【ELK】ES节点开启https【亲测可用】

提示：文章写完后，目次可以主动天生，怎样天生可参考右边的资助文档
  
  

---

前言

es版本8.14.3
这次ES部署到了正式生产情况，必要办理安全题目，特此记载，没看过上集兄弟的可以看看上集
【ELK】保姆级教程docker部署Elasticsearch+Kibana，必成
开始操作

1）配置利用自署名证书
注意：假如已有单节点es，想要将其转换升级为集群，必须要删除/data下的node数据，即清空data中的信息；配置证书仅在集群的第一台服务器node-01实行即可，其他服务器直接复制；elasticsearch天生证书有两种方式，elasticsearch-certgen 方式和elasticsearch-certutil方式，此中，

• 第一种方式假如以后新增节点导致证书得重新天生并放到es所有节点，
  
• 一般我们利用第2种；
  

• docker ps 检察
  
  
  
  
• 进入容器
  
  1. docker exec -it es01 bash

  复制代码
• 调用elasticsearch-certutil接口
  为 Elastic Stack 设置基本安全性 |Elasticsearch 指南 [8.17] |弹性的
  
  1. # 本处采用通过的elasticsearch-certutil方式
  2. cd /usr/share/elasticsearch
  4. # 签发ca证书：输入证书文件名、密码，一般我们直接回车就行，命令执行完后，会在~目录下生成一个ca证书：elastic-stack-ca.p12
  5. ./bin/elasticsearch-certutil ca
  7. # 生成第二个证书文件：elastic-certifacates.p12
  8. # 要求输入 CA 的密码，如果在上一步中未配置密码，直接按 Enter
  9. ./bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12
  11. # 将这个elastic-certifacates.p12 文件复制到config目录下
  12. mkdir config/certs
  13. mv *.p12 config/certs

  复制代码
• 增加集群配置1：集群间通信TLS
  
  1. [root@seeone bigdata]# cat es/es01/config/elasticsearch.yml
  2. # 新增集群名称
  3. cluster.name: es-cluster
  4. node.name: es01
  5. http.host: 0.0.0.0
  6. http.cors.enabled: true
  7. http.cors.allow-origin: "*"
  8. xpack.security.enabled: true
  9. xpack.security.http.ssl:
  10.   enabled: false
  11. # 增加以下几行
  12. xpack.security.transport.ssl.enabled: true
  13. xpack.security.transport.ssl.verification_mode: certificate
  14. xpack.security.transport.ssl.client_authentication: required
  15. # 前面生成的文件
  16. xpack.security.transport.ssl.keystore.path: certs/elastic-certificates.p12
  17. xpack.security.transport.ssl.truststore.path: certs/elastic-certificates.p12

  复制代码
• 增加集群配置2：加密es和浏览器的流量
  为 Elastic Stack 设置基本安全性以及受掩护的 HTTPS 流量 |Elasticsearch 指南 [8.17] |弹性的
  
  1. # 按照官网流程
  2. ./bin/elasticsearch-certutil http

  复制代码
  
  
  docker 部署的话必要在f.步调增加宿主机IP地址
  
  1. # 最后会生成压缩文件，此压缩文件 包含 Elasticsearch 和 Kibana 的一个目录
  2. /elasticsearch
  3. |_ README.txt
  4. |_ http.p12
  5. |_ sample-elasticsearch.yml
  7. /kibana
  8. |_ README.txt
  9. |_ elasticsearch-ca.pem
  10. |_ sample-kibana.yml
  12. # 复制到对应目录
  13. mv elasticsearch/es01/http.p12 config/certs
  14. # es增加配置
  15. xpack.security.http.ssl.enabled: true
  16. xpack.security.http.ssl.keystore.path: http.p12
  20. [root@seeone config]# cat elasticsearch.yml
  21. cluster.name: es-cluster
  22. node.name: es01
  23. http.host: 0.0.0.0
  24. http.cors.enabled: true
  25. http.cors.allow-origin: "*"
  26. xpack.security.enabled: true
  27. xpack.security.http.ssl:
  28.   enabled: true
  29.   keystore.path: certs/http.p12
  30. xpack.security.transport.ssl.enabled: true
  31. xpack.security.transport.ssl.verification_mode: certificate
  32. xpack.security.transport.ssl.client_authentication: required
  33. xpack.security.transport.ssl.keystore.path: certs/elastic-certificates.p12
  34. xpack.security.transport.ssl.truststore.path: certs/elastic-certificates.p12

  复制代码
  
  
  
• 增加集群配置3：加密kibana和es之间的流量
  
  1. # 将前面生成的这个文件elasticsearch-ca.pem 复制出来，然后在kibana.yml里面加个配置
  2. elasticsearch.ssl.certificateAuthorities: $KBN_PATH_CONF/elasticsearch-ca.pem
  4. [root@seeone config]# cat kibana.yml
  5. server.name: kibana
  6. server.host: "0.0.0.0"
  7. elasticsearch.hosts: [ "https://192.168.56.57:19200" ]
  8. elasticsearch.ssl.certificateAuthorities: /usr/share/kibana/config/certs/elasticsearch-ca.pem
  9. elasticsearch.username: 'kibana_system'
  10. elasticsearch.password: 'Qianyue@2024'
  11. xpack.monitoring.ui.container.elasticsearch.enabled: true
  12. i18n.locale: "zh-CN"

  复制代码
  打开网页验证一下
  
  
  
  
  1. # 可能需要重新创建一下账号
  2. curl -k -X PUT -u elastic:Qianyue@2024 "https://192.168.56.57:19200/_security/user/kibana_system/_password" -H 'Content-Type: application/json' -d'{"password": "Qianyue@2024"}'

  复制代码
• 增加集群配置4：加密kibana到浏览器之间的流量
  
  1. # 为 Kibana 生成服务器证书和私钥。
  2. ./bin/elasticsearch-certutil csr -name kibana-server -dns qianyue-kibana.com,www.qianyue-kibana.com
  4. # 可能还是要输入一个文件名
  5. #-------------------------------------------------------------------------
  6. #    ...
  7. #    Please enter the desired output file [csr-bundle.zip]:   //直接回车
  8. #    ...
  9. #-------------------------------------------------------------------------
  11. # 会得到文件csr-bundle.zip
  12. # 解压
  13. elasticsearch@es01:~$ unzip csr-bundle.zip
  14. Archive:  csr-bundle.zip
  15.    creating: kibana-server/
  16.   inflating: kibana-server/kibana-server.csr  
  17.   inflating: kibana-server/kibana-server.key
  19. # 复制到指定位置
  20. # 用命令创建CRT证书
  21. openssl x509 -req -in kibana-server.csr -signkey kibana-server.key -out kibana-server.crt
  23. # kibana增加配置
  24. [root@seeone config]# cat kibana.yml
  25. server.name: kibana
  26. server.host: "0.0.0.0"
  27. elasticsearch.hosts: [ "https://192.168.56.57:19200" ]
  28. elasticsearch.ssl.certificateAuthorities: /usr/share/kibana/config/certs/elasticsearch-ca.pem
  29. elasticsearch.username: 'kibana_system'
  30. elasticsearch.password: 'Qianyue@2024'
  32. # 增加3行
  33. server.ssl.enabled: true
  34. server.ssl.certificate: /usr/share/kibana/config/certs/kibana-server.crt
  35. server.ssl.key: /usr/share/kibana/config/certs/kibana-server.key
  37. xpack.monitoring.ui.container.elasticsearch.enabled: true
  38. i18n.locale: "zh-CN"

  复制代码
• 浏览器验证
  
  
  
  
• 部署完成！
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。