• 配置主机hosts文件
192.168.75.20 filebeat.local kibana.local logstash.local

192.168.75.22 node2.elastic.test.com node2

说明:

192.168.75.20主机上配置filebeat,logstash和kibana

192.168.75.22主机上配置elasticsearch

  • instances.yml文件内容

    存储路径:/usr/share/elasticsearch
instances:

  - name: "node2"

    dns: ['node2.elastic.test.com']

  - name: 'kibana'

    dns: ['kibana.local']

  - name: 'logstash'

    dns: ['logstash.local']

  - name: 'filebeat'

    dns: ['filebeat.local']
  • 生成证书
cd /usr/share/elasticsearch

bin/elasticsearch-certutil cert ca --pem --in instance.yml --out /root/certs.zip

# 解压后目录结构内容如下:

├── ca

│   └── ca.crt

├── certs.zip

├── filebeat

│   ├── filebeat.crt

│   └── filebeat.key

├── instance.yml

├── kibana

│   ├── kibana.crt

│   └── kibana.key

├── logstash

│   ├── logstash.crt

│   └── logstash.key

├── node2

    ├── node2.crt

    └── node2.key

# 把生成的相应证书复制到相应节点目录下
  • es配置
cluster.name: my-application

node.name: node2

path.data: /var/lib/elasticsearch

path.logs: /var/log/elasticsearch

network.host: node2.elastic.test.com

http.port: 9200

transport.port: 9300

discovery.seed_hosts: ["node2.elastic.test.com"]

cluster.initial_master_nodes: ["node2"]

http.cors.enabled: true

http.cors.allow-origin: "*"

xpack.security.enabled: true

xpack.security.http.ssl.enabled: true

xpack.security.http.ssl.key: /etc/elasticsearch/new_certs/node2.key

xpack.security.http.ssl.certificate: /etc/elasticsearch/new_certs/node2.crt

xpack.security.http.ssl.certificate_authorities: /etc/elasticsearch/new_certs/ca.crt

xpack.security.transport.ssl.enabled: true

xpack.security.transport.ssl.key: /etc/elasticsearch/new_certs/node2.key

xpack.security.transport.ssl.certificate: /etc/elasticsearch/new_certs/node2.crt

xpack.security.transport.ssl.certificate_authorities: ["/etc/elasticsearch/new_certs/ca.crt"]

设置系统内置用户密码

# 自动生成,记录下来

bin/elasticsearch-setup-passwords auto -u "https://node2.elastic.test.com:9200"

# 通过 HTTPS 访问 _cat/nodes API,需要输入elastic用户的密码

curl --cacert /etc/elasticsearch/new_certs/ca.crt -u elastic 'https://node2.elastic.test.com:9200/_cat/nodes?v'
  • kibana配置文件
server.host: "kibana.local"

server.name: "kibana"

elasticsearch.hosts: ["https://node2.elastic.test.com:9200"]

elasticsearch.username: "kibana"

elasticsearch.password: "xafpbULaycAArnLc9O6H"

server.ssl.enabled: true

server.ssl.certificate: /etc/kibana/certs/kibana.crt

server.ssl.key: /etc/kibana/certs/kibana.key

elasticsearch.ssl.certificateAuthorities: ["/etc/kibana/certs/ca.crt"]
  • 在es上创建logstash使用的用户
# 注意索引名

POST /_security/role/logstash_write_role

{

    "cluster": [

      "monitor",

      "manage_index_templates"

    ],

    "indices": [

      {

        "names": [

          "logstash*"

        ],

        "privileges": ["write","create","delete","create_index","manage","manage_ilm"],

        "field_security": {

          "grant": [

            "*"

          ]

        }

      }

    ],

    "run_as": [],

    "metadata": {},

    "transient_metadata": {

      "enabled": true

    }

}

# 设置该用户密码

POST /_security/user/logstash_writer

{

  "username": "logstash_writer",

  "roles": [

    "logstash_write_role"

  ],

  "full_name": null,

  "email": null,

  "password": "1234567890",

  "enabled": true

}
  • 针对 Beats 输入插件,将 logstash.key 转换为 PKCS#8 格式
openssl pkcs8 -in logstash.key -topk8 -nocrypt -out logstash.pkcs8.key
  • logstash配置
# grep -v '^#' /etc/logstash/logstash.yml

node.name: logstash.local

path.data: /var/lib/logstash

path.config: /etc/logstash/conf.d/*.conf

path.logs: /var/log/logstash

xpack.monitoring.enabled: true

xpack.monitoring.elasticsearch.username: logstash_system

xpack.monitoring.elasticsearch.password: TBQOrC23OjbivKfqonMg

xpack.monitoring.elasticsearch.hosts: ["https://node2.elastic.test.com:9200"]

xpack.monitoring.elasticsearch.ssl.certificate_authority: "/etc/logstash/new_certs/ca.crt"

# 注意输出的索引名

# grep -v '^#' /etc/logstash/conf.d/nginx.conf 

input {

  beats {

    port => 5044

    ssl => true

    ssl_certificate_authorities => ["/etc/logstash/new_certs/ca.crt"]

    ssl_certificate => "/etc/logstash/new_certs/logstash.crt"

    ssl_key => "/etc/logstash/new_certs/logstash.pkcs8.key"

    ssl_verify_mode => "force_peer"

  }

}

output {

  stdout {

    codec => json

  }

  elasticsearch {

     hosts => ["https://node2.elastic.test.com:9200"]

     ssl => true

     cacert => "/etc/logstash/new_certs/ca.crt"

     index => "logstash-%{+YYYY.MM.dd}"

     user => "logstash_writer"

     password => "1234567890"

  }

}
  • filebeat配置
output.logstash:

  hosts: ["logstash.local:5044"]

  ssl.certificate_authorities: ["/etc/filebeat/new_certs/ca.crt"]

  ssl.certificate: "/etc/filebeat/new_certs/filebeat.crt"

  ssl.key: "/etc/filebeat/new_certs/filebeat.key"

配置 SSL、TLS 以及 HTTPS 来确保 Elasticsearch、Kibana、Beats 和 Logstash 的安全的更多相关文章

  1. 在 Tomcat 中配置 SSL/TLS 以支持 HTTPS

    本件详细介绍了如何通过几个简单步骤在 Tomcat 中配置 SSL/TLS .使用 JDK 生成自签名的证书,最终实现在应用中支持 HTTPS 协议. 生产密钥和证书 Tomcat 目前只能操作 JK ...

