1.ElasticSearch系列之集群部署及权限认证

已于 2024-06-20 21:13:58 修改
阅读量581 收藏
点赞数
分类专栏: NOSQL 文章标签: elasticsearch 大数据 java
于 2022-10-18 20:19:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SJshenjian/article/details/127395865
版权

一、集群部署

第一步:安装JDK

JDK要求jdk1.8+,不安装也可以,ES自带JDK

第二步:系统配置

2.1 禁用交换区

    sudo swapoff -a

2.2 开最大文件数的限制

    编辑文件 /etc/security/limits.conf把nofile设置为65536
    或者执行
    echo  "* soft nofile 65536" >> /etc/security/limits.conf
    echo  "* hard nofile 65536" >> /etc/security/limits.conf
    echo  "elasticsearch soft memlock unlimited" >> /etc/security/limits.conf
    echo  "elasticsearch hard memlock unlimited" >> /etc/security/limits.conf

2.3 设置虚拟内存

    临时生效 sysctl -w vm.max_map_count=262144
    永久生效 编辑/etc/sysctl.conf vm.max_map_count
    验证命令 sysctl vm.max_map_count

2.4 线程数量

    root用户执行 ulimit -u 4096
    或者
    编辑/etc/security/limits.conf把nproc设置为4096
    echo  "* soft nproc 4096" >> /etc/security/limits.conf
    echo  "* hard nproc 4096" >> /etc/security/limits.conf

第三步:创建用户并设置密码

    useradd elasticsearch
    passwd elasticsearch

第四步:安装目录介绍

4.1 创建安装包目录

mkdir -p home/software

4.2 上传压缩包并解压

tar zxvf ES安装包.tar.gz
tar xf elasticsearch-7.6.2-linux-x86_64.tar.gz -C /usr/local
tar xf kibana-7.6.2-linux-x86_64.tar.gz -C /usr/local

4.3 数据日志位置介绍及创建

  • ES安装目录 /usr/local
  • ES_HOME /usr/local/elasticsearch-7.6.2
  • 数据目录 /home/elasticsearch/data
  • 日志目录 /home/elasticsearch/logs
  • 配置目录 /home/elasticsearch/config
mkdir /home/elasticsearch/data /home/elasticsearch/logs /home/elasticsearch/config

4.4 拷贝config目录

cp /usr/local/elasticsearch-7.6.2/config/* /home/elasticsearch/config

第五步:修改ES基本配置

5.1 进入elasticsearch.yml

vi /usr/local/elasticsearch-7.6.2/config/elasticsearch.yml

5.2 修改elasticsearch.yml配置

# 集群名称
cluster.name: shenjian
# 配置数据目录
path.data: /home/elasticsearch/data
# 配置日志目录
path.logs: /home/elasticsearch/logs
# 启动时是否锁定内存
bootstrap.memory_lock: true
# 节点启动时要加入的集群机器列表,可配置所有节点
discovery.seed_hosts: ["192.168.0.6","192.168.0.7", "192.168.0.8"]
# 初始化可成为主节点的列表
cluster.initial_master_nodes: ["192.168.0.6","192.168.0.7", "192.168.0.8"]

5.3 修改jvm.options配置

-Xms20g
-Xmx20g

# JAVA8 9 GC LOG路径
8:-Xloggc:/home/elasticsearch/logs/gc.log
file=/home/elasticsearch/logs/gc.log

第六步:创建启动脚本

start_elasticsearch.sh

###指定ES的安装目录
ES_HOME="/usr/local/elasticsearch-7.6.2"
###指定ES配置文件的目录
export ES_PATH_CONF="/home/elasticsearch/config"
pid=`ps ax | grep elasticsearch | grep java | head -1 | awk '{print $1}'`
kill -9 $pid
echo "kill -9 $pid success"
ulimit -u 4096
#IP=`ifconfig | grep "inet addr:" |grep 192.168.0| sed '/127/d' | awk '{print $2}' | awk -F : '{print $2}'`
#echo $IP
IP=192.168.0.6
$ES_HOME/bin/elasticsearch -d -Enode.name=HOST${IP} -Enetwork.host=${IP}

