Как стать автором
Обновить

Комментарии 12

Простите, а файрвола на ES-сервере было недостаточно, что потребовалось добавлять лишнее звено в цепочке?
почему я сделал так:

1. я не хотел опять напрягатся развертыванием эластика, установкой jvm и прочим, так как для этого придуман доккер. к сожалению, те порты которые «выставляет» доккер, нельзя закрыть через iptables (у меня не получилось)

2. iptables, мне еще не подходит тем, что я работаю из разных мест и разными динимическими ip, поэтому «белый» список дня меня не работае, проще кастомная авторизация.

3. файрвол тоже надо настраивавать, мне как javascript иженеру, проще и быстрее это было решить через прокси.
Подскажите, Docker умеет работать с mmap?
Вы имеете ввиду memory mapped files api? приложение, которое работает внутри контейнера имеет такой же доступ к api как и в не его… Поэтому, не совсем корректно, но отвечу — да, умеет.
Я имею в виду мэпинг физических файлов в память, входящий в стандарт posix и активно используемый Еластиком при работе с индексами при включенном mmapfs. Я не в курсе подробностей, умеет ли контейнер работать с этой фичей. По-верхам погуглил и ничего внятного не нашёл.
ЗЫ. Тому кто не понял вопрос и влепил минус отдельное спасибо.
NodeJS proxy? Omg…
man iptables не пробовали?
Простите за чайниковый вопрос — а nginx с базовой авторизацией чем не подошёл?
Если вы прочтете до конца, то послесловии как раз об этом.
> Также, хорошей идей, наверняка будет держать Elastic в private network
Очень удивлён что так не сделано изначально.
Вот же блин. Что за мода пошла открывать по умполчанию все наружу без авторизации. У mongodb оказывается по умолчанию порт открыт для внешки, теперь выясняется что и у elasticsearch такая же фигня.
Я после того как наткнулся на такое поведение в монге, даже и не подумал, что ES ведет себя так же. В обоих случаях это кстати решается прописыванием айпишника в конфиге.
А зачем устраивать весь этот цирк с конями, если можно добавить в elasticsearch.yml строку вида
network.host = 127.0.0.1
?
Или если нужен доступ из приватной сети — просто повесить его на приватный ip, и на уровне iptables разрулить все?

Странный подход.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий