亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

EFK教程(4) - ElasticSearch集群TLS加密通訊

發布時間:2020-06-07 02:02:08 來源:網絡 閱讀:811 作者:小慢哥 欄目:系統運維

EFK教程(4) - ElasticSearch集群TLS加密通訊

基于TLS實現ElasticSearch集群加密通訊

作者:“發顛的小狼”,歡迎轉載


目錄

? 用途
? ES節點信息
? Step1. 關閉服務
? Step2. 創建CA證書
? Step3. 創建CERT證書
? Step4. 創建密鑰庫
? Step5. 刪除CA證書
? Step6. 修改elasticsearch.yml配置
? Step7. 啟動服務
? 附. 參考文檔


用途

前情提要:

? 在第一篇《EFK教程 - 快速入門指南》中,闡述了EFK的安裝部署,其中ElasticSearch的架構為三節點,即master、ingest、data角色同時部署在三臺服務器上。
? 在第二篇《EFK教程 - ElasticSearch高性能高可用架構》中,闡述了EFK的data/ingest/master角色的用途及分別部署三節點,在實現性能最大化的同時保障高可用。
? 在第三篇《EFK教程(3) - ElasticSearch冷熱數據分離》中,闡述了ES多實例部署,將不同熱度的數據存在不同的磁盤上,實現了數據冷熱分離、資源合理分配。

前三篇文章,ES集群之間數據交互都是明文交互,而在本文中,為ES集群創建CA、CERT證書,實現ElasticSearch集群之間數據通過TLS進行雙向加密交互。


ES節點信息

由于本文是基于上一篇文章《EFK教程(3) - ElasticSearch冷熱數據分離》為環境進行闡述,因此節點信息和上一篇一致:

EFK教程(4) - ElasticSearch集群TLS加密通訊


Step1. 關閉服務

首先,需要停止所有ElasticSearch、kibana、filebeat服務,待證書配置完成后再啟動


Step2. 創建CA證書

1?? 找任一一臺ElasticSearch節點服務器操作即可

cd /opt/elasticsearch/
# --days: 表示有效期多久
sudo -u elasticsearch ./bin/elasticsearch-certutil ca --days 3660

2?? 務必將生成的CA證書,傳到安全地方永久存儲,因為后期若需要新增ES節點,還會用到該證書

EFK教程(4) - ElasticSearch集群TLS加密通訊
EFK教程(4) - ElasticSearch集群TLS加密通訊

3?? 請將elastic-stack-ca.p12證書傳到所有ES實例服務器上


Step3. 創建CERT證書

按上面表格進入相對應的目錄創建CERT證書

# 在ES目錄中建立證書目錄及給予elasticsearch權限
mkdir -p config/certs;chown elasticsearch.elasticsearch config/certs -R

# 每一個實例一個證書
# --ca CA證書的文件名,必選參數
# --dns 服務器名,多服務器名用逗號隔開,可選參數
# --ip 服務器IP,多IP用逗號隔開,可選參數
# --out 輸出到哪里,可選參數
# --days 有效期多久,可選參數
sudo -u elasticsearch ./bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12 --ip ${本機IP},127.0.0.1 --out config/certs/cert.p12 --days 3660
# 例如elasticsearch-master-1(192.168.1.31)執行命令:sudo -u elasticsearch ./bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12 --ip 192.168.1.31,127.0.0.1 --out config/certs/cert.p12 --days 3660

EFK教程(4) - ElasticSearch集群TLS加密通訊
EFK教程(4) - ElasticSearch集群TLS加密通訊

如果想批量生成CERT證書,請自行查閱附錄鏈接,不過批量生成有時會碰到生成的證書不可用,因此建議一臺一臺生成


Step4. 創建密鑰庫

按上面表格進入相對應的目錄創建密鑰庫

# 每一個實例都要操作
# 創建密鑰庫
sudo -u elasticsearch ./bin/elasticsearch-keystore create
# PKCS#12文件的密碼
sudo -u elasticsearch ./bin/elasticsearch-keystore add xpack.security.transport.ssl.keystore.secure_password
# 信任庫的密碼
sudo -u elasticsearch ./bin/elasticsearch-keystore add xpack.security.transport.ssl.truststore.secure_password

EFK教程(4) - ElasticSearch集群TLS加密通訊
EFK教程(4) - ElasticSearch集群TLS加密通訊
EFK教程(4) - ElasticSearch集群TLS加密通訊

確認keystore、truststore已錄入至密鑰庫

sudo -u elasticsearch ./bin/elasticsearch-keystore list

EFK教程(4) - ElasticSearch集群TLS加密通訊


Step5. 刪除CA證書

由于上面創建的elastic-stack-ca.p12含有私鑰,因此為了安全,建議將該文件刪除(請務必提前備份好,因為后期增加節點還會用到)

按上面表格進入相對應的目錄刪除CA證書

rm -f elastic-stack-ca.p12

Step6. 修改elasticsearch.yml配置

按上面表格對應的實例配置conf目錄下elasticsearch.yml

# 在所有實例上加上以下配置
# 開啟transport.ssl認證
xpack.security.transport.ssl.enabled: true
# xpack認證方式 full為主機或IP認證及證書認證,certificates為證書認證,不對主機和IP認證,默認為full
xpack.security.transport.ssl.verification_mode: full
# xpack包含私鑰和證書的PKCS#12文件的路徑
xpack.security.transport.ssl.keystore.path: certs/cert.p12
# xpack包含要信任的證書的PKCS#12文件的路徑
xpack.security.transport.ssl.truststore.path: certs/cert.p12

Step7. 啟動服務

# 開啟所有ES實例
sudo -u elasticsearch ./bin/elasticsearch

# 開啟filebeat
/opt/filebeat/filebeat -e -c /opt/filebeat/filebeat.yml -d "publish"

# 開啟kibana
sudo -u kibana /opt/kibana/bin/kibana -c /opt/kibana/config/kibana.yml

附. 參考文檔

https://www.elastic.co/guide/en/elasticsearch/reference/current/configuring-tls.html
https://www.elastic.co/guide/en/elasticsearch/reference/7.3/certutil.html
向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

洛宁县| 抚宁县| 疏附县| 扎赉特旗| 政和县| 乌海市| 泊头市| 黎川县| 嘉善县| 肃北| 蒙自县| 镶黄旗| 邻水| 新营市| 英德市| 兴海县| 界首市| 赞皇县| 鄂尔多斯市| 鄢陵县| 金沙县| 高雄市| 张家川| 祁阳县| 汶川县| 武胜县| 蕉岭县| 宁德市| 穆棱市| 育儿| 天峻县| 南雄市| 金山区| 东乌珠穆沁旗| 南召县| 静安区| 保亭| 宜阳县| 汉沽区| 安岳县| 舟山市|