当前位置:   article > 正文

ELasticsearch(ES,es)单机,集群的加密(x-pack),非加密部署(超详细版)_elasticsearch加密

elasticsearch加密

本文章使用的ES版本是6.8.23,环境是Liunx系统

ES所有版本下载路径是:
https://www.elastic.co/cn/downloads/past-releases#elasticsearch

ELK版本匹配兼容的地址是:
https://www.elastic.co/cn/support/matrix#matrix_compatibility

一:单机版不加密部署

1.配置ES服务端允许跨域访问

修改elasticsearch-6.8.23\config目录下的elasticsearch.yml,增加以下配置:

network.host: 0.0.0.0
http.cors.enabled: true
http.cors.allow-origin: “*”
http.cors.allow-headers: Authorization,X-Requested-With,Content-Length,Content-Type

这个配置可以无脑加,不管是单机还是集群配置,因为在浏览器访问ES不加此配置就会出现跨域问题!

2.启动ES

因为ES不能用root账号登陆,所以需要创建一个用户授权给ES启动包使用:
新建用户adduser username

 >  例如 adduser es
  • 1

设置密码passwd username

注意:可以不用设置密码,看个人习惯,此命令也是忘记密码修改密码的命令

将es目录权限赋给刚创建的用户

chown -R username /usr/local/elasticsearch-6.8.23

查看当前目录对应的文件目录哪些用户拥有权限:ll
在这里插入图片描述
切换用户 su username
进入到es的bin目录启动 ./elasticsearch -d

查看日志,看是否启动成功,如果没有成功,并出现以下类似日志信息

[1]: max file descriptors [65535] for elasticsearch process is too low, increase to at least [65536]
[2]: max virtual memory areas vm.max_map_count [65530] is too low, increase to at least [262144]

解决方法就是:
第一步:修改 /etc/security/limits.conf,修改到提示值即可

vim /etc/security/limits.conf

 * hard nofile 65536
  • 1

第二步:修改sysctl.conf配置文件

vim /etc/sysctl.conf
vm.max_map_count=262144
注意: >= 262144就行
修改完配置参数之后再执行以下命令使其生效
sysctl -p

在这里插入图片描述

至此,单机版的ES就部署完成,在浏览器直接使用服务器IP+9200端口即可访问成功!



二:单机版加密部署

1.配置ES服务端允许跨域访问

修改elasticsearch-6.8.23\config目录下的elasticsearch.yml,增加以下配置:

http.cors.enabled: true
http.cors.allow-origin: “*”
http.cors.allow-headers: Authorization,X-Requested-With,Content-Length,Content-Type

这个配置可以无脑加,不管是单机还是集群配置,因为在浏览器访问ES不加此配置就会出现跨域问题!

开启x-pack安全认证配置

xpack.security.enabled: true
xpack.security.transport.ssl.enabled: true

2.然后启动ES,启动步骤请参考单机版不加密部署的第2点

启动过程中会报错,暂时忽略。
在这里插入图片描述
3.设置密码(有两种,一种是自动生成,一种是手动设置)
#自动生成密码

./elasticsearch-6.8.23/bin/elasticsearch-setup-passwords auto

在这里插入图片描述

#手动生成密码

./elasticsearch-6.8.23/bin/elasticsearch-setup-passwords interactive

在这里插入图片描述

在浏览器直接访问(ip+端口号)
然后输入用户名:elastic,密码就是刚刚自己设置的,或者系统自动输出的
在这里插入图片描述
在这里插入图片描述

看到以上界面就代表ES设置密码登陆成功!

