我们知道，建立集群之间的互信非常重要。这个是为我们进行 CCR 及 CCS 操作的基础。只有建立好了集群之间的互信，我们才可以创建集群之间的 remote connection。特别是针对含有 SSL 连接的集群，他们含有各自的证书，那么我们该如何建立集群之间的互信呢？在我之前的文章 “Elasticsearch：如何为 CCR 及 CCS 建立带有安全的集群之间的互信” 中，我详述了如何通过更新证书来建立集群之间的互信。更新证书在很多的情况下，可能并不是最好的途径。在今天的文章中，我将详述如何在不更新证书的情况下，为集群之间建立互信。

在今天的展示中，我将使用如下的架构：




如上所示，我们创建两个不同的集群。它们分别运行于两个不同的机器上。它们使用不同的 IP 地址。我将使用最新的 Elastic Stack 8.4.1 来进行展示。


如何在不更新证书的情况下为集群之间建立互信

针对非 keystore 及 truststore 的安装
如果你的 Elasticsearch 的部署不是按照 keystore 及 truststore 来进行安装的，而是参照我之前的文章 “Security：如何安装 Elastic SIEM 和 EDR” 来进行安装的话，那么你可以直接把另外一个集群的证书添加到相应的 config/elasticsearch.yml 的配置中去即可：

config/elasticsearch.yml

xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.key: /etc/elasticsearch/certs/elasticsearch.key
xpack.security.transport.ssl.certificate: /etc/elasticsearch/certs/elasticsearch.crt
xpack.security.transport.ssl.certificate_authorities: [ "/etc/elasticsearch/certs/ca/ca.crt", "certificate_from_another_cluster.crt ]
在这种情况下的配置就非常简单明了。我们就不赘述了。
 
更多阅读，请参阅 https://elasticstack.blog.csdn ... 26063