美文网首页小慢哥Linux运维
EFK教程(4) - ElasticSearch集群TLS加密通

EFK教程(4) - ElasticSearch集群TLS加密通

作者: 小慢哥Linux运维 | 来源:发表于2019-12-05 21:57 被阅读0次
    image

    基于TLS实现ElasticSearch集群加密通讯

    作者:“发颠的小狼”,欢迎转载


    目录

    ▪ 用途
    ▪ ES节点信息
    ▪ Step1. 关闭服务
    ▪ Step2. 创建CA证书
    ▪ Step3. 创建CERT证书
    ▪ Step4. 创建密钥库
    ▪ Step5. 删除CA证书
    ▪ Step6. 修改elasticsearch.yml配置
    ▪ Step7. 启动服务
    ▪ 附. 参考文档


    用途

    前情提要:

    ▷ 在第一篇《EFK教程 - 快速入门指南》中,阐述了EFK的安装部署,其中ElasticSearch的架构为三节点,即master、ingest、data角色同时部署在三台服务器上。
    ▷ 在第二篇《EFK教程 - ElasticSearch高性能高可用架构》中,阐述了EFK的data/ingest/master角色的用途及分别部署三节点,在实现性能最大化的同时保障高可用。
    ▷ 在第三篇《EFK教程(3) - ElasticSearch冷热数据分离》中,阐述了ES多实例部署,将不同热度的数据存在不同的磁盘上,实现了数据冷热分离、资源合理分配。

    前三篇文章,ES集群之间数据交互都是明文交互,而在本文中,为ES集群创建CA、CERT证书,实现ElasticSearch集群之间数据通过TLS进行双向加密交互。


    ES节点信息

    由于本文是基于上一篇文章《EFK教程(3) - ElasticSearch冷热数据分离》为环境进行阐述,因此节点信息和上一篇一致:

    image

    Step1. 关闭服务

    首先,需要停止所有ElasticSearch、kibana、filebeat服务,待证书配置完成后再启动


    Step2. 创建CA证书

    1️⃣ 找任一一台ElasticSearch节点服务器操作即可

    cd /opt/elasticsearch/
    # --days: 表示有效期多久
    sudo -u elasticsearch ./bin/elasticsearch-certutil ca --days 3660
    

    2️⃣ 务必将生成的CA证书,传到安全地方永久存储,因为后期若需要新增ES节点,还会用到该证书

    image
    image

    3️⃣ 请将elastic-stack-ca.p12证书传到所有ES实例服务器上


    Step3. 创建CERT证书

    按上面表格进入相对应的目录创建CERT证书

    # 在ES目录中建立证书目录及给予elasticsearch权限
    mkdir -p config/certs;chown elasticsearch.elasticsearch config/certs -R
    
    # 每一个实例一个证书
    # --ca CA证书的文件名,必选参数
    # --dns 服务器名,多服务器名用逗号隔开,可选参数
    # --ip 服务器IP,多IP用逗号隔开,可选参数
    # --out 输出到哪里,可选参数
    # --days 有效期多久,可选参数
    sudo -u elasticsearch ./bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12 --ip ${本机IP},127.0.0.1 --out config/certs/cert.p12 --days 3660
    # 例如elasticsearch-master-1(192.168.1.31)执行命令:sudo -u elasticsearch ./bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12 --ip 192.168.1.31,127.0.0.1 --out config/certs/cert.p12 --days 3660
    
    image
    image

    如果想批量生成CERT证书,请自行查阅附录链接,不过批量生成有时会碰到生成的证书不可用,因此建议一台一台生成


    Step4. 创建密钥库

    按上面表格进入相对应的目录创建密钥库

    # 每一个实例都要操作
    # 创建密钥库
    sudo -u elasticsearch ./bin/elasticsearch-keystore create
    # PKCS#12文件的密码
    sudo -u elasticsearch ./bin/elasticsearch-keystore add xpack.security.transport.ssl.keystore.secure_password
    # 信任库的密码
    sudo -u elasticsearch ./bin/elasticsearch-keystore add xpack.security.transport.ssl.truststore.secure_password
    
    image
    image
    image

    确认keystore、truststore已录入至密钥库

    sudo -u elasticsearch ./bin/elasticsearch-keystore list
    
    image

    Step5. 删除CA证书

    由于上面创建的elastic-stack-ca.p12含有私钥,因此为了安全,建议将该文件删除(请务必提前备份好,因为后期增加节点还会用到)

    按上面表格进入相对应的目录删除CA证书

    rm -f elastic-stack-ca.p12
    

    Step6. 修改elasticsearch.yml配置

    按上面表格对应的实例配置conf目录下elasticsearch.yml

    # 在所有实例上加上以下配置
    # 开启transport.ssl认证
    xpack.security.transport.ssl.enabled: true
    # xpack认证方式 full为主机或IP认证及证书认证,certificates为证书认证,不对主机和IP认证,默认为full
    xpack.security.transport.ssl.verification_mode: full
    # xpack包含私钥和证书的PKCS#12文件的路径
    xpack.security.transport.ssl.keystore.path: certs/cert.p12
    # xpack包含要信任的证书的PKCS#12文件的路径
    xpack.security.transport.ssl.truststore.path: certs/cert.p12
    

    Step7. 启动服务

    # 开启所有ES实例
    sudo -u elasticsearch ./bin/elasticsearch
    
    # 开启filebeat
    /opt/filebeat/filebeat -e -c /opt/filebeat/filebeat.yml -d "publish"
    
    # 开启kibana
    sudo -u kibana /opt/kibana/bin/kibana -c /opt/kibana/config/kibana.yml
    

    附. 参考文档

    https://www.elastic.co/guide/en/elasticsearch/reference/current/configuring-tls.html
    https://www.elastic.co/guide/en/elasticsearch/reference/7.3/certutil.html
    

    相关文章

      网友评论

        本文标题:EFK教程(4) - ElasticSearch集群TLS加密通

        本文链接:https://www.haomeiwen.com/subject/swwjgctx.html