开发者社区> 熟透的蜗牛> 正文

Elasticsearch集群配置密码(传统方式&Docker方式)

简介: Elasticsearch集群配置密码(传统方式&Docker方式)
+关注继续查看

正文


  在最低安全配置中添加密码保护后,需要配置传输层安全 (TLS)。传输层处理集群中节点之间的所有内部通信。如果集群有多个节点,那么您必须在节点之间配置 TLS。如果不启用 TLS,生产模式集群将不会启动。传输层依赖于双向 TLS 来加密和验证节点。正确应用 TLS 可确保恶意节点无法加入集群并与其他节点交换数据。虽然在 HTTP 层实现用户名和密码认证对于保护本地集群很有用,但节点之间的通信安全需要 TLS。在节点之间配置 TLS 是基本的安全设置,以防止未经授权的节点访问您的集群。


传统方式


集群安装


1、生成证书


./bin/elasticsearch-certutil ca


Please enter the desired output file [elastic-stack-ca.p12]:  此处按回车键

Enter password for elastic-stack-ca.p12 :  输入密码 snail(也可以不输入)


2、集群中的任意一个节点生成证书和私钥


./bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12


Enter password for CA (elastic-stack-ca.p12) : 输入上面的密码

Please enter the desired output file [elastic-certificates.p12]:  回车


Enter password for elastic-certificates.p12 : 输入上面的密码


 3、此时已生成证书elastic-certificates.p12,将该证书复制到每一个节点的config目录下


/usr/local/elasticsearch/config


4、在每一个节点上存储密码


./bin/elasticsearch-keystore add xpack.security.transport.ssl.keystore.secure_password
./bin/elasticsearch-keystore add xpack.security.transport.ssl.truststore.secure_password


5、修改每一个节点elasticsearch.yml 注意不要有多余的空格


# ======================== Elasticsearch Configuration =========================
#
# NOTE: Elasticsearch comes with reasonable defaults for most settings.
#       Before you set out to tweak and tune the configuration, make sure you
#       understand what are you trying to accomplish and the consequences.
#
# The primary way of configuring a node is via this file. This template lists
# the most important settings you may want to configure for a production cluster.
#
# Please consult the documentation for further information on configuration options:
# https://www.elastic.co/guide/en/elasticsearch/reference/index.html
#
# ---------------------------------- Cluster -----------------------------------
#
# Use a descriptive name for your cluster:
#
cluster.name: my-es
#
# ------------------------------------ Node ------------------------------------
#
# Use a descriptive name for the node:
#
node.name: node-3
#
# Add custom attributes to the node:
#
#node.attr.rack: r1
#
# ----------------------------------- Paths ------------------------------------
#
# Path to directory where to store the data (separate multiple locations by comma):
#
path.data: /usr/local/es/data
#
# Path to log files:
#
path.logs: /usr/local/es/logs
#
# ----------------------------------- Memory -----------------------------------
#
# Lock the memory on startup:
#
#bootstrap.memory_lock: true
#
# Make sure that the heap size is set to about half the memory available
# on the system and that the owner of the process is allowed to use this
# limit.
#
# Elasticsearch performs poorly when the system is swapping the memory.
#
# ---------------------------------- Network -----------------------------------
#
# By default Elasticsearch is only accessible on localhost. Set a different
# address here to expose this node on the network:
#
network.host: 0.0.0.0
#
# By default Elasticsearch listens for HTTP traffic on the first free port it
# finds starting at 9200. Set a specific HTTP port here:
#
http.port: 9200
#
# For more information, consult the network module documentation.
#
# --------------------------------- Discovery ----------------------------------
#
# Pass an initial list of hosts to perform discovery when this node is started:
# The default list of hosts is ["127.0.0.1", "[::1]"]
#
discovery.seed_hosts: ["192.168.139.160","192.168.139.161", "192.168.139.162"]
#
# Bootstrap the cluster using an initial set of master-eligible nodes:
#
cluster.initial_master_nodes: ["node-1", "node-2","node-3"]
#
# For more information, consult the discovery and cluster formation module documentation.
#
# ---------------------------------- Various -----------------------------------
#
# Require explicit names when deleting indices:
#
#action.destructive_requires_name: true
#设置密码
xpack.security.enabled: true
http.cors.allow-headers: Authorization
xpack.license.self_generated.type: basic
#设置单点模式
#discovery.type: single-node
#设置证书
xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.client_authentication: required
xpack.security.transport.ssl.keystore.path: elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: elastic-certificates.p12


6、授权证书文件


chown -R snail_es.es /usr/local/elasticsearch/


7、设置密码,请保证每个节点都在运行的状态


./bin/elasticsearch-setup-passwords interactive  手动
./bin/elasticsearch-setup-passwords auto 自动