第七步:授权并启动

chown -R elasticsearch:ealsticsearch /home/elasticsearch
chmod -x /home/elasticsearch/start_elasticsearch.sh
./start_elasticsearch.sh

第八步:验证集群启动情况

curl http://192.168.0.8:9200/_cat/nodes?pretty

可以看到打印信息
192.168.0.7 10 78  0 0.11 0.05 0.06 dilm * HOST192.168.0.7
192.168.0.8 17 79  1 0.02 0.02 0.05 dilm - HOST192.168.0.8
192.168.0.6 16 87 29 0.77 0.38 0.18 dilm - HOST192.168.0.6

遇到的问题

低版本的Centos抛出的警告

java.lang.UnsupportedOperationException: seccomp unavailable: CONFIG_SECCOMP not compiled into kernel, CONFIG_SECCOMP and CONFIG_SECCOMP_FILTER are needed
	at org.elasticsearch.bootstrap.SystemCallFilter.linuxImpl(SystemCallFilter.java:341) ~[elasticsearch-6.2.4.jar:6.2.4]
	at org.elasticsearch.bootstrap.SystemCallFilter.init(SystemCallFilter.java:616) ~[elasticsearch-6.2.4.jar:6.2.4]
	at org.elasticsearch.bootstrap.JNANatives.tryInstallSystemCallFilter(JNANatives.java:258) [elasticsearch-6.2.4.jar:6.2.4]
	at org.elasticsearch.bootstrap.Natives.tryInstallSystemCallFilter(Natives.java:113) [elasticsearch-6.2.4.jar:6.2.4]
	at org.elasticsearch.bootstrap.Bootstrap.initializeNatives(Bootstrap.java:110) [elasticsearch-6.2.4.jar:6.2.4]
	at org.elasticsearch.bootstrap.Bootstrap.setup(Bootstrap.java:172) [elasticsearch-6.2.4.jar:6.2.4]
	at org.elasticsearch.bootstrap.Bootstrap.init(Bootstrap.java:323) [elasticsearch-6.2.4.jar:6.2.4]
	at org.elasticsearch.bootstrap.Elasticsearch.init(Elasticsearch.java:121) [elasticsearch-6.2.4.jar:6.2.4]
	at org.elasticsearch.bootstrap.Elasticsearch.execute(Elasticsearch.java:112) [elasticsearch-6.2.4.jar:6.2.4]
	at org.elasticsearch.cli.EnvironmentAwareCommand.execute(EnvironmentAwareCommand.java:86) [elasticsearch-6.2.4.jar:6.2.4]
	at org.elasticsearch.cli.Command.mainWithoutErrorHandling(Command.java:124) [elasticsearch-cli-6.2.4.jar:6.2.4]
	at org.elasticsearch.cli.Command.main(Command.java:90) [elasticsearch-cli-6.2.4.jar:6.2.4]
	at org.elasticsearch.bootstrap.Elasticsearch.main(Elasticsearch.java:92) [elasticsearch-6.2.4.jar:6.2.4]
	at org.elasticsearch.bootstrap.Elasticsearch.main(Elasticsearch.java:85) [elasticsearch-6.2.4.jar:6.2.4]
	
	解决方案:
	
	修改elasticsearch.yml 添加一下内容
    bootstrap.memory_lock: false
    bootstrap.system_call_filter: false

java.io.IOException: No route to host

Caused by: java.io.IOException: No route to host
at sun.nio.ch.SocketChannelImpl.checkConnect(Native Method) ~[?:?]
	at sun.nio.ch.SocketChannelImpl.finishConnect(SocketChannelImpl.java:715) ~[?:?]
	at io.netty.channel.socket.nio.NioSocketChannel.doFinishConnect(NioSocketChannel.java:330) ~[netty-transport-4.1.43.Final.jar:4.1.43.Final]
	at io.netty.channel.nio.AbstractNioChannel$AbstractNioUnsafe.finishConnect(AbstractNioChannel.java:334) ~[netty-transport-4.1.43.Final.jar:4.1.43.Final]
	at io.netty.channel.nio.NioEventLoop.processSelectedKey(NioEventLoop.java:688) ~[?:?]
	at io.netty.channel.nio.NioEventLoop.processSelectedKeysPlain(NioEventLoop.java:600) ~[?:?]
	at io.netty.channel.nio.NioEventLoop.processSelectedKeys(NioEventLoop.java:554) ~[?:?]
	at io.netty.channel.nio.NioEventLoop.run(NioEventLoop.java:514) ~[?:?]
	at io.netty.util.concurrent.SingleThreadEventExecutor$6.run(SingleThreadEventExecutor.java:1050) ~[?:?]
	at io.netty.util.internal.ThreadExecutorMap$2.run(ThreadExecutorMap.java:74) ~[?:?]
	at java.lang.Thread.run(Thread.java:748) ~[?:1.8.0_281]
	
