X-Pack是Elastic Stack扩展功能,提供安全性,警报,监视,报告,机器学习和许多其他功能。 ES7.0+之后,默认情况下,当安装Elasticsearch时,会安装X-Pack,无需单独再安装。
自6.8以及7.1+版本之后,基础级安全永久免费。
这里挑一些比较重要常见的配置项介绍,完整的配置介绍可以查看官方文档
默认为true,启用节点上ES的XPACK安全功能,相当于总开关
这个是用来开启https的,以及对应的设置,整体配置项如下:
xpack.security.http.ssl:
enabled: false 【开启还是关闭】
verification_mode: certificate【如下】
【full:它验证所提供的证书是否由受信任的权威机构(CA)签名,并验证服务器的主机名(或IP地址)是否与证书中识别的名称匹配。】
【certificate:它验证所提供的证书是否由受信任的机构(CA)签名,但不执行任何主机名验证。】
【none:它不执行服务器证书的验证。】
truststore.path: certs/elastic-certificates.p12 【信任存储库文件的存放位置】
keystore.path: certs/elastic-certificates.p12【密钥存储库文件的存放位置】
这个是传输层的认证设置,整体配置项如下:
xpack.security.transport.ssl:
enabled: true【开启还是关闭】
verification_mode: certificate【如下】
【full:它验证所提供的证书是否由受信任的权威机构(CA)签名,并验证服务器的主机名(或IP地址)是否与证书中识别的名称匹配。】
【certificate:它验证所提供的证书是否由受信任的机构(CA)签名,但不执行任何主机名验证。】
【none:它不执行服务器证书的验证。】
keystore.path: certs/elastic-certificates.p12【信任存储库文件的存放位置】
truststore.path: certs/elastic-certificates.p12【密钥存储库文件的存放位置】
提示命名文件:直接回车,默认文件名elastic-stack-ca.p12文件
提示输入密码:可以直接回车,也可以输入密码进行设置
./bin/elasticsearch-certutil ca
提示命名文件,直接回车,默认文件名elastic-certificates.p12文件
提示输入密码:可以直接回车,也可以输入密码进行设置
./bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12
makdir config/certs
mv elastic-certificates.p12 config/certs/
注解:
keystore可以看成一个放key的库,key就是公钥,私钥,数字签名等组成的一个信息。
truststore是放信任的证书的一个store
truststore和keystore的性质是一样的,都是存放key的一个仓库,区别在于,truststore里存放的是只包含公钥的数字证书,代表了可以信任的证书,而keystore是包含私钥的。
如果在创建证书的过程中加了密码,需要输入这个密码。每个节点都需要
./bin/elasticsearch-keystore add xpack.security.transport.ssl.keystore.secure_password
./bin/elasticsearch-keystore add xpack.security.transport.ssl.truststore.secure_password
./bin/elasticsearch-keystore add xpack.security.http.ssl.keystore.secure_password
./bin/elasticsearch-keystore add xpack.security.http.ssl.truststore.secure_password
配置文件中加入以下配置,然后重启
xpack.security.enabled: true
xpack.security.http.ssl:
enabled: false
verification_mode: certificate
truststore.path: certs/elastic-certificates.p12
keystore.path: certs/elastic-certificates.p12
xpack.security.transport.ssl:
enabled: true
verification_mode: certificate
keystore.path: certs/elastic-certificates.p12
truststore.path: certs/elastic-certificates.p12
集群中的节点都按照上面的方式完成配置并启动后,就可以设置账号密码了
a、自动创建密码
./bin/elasticsearch-setup-passwords auto
b、手动输入密码
./bin/elasticsearch-setup-passwords interactive
c、重置用户密码(随机密码)
./bin/elasticsearch-reset-password -u elastic
d、重置用户密码(指定密码)
./bin/elasticsearch-reset-password -u elastic -i
这里说明一下:
xpack.security.http.ssl的enable为true 就会是https,为false就是http,我这里是关掉了
当你执行curl去访问es api的时候也会提示需要进行认证
kibana中配置ES中配置的kibana账号密码即可连接ES认证
elasticsearch.username: "kibana"
elasticsearch.password: "XXX"
elasticsearch.hosts: ["http://1.1.1.1:9200","http://2.2.2.2:9200","http://3.3.3.3:9200"]
server.port: 5601
欢迎关注我的公众号:龙叔运维
持续分享运维经验