摘要:elasticsearch7.x 开启安全认证xpack模块,以及kibana、logstash、filebeat组件连接开启安全认证的es。
1.确定ELK集群主节点
登录kibana服务,在Dev Tools菜单中,输入:GET _cat/nodes?v
master指标中带“*”则是主节点,这里主节点是:10.62.196.37
2.生成elastic-stack-ca.p12证书
简介:这是一个包含证书颁发机构(CA)证书的文件。CA证书用于验证和签署其他证书,确保通信的安全性。在Elasticsearch的安全设置中,可以使用elastic-stack-ca.p12来为Elasticsearch集群的节点配置TLS/SSL连接,以确保集群内的节点之间的通信安全。
操作:登录主节点elk,进入bin目录,执行:./elasticsearch-certutil ca
会要求输入密码,直接回车即可,执行完成之后会在bin目录的同级目录(/home/elk/elasticsearch-7.8.0)生成一个文件elastic-stack-ca.p12。
3.生成elastic-certificates.p12证书
这是一个包含节点证书和节点私钥的文件。节点证书用于验证节点身份,而私钥用于加密和签署数据。在配置Elasticsearch集群时,可以为每个节点生成一个证书,并将该证书和私钥存储在elastic-certificates.p12文件中。然后,将该文件部署到每个节点的相应位置,以启用TLS/SSL连接。
操作:bin目录执行:
./elasticsearch-certutil cert -ca /home/elk/elasticsearch-7.8.0/elastic-stack-ca.p12
会要求输入密码,直接回车即可,执行完成之后会在bin目录的同级目录下(/home/elk/elasticsearch-7.8.0)生成一个文件elastic-certificates.p12,如下图所示:
4.创建certs证书目录
在每一个es节点的config目录下创建一个certs文件夹将生成的两个证书文件复制到certs文件夹下,注意:每一个节点都要有这两个文件。
命令:mkdir -p /home/elk/elasticsearch-7.8.0/config/certs
命令:mv elastic-* /home/elk/elasticsearch-7.8.0/config/certs
将生成的 elastic-stack-ca.p12、elastic-certificates.p12 文件复制到各节点的config/certs目录下,更改普通用户权限。
5.修改ES集群配置文件
修改各ES节点配置文件,路径:/home/elk/elasticsearch-7.8.0/config/
####添加如下配置#####
xpack.security.enabled: true
xpack.security.transport.ssl.enabled: true
xpack.license.self_generated.type: basic
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.keystore.path: /home/elk/elasticsearch-7.8.0/config/certs/elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: /home/elk/elasticsearch-7.8.0/config/certs/elastic-stack-ca.p12
修改完各节点配置文件之后,重启各节点es服务。
6.设置密码
登录主节点elk用户,在/home/elk/elasticsearch-7.8.0/bin下执行设置密码,命令:./elasticsearch-setup-passwords interactive,然后输入密码。
在普通节点的ES用户下执行./elasticsearch-setup-passwords interactive
执行命令后会提示让输入密码,挨个输入回车即可。
7.kibana配置用户与密码
编辑kibana配置文件(kibana.yml),增加用户名密码信息,配置如下:
elasticsearch.username: "elastic"
elasticsearch.password: "*******"
重启kibana服务
登录kibana服务,属于用户与密码:elastic && ******
8.创建ES角色
使用内置的elastic用户登录Kibana,选择“Management”菜单下Stack Management,选择“Stack Management”菜单页面“安全性”。
点击”角色”,点击“创建角色”,如创建只读“tdx”业务的角色。
角色:只读通达信日志的角色-Only_Read_Tdx
9.创建ES用户
使用内置elastic用户登录Kibana,选择“Management”菜单下的Stack Management,选择“Stack Management”菜单页面“安全性”。
点击”用户”,点击“创建用户”,如创建访问“tdx”业务的用户-tdx。
文章来源:https://www.toymoban.com/news/detail-783589.html
创建用户,分配角色时只分配需要的角色,另外kibana_admin角色是登录kibana服务必须的角色,因此每个用户都需要。
文章来源地址https://www.toymoban.com/news/detail-783589.html
到了这里,关于ELK集群添加ES用户名密码认证的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!