1.ElasticSearch系列之集群部署及权限认证

已于 2024-06-20 21:13:58 修改
阅读量583 收藏
点赞数
分类专栏: NOSQL 文章标签: elasticsearch 大数据 java
于 2022-10-18 20:19:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SJshenjian/article/details/127395865
版权

一、集群部署

第一步:安装JDK

JDK要求jdk1.8+,不安装也可以,ES自带JDK

第二步:系统配置

2.1 禁用交换区

    sudo swapoff -a

2.2 开最大文件数的限制

    编辑文件 /etc/security/limits.conf把nofile设置为65536
    或者执行
    echo  "* soft nofile 65536" >> /etc/security/limits.conf
    echo  "* hard nofile 65536" >> /etc/security/limits.conf
    echo  "elasticsearch soft memlock unlimited" >> /etc/security/limits.conf
    echo  "elasticsearch hard memlock unlimited" >> /etc/security/limits.conf

2.3 设置虚拟内存

    临时生效 sysctl -w vm.max_map_count=262144
    永久生效 编辑/etc/sysctl.conf vm.max_map_count
    验证命令 sysctl vm.max_map_count

2.4 线程数量

    root用户执行 ulimit -u 4096
    或者
    编辑/etc/security/limits.conf把nproc设置为4096
    echo  "* soft nproc 4096" >> /etc/security/limits.conf
    echo  "* hard nproc 4096" >> /etc/security/limits.conf

第三步:创建用户并设置密码

    useradd elasticsearch
    passwd elasticsearch

第四步:安装目录介绍

4.1 创建安装包目录

mkdir -p home/software

4.2 上传压缩包并解压

tar zxvf ES安装包.tar.gz
tar xf elasticsearch-7.6.2-linux-x86_64.tar.gz -C /usr/local
tar xf kibana-7.6.2-linux-x86_64.tar.gz -C /usr/local

4.3 数据日志位置介绍及创建

  • ES安装目录 /usr/local
  • ES_HOME /usr/local/elasticsearch-7.6.2
  • 数据目录 /home/elasticsearch/data
  • 日志目录 /home/elasticsearch/logs
  • 配置目录 /home/elasticsearch/config
mkdir /home/elasticsearch/data /home/elasticsearch/logs /home/elasticsearch/config

4.4 拷贝config目录

cp /usr/local/elasticsearch-7.6.2/config/* /home/elasticsearch/config

第五步:修改ES基本配置

5.1 进入elasticsearch.yml

vi /usr/local/elasticsearch-7.6.2/config/elasticsearch.yml

5.2 修改elasticsearch.yml配置

# 集群名称
cluster.name: shenjian
# 配置数据目录
path.data: /home/elasticsearch/data
# 配置日志目录
path.logs: /home/elasticsearch/logs
# 启动时是否锁定内存
bootstrap.memory_lock: true
# 节点启动时要加入的集群机器列表,可配置所有节点
discovery.seed_hosts: ["192.168.0.6","192.168.0.7", "192.168.0.8"]
# 初始化可成为主节点的列表
cluster.initial_master_nodes: ["192.168.0.6","192.168.0.7", "192.168.0.8"]

5.3 修改jvm.options配置

-Xms20g
-Xmx20g

# JAVA8 9 GC LOG路径
8:-Xloggc:/home/elasticsearch/logs/gc.log
file=/home/elasticsearch/logs/gc.log

第六步:创建启动脚本

start_elasticsearch.sh

###指定ES的安装目录
ES_HOME="/usr/local/elasticsearch-7.6.2"
###指定ES配置文件的目录
export ES_PATH_CONF="/home/elasticsearch/config"
pid=`ps ax | grep elasticsearch | grep java | head -1 | awk '{print $1}'`
kill -9 $pid
echo "kill -9 $pid success"
ulimit -u 4096
#IP=`ifconfig | grep "inet addr:" |grep 192.168.0| sed '/127/d' | awk '{print $2}' | awk -F : '{print $2}'`
#echo $IP
IP=192.168.0.6
$ES_HOME/bin/elasticsearch -d -Enode.name=HOST${IP} -Enetwork.host=${IP}

