По умолчанию компоненты Elasticsearch доступны только локально. Для корректной работы необходимо обеспечить к ним доступ службе поиска, службе обработки событий и панели управления индексированием.
Возможны два варианта работы:
| • | Локально без настройки доступа. Установите компоненты Elasticsearch на одном компьютере со службой поиска и службой обработки событий. Панель управления индексированием запускайте на этом же компьютере; |
| • | По сети с настройкой доступа. В рабочей системе рекомендуется использовать этот вариант. Установите компоненты Elasticsearch на отдельном компьютере и настройте к ним безопасный доступ. Настройка состоит из этапов: |
Настройка компьютера с Elasticsearch
| 1. | Запустите Брандмауэр Windows в режиме повышенной безопасности. |
| 2. | Создайте правило, блокирующее доступ к Elasticsearch: |
| • | создайте правило для входящих подключений; |
| • | на шаге Тип правила установите переключатель Для порта; |
| • | на шаге Протокол и порты: |
| a) | установите переключатель Определенные локальные порты; |
| b) | укажите порты Elasticsearch (по умолчанию 9200 и 9300); |
| • | на шаге Действие установите переключатель Блокировать подключение. |
| 3. | Создайте правило, разрешающее аутентифицированные подключения к Elasticsearch: |
| • | создайте правило для входящих подключений; |
| • | на шаге Тип правила установите переключатель Для порта; |
| • | на шаге Протокол и порты: |
| a) | установите переключатель Определенные локальные порты; |
| b) | укажите порты Elasticsearch (по умолчанию 9200 и 9300); |
| a) | установите переключатель Разрешить безопасное подключение; |
| b) | нажмите на кнопку Настроить; |
| c) | в открывшемся окне установите флажок Переопределить правила блокировки и нажмите на кнопку OK; |
| a) | установите флажок Разрешать подключения только от этих пользователей; |
| b) | добавьте пользователей, от имени которых запущены служба обработки событий и служба поиска; |
Примечание
Служба поиска и служба обработки событий должны быть запущены от доменного пользователя.
| a) | установите флажок Разрешать подключения только с этих компьютеров; |
| b) | добавьте компьютеры или группы компьютеров, с которых разрешено подключение. |
| 4. | Создайте правило безопасности подключения: |
| • | создайте новое правило безопасности для нового подключения; |
| • | на шаге Метод проверки подлинности установите переключатель Компьютер и пользователь (Kerberos V5); |
| • | на остальных шагах оставьте значения по умолчанию. |
Настройка компьютера для доступа к Elasticsearch
| 1. | Запустите Брандмауэр Windows в режиме повышенной безопасности. |
| 2. | Создайте правило безопасности подключения: |
| • | создайте правило безопасности для нового подключения; |
| • | на шаге Метод проверки подлинности установите переключатель Компьютер и пользователь (Kerberos V5); |
| • | на остальных шагах оставьте значения по умолчанию. |
Настройка пользователя для запуска службы Elasticsearch
По умолчанию служба «Elastic search 7.5.2 (elastic search-service-x64)» запускается от имени системного пользователя LOCAL SYSTEM. Если для повышения безопасности службу необходимо запускать от имени специально выделенного пользователя, убедитесь, что пользователь обладает нужными правами:
| 1. | Запустите конфигуратор службы с помощью командной строки: |
<Путь до установленной службы Elasticsearch>\bin\elasticsearch-service.bat manager
Пример командной строки:
C:\Program Files (x86)\DIRECTUM Company\Elasticsearch\bin\elasticsearch-service.bat manager
| 2. | В конфигураторе службы перейдите на вкладку «Java» и убедитесь, что путь, указанный в параметре djava.io.tmpdir, доступен для изменения пользователем, от имени которого запускается служба. |
