记录工作中的点点滴滴
我们将大体上按以下步骤逐步安装和配置出一套满足生产环境运行要求和信息安全管理要求的三节点es服务集群。
在节点1上面先行安装一套es+kinaba+beats的单节点服务
详细步骤可以参考官网这个教程:get-started-elastic-stack
继续在单节点的结构下启用和配置出es安全管理功能
详细步骤可以参考官网这个教程:security-getting-started
进行面向支持多节点的加密通信改造的相关配置,同时将节点2、3加入es集群中
详细步骤可以参考官网这个教程:encrypting-internode-communications
我们之所以没有选择按一步到位的方法部署整套es集群,是因为在启用和配置xpack的部分很容易遇到问题。参照上面的三个步骤,可以依次部署、配置并对结果进行验证,在前一步骤部署成功的基础上继续做更多内容的部署,这样处理的成功率会比较高。
本章节的配置内容,是建立在成功部署和配置了前面几个章节的基础之上。
在一个安全的集群中,Elasticsearch节点在与其他节点通信时会使用证书来标识自己。
群集必须验证这些证书的真实性。 建议的方法是信任特定的证书颁发机构(CA)。 因此,当节点添加到群集时,需要他们使用由同一CA签名的证书。
制作ca证书:
1 | ./bin/elasticsearch-certutil ca |
使用默认输出文件名elastic-stack-ca.p12,并为证书设置访问口令:my-elastic123。如果是你的生产集群,请注意做好证书和口令的保护。
创建一个目录用于存放证书:
1 | cd ${ES_HOME}/config |
为节点1制作证书和密钥:
1 | ./bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12 --ip 10.20.0.11 --out config/certs/es-node1.p12 |
Elasticsearch安全功能使得可以轻松保护群集。 可以对数据进行基础的密码保护,并实施更高级的安全措施,例如加密通信,基于角色的访问控制,IP过滤和审计。
在最新发行的es和kinaba版本中,basic级别的许可中已经开放了部分安全管理的功能特性,可以免费使用。详细信息参见:https://www.elastic.co/subscriptions
依次停止Metricbeat、kibana和elasticsearch服务进程
编辑ES_PATH_CONF/elasticsearch.yml文件,启用xpack服务
添加以下内容:
1 | xpack.security.enabled: true |
编辑ES_PATH_CONF/elasticsearch.yml文件,启用 single-node discovery功能
1 | discovery.type: single-node |
通过将discovery.type设置为single-node, 在这种情况下,节点将选择自己作为主节点,并且不会加入任何其他节点的集群。
启用Elasticsearch安全功能后,默认情况下会启用基本身份验证。 要与群集通信,必须指定用户名和密码。 除非启用了匿名访问,否则所有不包含用户名和密码的请求都将被拒绝。
1 | curl -L -O https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.2.0-linux-x86_64.tar.gz |
对elasticsearch.yml几个重要配置参数进行设置:
1 | cluster.name: my-elastic |
1 | cd elasticsearch-7.2.0 |
检测下服务是否正常启动:
1 | curl http://10.20.0.11:9200 |
我们使用Metricbeat采集es主机节点的系统监控指标数据,以及监控es集群中索引等服务。
对每个es服务节点编辑elasticsearch.yml,以启用监控数据采集
1 | xpack.monitoring.collection.enabled: true |
在每个节点的metricbeat部署目录下,启用elasticsearch-xpack模块
1 | ./metricbeat modules enable elasticsearch-xpack |