【docker开启es集群安全认证】

于 2024-07-10 11:46:07 发布
阅读量676 收藏 15
点赞数 24
文章标签: docker elasticsearch 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ych_0901/article/details/140317351
版权

文章目录

前言

使用docker搭建es集群,并开启安全认证,配置kibana客户端连接。
本文主要讲述es开启ssl和security安全认证的步骤,对于es和kibana的配置以及启动简要描述,如需查看详细的es集群和kibana配置步骤,可查看docker搭建es8集群+kibana,es单机和kibana配置可查看docker部署es8+kibana

一、启动es集群

1. 修改elasticsearch.yml

先不开启es的安全认证

# 集群名称
cluster.name: es-cluster
# 节点名称
node.name: node-1
# 网络地址
network.host: 0.0.0.0
network.publish_host: 192.168.100.125
# 集群节点配置
discovery.seed_hosts: ["192.168.100.125:9300","192.168.100.39:9300","192.168.100.2:9300"]
# 主节点候选
cluster.initial_master_nodes: ["node-1","node-2","node-3"]

# 客户端端口
http.port: 9200
# 集群节点端口
transport.port: 9300

# 是否开启安全认证
xpack.security.enabled: false
xpack.security.enrollment.enabled: true

# 是否开启ssl
xpack.security.http.ssl:
  enabled: false
  #keystore.path: /usr/share/elasticsearch/config/certs/http.p12
  #truststore.path: /usr/share/elasticsearch/config/certs/http.p12

# 是否开启访问安全认证
xpack.security.transport.ssl:
  enabled: false
  #verification_mode: certificate
  #keystore.path: /usr/share/elasticsearch/config/certs/elastic-certificates.p12
  #truststore.path: /usr/share/elasticsearch/config/certs/elastic-certificates.p12

# 跨域配置
http.cors.enabled: true
http.cors.allow-origin: "*"
http.host: 0.0.0.0

2.启动es

docker run -d \
  --privileged=true \
  --name es \ 
  --network es-net \
  -p 9200:9200 \
  -p 9300:9300 \
  -v /usr/local/docker/elasticsearch/data:/usr/share/elasticsearch/data \
  -v /usr/local/docker/elasticsearch/plugins:/usr/share/elasticsearch/plugins \
  -v /usr/local/docker/elasticsearch/config/elasticsearch.yml:/usr/share/elasticsearch/config/elasticsearch.yml \
  docker.elastic.co/elasticsearch/elasticsearch:8.14.1

二、生成安全认证文件

1. 创建ca证书

# 进入docker容器的es实例
docker exec -it es bash
# 生成ca证书 遇到提示回车,共两次
bin/elasticsearch-certutil  ca
# 生成节点证书 遇到提示回车,共三次
bin/elasticsearch-certutil  cert --ca elastic-stack-ca.p12

2. 部署ca证书

# 切换到config目录
cd config
# 创建certs文件夹
mkdir certs
# 回到原目录
cd ..
# 将ca证书移动到certs中
mv elastic-certificates.p12 elastic-stack-ca.p12 config/certs

2.1 将ca证书从docker容器内复制到linux

docker cp 指令详情

# 退出docker容器(已退出则无需操作)
exit
# 切换到elasticsearch的config目录
cd /usr/local/docker/elasticsearch/config
# 复制docker中的certs到linux
docker cp es:/usr/share/elasticsearch/config/certs /usr/local/docker/elasticsearch/config

查看结果
在这里插入图片描述

2.2 将ca证书复制到其他linux

首先确认其他节点服务器都已开启
以下两种方法选其一,执行后需要输入服务器密码确认
Linux下的SCP指令详解

# 在其他服务器复制certs过来
scp -r root@192.168.100.125:/usr/local/docker/elasticsearch/config/certs /usr/local/docker/elasticsearch/config
# 将certs复制到其他服务器去
scp -r /usr/local/docker/elasticsearch/config/certs root@192.168.100.39:/usr/local/docker/elasticsearch/config

2.3 将ca证书上传到docker容器内

首先确保docker容器的实例已正常启动

# 将本地服务器文件上传到docker容器内
docker cp /usr/local/docker/elasticsearch/config/certs es:/usr/share/elasticsearch/config

2.4 修改docker容器内ca证书的权限

因为其他节点服务器的ca证书是从本地上传到docker容器内的,所以docker容器内的文件权限不属于容器实例的账号,如果不进行文件权限修改则节点无法正常启动

# 以root账号进入docker容器
docker exec -it -u root es bash
# 进入config目录
cd config
# 修改certs的文件权限
chown -R elasticsearch certs
# 进入certs文件夹
cd certs
# 查看文件权限
ls -l

结果查看
在这里插入图片描述

三、重启es集群

3.1 修改elasticsearch.yml

将原本false的安全认证属性设置为true,取消注释的ca证书配置

# 集群名称
cluster.name: es-cluster
# 节点名称
node.name: node-1
# 网络地址
network.host: 0.0.0.0
network.publish_host: 192.168.100.125
# 集群节点配置
discovery.seed_hosts: ["192.168.100.125:9300","192.168.100.39:9300","192.168.100.2:9300"]
# 主节点候选
cluster.initial_master_nodes: ["node-1","node-2","node-3"]

