Elastic stack启用安全认证,启用https

最新推荐文章于 2025-04-01 13:37:53 发布
最新推荐文章于 2025-04-01 13:37:53 发布
阅读量6.5k 收藏 18
点赞数 5
文章标签: https elasticsearch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_38735634/article/details/107382421
版权
本文详细介绍了如何在Elastic Stack中启用HTTPS和安全认证,包括生成证书、配置各组件(Elasticsearch, Kibana, Logstash, Metricbeat)以及解决在连接过程中遇到的证书验证、授权等问题。通过这些步骤,确保了Elastic Stack在安全的环境下运行。" 107788999,9953860,看病预约信息管理系统设计与实现,"['后端开发', '数据库管理', '系统架构', 'PHP', 'Java', 'NET', 'Python']

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、准备

Elasticsearch集群搭建好;我使用的docker方式部署;

二、生成证书

1、进入ES主节点容器,在${ES_HOME}/bin 下执行:
./elasticsearch-certutil ca		#创建一个证书颁发机构

再执行:

./elasticsearch-certutil cert --ca elastic-stack-ca.p12

elastic-stack-ca.p12 就是上一步生成的(默认就在当前目录中)
此时在当前目录生成名为 elastic-certificates.p12 的文件,它是单个PKCS#12密钥存储库,其中包括节点证书、节点密钥和CA证书。默认情况下,elasticsearch-certutil 生成没有主机名信息的证书(也就是说,它们没有任何主题可选名称字段)。这意味着可以对集群中的每个节点使用此证书,但您必须关闭主机名验证。
将其从容器中拷贝出来。

备注:elasticsearch-certutil 的更多用法和参数,请参照:https://www.cnblogs.com/sanduzxcvbnm/p/12053850.html

2、生成PKI客户端证书,供KIbana等组件到ES的校验使用

PKI身份验证的证书必须由与用于加密HTTP通信的证书相同的CA进行签名。因此我们直接使用拷贝出的 elastic-certificates.p12,在主机上执行:

# Private Key 私钥
openssl pkcs12 -in elastic-certificates.p12 -nocerts -nodes > client.key
# Public Certificate 公共证书
openssl pkcs12 -in elastic-certificates.p12 -clcerts -nokeys  > client.cer
# CA Certificate 签署公共证书的CA
openssl pkcs12 -in elastic-certificates.p12 -cacerts -nokeys -chain > client-ca.cer
3、分发证书文件

将生成的 client.key、client.cer、client-ca.cer 以及 elastic-certificates.p12文件拷贝进(或者另起容器-v挂载进)各个ES节点的${ES_HOME}/config/目录下;
也要拷贝进 kibana 容器的${KIBANA_HOME}/config/certs/目录下;
也要拷贝进logstash容器的${LOGSTASH_HOME}/config/目录下
其实可以拷贝进任意目录,只要后面配置文件中指定正确就行

注意,在这之前先将这些文件 chmod 777

三、各组件配置文件详情

1、elasticsearch.yml
# 集群配置-主节点
cluster.name: "hnjt-es-cluster"
node.name: esm1
network.bind_host: 0.0.0.0
network.publish_host: 192.168.10.180
http.port: 9201
transport.tcp.port: 9301
http.cors.enabled: true
http.cors.allow-origin: "*"
node.master: true
node.data: false
discovery.zen.ping.unicast.hosts: ["192.168.10.180:9301"]
discovery.zen.minimum_master_nodes: 1

# 加密节点间通信-每个节点容器都要添加
xpack.security.enabled: true
xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate		#只验证证书是否受信任,不执行主机名验证。还可以设置成 full(还要验证主机名)、none(不验证证书)
xpack.security.transport.ssl.keystore.path: elastic-certificates.p12		#指定证书
xpack.security.transport.ssl.truststore.path: elastic-certificates.p12		#将密钥存储库也用做信任存储库

