Einführung
Wir werden Elasticsearch und Kibana installieren und mit selbstsignierten SSL-Zertifikaten sichern.
Anforderungen
Im Video haben wir zwei Instanzen von Ubuntu 20.04 verwendet, die auf einer VM in einem Cloud-Dienst ausgeführt werden.
Wir gehen davon aus, dass Sie auch A-Einträge in Ihrem DNS haben, die jeweils eine Domäne der Elasticsearch-VM und der Kibana-VM zuordnen. Für unsere Demonstration unten verwenden wir elastic.evermight.net Und kibana.evermight.net.
Schritte
Schritt 1 - Ubuntu aktualisieren [02:30]
Beide Ubuntu-Installationen sind brandneu. Wir aktualisieren die Distribution und installieren einige Tools, die wir normalerweise auf beiden Maschinen verwenden.
apt-get update && apt dist-upgrade -y && apt-get install -y vim curl gnupg gpg
Schritt 2 - Elasticsearch installieren [02:50]
Beide Ubuntu-Installationen benötigen diese Abhängigkeiten, führen Sie daher diese Befehle auf beiden aus:
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo gpg --dearmor -o /usr/share/keyrings/elasticsearch-keyring.gpg;
echo 'deb [signed-by=/usr/share/keyrings/elasticsearch-keyring.gpg] https://artifacts.elastic.co/packages/8.x/apt stable main' | sudo tee /etc/apt/sources.list.d/elastic-8.x.list;
apt-get update;
apt-get install -y apt-transport-https;
apt-get install -y elasticsearch;
Notieren Sie sich nach Abschluss der Installation unbedingt das Passwort.
Schritt 3 - Selbstsigniertes Zertifikat für Elasticsearch erstellen [04:50]
Lassen Sie uns selbstsignierte SSL-Zertifikate erstellen für elastic.evermight.net Und kibana.evermight.net.
Gehen Sie zu elastic.evermight.net Hülse.
Erstellen Sie die Zertifizierungsstelle mit diesem Befehl:
/usr/share/elasticsearch/bin/elasticsearch-certutil ca --pem --out /etc/elasticsearch/certs/ca.zip
cd /etc/elasticsearch/certs/
unzip ca.zip
Jetzt erstellen wir ein selbstsigniertes Zertifikat für elastic.evermight.net und unterschreiben Sie es mit unserem ca.crt:
/usr/share/elasticsearch/bin/elasticsearch-certutil cert \
--out /etc/elasticsearch/certs/elastic.zip \
--name elastic \
--ca-cert /etc/elasticsearch/certs/ca/ca.crt \
--ca-key /etc/elasticsearch/certs/ca/ca.key \
--dns elastic.evermight.net \
--pem;
cd /etc/elasticsearch/certs/;
unzip elastic.zip
Optional können Sie, wenn Sie auch eine IP-Adresse verwenden, Folgendes eingeben:--ip Option und geben Sie Ihre IP-Adresse an.
Schritt 4 - Elasticsearch konfigurieren [03:50]
Bearbeiten Sie elasticsearch.yml
Gehen Sie zum /etc/elasticsearch/elasticsearch.yml Datei. Bearbeiten Sie die folgenden Felder:
...etc...
cluster.name: <anything you want>
...etc...
network.host: elastic.evermight.net
...etc...
http.port: 9200
...etc...
xpack.security.http.ssl:
enabled: true
key: certs/elastic/elastickey.
certificate: certs/elastic/elastic.crt
certificate_authorities: certs/ca/ca.crt
...etc...
Eigentümer ändern
chown -R elasticsearch:elasticsearch /etc/elasticsearch
Schritt 5 - Elasticsearch starten [12:45]
Starten Sie elasticsearch mit diesen Befehlen:
systemctl enable elasticsearch;
systemctl start elasticsearch;
Bestätigen Sie mit diesem Befehl, dass Elasticsearch funktioniert:
curl -X GET -u elastic:<password from step 2> https://elastic.evermight.net:9200 --cacert /etc/elasticsearc/cert/ca/ca.crt
Und Sie sollten ungefähr Folgendes sehen:
Schritt 6 – Kibana installieren [16:10]
Führen Sie diesen Befehl auf dem kibana.evermight.net Maschine:
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo gpg --dearmor -o /usr/share/keyrings/elasticsearch-keyring.gpg;
echo 'deb [signed-by=/usr/share/keyrings/elasticsearch-keyring.gpg] https://artifacts.elastic.co/packages/8.x/apt stable main' | sudo tee /etc/apt/sources.list.d/elastic-8.x.list;
apt-get install -y apt-transport-https;
apt-get install -y kibana;
Schritt 7 – Selbstsigniertes Zertifikat für Kibana erstellen
Jetzt erstellen wir ein selbstsigniertes Zertifikat für kibana.evermight.net und unterschreiben Sie es mit unserem ca.crt. Gehen Sie zu Ihrem elastic.evermight.net Maschine und führen Sie diesen Befehl aus:
/usr/share/elasticsearch/bin/elasticsearch-certutil cert \
--out /etc/elasticsearch/certs/kibana.zip \
--name elastic \
--ca-cert /etc/elasticsearch/certs/ca/ca.crt \
--ca-key /etc/elasticsearch/certs/ca/ca.key \
--dns kibana.evermight.net \
--pem;
cd /etc/elasticsearch/certs/;
unzip kibana.zip
Wir kopieren die /etc/elasticsearch/certs/kibana/* hinüber zum kibana.evermight.net in Kürze.
Schritt 8 - Kibana konfigurieren [15:26]
SSL-Zertifikate kopieren:
Gehen Sie zu Ihrem kibana.evermight.net Server und führen Sie diesen Befehl aus:
mkdir /etc/kibana/certs/kibana
Kopieren Sie anschließend Ihre SSL-Zertifikate aus Schritt 7 in das oben stehende Verzeichnis.
kibana.yml bearbeiten
Gehen Sie zum /etc/kibana/kibana.yml Datei. Bearbeiten Sie die folgenden Felder:
server.port: 5601
server.host: 0.0.0.0
server.publicBaseUrl: "https://kibana.evermight.net:5601"
server.ssl.enabled: true
server.ssl.key: /etc/kibana/certs/kibana/kibana.key
server.ssl.certificate: /etc/kibana/certs/kibana/kibana.crt
server.ssl.certificateAuthorities: /etc/kibana/certs/ca/ca.crt
elasticsearch.hosts: ["https://elastic.evermight.net:9200"]
elasticsearch.ssl.verificationMode: full
elasticsearch.ssl.certificateAuthorities: ["/etc/kibana/certs/ca/ca.crt"]
Service-Token erstellen
Führen Sie diesen Befehl auf dem Elasticsearch-Server aus:
/usr/share/elasticsearch/bin/elasticsearch-service-tokens create elastic/kibana kibana-token
chown -R elasticsearch:elasticsearch /etc/elasticsearch
Kopieren Sie das angezeigte Token.
Führen Sie diesen Befehl auf dem Kibana-Server aus:
/usr/share/kibana/bin/kibana-keystore add elasticsearch.serviceAccountToken
Fügen Sie das Token nach der Eingabeaufforderung ein.
Schritt 9 - Kibana starten [27:50]
systemctl enable kibana;
systemctl start kibana;
Jetzt können Sie besuchen https://kibana.evermight.net:5601/ und melden Sie sich an mit elastic und das Passwort aus Schritt 3.