第七步:授权并启动

chown -R elasticsearch:ealsticsearch /home/elasticsearch
chmod -x /home/elasticsearch/start_elasticsearch.sh
./start_elasticsearch.sh

第八步:验证集群启动情况

curl http://192.168.0.8:9200/_cat/nodes?pretty

可以看到打印信息
192.168.0.7 10 78  0 0.11 0.05 0.06 dilm * HOST192.168.0.7
192.168.0.8 17 79  1 0.02 0.02 0.05 dilm - HOST192.168.0.8
192.168.0.6 16 87 29 0.77 0.38 0.18 dilm - HOST192.168.0.6

遇到的问题

低版本的Centos抛出的警告

java.lang.UnsupportedOperationException: seccomp unavailable: CONFIG_SECCOMP not compiled into kernel, CONFIG_SECCOMP and CONFIG_SECCOMP_FILTER are needed
	at org.elasticsearch.bootstrap.SystemCallFilter.linuxImpl(SystemCallFilter.java:341) ~[elasticsearch-6.2.4.jar:6.2.4]
	at org.elasticsearch.bootstrap.SystemCallFilter.init(SystemCallFilter.java:616) ~[elasticsearch-6.2.4.jar:6.2.4]
	at org.elasticsearch.bootstrap.JNANatives.tryInstallSystemCallFilter(JNANatives.java:258) [elasticsearch-6.2.4.jar:6.2.4]
	at org.elasticsearch.bootstrap.Natives.tryInstallSystemCallFilter(Natives.java:113) [elasticsearch-6.2.4.jar:6.2.4]
	at org.elasticsearch.bootstrap.Bootstrap.initializeNatives(Bootstrap.java:110) [elasticsearch-6.2.4.jar:6.2.4]
	at org.elasticsearch.bootstrap.Bootstrap.setup(Bootstrap.java:172) [elasticsearch-6.2.4.jar:6.2.4]
	at org.elasticsearch.bootstrap.Bootstrap.init(Bootstrap.java:323) [elasticsearch-6.2.4.jar:6.2.4]
	at org.elasticsearch.bootstrap.Elasticsearch.init(Elasticsearch.java:121) [elasticsearch-6.2.4.jar:6.2.4]
	at org.elasticsearch.bootstrap.Elasticsearch.execute(Elasticsearch.java:112) [elasticsearch-6.2.4.jar:6.2.4]
	at org.elasticsearch.cli.EnvironmentAwareCommand.execute(EnvironmentAwareCommand.java:86) [elasticsearch-6.2.4.jar:6.2.4]
	at org.elasticsearch.cli.Command.mainWithoutErrorHandling(Command.java:124) [elasticsearch-cli-6.2.4.jar:6.2.4]
	at org.elasticsearch.cli.Command.main(Command.java:90) [elasticsearch-cli-6.2.4.jar:6.2.4]
	at org.elasticsearch.bootstrap.Elasticsearch.main(Elasticsearch.java:92) [elasticsearch-6.2.4.jar:6.2.4]
	at org.elasticsearch.bootstrap.Elasticsearch.main(Elasticsearch.java:85) [elasticsearch-6.2.4.jar:6.2.4]
	
	解决方案:
	
	修改elasticsearch.yml 添加一下内容
    bootstrap.memory_lock: false
    bootstrap.system_call_filter: false

java.io.IOException: No route to host

Caused by: java.io.IOException: No route to host
at sun.nio.ch.SocketChannelImpl.checkConnect(Native Method) ~[?:?]
	at sun.nio.ch.SocketChannelImpl.finishConnect(SocketChannelImpl.java:715) ~[?:?]
	at io.netty.channel.socket.nio.NioSocketChannel.doFinishConnect(NioSocketChannel.java:330) ~[netty-transport-4.1.43.Final.jar:4.1.43.Final]
	at io.netty.channel.nio.AbstractNioChannel$AbstractNioUnsafe.finishConnect(AbstractNioChannel.java:334) ~[netty-transport-4.1.43.Final.jar:4.1.43.Final]
	at io.netty.channel.nio.NioEventLoop.processSelectedKey(NioEventLoop.java:688) ~[?:?]
	at io.netty.channel.nio.NioEventLoop.processSelectedKeysPlain(NioEventLoop.java:600) ~[?:?]
	at io.netty.channel.nio.NioEventLoop.processSelectedKeys(NioEventLoop.java:554) ~[?:?]
	at io.netty.channel.nio.NioEventLoop.run(NioEventLoop.java:514) ~[?:?]
	at io.netty.util.concurrent.SingleThreadEventExecutor$6.run(SingleThreadEventExecutor.java:1050) ~[?:?]
	at io.netty.util.internal.ThreadExecutorMap$2.run(ThreadExecutorMap.java:74) ~[?:?]
	at java.lang.Thread.run(Thread.java:748) ~[?:1.8.0_281]
	