	192.168.0.6机器出现该问题,查看防火墙,发现与其他两台不一致
	firewall-cmd --state # 查看防火墙状态
    systemctl stop firewalld.service # 关闭防火墙
    systemctl disable firewalld.service # 禁止开机自启动
    ok,解决

二、权限认证

1. 在master节点上创建秘钥库

export ES_PATH_CONF="/home/elasticsearch/config" &&   /usr/local/elasticsearch-7.6.2/bin/elasticsearch-keystore create

2. 在所有节点中开启ssl认证

2.1 生成elastic-stack-ca.p12

/usr/local/elasticsearch-7.6.2/bin/elasticsearch-certutil ca --days 36500

## 出现Please enter the desired output file [elastic-stack-ca.p12]:输入全路径  
/home/elasticsearch/config/certs/elastic-stack-ca.p12

2.2 生成证书:elastic-certificates.p12

/usr/local/elasticsearch-7.6.2/bin/elasticsearch-certutil cert --days 36500 --ca /home/elasticsearch/config/certs/elastic-stack-ca.p12

## 出现 Enter password for CA (/home/elasticsearch/config/certs/elastic-stack-ca.p12) : 数据刚才设置的证书密码
后出现Please enter the desired output file [elastic-certificates.p12]:,输入全路径
 /home/elasticsearch/config/certs/elastic-certificates.p12

2.3 将elasticsearch节点密码添加至elasticsearch-keystore

/usr/local/elasticsearch-7.6.2/bin/elasticsearch-keystore add xpack.security.transport.ssl.keystore.secure_password

/usr/local/elasticsearch-7.6.2/bin/elasticsearch-keystore add xpack.security.transport.ssl.truststore.secure_password

2.4 将两个证书一个密码文件等拷贝至集群其他节点

scp -r /home/elasticsearch/config/certs elasticsearch@192.168.0.8:/home/elasticsearch/config/
scp /home/elasticsearch/config/elasticsearch.keystore elasticsearch@192.168.0.8:/home/elasticsearch/config/

2.5 在所有节点elasticsearch.yml中新增配置

xpack.security.enabled: true
xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate 
xpack.security.transport.ssl.keystore.path: certs/elastic-certificates.p12 
xpack.security.transport.ssl.truststore.path:  certs/elastic-certificates.p12

3. 在master节点上设置密码

export ES_PATH_CONF="/home/elasticsearch/config"  &&  IP="192.168.0.7" && name="HOST192.168.0.7" && /usr/local/elasticsearch-7.6.2/bin/elasticsearch-setup-passwords interactive  -Enode.name="HOST192.168.0.7" -Enetwork.host="192.168.0.7"

注意:1.此操作会对elasticsearch、logstash、kibana分别设置登录密码(默认es用户名为elastic,
logstash用户名为logstash_system,kibana用户名为kibana).

2.这些内置用户存储在.security由X-Pack安全性管理的特殊索引中。如果更改了密码或禁用了用户,则该更改将自动反映在群集中的每个节点上。这也意味着如果您的.security索引被删除或从快照恢复,那么您应用的任何更改都将丢失。

4. 验证权限

4.1 未输入用户

请求:curl http://192.168.0.8:9200/_cat/nodes?pretty
响应:{
  "error" : {
    "root_cause" : [
      {
        "type" : "security_exception",
        "reason" : "missing authentication credentials for REST request [/_cat/nodes?pretty]",
        "header" : {
          "WWW-Authenticate" : "Basic realm=\"security\" charset=\"UTF-8\""
        }
      }
    ],
    "type" : "security_exception",
    "reason" : "missing authentication credentials for REST request [/_cat/nodes?pretty]",
    "header" : {
      "WWW-Authenticate" : "Basic realm=\"security\" charset=\"UTF-8\""
    }
  },
  "status" : 401
}

