ElasticSearch7.10配置Search-Guard

ElasticSearch7.10配置Search-Guard

1.下载elasticsearch7.10

2. 修改系统属性

$ vim  /etc/security/limits.conf

* soft nofile 655360
* hard nofile 655360
* soft nproc 65536
* hard nproc 65536

$ vim /etc/sysctl.conf

vm.max_map_count=262144

3. 增加es组和es用户

3.1 创建

$ groupadd es
$ useradd es -g es
$ passwd  es

3.2 修改es的属组

$ chown -R es:es /home/software/es_ssl/

4. 服务安全配置

选择一个你想去生成如下证书的类型:

  • 1.每个节点的证书
  • 2.一个admin证书

在每个节点上使用相同的证书它是可以的。但是不安全的,你不能使用主机名验证和搜索守卫的DNS查询功能去检查TLS证书的有效性。

4.1 网址

插件:

https://docs.search-guard.com/latest/search-guard-versions

选择 example PKI script 脚本生成器:

https://docs.search-guard.com/latest/search-guard-installation

4.2 配置 example

4.2.1 前提条件

  • 1.openssl version

确保版本1.0.1k 或者更高

  • 2.keytool

输入在服务器上,会出现一个list的命令。如果没有,确保JDK已安装且环境配置OK。

4.2.2 生成证书

https://git.floragunn.com/search-guard/legacy/search-guard-ssl/-/tree/master

这个是ssl 的代码仓库

4.3 第一次安装:所有的集群重启

第一次安装搜索守卫在集群上总是需要全部重启。TLS加密在Elastsearch的传输层是强制性的。并且所有的节点都已经安装守卫能够互相通话。如果搜索守卫已经安装,现在想去更新,使用如下链接:

https://docs.search-guard.com/latest/upgrading

4.3.1 通常

  • 1.禁用分片分配

  • 2.停止所有节点

  • 3.在所有节点安装搜索守卫插件

  • 4.在elasticsearch.yml中配置TLS

  • 5.重启elasticsearch且检查节点状态

  • 6.重新启动分片分配功能通过使用sgadmin
    https://docs.search-guard.com/latest/sgadmin

  • 7.配置认证/授权,用户、角色和权限,通过使用搜索守卫的sgadmin

4.4 安装Search Guard

4.4.1可以使用Elasticsearch的bin/elasticsearch-plugin安装命令

$ bin/elasticsearch-plugin install -b file:///path/to/search-guard-7-<version>.zip

可能会出现额外的权限窗口,在安装过程中,确定“y“

4.4.2可以下载匹配Elasticsearch版本的Search Guard

https://docs.search-guard.com/latest/search-guard-versions

4.5 增加TLS配置

对于各类证书的路径都要指定Elasticsearch的config目录。

4.5.1 传输配置

searchguard.ssl.transport.pemcert_filepath: <path_to_node_certificate>
searchguard.ssl.transport.pemkey_filepath: <path_to_node_certificate_key>
searchguard.ssl.transport.pemkey_password: <key_password (optional)>
searchguard.ssl.transport.pemtrustedcas_filepath: <path_to_root_ca>
searchguard.ssl.transport.enforce_hostname_verification: <true | false>
searchguard.authcz.admin_dn:
  - CN=kirk,OU=client,O=client,L=test, C=de

这个“searchguard.authcz.admin_dn“配置admin证书,你可以使用”sgadmin“或者REST 管理API。你需要去声明证书的完整DN,并且可以配置多个管理证书。

4.5.2 TLS—HTTPS

searchguard.ssl.http.enabled: true
searchguard.ssl.http.pemcert_filepath: <path_to_http_certificate>
searchguard.ssl.http.pemkey_filepath: <path_to_http_certificate_key>
searchguard.ssl.http.pemkey_password: <key_password (optional)>
searchguard.ssl.http.pemtrustedcas_filepath: <path_to_http_root_ca>

4.5.3 REST管理API

在elasticsearch.yml中加入

searchguard.restapi.roles_enabled: ["SGS_ALL_ACCESS"]

4.6 重新启用分片分配功能

在集群重新启动之后
Example using sgadmin

./sgadmin.sh --enable-shard-allocation
 -cert ./kirk.pem -key ./kirk-key.pem -cacert ./root-ca.pem 

4.7 初始化Search Guard

https://docs.search-guard.com/latest/sgadmin

4.7.1 集群6.x 到 集群7.x

在Search Guard插件tools目录中,当你在集群6.x中执行完“configuration backup“,可以使用sgadmin离线迁移存在的文件。
https://docs.search-guard.com/latest/sgadmin-configuration-changes
当你已经迁移后,你可以更新它们对于集群7.x

./sgadmin.sh 
    --migrate-offline /path/to/configdirectory/  
    -cacert /path/to/root-ca.pem 
    -cert /path/to/admin-certificate.pem 
    -key /path/to/admin-certificate-key.pem  

Example:

./sgadmin.sh 
    -mo ../sgconfig/  
    -cacert ../../../root-ca.pem 
    -cert ../../../kirk.pem 
    -key ../../../kirk.key.pem    

4.7.2 配置认证和授权

Search Guard带有可插拔的身份验证和授权模块。根据你的用例和基础设施,你可以使用一个或多个身份验证和授权模块,如:

  • 1.Search Guard 内置用户
  • 2.LDAP 和 Active目录
  • 3.Kerberos
  • 4.JSON Web Token
  • 5.Proxy Authentication

5.Search Guard Health Check

接着上面讲,Search Guard安装最后呢,需要查看一下健康状态。
如果Search Guard已经安装,并且跑了起来,可以通过如下命令,查看健康状态。

https://<hostname>:9200/_searchguard/health

它的返回是一个JSON串。

{
  message: null,
  mode: "strict",
  status: "UP"
}
上一篇:java – jmh:同时运行基准测试


下一篇:linux基础37——区域锁