DockerにElasticsearch7.6クラスタをインストールしてパスワードを設定する方法

DockerにElasticsearch7.6クラスタをインストールしてパスワードを設定する方法

Elasticsearch 6.8 以降、無料ユーザーは X-Pack のセキュリティ機能を使用できます。以前は、es のインストールはネイキッド プロセスでした。次に、セキュリティ認証を構成する方法を記録します。

物理的なインストール プロセスを簡素化するために、Docker を使用してサービスをインストールします。

基本的な設定

es では Linux のいくつかのパラメータを変更する必要があります。

vm.max_map_count=262144に設定

sudo vim /etc/sysctl.conf
vm.max_map_count=262144

再起動せず、現在のコマンドを直接適用します

sysctl -w vm.max_map_count=262144

es のデータ ディレクトリとログ ディレクトリは、1000 人のユーザーに許可される必要があります。3 つの es クラスターがインストールされているものと想定し、まず対応するデータ ストレージ ファイルを作成します。

mkdir -p es01/データ
mkdir -p es01/logs
mkdir -p es02/データ
mkdir -p es02/logs
mkdir -p es03/データ
mkdir -p es03/logs

## es のユーザー ID は 1000 なので、一時的に全員に許可しましょう sudo chmod 777 es* -R

バージョンとDockerイメージについて

Elasticsearch には複数のライセンスがあり、Open Source と Basic は無料です。セキュリティ機能はバージョン 6.8 以降、Basic ライセンスにのみ統合されました。

画像

Basicの対応するDockerイメージは

docker pull docker.elastic.co/elasticsearch/elasticsearch:7.6.2

同時に、Dockerhub は elasticsearch に同期されます。 elasticsearch:7.6.2直接プルできます。

始める

まずdocker-compose.ymlを作成します

バージョン: '2.2'
サービス:
  es01:
    画像: elasticsearch:7.6.2
    コンテナ名: es01
    環境:
      - ノード名=es01
      - クラスター名=es-docker-cluster
      - 検出シードホスト=es02,es03
      - クラスター.初期マスターノード=es01、es02、es03
      - bootstrap.memory_lock=true
      - "ES_JAVA_OPTS=-Xms512m -Xmx512m"
    ulimits:
      メモリロック:
        ソフト: -1
        難しい: -1
    ボリューム:
      - ./es01/data:/usr/share/elasticsearch/data
      ログファイル
      ./elasticsearch.yml:/usr/share/elasticsearch/config/elasticsearch.yml
      - ./elastic-certificates.p12:/usr/share/elasticsearch/config/elastic-certificates.p12
    ポート:
      - 9200:9200
    ネットワーク:
      - 伸縮性

  es02:
    画像: elasticsearch:7.6.2
    コンテナ名: es02
    環境:
      - ノード名=es02
      - クラスター名=es-docker-cluster
      - 検出シードホスト=es01,es03
      - クラスター.初期マスターノード=es01、es02、es03
      - bootstrap.memory_lock=true
      - "ES_JAVA_OPTS=-Xms512m -Xmx512m"
    ulimits:
      メモリロック:
        ソフト: -1
        難しい: -1
    ボリューム:
      - ./es02/data:/usr/share/elasticsearch/data
      ログファイル
      ./elasticsearch.yml:/usr/share/elasticsearch/config/elasticsearch.yml
      - ./elastic-certificates.p12:/usr/share/elasticsearch/config/elastic-certificates.p12
    ポート:
      - 9201:9200
    ネットワーク:
      - 伸縮性

  es03:
    画像: elasticsearch:7.6.2
    コンテナ名: es03
    環境:
      - ノード名=es03
      - クラスター名=es-docker-cluster
      - 検出シードホスト=es01,es02
      - クラスター.初期マスターノード=es01、es02、es03
      - bootstrap.memory_lock=true
      - "ES_JAVA_OPTS=-Xms512m -Xmx512m"
    ulimits:
      メモリロック:
        ソフト: -1
        難しい: -1
    ボリューム:
      - ./es03/data:/usr/share/elasticsearch/data
      ログファイル
      ./elasticsearch.yml:/usr/share/elasticsearch/config/elasticsearch.yml
      - ./elastic-certificates.p12:/usr/share/elasticsearch/config/elastic-certificates.p12
    ポート:
      - 9202:9200
    ネットワーク:
      - 伸縮性

  キブ01:
    依存: 
      -es01
    イメージ: kibana:7.6.2
    コンテナ名: kib01
    ポート:
      -5601:5601
    環境:
      ELASTICSEARCH_URL: http://es01:9200
      ELASTICSEARCH_HOSTS: http://es01:9200
    ボリューム:
      ./kibana.yml:/usr/share/kibana/config/kibana.yml を参照してください。
    ネットワーク:
      - 伸縮性

