EFK教程(4) - ElasticSearch叢集TLS加密通訊
基於TLS實現ElasticSearch叢集加密通訊
作者:“發顛的小狼”,歡迎轉載
目錄
▪ 用途
▪ ES節點資訊
▪ Step1. 關閉服務
▪ Step2. 建立CA證書
▪ Step3. 建立CERT證書
▪ Step4. 建立金鑰庫
▪ Step5. 刪除CA證書
▪ Step6. 修改elasticsearch.yml配置
▪ Step7. 啟動服務
▪ 附. 參考文件
用途
前情提要:
▷ 在第一篇《EFK教程 - 快速入門指南》中,闡述了EFK的安裝部署,其中ElasticSearch的架構為三節點,即master、ingest、data角色同時部署在三臺伺服器上。
▷ 在第二篇《EFK教程 - ElasticSearch高效能高可用架構》中,闡述了EFK的data/ingest/master角色的用途及分別部署三節點,在實現效能最大化的同時保障高可用。
▷ 在第三篇《EFK教程(3) - ElasticSearch冷熱資料分離》中,闡述了ES多例項部署,將不同熱度的資料存在不同的磁碟上,實現了資料冷熱分離、資源合理分配。
前三篇文章,ES叢集之間資料互動都是明文互動,而在本文中,為ES叢集建立CA、CERT證書,實現ElasticSearch叢集之間資料通過TLS進行雙向加密互動。
ES節點資訊
由於本文是基於上一篇文章《EFK教程(3) - ElasticSearch冷熱資料分離》為環境進行闡述,因此節點資訊和上一篇一致:
Step1. 關閉服務
首先,需要停止所有ElasticSearch、kibana、filebeat服務,待證書配置完成後再啟動
Step2. 建立CA證書
1️⃣ 找任一一臺ElasticSearch節點伺服器操作即可
cd /opt/elasticsearch/ # --days: 表示有效期多久 sudo -u elasticsearch ./bin/elasticsearch-certutil ca --days 3660
2️⃣ 務必將生成的CA證書,傳到安全地方永久儲存,因為後期若需要新增ES節點,還會用到該證書
3️⃣ 請將elastic-stack-ca.p12證書傳到所有ES例項伺服器上
Step3. 建立CERT證書
按上面表格進入相對應的目錄建立CERT證書
# 在ES目錄中建立證書目錄及給予elasticsearch許可權 mkdir -p config/certs;chown elasticsearch.elasticsearch config/certs -R # 每一個例項一個證書 # --ca CA證書的檔名,必選引數 # --dns 伺服器名,多伺服器名用逗號隔開,可選引數 # --ip 伺服器IP,多IP用逗號隔開,可選引數 # --out 輸出到哪裡,可選引數 # --days 有效期多久,可選引數 sudo -u elasticsearch ./bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12 --ip ${本機IP},127.0.0.1 --out config/certs/cert.p12 --days 3660 # 例如elasticsearch-master-1(192.168.1.31)執行命令:sudo -u elasticsearch ./bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12 --ip 192.168.1.31,127.0.0.1 --out config/certs/cert.p12 --days 3660
如果想批量生成CERT證書,請自行查閱附錄連結,不過批量生成有時會碰到生成的證書不可用,因此建議一臺一臺生成
Step4. 建立金鑰庫
按上面表格進入相對應的目錄建立金鑰庫
# 每一個例項都要操作
# 建立金鑰庫
sudo -u elasticsearch ./bin/elasticsearch-keystore create
# PKCS#12檔案的密碼
sudo -u elasticsearch ./bin/elasticsearch-keystore add xpack.security.transport.ssl.keystore.secure_password
# 信任庫的密碼
sudo -u elasticsearch ./bin/elasticsearch-keystore add xpack.security.transport.ssl.truststore.secure_password
確認keystore、truststore已錄入至金鑰庫
sudo -u elasticsearch ./bin/elasticsearch-keystore list
Step5. 刪除CA證書
由於上面建立的elastic-stack-ca.p12含有私鑰,因此為了安全,建議將該檔案刪除(請務必提前備份好,因為後期增加節點還會用到)
按上面表格進入相對應的目錄刪除CA證書
rm -f elastic-stack-ca.p12Step6. 修改elasticsearch.yml配置
按上面表格對應的例項配置conf目錄下elasticsearch.yml
# 在所有例項上加上以下配置
# 開啟transport.ssl認證
xpack.security.transport.ssl.enabled: true
# xpack認證方式 full為主機或IP認證及證書認證,certificates為證書認證,不對主機和IP認證,預設為full
xpack.security.transport.ssl.verification_mode: full
# xpack包含私鑰和證書的PKCS#12檔案的路徑
xpack.security.transport.ssl.keystore.path: certs/cert.p12
# xpack包含要信任的證書的PKCS#12檔案的路徑
xpack.security.transport.ssl.truststore.path: certs/cert.p12Step7. 啟動服務
# 開啟所有ES例項
sudo -u elasticsearch ./bin/elasticsearch
# 開啟filebeat
/opt/filebeat/filebeat -e -c /opt/filebeat/filebeat.yml -d "publish"
# 開啟kibana
sudo -u kibana /opt/kibana/bin/kibana -c /opt/kibana/config/kibana.yml附. 參考文件
https://www.elastic.co/guide/en/elasticsearch/reference/current/configuring-tls.html
https://www.elastic.co/guide/en/elasticsearch/reference/7.3/certutil.html