4.2 输入用户及密码

curl -u elastic http://192.168.0.8:9200/_cat/nodes?pretty
Enter host password for user 'elastic':
192.168.0.7 10 78 6 0.02 0.13 0.13 dilm * HOST192.168.0.7
192.168.0.8  9 77 4 0.00 0.08 0.10 dilm - HOST192.168.0.8

4.3 证书有效期查看

http://IP:9200/_ssl/certificates?pretty
在这里插入图片描述

OK,到此权限配置成功

欢迎关注公众号算法小生或沈健的技术博客shenjian.online

算法小生Đ
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
一个正确的ES集群重启流程(附串行重启脚本)
一只小白
09-02 1万+
目录1、关闭集群自动均衡、禁止集群写入2、重启es集群3、打开集群自动均衡、开启集群写入4、补充一个串行重启es集群的shell脚本注释:本集群所有操作都在跳板机或者堡垒机进行,运维日常一般不需要我们登录具体的机器。...
ES-集群安装和启动图解
ALONG的博客
03-22 2106
安装 ES   1.下载ES   2.解压并且启动ES   把elasticsearch-7.1.1-windows-x86_64 压缩包解压到G:\opt\ES\elasticsearch-7.1.1   执行下面命令: G:\opt\ES\elasticsearch-7.1.1\bin>elasticsearch 3.在浏览器中打开 http://127.0.0.1:9200/看到以下信息表示ES启动成功 { "name" : "node0", "cluster_name" : "pp
ES脚本启动报错修改
最新发布
Ti_an_Di的博客
05-28 664
最后发现$ES_OPT前方多了一个空格导致启动失败。对变量ES_OPT进行前后空格去除。
ES集群启动流程
tanwt 的博客
10-28 1858
本文主要记录了ES 集群启动过程及简单原理,理解它有助于解决或避免集群维护过程中可能遇到的脑裂、无主、恢复慢、丢数据等问题。
elasticsearch容器启动,集群搭建
weixin_60092693的博客
03-04 285
实验
ElasticSearcch集群一键启动
hetry_liang的博客
08-15 791
ElasticSearcch集群启动 1、elasticsearch集群的启动不能在root用户下,所以使用su命名切换到自己建立的普通用户下。 2、在根目录下面建立两个shell脚本,用来编写集群启动的代码。 3、新建的文件是用户是没有执行权的,所以需要我们分别给两个文件授权。 chmod u+x esstart.sh remote.sh 4、编辑esstart.sh脚本信息如下图所示 vi esstart.sh 该脚本用来启动elasticsearch集群 5、编辑remote.sh脚本信
最新版linux elasticsearch-7.16.1-linux-x86_64.tar.gz
12-16
总的来说,Elasticsearch 7.16.1在Linux上的部署和管理是一项涉及多方面技术的工作,包括配置管理、性能调优、安全性控制等。通过深入了解其工作原理和特性,你可以充分利用这一强大的搜索引擎来处理和分析大量数据...
ES部署手册.docx
06-06
Elasticsearch,简称ES,是一个基于Lucene的开源搜索引擎,设计为分布式、RESTful风格的搜索和数据分析引擎。它能够处理大量的数据,并提供实时分析,适用于日志分析、监控、信息检索等多种场景。Elasticsearch是...
KingbaseES V8R2 集群部署手册
11-29
6. **安全与权限管理**:集群部署需要考虑安全性,包括用户认证、访问控制、网络隔离等。KingbaseES提供了丰富的安全策略和权限管理功能,以保护数据库免受非法访问和攻击。 7. **监控与维护**:定期的性能监控和...
ElasticSearch添加用户权限验证.docx
02-03
在本文中,我们将深入探讨如何为线上运行的Elasticsearch 6.4.3集群添加用户权限验证,以解决安全扫描发现的未授权访问问题。Elasticsearch虽然默认提供了安全措施,但在某些特定环境中,例如内网环境,仍可能面临...
ES5.4.3部署.docx
03-04
Elasticsearch的`bin/elasticsearch`脚本中,你需要设置`ES_JDK`环境变量指向你的JDK路径,例如 `/export/servers/jdk1.8.0_66`。这样,Elasticsearch将使用指定的JDK启动。 接着,配置Elasticsearch。主要的配置...