ネットワーク:
  弾性:
    ドライバー: ブリッジ

elasticsearch.ymlについて

内容は以下のとおりです

ネットワークホスト: 0.0.0.0
xpack.security.enabled: 有効
xpack.security.transport.ssl.enabled: 有効
xpack.security.transport.ssl.keystore.type: PKCS12
xpack.security.transport.ssl.verification_mode: 証明書
xpack.security.transport.ssl.keystore.path: elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: elastic-certificates.p12
xpack.security.transport.ssl.truststore.type: PKCS12

xpack.security.audit.enabled: 有効
  • network.host設定により他のIPのアクセスを許可し、IPバインディングを解放します。
  • xpack.securityはセキュリティ関連の設定であり、SSL証明書を自分で生成する必要があります。

証明書 elastic-certificates.p12 について

es はelasticsearch-certutilを提供します。これを Docker インスタンスで生成し、コピーして、後で統一的に使用することができます。

まずesインスタンスを実行します

sudo docker run -dit --name=es elasticsearch:7.6.2 /bin/bash

インスタンスに入る

sudo docker exec -it es /bin/bash

ca を生成: elastic-stack-ca.p12

[root@25dee1848942 elasticsearch]# ./bin/elasticsearch-certutil ca
このツールは、X.509証明書と証明書の生成を支援します。
Elastic スタックの SSL/TLS で使用するための署名リクエスト。

「ca」モードは新しい「証明機関」を生成します
これにより、新しいX.509証明書と秘密鍵が作成され、
「cert」モードで実行しているときに証明書に署名します。

「識別名」を設定する場合は、「ca-dn」オプションを使用します。
認証局の

デフォルトでは、「ca」モードは次の内容を含む単一の PKCS#12 出力ファイルを生成します。
    * CA証明書
    * CAの秘密鍵

PEM形式の証明書を生成することを選択した場合(-pemオプション)、出力は次のようになります。
CA証明書と秘密鍵の個別のファイルを含むzipファイルであること

希望する出力ファイル[elastic-stack-ca.p12]を入力してください: 
elastic-stack-ca.p12 のパスワードを入力してください: 

証明書を再生成: elastic-certificates.p12

[root@25dee1848942 elasticsearch]# ./bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12
このツールは、X.509証明書と証明書の生成を支援します。
Elastic スタックの SSL/TLS で使用するための署名リクエスト。

「cert」モードでは、X.509 証明書と秘密鍵が生成されます。

生成された elastic-certificates.p12 を使用する必要があります。

証明書をコピーし、Ctrl + D を押してコンテナーを終了します。

sudo docker cp es:/usr/share/elasticsearch/elastic-certificates.p12 を実行します。
# このコンテナを閉じる sudo docker kill es
sudo docker rm es

このようにして証明書が取得されます。

パスワードを生成する

まず、es クラスターを起動し、その中でパスワードを生成する必要があります。

sudo docker-compose を実行します

次に、

sudo docker exec -it es01 /bin/bash

パスワードを生成するには自動を使用し、自分で設定するにはinteractive使用します

[root@cfeeab4bb0eb elasticsearch]# ./bin/elasticsearch-setup-passwords -h
予約ユーザーのパスワードを設定する

コマンド
--------
自動 - ランダムに生成されたパスワードを使用します
インタラクティブ - ユーザーが入力したパスワードを使用する

オプション以外の引数:
指示              

オプションの説明        
------ -----------        
-E <KeyValuePair> 設定を構成する
-h, --help ヘルプを表示          
-s, --silent 最小限の出力を表示
-v, --verbose 詳細出力を表示



[root@cfeeab4bb0eb elasticsearch]# ./bin/elasticsearch-setup-passwords 自動
予約済みユーザー elastic、apm_system、kibana、logstash_system、beats_system、remote_monitoring_user のパスワードの設定を開始します。
パスワードはランダムに生成され、コンソールに出力されます。
続行することを確認してください [y/N]y


ユーザー apm_system のパスワードを変更しました
パスワード apm_system = YxVzeT9B2jEDUjYp66Ws

ユーザー kibana のパスワードを変更しました
パスワード kibana = 8NnThbj0N02iDaTGhidU

ユーザー logstash_system のパスワードを変更しました
パスワード logstash_system = 9nIDGe7KSV8SQidSk8Dj

ユーザーbeats_systemのパスワードを変更しました
パスワード beats_system = qeuVaf1VEALpJHfEUOjJ

ユーザー remote_monitoring_user のパスワードを変更しました
パスワード remote_monitoring_user = DtZCrCkVTZsinRn3tW3D

