我正在尝试保护单节点 Elasticsearch 机器。基本上,我想将 Elasticsearch 放在反向代理 (nginx) 后面,并确保任何用户或进程与 Elasticsearch 通信的唯一方式是通过代理。
如果 Elaticsearch 支持监听 unix 套接字,这将是微不足道的。我可以在套接字文件上设置适当的权限并完成。但是,因为它没有,所以我只能在 TCP 端口上进行监听。
我已经阅读了一些关于网络名称空间的内容,似乎它们可以工作,但我对它们的经验为零。
是否有一种简单且安全的方法来确保机器上唯一可以与 Elasticsearch 通信的进程/用户是 nginx?