ES 配置密码访问
在es用户下进入/home/es/elasticsearch-7.6.1目录
1、为集群创建认证机构
文件根目录下执行 bin/elasticsearch-certutil ca
依次输入回车(文件使用默认名),密码
2、为节点颁发证书
之后执行bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12
依次输入上一个步骤的密码。回车(文件使用默认名),密码(建议与上一步密码相同)
执行bin/elasticsearch-keystore add xpack.security.transport.ssl.keystore.secure_password 并输入第一步输入的密码
执行bin/elasticsearch-keystore add xpack.security.transport.ssl.truststore.secure_password 并输入第一步输入的密码
3、多节点配置
将生成的elastic-certificates.p12、elastic-stack-ca.p12文件mv到config目录下,并连同elasticsearch.keystore 文件 scp到其他节点的config目录中。
scp elastic-certificates.p12 elasticsearch.keystore elastic-stack-ca.p12 root@192.168.1.100:/home/wes/elasticsearch-7.6.1/config/
4、修改配置
在elasticsearch-7.6.1/config/elasticsearch.yml中增加一下配置,启用x-pack安全组件,启用ssl加密通信,并且配置认证证书:
#---------------------security------------------ # xpack.security.enabled: true xpack.security.transport.ssl.enabled: true xpack.security.transport.ssl.verification_mode: certificate xpack.security.transport.ssl.keystore.path: elastic-certificates.p12 xpack.security.transport.ssl.truststore.path: elastic-certificates.p12 #
|
配置修改完成后,重启es服务,重启成功后
http://192.168.1.100:9200/ 访问Es服务要输入用户名和密码
5、 密码设置
通过设置访问密码,这是elastic用户和其他一些系统内置用户的密码
bin/elasticsearch-setup-passwords interactive
设置成功后,可以通过用户名密码访问es服务:
http://192.168.118.51:900/访问Es服务,输入配置的用户名和密码
{ "name" : "wnode-1", "cluster_name" : "escluster", "cluster_uuid" : "8EM0oU7aRjiJ-Gi8CH6Xtw", "version" : { "number" : "7.6.1", "build_flavor" : "default", "build_type" : "tar", "build_hash" : "aa751e09be0a5072e8570670309b1f12348f023b", "build_date" : "2020-02-29T00:15:25.529771Z", "build_snapshot" : false, "lucene_version" : "8.4.0", "minimum_wire_compatibility_version" : "6.8.0", "minimum_index_compatibility_version" : "6.0.0-beta1" }, "tagline" : "You Know, for Search" }
|
5、 配置kibana访问密码
不要在kibana.yml配置文件里面配置es访问的用户密码明文,需要通过keystore配置加密的用户名密码信息,具体如下:
kibana-7.6.1-linux-x86_64/bin
创建keystore
./kibana-keystore create
设置kibana访问es的用户名
./kibana-keystore add elasticsearch.username
设置kibana访问es的密码
./kibana-keystore add elasticsearch.password