	192.168.0.6机器出现该问题,查看防火墙,发现与其他两台不一致
	firewall-cmd --state # 查看防火墙状态
    systemctl stop firewalld.service # 关闭防火墙
    systemctl disable firewalld.service # 禁止开机自启动
    ok,解决

二、权限认证

1. 在master节点上创建秘钥库

export ES_PATH_CONF="/home/elasticsearch/config" &&   /usr/local/elasticsearch-7.6.2/bin/elasticsearch-keystore create

2. 在所有节点中开启ssl认证

2.1 生成elastic-stack-ca.p12

/usr/local/elasticsearch-7.6.2/bin/elasticsearch-certutil ca --days 36500

## 出现Please enter the desired output file [elastic-stack-ca.p12]:输入全路径  
/home/elasticsearch/config/certs/elastic-stack-ca.p12

2.2 生成证书:elastic-certificates.p12

/usr/local/elasticsearch-7.6.2/bin/elasticsearch-certutil cert --days 36500 --ca /home/elasticsearch/config/certs/elastic-stack-ca.p12

## 出现 Enter password for CA (/home/elasticsearch/config/certs/elastic-stack-ca.p12) : 数据刚才设置的证书密码
后出现Please enter the desired output file [elastic-certificates.p12]:,输入全路径
 /home/elasticsearch/config/certs/elastic-certificates.p12

2.3 将elasticsearch节点密码添加至elasticsearch-keystore

/usr/local/elasticsearch-7.6.2/bin/elasticsearch-keystore add xpack.security.transport.ssl.keystore.secure_password

/usr/local/elasticsearch-7.6.2/bin/elasticsearch-keystore add xpack.security.transport.ssl.truststore.secure_password

2.4 将两个证书一个密码文件等拷贝至集群其他节点

scp -r /home/elasticsearch/config/certs elasticsearch@192.168.0.8:/home/elasticsearch/config/
scp /home/elasticsearch/config/elasticsearch.keystore elasticsearch@192.168.0.8:/home/elasticsearch/config/

2.5 在所有节点elasticsearch.yml中新增配置

xpack.security.enabled: true
xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate 
xpack.security.transport.ssl.keystore.path: certs/elastic-certificates.p12 
xpack.security.transport.ssl.truststore.path:  certs/elastic-certificates.p12

3. 在master节点上设置密码

export ES_PATH_CONF="/home/elasticsearch/config"  &&  IP="192.168.0.7" && name="HOST192.168.0.7" && /usr/local/elasticsearch-7.6.2/bin/elasticsearch-setup-passwords interactive  -Enode.name="HOST192.168.0.7" -Enetwork.host="192.168.0.7"

注意:1.此操作会对elasticsearch、logstash、kibana分别设置登录密码(默认es用户名为elastic,
logstash用户名为logstash_system,kibana用户名为kibana).

2.这些内置用户存储在.security由X-Pack安全性管理的特殊索引中。如果更改了密码或禁用了用户,则该更改将自动反映在群集中的每个节点上。这也意味着如果您的.security索引被删除或从快照恢复,那么您应用的任何更改都将丢失。

4. 验证权限

4.1 未输入用户

请求:curl http://192.168.0.8:9200/_cat/nodes?pretty
响应:{
  "error" : {
    "root_cause" : [
      {
        "type" : "security_exception",
        "reason" : "missing authentication credentials for REST request [/_cat/nodes?pretty]",
        "header" : {
          "WWW-Authenticate" : "Basic realm=\"security\" charset=\"UTF-8\""
        }
      }
    ],
    "type" : "security_exception",
    "reason" : "missing authentication credentials for REST request [/_cat/nodes?pretty]",
    "header" : {
      "WWW-Authenticate" : "Basic realm=\"security\" charset=\"UTF-8\""
    }
  },
  "status" : 401
}

