当前位置:   article > 正文

ElasticSearch7.1安全配置_include system indices

include system indices

官方文档传送门

不足之处请评论指正,谢谢

摘要

6.8.0 和 7.1.0 版本开始, Elastic Stack安全功能免费提供。用户现在能够对网络流量进行加密、创建和管理用户、定义能够保护索引和集群级别访问权限的角色,并且使用 Spaces 为 Kibana 提供全面保护

  • TLS 功能,可对通信进行加密
  • 文件和原生 Realm,可用于创建和管理用户
  • 基于角色的访问控制,可用于控制用户对集群 API 和索引的访问权限;通过针对 Kibana Spaces 的安全功能,还可允许在 Kibana 中实现多用户

之前,这些核心安全功能只有付费黄金级订阅用户才可使用。现在,这些功能是基础级订阅的一部分,免费提供。高级安全功能(从单点登录和活动目录/LDAP 身份验证,到字段和文档级别的安全性)仍然是付费功能。有关详情请查看完整功能对照表

ES官网关于使用ElasticSearch安全功能的博文


创建并保护双节点Elasticsearch集群

安装ElasticSearch和Kibana

1.下载链接 ElasticSearch的版本要和Kibana的版本对应

Elasticsearch7.1:https://www.elastic.co/cn/downloads/elasticsearch

Kibana7.1: https://www.elastic.co/cn/downloads/kibana

2.提取解压ElasticSearch和Kibana

3.复制一个ES副本

配置TLS和身份验证

安全传输层协议(TLS)用于在两个通信应用程序之间提供保密性和数据完整性。

第1步:生成一些允许节点安全通信的证书。

可以使用企业CA执行此操作,但是对于此演示,使用一个命令,elasticsearch-certutil  可以运行此命令,而不会出现任何常见的证书混淆。

bin/elasticsearch-certutil cert -out config/elastic-certificates.p12 -pass ""

配置elasticsearch.yml

在文件的最后添加以下内容

  1. xpack.security.enabled: true
  2. xpack.security.transport.ssl.enabled: true
  3. xpack.security.transport.ssl.verification_mode: certificate
  4. xpack.security.transport.ssl.keystore.path: elastic-certificates.p12
  5. xpack.security.transport.ssl.truststore.path: elastic-certificates.p12

 

保存文件,启动主节点。运行命令bin/elasticsearch

第2步:Elasticsearch集群密码

主节点运行后,就可以设置集群的密码了。进入主节点目录。然后我们运行命令bin/elasticsearch-setup-passwords auto 这将为各种内部堆栈用户生成随机密码。您也可以跳过auto参数,使用interactive参数手动定义密码。记下这些密码,我们会用到它们。

密码将随机生成并打印到控制台 按下 y 确认

第3步:Elasticsearch节点上的TLS

打开另一个新的ES节点的目录 我的是上图中的 node,这是master的一个副本,只是文件夹名不一样

修改node的config/elasticsearch.yml

除了和master相同的安全配置之外,还要添加

 node.master: false 这样这个节点就不会成为master节点

更多es配置相关参考官方集群文档

  1. xpack.security.enabled: true
  2. xpack.security.transport.ssl.enabled: true
  3. xpack.security.transport.ssl.verification_mode: certificate
  4. xpack.security.transport.ssl.keystore.path: elastic-certificates.p12
  5. xpack.security.transport.ssl.truststore.path: elastic-certificates.p12
  6. #此节点不会成为主节点
  7. node.master: false

开启node节点

node节点会和master节点组成一个双节点的集群,可以在head中查看一下

 

打开head时因为配置了es的安全选项,索引要求登录,可以使用elastic用户身份登录

可以看到已经存在两个节点,没有指定节点的名称,使用的是默认的主机名

Kibana配置

在Kibana config/kibana.yml文件中添加 用户名和密码,使用的是kibana用户

  1. elasticsearch.username: "kibana"
  2. elasticsearch.password: "生成密码"

保存文件后,启动Kibana

登录时使用elastic用户

在Kibana中配置基于角色的访问控制(RBAC)

在新建的es中我们没有创建索引,可以先使用系统索引进行尝试

1.到Discover面板下

2.选择 Include system indices (包括系统索引)

3.在下方列出的index中选择一个填入到输入框中

点击Next step

选择完成

创建权限 Rule

 

退出登录,使用自己创建的用户登录

 

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/煮酒与君饮/article/detail/953664
推荐阅读
相关标签
  

闽ICP备14008679号