# 加密http通信-每个节点容器都要添加
xpack.security.http.ssl.enabled: true
xpack.security.http.ssl.keystore.path: elastic-certificates.p12		#指定使用的证书
xpack.security.http.ssl.truststore.path: elastic-certificates.p12		#密钥存储库包含CA证书,因此也可以用作信任存储库
最低0.47元/天 解锁文章
新氧气
关注
Elasticsearch开启安全认证
weixin_44024436的博客
05-23 727
中间会让输入路径跟密码,路径可以不输,直接回车,完成后会生成一个文件:elastic-stack-ca.p12。一个ES集群生成一个凭证就可以了,其他节点不需要生成凭证。根据提示一步一步配置内置用户,并记住用户名和密码。2.启动es,启动后另开终端配置内置用户。1.打开yml,配置开启安全认证。6.配置内置用户,同单节点。3.将凭证迁移到指定目录。5.各个节点上添加密码。输入第2步设置的密码。
10、全文检索 -- Elasticsearch -- 介绍、下载、安装、配置、开启权限认证、为 Elasticsearch 启用 SSL 和 HTTPS 支持_xpack
2401_86444235的博客
09-02 1629
解压压缩包,得到如下文件结构:该目录下包含了 Elasticsearch 的各种工具命令。该目录下包含了 Elasticsearch 的各种配置文件,尤其是 elasticsearch.yml 和 jvm.options 两个配置文件很重要,其中 elasticsearch.yml 用于配置 Elasticsearch 自己的一些属性,jvm.options ,用于配置 JVM 的堆内存、垃圾回收机制等选项。Elasticsearch 的插件目录。
elasticsearch集群添加安全认证功能(添加访问密码)
web15085181368的博客
03-25 3734
一、前言 在 6.8 之前免费版本并不包含安全认证功能,之后版本有开放一些基础认证功能;为了防止各种事故,一般都会设置es集群的访问密码;但是在我尝试设置访问密码的时候发现,设置访问密码的前提必须要设置集群证书,不然es启动报错。 关于设置证书的作用,简单来说就是在集群内定各个es节点都必须持有相同的证书,如果某个es的恶意节点想加入你的集群,那么它也必须有要相同的证书,这就可以防止别人恶意创建节点加入你的集群了。 本例子使用elasticsearch v7.2.0为例 二、具体步骤 1、编辑elastic
Elasticsearch安全加固指南:启用登录认证与SSL加密
最新发布
IT成长日记的博客
04-01 891
正常应返回包含"tagline" : "You Know, for Search"的JSON。在之前文章中我们介绍了Elasticsearch安全与权限控制,本篇文章我们将详细介绍。
elasticSearch+kibana+logstash+filebeat集群改成https认证
weixin_40496191的博客
09-03 1958
一、生成相关证书二、配置elasticSearh三、配置kibana四、配置logstash五、filebeat配置六、连接https es的java api。
Elastic:为 Elasticsearch 启动 HTTPS 访问
热门推荐
Elastic 中国社区官方博客
03-23 2万+
在今天的文章中,我们来介绍如何使我们的Elasticsearch启动https服务。这个在很多的场合是非常有用的。特别是在Elastic SIEM的安全领域,我们需要把Elasticsearch的访问变为https的访问,这样使得我们的数据更加安全可靠。 安装Elastic Stack 首先,我们可以按照之前的文章“Elastic:菜鸟上手指南” 安装Elasticsearch及Kiba...
Elasticsearch基本安全加上安全的 HTTPS 流量
Database operation and maintenance
03-23 1518
elasticsearch基本安全加上安全的 HTTPS 流量、elasticsearch-certutil生成证书签名请求 (CSR)、 HTTP 层启用 TLS、Elastic Stack 设置基本安全性、签署中央 CA 的证书
Elastic Stack V5介绍
04-18
Elastic Stack 是一个基于Elasticsearch的开源数据分析和可视化平台,自2012年成立以来,已成为一个分布式创业公司,其总部位于美国加利福尼亚州的Mountain View和荷兰的阿姆斯特丹。公司迅速扩张,目前有员工分布在...
Elastic Stack 概述
weixin_45880055的博客
04-24 3281
文章目录一、Elastic Stack简介三、elasticsearch四、logstash二、Beats五、kibana六、常见架构 一、Elastic Stack简介 “ELK”是三个开源项目的首字母缩写,这三个项目分别是:Elasticsearch、Logstash 和 Kibana。Elasticsearch 是一个搜索和分析引擎。Logstash 是服务器端数据处理管道,能够同时从多个来源采集数据,转换数据,然后将数据发送到诸如 Elasticsearch 等“存储库”中。Kibana 则可以让用
Elastic Stack简介入门
qqxhb 资源共享
11-01 434
Elastic Stack是指Elasticsearch、Logstash 、 Kibana和Beats。 1、Beats Beats 是轻量的数据采集工具,集合了多种单一用途数据采集器。它们从成百上千或成千上万台机器和系统向 Logstash 或 Elasticsearch 发送数据。 1.1、FileBeat FileBeat是轻量型日志采集器。当您要面对成百上千、甚至成千上万的服务器、...
