13:55:09 +08:00
    通过搜索有了解到 meow ,但是特征不像。
    julyclyde
        2
    julyclyde  
       2022-07-07 09:56:18 +08:00
    5.6 这么文物的版本……
    x-pack security 在当年那个版本还是收费服务呢
    samun
        3
    samun  
    OP
       2022-07-07 10:53:59 +08:00
    @julyclyde 目前能满足需求也没有动力升级
    julyclyde
        4
    julyclyde  
       2022-07-07 10:55:58 +08:00
    那你看看能不能给各节点开 access log
    看看删除指令是从哪发进来的
    samun
        5
    samun  
    OP
       2022-07-08 15:19:03 +08:00
    @julyclyde 破案了 之前运维挖的坑 负载均衡把 9200 暴露到公网了 阿里云安全组对负载均衡是不生效的
    julyclyde
        6
    julyclyde  
       2022-07-08 19:40:11 +08:00
    @samun 你差点就要出一个,跟上海事件一样的事故
    julyclyde
        7
    julyclyde  
       2022-07-08 19:41:18 +08:00
    我给一些建议:
    升级版本、开启 x-pack security
    服务器之间 transport 通信配置 TLS+IP 白名单
    http 通信可以不开启 TLS ,但是必须开启 RBAC
    给匿名用户授予空白权限
    samun
        8
    samun  
    OP
       2022-07-09 09:58:06 +08:00
    已收下 谢老哥
    julyclyde
        9
    julyclyde  
       2022-07-12 09:48:32 +08:00
    看了看提问的版本、故障现象
    难道你这个项目就是传说中的上海泄露案?
    samun
        10
    samun  
    OP
       2022-07-14 09:30:28 +08:00
    @julyclyde 只能说这脑洞太大了。。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   910 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 35ms · UTC 20:11 · PVG 04:11 · LAX 12:11 · JFK 15:11
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.