# 客户端端口
http.port: 9200
# 集群节点端口
transport.port: 9300

# 是否开启安全认证
xpack.security.enabled: true
xpack.security.enrollment.enabled: true

# 是否开启ssl
xpack.security.http.ssl:
  enabled: true
  keystore.path: /usr/share/elasticsearch/config/certs/elastic-certificates.p12
  truststore.path: /usr/share/elasticsearch/config/certs/elastic-certificates.p12

# 是否开启访问安全认证
xpack.security.transport.ssl:
  enabled: true
  verification_mode: certificate
  keystore.path: /usr/share/elasticsearch/config/certs/elastic-certificates.p12
  truststore.path: /usr/share/elasticsearch/config/certs/elastic-certificates.p12

# 跨域配置
http.cors.enabled: true
http.cors.allow-origin: "*"
http.host: 0.0.0.0

四、启动kibana

es开启ssl和security安全认证后,kibana无法连接es,会显示尚未准备好,需要elasticsearch生成kibana的安全认证文件,并配置才可连接

4.1 生成kibana认证文件

# 进入elasticsearch容器内
docker exec -it es bash
# 生成kibana证书(-dns后接kibana所在的服务器域名)
bin/elasticsearch-certutil csr -name kibana -dns centos7
# 解压文件
unzip csr-bundle.zip
# 退出容器
exit
# 进入kibana的config目录
cd /usr/local/docker/kibana/config
# 创建certs文件夹
mkdir certs
# 将elasticsearch生成在容器中的证书复制到certs中
docker cp es:/usr/share/elasticsearch/kibana.csr /usr/local/docker/kibana/config/certs
docker cp es:/usr/share/elasticsearch/kibana.key /usr/local/docker/kibana/config/certs
# 还要将es的elasticsearch-ca.pem文件一块复制到kibana
docker cp es:/usr/share/elasticsearch/config/certs/elasticsearch-ca.pem /usr/local/docker/kibana/config/certs
# 进入certs文件夹
cd certs
# 生成crt文件
openssl x509 -req -in kibana.csr -signkey kibana.key -out kibana.crt

4.2 部署kibana认证文件

因为是从linux上传到docker容器内,所以一样需要修改文件权限

# 将服务器上kibana的certs上传到docker容器中
docker cp /usr/local/docker/kibana/config/certs kibana:/usr/share/kibana/config
# 使用root进入kibana容器
docker exec -it -u root kibana bash
# 进入config文件夹
cd config
# 修改certs权限
chown -R kibana certs

查看结果
在这里插入图片描述

4.3 修改kibana配置

kibana.yml
注意:如果es开启了ssl的https连接认证,则kibana中的连接配置也要改为https,后续访问kibana客户端也要使用https

server.port: 5601
server.host: "0.0.0.0"
elasticsearch.hosts: ["https://192.168.100.125:9200","https://192.168.100.39:9200","https://192.168.100.2:9200"]
i18n.locale: "zh-CN"

# kibana连接elasticsearch的账号
elasticsearch.username: "kibana"
# 密码需要去elasticsearch容器中修改
elasticsearch.password: "kibana"

elasticsearch.ssl.verificationMode: none
elasticsearch.ssl.certificateAuthorities: ["/usr/share/kibana/config/certs/elasticsearch-ca.pem"]

server.ssl.enabled: true
server.ssl.certificate: /usr/share/kibana/config/certs/kibana.crt
server.ssl.key: /usr/share/kibana/config/certs/kibana.key

4.4 修改kibana账号密码

当es节点开启https,或启动的集群节点数少于2时,修改指令会报错,显示连接集群超时

# 进入elasticsearch容器
docker exec -it es bash
# 修改kibana账号密码
bin/elasticsearch-reset-up -u kibana -i

4.5 启动kibana

docker run -d \
--name kibana \
--network es-net \
-p 5601:5601 \
-v /usr/local/docker/kibana/data:/usr/share/kibana/data \
-v /usr/local/docker/kibana/config/kibana.yml:/usr/share/kibana/config/kibana.yml \
docker.elastic.co/kibana/kibana:8.14.1