【云原生】docker容器实现https访问
liu_xueyin的博客
01-31 3338
【代码】【云原生】docker容器实现https访问。
docker安装ElasticSearch7.13.4、配置登录密码、开启HTTPS、安装ik分词器
没事别学JAVA
07-28 1675
docker安装ElasticSearch,配置登录密码,开启HTTPS,安装ik分词器
【Docker】Docker Elasticsearch7 加装安全认证插件
Kida 的技术小屋(优快云 版)
02-19 1844
之前文章中我们已经完成了Docker版本的Elasticsearch部署,为了增强安全性在此为Elasticsearch安装安全认证插件(2018年全球大规模的Elasticsearch攻击历历在目)。由于之前部署的Elasticsearch是Docker版本,本次也基于Docker版本进行说明。 为了简化操作步骤,这边将配合使用Docker Desktop(以下简称“DD”)来进行Docker操作(对应回脚本操作也是非常方便的,有空将重新整理出来)。首先打开DD的Dashbroad界面。在界面上选择对应的
ELK生成PEM格式的ca证书、设置Https并使用Elasticsearch Java Client连接
特别享受思考问题的过程
05-28 3808
文章目录前提条件生成CA证书根据CA证书生成用于各个节点通信加密的证书为其他组件Kibana、Logstash生成证书配置elasticsearch.yml配置kibana.yml配置logstash.confJava代码使用HTTPS连接ES为什么使用ca.crt而不是官方推荐的ca.p12?官方文档 前提条件 本地下载安装好Elasticsearch、Kibana、Logstash,并可以正常启动 本文所使用的ELK的版本为8.2.0 Elasticsearch 8.2.0 版本,安装好之后
生成Elasticsearch xpack安全认证证书
qq_37647812的博客
07-17 1669
生成Elasticsearch xpack安全认证证书
Elasticsearch启用户验证
qq_39572257的博客
10-31 2035
Elasticsearch启用户验证
06_Elasticsearch 7.4.2集群部署以及X-Pack 安全配置(Es、kibana)【超详细版】
华星详谈的博客
11-19 4577
本文章收录于【Elasticsearch系列】,将详细的讲解 Elasticsearch 整个大体系,包括但不限于ELK讲解、ES调优、海量数据处理等。在之前的文章中有讲解es的单机部署...
K8S实践从0到1 中间件篇:ElasticSearch 8.12.0 K8S部署实践【超详细】【一站式】
fireshark
02-23 7490
近日在k8s上部署了一个ES8.12.0的集群,在部署过程中,发现无论是官方、还是网上的文章,都没有一站式能搞定的(官网文档非常碎片化,出了问题只能去官网的问题反馈去查,网上的其他文章可能是版本的问题与最新版ES不太适配),因此把我的部署过程整理分享出来,希望能帮到需要的同学。
ELK集群设置账号密码认证
zyy247796143的博客
05-28 1913
前提 在几篇中搭建的 ELK+Filebeat 集群中,版本都是7.16.1,其中ElasticSearch 有两个节点。默认都是无密码登录,所有人都可以登录操作,安全考虑可以设置密码认证。6.2或更早版本需要安装X-PACK,新版本已包含在发行版中,所以可以直接在 ELK 上进行配置。 1. ElasticSearch配置 1.1 生成证书 cd /usr/share/elasticsearch/bin ./elasticsearch-certutil ca ./elasticsearch-certuti
ElasticStack
01-16
### Elastic Stack 日志管理、搜索和数据分析使用指南 #### 访问 Kibana 用户界面 为了开始使用 Kibana,通常需要访问 `http://localhost:5601` 开始操作[^1]。 #### 配置日志收集与传输 对于日志管理而言,可以采用多种方式将日志数据输入至Elasticsearch中。一种常见的方式是利用Logstash作为中间件,从不同的源(比如服务器上的日志文件)获取数据并经由配置好的pipeline传递给Elasticsearch进行存储;另一种则是直接运用Beats系列工具中的Filebeat来完成这一过程,它能够更高效地读取本地文件并将之转发出去[^2]。 #### 实施日志结构化处理 为了让非结构化的原始日志变得易于查询分析,在将其送入Elasticsearch前应当先对其进行必要的预处理工作。这可以通过两种主要途径达成——一是借助于Logstash强大的插件机制来进行复杂的转换逻辑定义;二是启用Elasticsearch自身的ingest节点特性,从而实现较为简单的字段映射或是轻度清洗任务[^3]。 #### 构建可视化面板展示关键指标 一旦完成了上述准备工作之后,则可以在Kibana里创建各类图表组件构成综合性的仪表板(Dashboard),用来直观呈现所关心的各项业务统计信息或者是系统运行状态概览图谱。例如针对Web服务性能监测场景下可设计出反映响应时间分布情况直方图以及错误率趋势折线图等元素组成的视图页面。 #### 性能调优建议 考虑到长期积累下来的历史记录可能会占用大量磁盘空间进而影响整体效率表现,因此有必要建立合理的生命周期管理制度定期清除过期无价值保留的信息条目。另外适当调整集群内部各节点资源配置比例同样有助于提升整个平台的服务质量水平[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值