vlambda博客
学习文章列表

ES和Kibana配置权限控制

一、场景说明

默认情况下,我们在部署ELK集群的时候,都不会开启用户认证,但是实际在生产环境中我们必须保证数据的安全,所以我们就有必要将ES中权限认证给开启,并且集群之间配置 TLSv加密通信;这些安全功能是从ES6.8版本之后默认加进来,所以如果你部署的版本很老的话,那么这些安全功能就没办法实现了,这里我演示的环境es的版本为最新的 7.12.1


二、创建证书


1、生成CA证书

  • 说明:这里我的ES集群都是通过RPM包安装的,如果你是源码部署的话,elasticsearch-certutil命令在es安装路径中的bin目录下

[root@es-node1 ~]# /usr/share/elasticsearch/bin/elasticsearch-certutil ca --out /etc/elasticsearch/elastic-stack-ca.p12 -pass ""


2、为节点签发证书

[root@es-node1 ~]# /usr/share/elasticsearch/bin/elasticsearch-certutil cert --ca /etc/elasticsearch/elastic-stack-ca.p12 -pass "" --out /etc/elasticsearch/elastic-certificates.p12
ES和Kibana配置权限控制


3、将证书拷贝到所有节点

scp /etc/elasticsearch/elastic-certificates.p12 root@192.168.66.16:/etc/elasticsearch/

  • 注意:证书创建完成后,我们需要赋予es服务运行用户相应的权限,不然下面生成密码时会报错!ES集群所有节点都需要赋权。

chown -R elasticsearch. /etc/elasticsearch


三、修改ES配置


1、添加配置

  • 这里我们需要修改ES配置,开启SSL认证和安装xpack,以及配置我们上面刚刚创建好的证书文件

  • 注意:ES集群节点都需要按照下面的操作进行修改,然后重启ES服务

[root@es-node1 ~]# vim /etc/elasticsearch/elasticsearch.yml#配置文件最后添加如下配置xpack.security.enabled: truexpack.security.transport.ssl.enabled: truexpack.security.transport.ssl.verification_mode: certificate # 证书认证级别xpack.security.transport.ssl.keystore.path: elastic-certificates.p12xpack.security.transport.ssl.truststore.path: elastic-certificates.p1


2、重启服务

  • 修改完成后,重启启动ES服务,注意检查启动日志是否有报错

systemctl restart elasticsearch


四、生成密码

上面我们去访问ES节点就需要输入密码了,现在我们就需要生成相应服务的访问密码

[root@es-node1 ~]# /usr/share/elasticsearch/bin/elasticsearch-setup-passwords interactive #或者生成随机密码:[root@es-node1 ~]# /usr/share/elasticsearch/bin/elasticsearch-setup-passwords auto
ES和Kibana配置权限控制

  • 现在我们再通过浏览去访问ES:https://IP:9200

  • 注意:这里使用的是elastic 账号,该账号拥有 superuser 角色,是内置的超级用户

ES和Kibana配置权限控制

现在我们可以通过ES集群任意节点访问,都可以使用上面生成的随机密码登入了


五、Logstash配置

  • 上面我们开启了ES的安全认证同时也生成了相应服务的访问用户和密码。

  • 用户默认为logstash_system,密码则是上面生成的随机密码。

[root@logstash ~]# vim /etc/logstash/logstash.yml
ES和Kibana配置权限控制

  • 修改完成后重启logstash服务

[root@logstash ~]# systemctl restart logstash

之后我们Logstah再往es中推送数据时就需要在片段文件中指定es的账号和密码了,演示代码如下:

output { elasticsearch { hosts => ["http://192.168.66.15:9200", "http://192.168.66.16:9200"] index => "logs-%{+YYYY.MM.dd}" user => "elastic" # 注意:这里演示使用超级账号,安全起见最好是使用自定义的账号,并授予该用户创建索引的权限 password => "UI0xxxxxxxxxx" }}

六、Kibana配置

kibana默认也是没有开启安全认证的,上面我们通过elasticsearch-setup-password 命令已经生成了kibana服务的随机密码,现在我们就需要配置kibana带上相应的用户去访问es集群了。


1、添加配置

[root@kibana ~]# vim /etc/kibana/kibana.ymlelasticsearch.username: "kibana" # 注意:此处不用超级账号elastic,而是使用kibana跟es连接的账号kibanaelasticsearch.password: "xXFPPagAkXbYNMYi3LSF"
ES和Kibana配置权限控制

  • 重启服务

[root@kibana ~]# systemctl restart kibana


2、访问页面

  • 注意:这里使用的账号为elastic 只有这个用户有权限,后面可以进行创建角色和用户,这个大家自行研究下很简单的。

推荐阅读

《鬼武者:梦想的黎明》PC 高清贴图演示下载 PCSX2 1.7|4K60fps 《鬼武者:梦想的黎明》PC 高清贴图演示下载 PCSX2 1.7|4K60fps
CentOS停服了?别怕,有我在! CentOS停服了?别怕,有我在!

相关文章