在这里插入图片描述
在这里插入图片描述

总结

以上就是docker部署es集群连接kibana并开启安全认证的方法,其中还有以下的细节可能出现问题:
1、es节点开启https认证,或集群启动节点数少于2时,使用elasticsearch-reset-up修改账号密码会报错,显示连接集群超时
2、有时linux重启后,es中已设置的账号密码会丢失,需要重新设置密码
3、kibana账号只能用作kibana启动连接es,登录kibana时还得使用elastic等账号

ych_0901
关注
  • 24
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
ES用户认证
war3c009的博客
06-27 2488
ES用户认证
Docker部署Elasticsearch集群
01-07
1、配置环境参数 cat /etc/hosts 172.16.1.1 test-es01 172.16.1.2 test-es02 172.16.1.3 test-es03 # grep vm.max_map_count /...mkdir -p /data/server/elasticsearch/{esdata01,esdata02,esdata03} chown 1000.
docker安装的es配置密码认证
xiaolong1155的博客
05-11 783
​ 今天客户提出来,说es的端口是暴露出来的,可以直接取出来数据,按照要求,必须对9200进行密码配置。准备好几种方案,nginx的反向代理加上认证配置(但是是一个单体的服务,只在一台机器,所以没办法采用)。防火墙的配置(但是因为客户服务器的防火墙是关闭的,不能轻易打开防火墙)等。
ES开启安全认证
w2909526的博客
11-23 1178
elasticsearch开启安全认证步骤。2.根据生成的证书创建秘钥。4.启动es并创建密码。至此ES开启认证完成。
es 集群安全认证
weixin_59367598的博客
03-19 1558
es 集群安全认证
ES开启身份认证
zhangxm_qz的博客
07-31 1720
X-Pack是Elastic Stack扩展功能,提供安全性,警报,监视,报告,机器学习和许多其他功能。X-Pack的发展演变:1,5.X版本之前:没有x-pack,是独立的:security安全,watch查看,alert警告等独立单元。2,5.X版本:对原本的安全,警告,监视,图形和报告做了一个封装,形成了x-pack。3,6.3 版本之前:需要额外安装。4,6.3版本及之后:已经集成在一起发布,无需额外安装,基础安全属于付费黄金版内容。7 .1版本:基础安全免费。
Elasticsearch-7.6.1开启安全认证
weixin_53745367的博客
12-28 646
Elasticsearch开启安全认证
docker安装Elasticsearch7.6集群并设置密码
01-09
Elasticsearch从6.8开始, 允许免费用户使用X-Pack的安全功能, 以前安装es都是裸奔。接下来记录配置安全认证的方法。 为了简化物理安装过程,我们将使用docker安装我们的服务。 一些基础配置 es需要修改linux的一些...
使用docker快速部署Elasticsearch集群的方法
09-29
主要介绍了使用docker快速部署Elasticsearch集群的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
docker安装es集群-6.7.1
07-09
本文将讲解如何使用Docker安装Elasticsearch集群,版本为6.7.1。Elasticsearch是一款功能强大的搜索和数据分析引擎,广泛应用于大数据和实时分析领域。 规划 在本实践中,我们将在三个节点上安装Elasticsearch集群...
使用kettle连接ES7.2版本,实现安全认证-附件资源
03-05
使用kettle连接ES7.2版本,实现安全认证-附件资源
使用docker部署es集群
最新发布
06-12
es集群部署
docker安装es集群-7.5.1
07-09
docker安装es集群-7.5.1
docker-compose部署elasticsearch集群
11-23
2. 本文的elasticsearch集群使用docker进行部署,开发学习环境中可以这么使用,在生产环境中还是不要这样部署,熟悉elasticsearch原理的就会清楚,单机部署elasticsearch集群基本无法起到什么作用。
基于Docker安装Elasticsearch
11-11
基于Docker安装Elasticsearch详细教程 Elasticsearch是分布式、高扩展、高实时的搜索与数据分析引擎,它能够很方便地使大量数据具有搜索、分析和探索的能力。充分利用Elasticsearch的水平伸缩性,能使数据在生产...
docker-compose 搭建一个es 集群并添加basic 认证
caicongyang
07-07 983
1. 利用docker compose快速制作一个es集群 docker-compose.yml version: '2.2' services: cerebro: image: lmenezes/cerebro:0.8.3 container_name: cerebro ports: - "9000:9000" command: - -Dhosts.0.host=http://elasticsearch:9200 networks.
Elasticsearch开启安全认证
weixin_44024436的博客
05-23 429
中间会让输入路径跟密码,路径可以不输,直接回车,完成后会生成一个文件:elastic-stack-ca.p12。一个ES集群生成一个凭证就可以了,其他节点不需要生成凭证。根据提示一步一步配置内置用户,并记住用户名和密码。2.启动es,启动后另开终端配置内置用户。1.打开yml,配置开启安全认证。6.配置内置用户,同单节点。3.将凭证迁移到指定目录。5.各个节点上添加密码。输入第2步设置的密码。
DockerDocker Elasticsearch7 加装安全认证插件
Kida 的技术小屋(CSDN 版)
02-19 1682
之前文章中我们已经完成了Docker版本的Elasticsearch部署,为了增强安全性在此为Elasticsearch安装安全认证插件(2018年全球大规模的Elasticsearch攻击历历在目)。由于之前部署的ElasticsearchDocker版本,本次也基于Docker版本进行说明。 为了简化操作步骤,这边将配合使用Docker Desktop(以下简称“DD”)来进行Docker操作(对应回脚本操作也是非常方便的,有空将重新整理出来)。首先打开DD的Dashbroad界面。在界面上选择对应的
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值