Changed password for user apm_system

PASSWORD apm_system = Yu0vjHZxkCBXuGnTM9VM


Changed password for user kibana_system

PASSWORD kibana_system = oNXyGWsWHLC3VllVb4Qb


Changed password for user kibana

PASSWORD kibana = oNXyGWsWHLC3VllVb4Qb


Changed password for user logstash_system

PASSWORD logstash_system = XFd1IoqZAgt7scdxwXN2


Changed password for user beats_system

PASSWORD beats_system = 1oENHpgMQLeLyiugkmRy


Changed password for user remote_monitoring_user

PASSWORD remote_monitoring_user = bjGZqG7SxffKciVJRxsX


Changed password for user elastic

PASSWORD elastic = cGKuMaWGZLBaSSDW7qKX


elastic

一个内置的超级用户。

kibana_system

Kibana 用于连接 Elasticsearch 并与之通信的用户。

logstash_system

Logstash 在 Elasticsearch 中存储监控信息时使用的用户。

beats_system

Beats 在 Elasticsearch 中存储监控信息时使用的用户。

apm_system

APM 服务器在 Elasticsearch 中存储监控信息时使用的用户。

remote_monitoring_user

在 Elasticsearch 中收集和存储监控信息时使用的用户 Metricbeat。

它具有remote_monitoring_agent和 remote_monitoring_collector内置角色。


8、结束


Docker方式


1、创建挂载目录并授权


[root@localhost ~]# mkdir -p /data/es/{conf,data,logs,plugins}
#授权
[root@localhost ~]# chmod 777 -R /data/

2、进入容器生成证书


docker exec -it elasticsearch /bin/bash 
 
./bin/elasticsearch-certutil ca
 
#集群中的任意一个节点生成证书和私钥
./bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12


3、将证书复制到每个节点的config目录(挂载目录)


将证书复制到宿主机
#复制
docker cp elasticsearch:/usr/share/elasticsearch/elastic-certificates.p12 /root


4、将证书复制到每一个节点docker容器中


docker cp /data/es/conf/elastic-certificates.p12 
 
elasticsearch:/usr/share/elasticsearch/config
 
#存储密码 每一个节点都要执行
./bin/elasticsearch-keystore add xpack.security.transport.ssl.keystore.secure_password
 
./bin/elasticsearch-keystore add xpack.security.transport.ssl.truststore.secure_password


5、修改配置文件跟上面配置文件一样


6、进入容器设置密码


docker exec -it elasticsearch /bin/bash 
./bin/elasticsearch-setup-passwords interactive  手动
./bin/elasticsearch-setup-passwords auto 自动


7、重新启动容器或者新创建容器


docker run --name elasticsearch --privileged=true --net=host \
 -v /data/es/conf/elasticsearch.yml:/usr/share/elasticsearch/config/elasticsearch.yml \
 -v /data/es/data:/usr/share/elasticsearch/data \
 -v /data/es/logs:/usr/share/elasticsearch/logs \
 -v /data/es/plugins:/usr/share/elasticsearch/plugins \
 -d elasticsearch:7.14.2


8、结束


版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
23575 0
阿里云服务器ECS远程登录用户名密码查询方法
阿里云服务器ECS远程连接登录输入用户名和密码,阿里云没有默认密码,如果购买时没设置需要先重置实例密码,Windows用户名是administrator,Linux账号是root,阿小云来详细说下阿里云服务器远程登录连接用户名和密码查询方法
22329 0
阿里云ECS云服务器初始化设置教程方法
阿里云ECS云服务器初始化是指将云服务器系统恢复到最初状态的过程,阿里云的服务器初始化是通过更换系统盘来实现的,是免费的,阿里云百科网分享服务器初始化教程: 服务器初始化教程方法 本文的服务器初始化是指将ECS云服务器系统恢复到最初状态,服务器中的数据也会被清空,所以初始化之前一定要先备份好。
16629 0
阿里云服务器安全组设置内网互通的方法
虽然0.0.0.0/0使用非常方便,但是发现很多同学使用它来做内网互通,这是有安全风险的,实例有可能会在经典网络被内网IP访问到。下面介绍一下四种安全的内网互联设置方法。 购买前请先:领取阿里云幸运券,有很多优惠,可到下文中领取。
22510 0
如何设置阿里云服务器安全组?阿里云安全组规则详细解说
阿里云安全组设置详细图文教程(收藏起来) 阿里云服务器安全组设置规则分享,阿里云服务器安全组如何放行端口设置教程。阿里云会要求客户设置安全组,如果不设置,阿里云会指定默认的安全组。那么,这个安全组是什么呢?顾名思义,就是为了服务器安全设置的。安全组其实就是一个虚拟的防火墙,可以让用户从端口、IP的维度来筛选对应服务器的访问者,从而形成一个云上的安全域。
19735 0
windows server 2008阿里云ECS服务器安全设置
最近我们Sinesafe安全公司在为客户使用阿里云ecs服务器做安全的过程中,发现服务器基础安全性都没有做。为了为站长们提供更加有效的安全基础解决方案,我们Sinesafe将对阿里云服务器win2008 系统进行基础安全部署实战过程! 比较重要的几部分 1.
11998 0
126
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
JS零基础入门教程(上册)
立即下载
性能优化方法论
立即下载
手把手学习日志服务SLS,云启实验室实战指南
立即下载