ElasticSearch如何增加x-pack安全认证,很多新手对此不是很清楚,为了帮助大家解决这个难题,下面小编将为大家详细讲解,有这方面需求的人可以来学习下,希望你能有所收获。
ElasticSearch于6.8及7.1版本开始提供免费的x-pack, 并已默认集成,只需通过简单的配置即可开启。 官方链接,主要包含以下特性:
-
TLS 功能,可对通信进行加密
-
文件和原生 Realm,可用于创建和管理用户
-
基于角色的访问控制,可用于控制用户对集群 API 和索引的访问权限;通过针对 Kibana Spaces 的安全功能,还可允许在 Kibana 中实现多租户
通常我们的ES节点部署在内网当中,不对外暴露9200等端口,kibana是一款非常强大的可视化工具,devTools使开发人员可以方便的操作集群,索引,但是这个页面非开发人员也是可以看到的,因此第一步就是先要屏蔽非es使用方,提供一个登录认证功能。
ES配置
1. yml添加xpack配置
首先在elasticsearch.yml中加入以下配置 xpack.security.enabled: true xpack.license.self_generated.type: basic xpack.security.transport.ssl.enabled: true 备注: 这一步加完之后启动Es,访问http://localhost:9200/就会弹出验证界面,但是这个时候还没有设置用户名和密码,等后续设置完用户名和密码之后,可以输入(elastic,elastic)进入
2. bin目录下执行命令
./elasticsearch-setup-passwords interactive
执行命令:分别设置各个组件的密码(pws=elastic) lihuandeMacBook-Pro:bin lihuan$ ./elasticsearch-setup-passwords interactive Initiating the setup of passwords for reserved users elastic,apm_system,kibana,logstash_system,beats_system,remote_monitoring_user. You will be prompted to enter passwords as the process progresses. Please confirm that you would like to continue [y/N]y Enter password for [elastic]: passwords must be at least [6] characters long Try again. Enter password for [elastic]: Reenter password for [elastic]: Enter password for [apm_system]: Reenter password for [apm_system]: Enter password for [kibana]: Reenter password for [kibana]: Enter password for [logstash_system]: Reenter password for [logstash_system]: Enter password for [beats_system]: Reenter password for [beats_system]: Enter password for [remote_monitoring_user]: Reenter password for [remote_monitoring_user]: Changed password for user [apm_system] Changed password for user [kibana] Changed password for user [logstash_system] Changed password for user [beats_system] Changed password for user [remote_monitoring_user] Changed password for user [elastic] lihuandeMacBook-Pro:bin lihuan$
ES的设置结束,接下来是kibana,切换至kibana/bin目录
Kibana配置
1. 删除旧验证
查看keystore列表: ./kibana-keystore list 操作: lihuandeMacBook-Pro:bin lihuan$ ls kibana kibana-keystore kibana-plugin lihuandeMacBook-Pro:bin lihuan$ ./kibana-keystore list ERROR: Kibana keystore not found. Use 'create' command to create one. 如果发现已安装,但忘记了密码,可以删除原有的配置: ./kibana-keystore remove elasticsearch.username ./kibana-keystore remove elasticsearch.password 操作: lihuandeMacBook-Pro:bin lihuan$ ./kibana-keystore remove elasticsearch.username ./kibana-keystore remove elasticsearch.password lihuandeMacBook-Pro:bin lihuan$ ./kibana-keystore remove elasticsearch.password lihuandeMacBook-Pro:bin lihuan$
2. 添加验证
最后添加ES密码,虽然可以在kibana.yml中配置,但是不安全,要考虑该目录的Linux权限,增加了复杂性,这也是官方提供keystore工具的原因之一: ./kibana-keystore add elasticsearch.username ./kibana-keystore add elasticsearch.password 操作:username=elastic password=elastic lihuandeMacBook-Pro:bin lihuan$ ./kibana-keystore add elasticsearch.username Enter value for elasticsearch.username: ******* lihuandeMacBook-Pro:bin lihuan$ ./kibana-keystore add elasticsearch.password Enter value for elasticsearch.password: ****** lihuandeMacBook-Pro:bin lihuan$ 注意:这里的用户名密码是在Es配置的时候添加的Kibana用户名和密码,不可以重新设置
3. 重启Kibana
sh kibana 访问:http://localhost:5601/
看完上述内容是否对您有帮助呢?如果还想对相关知识有进一步的了解或阅读更多相关文章,请关注亿速云行业资讯频道,感谢您对亿速云的支持。
原创文章,作者:bd101bd101,如若转载,请注明出处:https://blog.ytso.com/tech/opensource/223136.html