64 lines
1.8 KiB
Markdown
64 lines
1.8 KiB
Markdown
# OpenSearch/nginx TLS 현황 및 결정
|
|
|
|
## 작성일: 2025-09-15
|
|
## 작성자: admin
|
|
## 환경: 51123 서버
|
|
|
|
## 배경
|
|
- TLS 적용 TODO
|
|
- 목적: OpenSearch 외부 접속 시 보안
|
|
|
|
## 현재 상태
|
|
|
|
### nginx
|
|
- 443 포트: nginx 사용 중 (PID: 1732569)
|
|
- HTTPS 활성: ro-being.com, git.ro-being.com, auth.ro-being.com
|
|
- 인증서: `/etc/letsencrypt/live/ro-being.com/` (Let's Encrypt, Certbot 관리)
|
|
|
|
### OpenSearch
|
|
- 포트 9200: HTTP만 작동
|
|
- 보안 설정: 데모 인증서 (esnode.pem)
|
|
- 컨테이너: hostexecutor-opensearch-node
|
|
|
|
### 로그 수집
|
|
- Fluent-bit → OpenSearch: 내부 HTTP 통신
|
|
|
|
## 검토한 방안
|
|
|
|
### 방안 1: OpenSearch HTTPS 활성화
|
|
- OpenSearch에 Let's Encrypt 인증서 적용
|
|
- Docker Compose volumes 수정 필요
|
|
- 내부 통신도 HTTPS 사용
|
|
- 장점: End-to-End 암호화
|
|
- 단점: 성능 저하, 설정 복잡, 인증서 관리 부담
|
|
|
|
### 방안 2: nginx 리버스 프록시 (권장)
|
|
- nginx에서 TLS 종료
|
|
- OpenSearch는 HTTP 유지
|
|
- nginx 설정에 `/opensearch` 경로 추가
|
|
- 외부: https://ro-being.com/opensearch
|
|
- 내부: http://localhost:9200
|
|
- 장점: 간단, 빠름, 표준 방식
|
|
- 단점: 내부 통신 평문
|
|
|
|
## 결정
|
|
- **nginx 리버스 프록시 방식 채택**
|
|
- 이유: 로그는 외부 노출 금지, 내부 HTTP 통신 충분
|
|
- nginx HTTPS는 이미 완료 상태
|
|
|
|
## 필요 작업
|
|
|
|
### nginx 프록시 설정 추가 (로컬 개발자)
|
|
```
|
|
location /opensearch/ {
|
|
proxy_pass http://localhost:9200/;
|
|
proxy_set_header Host $host;
|
|
proxy_set_header X-Real-IP $remote_addr;
|
|
auth_basic "OpenSearch Access";
|
|
auth_basic_user_file /etc/nginx/.htpasswd;
|
|
}
|
|
```
|
|
|
|
### 결론
|
|
- TLS 적용: nginx는 완료, OpenSearch는 프록시 방식으로 해결
|
|
- 추가 작업: nginx 프록시 경로 설정만 필요 |