另外,如果忘记密码需要重置密码的话,单机版可以执行以下命令

curl -H “Content-Type:application/json” -XPOST -u elastic
‘http://127.0.0.1:9200/_xpack/security/user/elastic/_password‘ -d ‘{ “password” : “123456” }‘




三:集群版非加密部署

1.修改elasticsearch-6.8.23\config目录下的elasticsearch.yml配置文件
服务器节点1

# 集群的名字,保证唯一,所有都必须一致
cluster.name: cluster-es
# 节点名称,必须不一样
node.name: node-1
# 必须为本机的ip地址
network.host: 0.0.0.0
# 服务器断开,在同一机器下必须不一样
http.port: 9200
# 设置集群自动发现机器ip集合,采用广播模式
discovery.zen.ping.unicast.hosts: [“10.0.0.1”,“10.0.0.2”]
# 防止脑裂。声明大于几个的投票主节点有效,请设置为(nodes / 2) + 1 (75行)
# 因为我这里只部署了两台服务器,所以是设置为1
discovery.zen.minimum_master_nodes: 1

# 允许跨域
http.cors.enabled: true
http.cors.allow-origin: “*”
http.cors.allow-headers:Authorization,X-Requested-With,Content-Length,Content-Type

服务器节点2

# 集群的名字,保证唯一,所有都必须一致
cluster.name: cluster-es
# 节点名称,必须不一样
node.name: node-2
# 必须为本机的ip地址
network.host: 0.0.0.0
# 服务器断开,在同一机器下必须不一样
http.port: 9200
# 设置集群自动发现机器ip集合,采用广播模式
discovery.zen.ping.unicast.hosts: [“10.0.0.1”,“10.0.0.2”]
# 防止脑裂。声明大于几个的投票主节点有效,请设置为(nodes / 2) + 1 (75行)
# 因为我这里只部署了两台服务器,所以是设置为1
discovery.zen.minimum_master_nodes: 1

# 允许跨域
http.cors.enabled: true
http.cors.allow-origin: “*”
http.cors.allow-headers:Authorization,X-Requested-With,Content-Length,Content-Type

注意:

  • 复制配置到服务器的时候要注意 “”(双引号是否英文格式的双引号),如果不是英文格式的双引号怎部署失败

  • 如果有多台节点,就只修改node.name参数和discovery.zen.ping.unicast.hosts就行,其他不需要变动

  • 如果ES安装包有data文件夹,请rm -rf data 删除掉,初次启动前,这个数据是没有的,如果想修改data的存储路径,可以在配置文件修改路径

在这里插入图片描述


2.启动ES,启动步骤请参考单机版不加密部署的第2点,每个节点服务器都是一样的启动方式


3.启动没有报错,就代表启动成功,可以浏览器输入IP+端口号认证,也可以安装head插件认证





四:集群版加密部署

1:先关闭ES的进程(服务)


2:然后生成TSL证书,找任意一台节点服务器操作即可

  • 在ES的config目录下执行以下命令,(注意:在那个目录执行命令,证书就生成在当前目录)

    cd /usr/local/elasticsearch-6.8.23/config


    #–days: 表示有效期多久(天),如果不设置此参数,默认的有效期是3年
    /usr/local/elasticsearch-6.8.23/bin/elasticsearch-certutil ca --days 99999


    运行命令后需要输入密码,可以直接按回车键设置为空(若输入了密码,且在配置文件使用该证书 时,需要在elasticsearch.keystore中加入该密码)

    在这里插入图片描述


  • ls查看当前执行命令目录会发现多了个 elastic-stack-ca.p12文件,这个就是ca颁发的证书。
    在这里插入图片描述

  • 查看证书有效期的命令是

    openssl pkcs12 -in elastic-stack-ca.p12 -nodes | openssl x509 -noout -enddate

    图一是没有设置days参数的有效期图一是没有设置days参数的有效期
    图二是设置了days=99999的有效期图二是设置了days=99999的有效期


3.创建私钥证书

  • 执行命令

    /usr/local/elasticsearch-6.8.23/bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12 --days 99999

    在这里插入图片描述

  • ls命令查看

    在这里插入图片描述


4.此时在当前目录生成名为 elastic-certificates.p12 的文件,它是单个PKCS#12密钥存储库,其中包括节点证书、节点密钥和CA证书。默认情况下,elasticsearch-certutil 生成没有主机名信息的证书(也就是说,它们没有任何主题可选名称字段)。这意味着可以对集群中的每个节点使用此证书,但您必须关闭主机名验证。将当前服务器生成的证书文件elastic-certificates.p12拷贝到其他节点服务器的config目录下,因为集群通讯就是通过这个证书。


