Elastic Stack 8.0 安装 - 保护你的 Elastic Stack 现在比以往任何时候都简单
Posted Elastic 中国社区官方博客
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Elastic Stack 8.0 安装 - 保护你的 Elastic Stack 现在比以往任何时候都简单相关的知识,希望对你有一定的参考价值。
在 8.0 中,我们很高兴为所有用户带来简化的安全功能。 从 7.1 开始,我们向所有人免费提供了确保 Elastic Stack 安全所需的所有功能。
然而,我们知道设置安全性并不好玩,你需要专注于你的项目目标。 好消息给你! 从 8.0 开始,自管理集群默认启用 Elastic Stack 安全性,配置工作几乎为零。 只需启动新的 Elasticsearch 和 Kibana 版本并继续充分利用 Elastic Stack,我们将为你提供支持! 如果你使用的是 Elastic Cloud,请不要担心——我们已经为你解决了安全问题。
Elastic Stack 8.0 安装介绍
Elastic Stack 8.0 安装介绍_哔哩哔哩_bilibili
轻松获得所需的所有安全性
简化的安全性包括以下功能,这些功能跨越多个层和产品,默认启用:
- 用户认证
- 具有基于角色的访问控制的用户授权
- Kibana Spaces 多租户
- 使用 TLS 的加密节点到节点通信
- 使用 HTTPS 与 Elasticsearch API 进行加密通信
根据他们的角色,轻松控制访问你资源的人员及其访问级别 | |
使用空间(Spaces)轻松保护组织团队或客户的功能和资源 | |
通过节点身份验证和加密通信,轻松安全地将节点添加到集群 | |
与 Elasticsearch 的通信是安全的。 通过 UI 一步轻松安全地连接 Kibana |
Stack Security 团队对我们来说最重要的是,我们的用户在安装和运行 Elastic Stack 时可以从尽可能多的安全性中受益 — 同时消除任何摩擦。因此,我们设定了一个雄心勃勃的目标:以精简、轻松和透明的方式提供所有之前列出的安全功能。我们认为你不应该将时间花在繁琐的配置上。同时,你不应该在安全性上妥协。
此外,简化的安全性不使用跨不同实例的通用默认值,当功能在技术上启用但基于已知的“秘密”时,这会给人一种错误的安全感。相反,在引导过程中,每个新部署都会创建并使用唯一的凭证、证书和加密密钥。
今天,我们很高兴为你带来这项雄心勃勃的计划的成果。
如果你使用 Elastic 的托管云服务或编排产品、Elastic Cloud Enterprise (ECE) 和 Elastic Cloud on Kubernetes (ECK),你不会有任何变化——堆栈安全性已默认配置。
要开始使用,只需启动 Elasticsearch 和 Kibana,使用新的 Web UI 将它们连接起来,它们就可以安全地协同工作,开箱即用。当然,你可以自定义任何你需要的内容,以满足你组织的安全要求。
分两步安全启动新部署
首次下载并运行 Elasticsearch 时,你将收到一个注册令牌和 elastic 超级用户的凭据。 这实际上是你启动 Elastic Stack 并使用我们之前描述的安全功能运行所需的所有信息,因此请妥善保管。你可以在官方的地址找到详细的描述。当我们首次运行 Elasticsearch 时:
bin/elasticsearch
当 Elasticsearch 启动后,你需要像后滚动你的屏幕,并看到如下所示的内容:
如上所示,我们看到超级用户 elastic 的密码及 Kibana 的 enrollment token (注册 token)。我们需要拷贝它们供以后使用。如果这个时候,我们在 Chrome 下去访问 Elasticsearch 的地址 https://localhost:9200,我们会得到如下的信息:
显然这是因为它是一个自签名的证书而导致的。我们在这个屏幕上打入 thisisunsafe:
在上面的界面输入之前生成的密码:
如果你使用的是 Safari 浏览器:
最终,我们输入用户名及密码:
如果大家觉得每次这样很麻烦,我们可以把自签名的证书加载到系统里去。我们可以这么做:
openssl x509 -in http_ca.crt -out cert.pem
上面的命令将会生成一个 cert.pem 的文件。我们可以直接把它拖进 macOS 中的 keychain access 中:
最终,我们可以看到:
这样,当我们再次使用 https://localhost:9200 来访问时:
我可以直接就进入到登录页面了。关于其它操作系统的证书安装,我在这里就不再赘述了。
我们接下来启动 Kibana:
bin/kibana
如上所示,它让我们去上面的链接去配置 Kibana:
我们把之前的 Elasticsearch 运行输出的 enrollment token 拷贝进来。 点击上面的 Configure Elastic。Kibana 将设置所有内容,无需进行任何配置,并将通过 TLS 连接到 Elasticsearch。
设置完成后,你就可以开始了。 使用 Elasticsearch 步骤中提供的凭据以超级用户身份登录,然后开始使用新的安全部署。
我们拷贝之前在 Elasticsearch 中输出的密码,并输入到上市的 Password 输入框中。点击 Log in:
这样我们就进入到 Kibana 的界面中了。 请注意在上面的 Kibana 中,它的访问地址不是 https 形式的,而是 http 的,所以你可以通过 http://localhost:9200 来进行访问。
如果你需要向集群添加更多节点,请通过运行:
bin/elasticsearch-create-enrollment-token -s node
获取 Elasticsearch 注册 token。
请记住,自动配置过程仅在第一次启动新集群时执行。 如果已经设置了明确的安全配置,或者集群已经从以前的版本升级,则不会进行任何更改。 升级助手将指导用户完成从 7.17 升级所需的步骤。
运用 Metricbeat 收集指标
如果你对如何使用 Beats 还不是很熟的话,那么请阅读我之前的教程:
在上面的配置中,由于 https 的使用,我们在配置 Beats 需要注意一些问题。我们再次打开 Elasticsearch 的安装目录:
$ pwd
/Users/liuxg/elastic/elasticsearch-8.0.0
$ ls config/certs/
http.p12 http_ca.crt transport.p12
在 Elasticsearch 的 config 目录中,我们可以看到一个叫做 http_ca.crt 的文件。我们把这个文件拷贝到一个目录,或者直接到 Metricbeat 的安装目录下:
$ pwd
/Users/liuxg/elastic/metricbeat-8.0.0-darwin-x86_64
$ ls
LICENSE.txt http_ca.crt metricbeat.yml
NOTICE.txt kibana module
README.md logs modules.d
data metricbeat
fields.yml metricbeat.reference.yml
从上面,我们可以看到有一个叫做 http_ca.crt 的文件。接下来我们来配置 metricbeat.yml 文件:
metricbeat.yml
如上所示,我们已经对 output.elasticsearch 进行了配置。我们接下来运行如下的命令:
./metricbeat test config
$ ./metricbeat test config
Config OK
我们再接下来使用如下的命令来测试输出:
./metricbeat test output
$ ./metricbeat test output
elasticsearch: https://localhost:9200...
parse url... OK
connection...
parse host... OK
dns lookup... OK
addresses: ::1, 127.0.0.1
dial up... OK
TLS...
security... WARN server's certificate chain verification is disabled
handshake... OK
TLS version: TLSv1.3
dial up... OK
talk to server... OK
version: 8.0.0
上面标明我们的 output 配置是正确的。我们接下来使用如下的命令来 setup:
./metricbeat setup
$ ./metricbeat setup
Overwriting ILM policy is disabled. Set `setup.ilm.overwrite: true` for enabling.
Index setup finished.
