1.8 KiB
1.8 KiB
OpenSearch/nginx TLS 현황 및 결정
작성일: 2025-09-15
작성자: admin
환경: 51123 서버
배경
- TLS 적용 TODO
- 목적: OpenSearch 외부 접속 시 보안
현재 상태
nginx
- 443 포트: nginx 사용 중 (PID: 1732569)
- HTTPS 활성: ro-being.com, git.ro-being.com, auth.ro-being.com
- 인증서:
/etc/letsencrypt/live/ro-being.com/(Let's Encrypt, Certbot 관리)
OpenSearch
- 포트 9200: HTTP만 작동
- 보안 설정: 데모 인증서 (esnode.pem)
- 컨테이너: hostexecutor-opensearch-node
로그 수집
- Fluent-bit → OpenSearch: 내부 HTTP 통신
검토한 방안
방안 1: OpenSearch HTTPS 활성화
- OpenSearch에 Let's Encrypt 인증서 적용
- Docker Compose volumes 수정 필요
- 내부 통신도 HTTPS 사용
- 장점: End-to-End 암호화
- 단점: 성능 저하, 설정 복잡, 인증서 관리 부담
방안 2: nginx 리버스 프록시 (권장)
- nginx에서 TLS 종료
- OpenSearch는 HTTP 유지
- nginx 설정에
/opensearch경로 추가 - 외부: https://ro-being.com/opensearch
- 내부: http://localhost:9200
- 장점: 간단, 빠름, 표준 방식
- 단점: 내부 통신 평문
결정
- nginx 리버스 프록시 방식 채택
- 이유: 로그는 외부 노출 금지, 내부 HTTP 통신 충분
- nginx HTTPS는 이미 완료 상태
필요 작업
nginx 프록시 설정 추가 (로컬 개발자)
location /opensearch/ {
proxy_pass http://localhost:9200/;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
auth_basic "OpenSearch Access";
auth_basic_user_file /etc/nginx/.htpasswd;
}
결론
- TLS 적용: nginx는 완료, OpenSearch는 프록시 방식으로 해결
- 추가 작업: nginx 프록시 경로 설정만 필요