4.2 输入用户及密码

curl -u elastic http://192.168.0.8:9200/_cat/nodes?pretty
Enter host password for user 'elastic':
192.168.0.7 10 78 6 0.02 0.13 0.13 dilm * HOST192.168.0.7
192.168.0.8  9 77 4 0.00 0.08 0.10 dilm - HOST192.168.0.8

4.3 证书有效期查看

http://IP:9200/_ssl/certificates?pretty
在这里插入图片描述

OK,到此权限配置成功

欢迎关注公众号算法小生或沈健的技术博客shenjian.online

算法小生Đ
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
最新版linux elasticsearch-7.16.1-linux-x86_64.tar.gz
12-16
总的来说,Elasticsearch 7.16.1在Linux上的部署和管理是一项涉及多方面技术的工作,包括配置管理、性能调优、安全性控制等。通过深入了解其工作原理和特性,你可以充分利用这一强大的搜索引擎来处理和分析大量数据...
ES部署手册.docx
06-06
Elasticsearch,简称ES,是一个基于Lucene的开源搜索引擎,设计为分布式、RESTful风格的搜索和数据分析引擎。它能够处理大量的数据,并提供实时分析,适用于日志分析、监控、信息检索等多种场景。Elasticsearch是...
一个正确的ES集群重启流程(附串行重启脚本)
一只小白
09-02 1万+
目录1、关闭集群自动均衡、禁止集群写入2、重启es集群3、打开集群自动均衡、开启集群写入4、补充一个串行重启es集群的shell脚本注释:本集群所有操作都在跳板机或者堡垒机进行,运维日常一般不需要我们登录具体的机器。...
ES-集群安装和启动图解
ALONG的博客
03-22 2121
安装 ES   1.下载ES   2.解压并且启动ES   把elasticsearch-7.1.1-windows-x86_64 压缩包解压到G:\opt\ES\elasticsearch-7.1.1   执行下面命令: G:\opt\ES\elasticsearch-7.1.1\bin>elasticsearch 3.在浏览器中打开 http://127.0.0.1:9200/看到以下信息表示ES启动成功 { "name" : "node0", "cluster_name" : "pp
ES脚本启动报错修改
最新发布
Ti_an_Di的博客
05-28 675
最后发现$ES_OPT前方多了一个空格导致启动失败。对变量ES_OPT进行前后空格去除。
【Docker】Docker Elasticsearch7 加装安全认证插件
Kida 的技术小屋(CSDN 版)
02-19 1666
之前文章中我们已经完成了Docker版本的Elasticsearch部署,为了增强安全性在此为Elasticsearch安装安全认证插件(2018年全球大规模的Elasticsearch攻击历历在目)。由于之前部署Elasticsearch是Docker版本,本次也基于Docker版本进行说明。 为了简化操作步骤,这边将配合使用Docker Desktop(以下简称“DD”)来进行Docker操作(对应回脚本操作也是非常方便的,有空将重新整理出来)。首先打开DD的Dashbroad界面。在界面上选择对应的
ES集群启动流程
tanwt 的博客
10-28 1871
本文主要记录了ES 集群启动过程及简单原理,理解它有助于解决或避免集群维护过程中可能遇到的脑裂、无主、恢复慢、丢数据等问题。
单机多节点 elasticsearch 集群安全认证
干就完了!!!
06-12 2345
es 集群安全认证
KingbaseES V8R2 集群部署手册
11-29
6. **安全与权限管理**:集群部署需要考虑安全性,包括用户认证、访问控制、网络隔离等。KingbaseES提供了丰富的安全策略和权限管理功能,以保护数据库免受非法访问和攻击。 7. **监控与维护**:定期的性能监控和...
ElasticSearch添加用户权限验证.docx
02-03
在本文中,我们将深入探讨如何为线上运行的Elasticsearch 6.4.3集群添加用户权限验证,以解决安全扫描发现的未授权访问问题。Elasticsearch虽然默认提供了安全措施,但在某些特定环境中,例如内网环境,仍可能面临...
ES5.4.3部署.docx
03-04