Loading dashboards (Kibana must be running and reachable)
Loaded dashboards
它表明我们的命令的运行是成功的。如果你对 setup 命令有什么疑问的话,请参阅我之前的文章 “Beats:解密 Filebeat 中的 setup 命令”。
我们接下来使用如下的命令来运行 Metricbeat:
./metricbeat -e
我们回到 Kibana 的 Dashboard 中进行查看:
这样,我们就看到了当前 host 的指标信息。
关于其它 Beats 的配置和 Metricbeat 的配置类似。这里就不再赘述了。
快速了解一下是如何工作的
当你第一次下载并运行 Elasticsearch 时,Elasticsearch 将透明地执行以下任务:
- 为 TLS 设置:它将生成证书颁发机构、传输和 HTTP 层证书,以及 TLS 舞蹈所需的所有相关“好东西”——当然包括私钥、证书指纹等。它还将存储密码安全。
- 设置安全设置:这还包括用于传输和 HTTP 加密的设置:xpack.security.ssl.http.enabled 和 xpack.security.ssl.transport.enabled
- 准备传入连接:它将生成一种特殊类型的令牌,即注册令牌,它封装了 Kibana 连接到 Elasticsearch 所需的所有信息,并启用其注册 API,该 API 会监听新连接。
- 为 elastic 内置超级用户生成密码。
所有这些任务对用户都是透明的。
现在,当用户第一次运行 Kibana 时,他们只需要在新的 Kibana 启动 UI 中输入注册令牌,Kibana 就会解压缩所需的所有信息并连接到 Elasticsearch 。通过注册请求,Elasticsearch 将为 kibana_system 用户生成并设置密码。 Kibana 会将配置和凭据保存在 kibana.yml 和密钥库中。
请注意,Kibana 不会通过浏览器启用 Web HTTP TLS。这是我们建议考虑的附加步骤,以进一步提高系统的安全性。
如何配置 Elasticsearch 不带安全性
在某些情况下,为了测试的方便,你可能需要我们的 Elasticsearch 集群不带有安全,这样更便于我们测试我们的软件或应用。我们在启动 Elasticsearch 之前,我们必须对 Elasticsearch 的配置做一些修改:
config/elasticsearch.yml
xpack.security.enabled: false
xpack.security.http.ssl.enabled: false
我们把上面的两行添加到 Elasticsearch 的配置文件中。然后启动 Elasticsearch。这样启动后的 Elasticsearch 就没有安全配置了。你可以通过 http://localhost:9200 来进行访问。启动后的 Kibana 我们也不需要输入用户名及密码了。
对 Elastic Stack、Elastic 解决方案和其他产品的影响
我们希望你确信安全性按预期工作。我们现在只允许加载我们的 Elasticsearch 安全模块——不再可以用可以拦截和管理传入 REST 请求的第三方插件替换它。
至于解决方案,Elastic Observability、Security 和 Enterprise Search 已经假设 Stack Security 已启用。这里没有任何变化,只是设置这些组件会更容易(因为默认情况下已经启用了堆栈安全性)。其他产品(如 Elastic Agent)会自动设置为安全连接 Elasticsearch。
立即开始使用 Elastic Stack 8.0
下载 Elasticsearch 和 Kibana 以创建安全的 Elastic Stack 部署。如果你想了解有关简化安全性的更多信息,请参阅我们的指南。否则,你可以在 Elasticsearch 服务上启动安全且免费的云试用部署,开始你的搜索、观察和保护之旅。
我们欢迎你的反馈,并且一如既往,你可以在 Twitter (@elastic) 和 Elastic 论坛上找到我们。
以上是关于Elastic Stack 8.0 安装 - 保护你的 Elastic Stack 现在比以往任何时候都简单的主要内容,如果未能解决你的问题,请参考以下文章
Elastic:使用 Docker 安装 Elastic Stack 8.0 并开始使用
Elastic:使用 Docker 安装 Elastic Stack 8.0 并开始使用
Elasticsearch:创建多个节点的集群 - Elastic Stack 8.0
Kibana:为访问 Kibana 添加 https - Elastic Stack 8.0