  2. mosquitto ---配置SSL/TLS linux

    mosquitto ---配置SSL/TLS 摘自: https://www.cnblogs.com/saryli/p/9821343.html 在服务器电脑上面创建myCA文件夹, 如在/home/ ...

  3. [转] Nginx 配置 SSL 证书 + 搭建 HTTPS 网站教程

    一.HTTPS 是什么? 根据维基百科的解释: 超文本传输安全协议(缩写:HTTPS,英语:Hypertext Transfer Protocol Secure)是超文本传输协议和SSL/TLS的组合 ...

  4. Nginx 配置 SSL 证书 + 搭建 HTTPS 网站教程

    一.HTTPS 是什么? 根据维基百科的解释: 超文本传输安全协议(缩写:HTTPS,英语:Hypertext Transfer Protocol Secure)是超文本传输协议和SSL/TLS的组合 ...

  5. Nginx配置SSL证书实现https访问「浏览器未认证」

    http 和 https 介绍 http:应用最广泛的一种网络协议,是一个B/S的request和response的标准,用于从www服务器传输超文本到本地浏览器的传输协议. https:以安全为目标 ...

  6. TOMCAT配置SSL认证为HTTPS协议服务

     1 . 问题概述 很多安全性要求较高的系统,都会使用安全套接字层(SSL)进行信息交换, Sun为了解决在Internet上的实现安全信息传输的解决方案.它实现了SSL和TSL(传输层安全)协议 ...

  7. nginx配置SSL证书实现https服务

    在前面一篇文章中,使用openssl生成了免费证书 后,我们现在使用该证书来实现我们本地node服务的https服务需求.假如我现在node基本架构如下: |----项目 | |--- static ...

  8. Nginx配置SSL证书部署HTTPS网站(颁发证书)

    一.Http与Https的区别HTTP:是互联网上应用最为广泛的一种网络协议,是一个客户端和服务器端请求和应答的标准(TCP),用于从WWW服务器传输超文本到本地浏览器的传输协议,它可以使浏览器更加高 ...

  9. 阿里云Center OS 6.2 Nginx 配置 SSL/TLS HTTPS配置

    1.通过https://www.startssl.com/ 免费SSL证书 STARTSSL 跟VeriSign一样,StartSSL(网址:http://www.startssl.com,公司名:S ...

随机推荐

  1. 《高性能 Go 代码工坊》中译

    深入研究 Go 应用性能提升的英语系列文章,这里是中译 https://www.yuque.com/ksco/uiondt

  2. [linux] 进程五状态模型

    运行态:该进程正在执行:就绪态:进程做好了准备,只要有机会就开始执行:阻塞态:进程在某些事件发生前不能执行,如I/O 操作完成:新建态:刚刚创建的进程,操作系统还没有把它加入到可执行进程组中.通常是进 ...

  3. 如何使用jmockit进行单元测试

    1. Jmockit简介 JMockit 是用以帮助开发人员编写测试程序的一组工具和API,它完全基于 Java 5 SE 的 java.lang.instrument 包开发,内部使用 ASM 库来 ...

  4. 201871010112-梁丽珍《面向对象程序设计(java)》第七周学习总结

    项目 内容 这个作业属于哪个课程 https://www.cnblogs.com/nwnu-daizh/ 这个作业的要求在哪里 https://www.cnblogs.com/nwnu-daizh/p ...

  5. 201871010134-周英杰《面向对象程序设计(java)》第十三周学习总结

    201871010134-周英杰<面向对象程序设计(java)>第十三周学习总结 项目 内容 这个作业属于哪个课程 https://www.cnblogs.com/nwnu-daizh/ ...

  6. day21_7.25 面向对象之继承

    一.继承 什么是继承? 继承是一种关系,就是描述两者之间什么是什么的关系. 在程序中,继承描述的是类与类之间的关系. 例如a如果继承了b,a就具备了b的所有变量与方法,可以直接调用. class B: ...

  7. 莫烦RL-01小例子

    # Python 3.6.5 :: Anaconda, Inc. import numpy as np import pandas as pd import time np.random.seed(2 ...

  8. InfoQ一波文章:AdaSearch/JAX/TF_Serving/leon.bottou.org/Neural_ODE/NeurIPS_2018最佳论文

    和 Nested Partition 有相通之处? 伯克利提出 AdaSearch:一种用于自适应搜索的逐步消除方法 在机器学习领域的诸多任务当中,我们通常希望能够立足预先给定的固定数据集找出问题的答 ...

  9. flutter环境配置window10

    第一步,配置git环境,这个作为前端的都是会的,如果你不会,去问度娘去 第二步,配置java的开发环境,这里建议下载jdk为1.8版本的,我最初使用的是如下图的jdk版本,后面和flutter版本不一 ...

  10. nexus php composer 私服搭建

    nexus 社区也提供了php composer 私服(当前还在开发中,还没有ga),测试使用构建好的docker 镜像 环境准备 docker-compose 文件 version: "3 ...