Elasticsearch的`bin/elasticsearch`脚本中,你需要设置`ES_JDK`环境变量指向你的JDK路径,例如 `/export/servers/jdk1.8.0_66`。这样,Elasticsearch将使用指定的JDK启动。 接着,配置Elasticsearch。主要的配置...
elasticsearch集群添加安全认证功能(添加访问密码)
web15085181368的博客
03-25 3610
一、前言 在 6.8 之前免费版本并不包含安全认证功能,之后版本有开放一些基础认证功能;为了防止各种事故,一般都会设置es集群的访问密码;但是在我尝试设置访问密码的时候发现,设置访问密码的前提必须要设置集群证书,不然es启动报错。 关于设置证书的作用,简单来说就是在集群内定各个es节点都必须持有相同的证书,如果某个es的恶意节点想加入你的集群,那么它也必须有要相同的证书,这就可以防止别人恶意创建节点加入你的集群了。 本例子使用elasticsearch v7.2.0为例 二、具体步骤 1、编辑elastic
Elasticsearch:使用不同的 CA 更新安全证书 (二)
Elastic 中国社区官方博客
07-26 6101
​在之前的文章 “Elasticsearch:使用不同的 CA 更新安全证书 (一)” 中,我详细地描述了如何更新 transport 层的证书。transport 层的证书复制集群中各个节点之前的连接,甚至关乎集群之前的连接。在这边文章中,我将继续之前的内容来详述如何替换 HTTP 层的证书。 HTTP:用于 HTTP 通信绑定的地址和端口,这是 Elasticsearch REST API 公开的方式 transport:用于集群内节点之间的内部通信 ............
Elasticsearch集群安装&集群启停脚本
S1124654的博客
07-11 819
Elasticsearch集群安装&集群启停脚本
elasticsearch容器启动集群搭建
weixin_60092693的博客
03-04 286
实验
ElasticSearch7.3.0 集群搭建及配置安全认证
欢迎来到我的博客
03-26 4212
注: 由于是测试,搭建的环境就在一台机器上(操作系统是 CentOS 7) 配置 Elasticsearch Elasticsearch 的配置文件是 elasticsearch/elasticsearch.yml 集群的名称 配置集群的名称,所有的node节点集群名称要一致 # Use a descriptive name for your cluster: # cluster.name: my-application 节点的名称 配置每个节点的名称,节点的名称要在集群中唯一 # Use a.
Elasticsearch:如何创建 Elasticsearch PEM 和/或 P12 证书?
Elastic 中国社区官方博客
08-08 4437
你是否希望使用 SSL/TLS 证书来保护你的 Elasticsearch 部署?在本文中,我们将指导你完成为 Elasticsearch 创建 PEM 和 P12 证书的过程。这些证书在建立安全连接和确保 Elasticsearch 集群的完整性方面发挥着至关重要的作用。友情提示:你可以选择其中一种方法来在你的环境中创建和使用证书。
Elasticsearch开启安全认证详细步骤
热门推荐
卑微小韩
04-19 1万+
Elasticsearch开启安全认证详细步骤Elasticsearch开启安全认证详细步骤Elasticsearch搭建环境问题描述解决步骤一、生成证书:二、生成秘钥三、将凭证迁移到指定目录四、凭证移动至每一台集群下面五、修改配置文件(每一台es都需要添加)六、在各个节点上添加密码(每一台es都需要操作)七、逐个启动节点八、设置密码九、浏览器查看9200端口十、es-head访问认证的es Elasticsearch开启安全认证详细步骤 Elasticsearch搭建环境 Elasticsearch版本
ElasticSearch——详细看看ES集群启动流程
zekser的博客
04-15 1601
详细介绍了ES集群启动过程总经历的各个流程
ELK集群部署与管理实战:从基础到备份升级
部署ELK集群时,首先要安装Elasticsearch。这包括了解其基本配置和性能参数,如内存分配、磁盘空间和网络设置。Elasticsearch的备份与恢复策略至关重要,可以通过快照来保护数据安全。部署后,可以动态变更设置以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

算法小生Đ

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值