ユーザー elastic のパスワードを変更しました
パスワード elastic = q5f2qNfUJQyvZPIz57MZ

パスワードを使用する

ブラウザはlocalhost:9200/9201/9202にアクセスし、アカウントを入力する必要があります

対応するエラスティック/パスワードを入力するだけです

localhost:5601を参照します

画像

パスワードを忘れた

パスワードを生成した後に忘れてしまった場合はどうすればいいでしょうか? マシンにログインしてパスワードを変更することができます。

esマシンに入る

sudo docker exec -it es01 /bin/bash

一時的なスーパーユーザーRyanMiaoを作成する

./bin/elasticsearch-users ユーザー追加 ライアン -r スーパーユーザー
新しいパスワードを入力してください: 
エラー: 無効なパスワードです...パスワードは少なくとも [6] 文字である必要があります
[root@cfeeab4bb0eb elasticsearch]# ./bin/elasticsearch-users useradd ryan -r スーパーユーザー
新しいパスワードを入力してください: 
新しいパスワードを再入力してください: 

このユーザーを使用して elastic のパスワードを変更します:

curl -XPUT -u ryan:ryan123 http://localhost:9200/_xpack/security/user/elastic/_password -H "Content-Type: application/json" -d '
{
  「パスワード」: 「q5f2qNfUJQyvZPIz57MZ」
}'

参考 http://codingfundas.com/setting-up-elasticsearch-6-8-with-kibana-and-x-pack-security-enabled/index.html

これで、Docker で Elasticsearch 7.6 クラスターをインストールしてパスワードを設定する方法についての記事は終了です。Docker で Elasticsearch 7.6 クラスターをインストールする方法の詳細については、123WORDPRESS.COM の以前の記事を検索するか、次の関連記事を引き続き参照してください。今後とも 123WORDPRESS.COM をよろしくお願いいたします。

以下もご興味があるかもしれません:
  • Docker に ElasticSearch と Kibana をインストールする際の問題と解決策
  • Docker に ElasticSearch をインストールする方法を 1 つの記事で解説
  • Docker に Elasticsearch 7.6.2 をインストールするチュートリアル
  • ElasticSearch と ElasticSearch-Head の Docker デプロイメントの実装
  • Dockerを使用してelasticsearchとheadプラグインをインストールする方法を説明します

<<:  MySQLのインデックスシステムがB+ツリーを使用する理由の分析

>>:  良いリファクタリングを行うには、コードをリファクタリングするだけでなく、人生をリファクタリングすることも重要です。

推薦する

CSS3 における構造擬似クラスセレクターと擬似要素セレクターの使い方の詳細な説明

構造擬似クラスセレクタの紹介構造擬似クラスセレクターは、いくつかの特殊効果を処理するために使用されま...

vue-admin-template 動的ルーティング実装例

ログインを提供し、ユーザー情報データインターフェースを取得するapi/user.js内 '@...

SQL と MySQL のステートメント実行順序の分析

今日、問題が発生しました: MySQL の insert into、update、delete ステ...

テーブル編集操作を実現する js+Html

この記事では、テーブルの編集操作を実現するためのjs+Htmlの具体的なコードを参考までに共有します...

テキストまたはJSONを返すようにnginxを設定する方法

特定のインターフェースをリクエストするときに、指定されたテキスト文字列または JSON 文字列を返す...

ReactプロジェクトにSCSSを導入する方法

まず依存関係をダウンロードします yarn sass-loader ノード sass を追加します次...

純粋なCSS3で実装されたネオンライト効果

達成される効果は次のとおりです。 マウスがボタン内に移動すると、ネオンライトのような効果が生成され、...

LayUI+Shiroは動的なメニューを実装し、メニュー拡張の例を記憶します

目次1. Maven 依存関係2. メニュー関連クラス1. メインメニュー2. サブメニュー3. S...

SQL文の最適化の一般的な手順の詳細な説明

序文この記事では主に、SQL ステートメントの最適化の一般的な手順について説明します。これは、参考と...

MySQLのインストールと設定方法のグラフィックチュートリアル(CentOS7)

1. システム環境[root@localhost ホーム]# cat /etc/redhat-re...

格納可能なセカンダリメニューを実装するための JavaScript

JavaScriptで格納可能なセカンダリメニューを実装するための具体的なコードは参考までに。具体...

77.9K の GitHub リポジトリを持つ Axios プロジェクト: 学ぶ価値のあることは何でしょうか?

目次序文1. Axiosの紹介2. HTTPインターセプターの設計と実装2.1 インターセプターの紹...

MySQL InnoDB row_id 境界オーバーフロー検証方法の手順

背景クラスメートと row_id の境界問題について話し合ったので、ここで詳しく説明します。 Inn...

Vueはechartを使用してラベルと色をカスタマイズします

この記事では、参考までに、echartを使用してタグと色をカスタマイズするVueの具体的なコードを紹...

Vue で棒グラフを使用し、自分で設定を変更する方法

1. HTMLファイルでechartをインポートする <!-- echarts をインポート ...