一键部署elasticsearch集群/单机版shell脚本(适用于Centos7 x86服务器)
04-21
该安装包实现利用给定参数安装单机版或者集群版es数据库,指定参数后安装过程全自动,自动修改系统内核,配置jdk,自动识别并配置内存,自动根据节点数配置集群脑溢节点配置数。涉及到以下操作 1、自动检测配置java环境 2、自动配置系统内核参数 3、自动安装es 自动es参数配置 jvm配置 集群信息配置 4、注册开机启动服务
elasticsearch集群搭建
qq_45493430的博客
03-06 2766
elasticsearch ARM架构集群搭建 一、搭建环境 搭建服务器IP 环境 es版本号 路径 20.10.0.xx CentOS Linux release 7.9.2009 (AltArch) elasticsearch-7.13.1-aarch64. /data/elsticsearch/* 20.10.0.xx CentOS Linux release 7.9.2009 (AltArch) elasticsearch-7.13.1-aarch64 /data/elstics
ELK系列(一) ElasticSearch 8.9.2集群搭建
BourneSu的博客
12-29 923
ElasticSearch集群搭建
elasticsearch-7.2.1 Linux系统 部署指南
KwokRoot的博客
11-16 2089
系统版本: CentOS release 6.6 (Final) Elasticsearch版本: Elasticsearch-7.2.1 环境要求 1.Java 运行环境。 ①查看 Java 版本(java -version),保证 Java 版本在 8u40 +。 ②Elasticsearch-7.2.1 版本已自带 OpenJDK 捆绑版本(安装包 jdk 目录中)。...
java-No route to host 解决办法
热门推荐
xxxx3的博客
07-12 1万+
出现No route to host 的时候,有如下几种可能:1、对方的域名确实不通2、本机自己开了防火墙3、本机的etc/hosts 里面没有配置本机的机器名和ip  (可能性最大)其中第三点是最猫腻的,在不配置的时候是间断性的(可能1个月都正常,然后突然几天不正常)。修改方案如下:在结尾加上:机器名和机器ip(用空格隔开)...
Elasticsearch集群启动流程
qq_27639777的博客
08-22 869
文章目录选举主节点选举集群元信息allocation过程选主分片选副分片数据恢复主分片recovery副分片recovery节点启动时的外部检查 集群启动过程要经历选举主节点、主分片、数据恢复等重要阶段。 选举主节点 集群启动的第一件事是选择主节点,选主之后的流程由主节点触发。ES的选主算法是基于Bully算法的改进,主要思路是对节点ID排序,取ID值最大的节点作为Master,每个节点都运行这个流程。在实现上被分解为两步:先确定唯一的、大家公认的主节点,再想办法把最新的机器元数据复制到选举出的主节点上。
elasticsearch集群一键部署安装
语旅编程之旅
02-18 2656
1.前提条件 机器已经配置ssh无密码登录 2.配置文件elasticsearch.yml  把所有的都注释掉,只保留下面几个,不知道为何,请在每行前面加上一个空格。  cluster.name: bluedon  node.name: C05  path.data: /data/es1  network.host: C05  discovery.zen.ping.
Elasticsearch自启动设置
艾欧尼亚归我了
02-26 1881
elasticsearch集群启动有先后顺序,但是在各个服务器上的设置基本是一样的,基本都是如下: 1、编写脚本文件//文件名:data.sh #!bin/bash export JAVA_HOME=/JDK/jdk1.7.0_79 export JRE_HOME=${JAVA_HOME}/jre export CLASSPATH=.:${JAVA_HOME}/lib:${JRE_HOME}/li...
:Elasticsearch 8.x K8S 部署集群
04-20
4. 部署Elasticsearch集群:使用kubectl命令或Kubernetes Dashboard将Elasticsearch集群配置文件部署到Kubernetes集群中。Kubernetes会自动创建和管理Elasticsearch节点的Pod。 5. 配置Elasticsearch集群:根据需求...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

算法小生Đ

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值