es集群加密

前提：三个es节点-2，3，4能够正常启动，并且node节点和master节点正常！

注意：此处的目录都是相对目录（及es的安装目录）

0.在2，3，4上创建cert目录存放证书

mkdir  config/cert

1.在4上执行生成证书文件

bin/elasticsearch-certutil ca -out config/cert/elastic-certificates.p12 -pass  “”

2.将证书文件传到2和3上config/cert目录下

3.修改es的配置文件：

xpack.security.enabled: true

xpack.security.transport.ssl.enabled: true

xpack.security.transport.ssl.verification_mode: certificate

xpack.security.transport.ssl.keystore.path: certs/elastic-certificates.p12

xpack.security.transport.ssl.truststore.path: certs/elastic-certificates.p12

4.需要重新启动三台es

杀掉进程，重新启动es： bin/elasticsearch   -d

5.手动创建密码：

bin/elasticsearch-setup-passwords interactive

6.查看node节点

查看node节点

补充：

1.  bin/elasticsearch-setup-passwords  auto      系统会自动生成默认的账号密码

2.  创建的用户说明：

elastic        一个内置的超级用户

kibana_system     Kibana 用于连接 Elasticsearch 并与之通信的用户。

logstash_system    Logstash 在 Elasticsearch 中存储监控信息时使用的用户。

beats_system        Beats 在 Elasticsearch 中存储监控信息时使用的用户。

apm_system          APM 服务器在 Elasticsearch 中存储监控信息时使用的用户

remote_monitoring_user    在 Elasticsearch 中收集和存储监控信息时使用的用户 Metricbeat，它具有remote_monitoring_agent和 remote_monitoring_collector内置角色。

3.在创建密码的时候，需要移除cluster.initial_master_nodes这个两个配制，否则会报错。

4.es的配置文件：

cluster.name: educloud

cluster.max_shards_per_node: 5000

node.name: node1

path.data: /data/elasticsearch/data

path.repo: /data/elasticsearch/backup

path.logs: /data/elasticsearch/logs

network.host: 192.111.2.39

http.port: 9014

discovery.seed_hosts: ["192.111.2.39", "192.111.2.40","192.111.2.41"]

#cluster.initial_master_nodes: ["192.111.2.39"]    #加密的时候需要注释掉

xpack.monitoring.collection.enabled: true

xpack.security.enabled: true

xpack.security.transport.ssl.enabled: true

xpack.security.transport.ssl.verification_mode: certificate

xpack.security.transport.ssl.keystore.path: certs/elastic-certificates.p12

xpack.security.transport.ssl.truststore.path: certs/elastic-certificates.p12