5.配置elasticsearch.yml配置文件

服务器节点1

# 集群的名字,保证唯一,所有都必须一致
cluster.name: cluster-es
# 节点名称,必须不一样
node.name: node-1
# 必须为本机的ip地址
network.host: 0.0.0.0
# Http端口,在同一机器下必须不一样
http.port: 9200
# 设置集群自动发现机器ip集合,采用广播模式
discovery.zen.ping.unicast.hosts: [“10.0.0.1”,“10.0.0.2”]
# 防止脑裂。声明大于几个的投票主节点有效,请设置为(nodes / 2) + 1 (75行)
# 因为我这里只部署了两台服务器,所以是设置为1
discovery.zen.minimum_master_nodes: 1

# 允许跨域
http.cors.enabled: true
http.cors.allow-origin: “*”
http.cors.allow-headers: Authorization,X-Requested-With,Content-Length,Content-Type

# 加密节点间通信-每个节点容器都要添加
xpack.security.transport.ssl.enabled: true
# 只验证证书是否受信任,不执行主机名验证。还可以设置成 full(还要验证主机名)、none(不验证证书)
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.client_authentication: required
# 指定证书
xpack.security.transport.ssl.keystore.path: elastic-certificates.p12
# 将密钥存储库也用做信任存储库
xpack.security.transport.ssl.truststore.path: elastic-certificates.p12

服务器节点2

# 集群的名字,保证唯一,所有都必须一致
cluster.name: cluster-es
# 节点名称,必须不一样
node.name: node-2
# 必须为本机的ip地址
network.host: 0.0.0.0
# Http端口,在同一机器下必须不一样
http.port: 9200
# 设置集群自动发现机器ip集合,采用广播模式
discovery.zen.ping.unicast.hosts: [“10.0.0.1”,“10.0.0.2”]
# 防止脑裂。声明大于几个的投票主节点有效,请设置为(nodes / 2) + 1 (75行)
# 因为我这里只部署了两台服务器,所以是设置为1
discovery.zen.minimum_master_nodes: 1

# 允许跨域
http.cors.enabled: true
http.cors.allow-origin: “*”
http.cors.allow-headers: Authorization,X-Requested-With,Content-Length,Content-Type

# 设置证书
xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.client_authentication: required
xpack.security.transport.ssl.keystore.path: elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: elastic-certificates.p12


6.启动ES,启动步骤请参考单机版不加密部署的第2点,每个节点服务器都是一样的启动方式


7.保证每个节点启动成功之后执行以下命令

#手动设置密码命令
/usr/local/elasticsearch-6.8.23/bin/elasticsearch-setup-passwords interactive

在这里插入图片描述


8.在浏览器直接访问(ip+端口号)
然后输入用户名:elastic,密码就是刚刚自己设置的,或者系统自动输出的
在这里插入图片描述
在这里插入图片描述
到这里为止,ES加密访问集群已经部署成功了!


9.另外,如果想通过head插件访问ES,可以按照以下步骤安装

  • 下载head插件:https://github.com/mobz/elasticsearch-head

  • 把下载好的head插件解压,然后改名为ROOT,然后准备一个新的tomcat,把tomcat的webapps文件下的内容文件全部清空,接着把改名为ROOT的head插件迁移到webapps中去,然后修改tomcat端口号,启动tomcat即可
    在这里插入图片描述

  • 启动成功后就用以下路径访问

    http://10.0.0.1:8000/?auth_user=elastic&auth_password=W0A67ogjHAdGOBhE32fp
    部署的ES服务器IP加端口号,用户名auth_user=elastic是固定的,密码auth_password就是自己设置的密码

  • 连接成功后出现如下的图就代表安装成功了

    在这里插入图片描述


好了,保姆级的ES部署方案已经全部写完了,后面会更新ES加密配合logstash和JAVA访问的案例!

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/人工智能uu/article/detail/953691
推荐阅读
相关标签
  

闽ICP备14008679号