• 配置主机hosts文件
192.168.75.20 filebeat.local kibana.local logstash.local

192.168.75.22 node2.elastic.test.com node2

说明:

192.168.75.20主机上配置filebeat,logstash和kibana

192.168.75.22主机上配置elasticsearch

  • instances.yml文件内容

    存储路径:/usr/share/elasticsearch
instances:

  - name: "node2"

    dns: ['node2.elastic.test.com']

  - name: 'kibana'

    dns: ['kibana.local']

  - name: 'logstash'

    dns: ['logstash.local']

  - name: 'filebeat'

    dns: ['filebeat.local']
  • 生成证书
cd /usr/share/elasticsearch

bin/elasticsearch-certutil cert ca --pem --in instance.yml --out /root/certs.zip

# 解压后目录结构内容如下:

├── ca

│   └── ca.crt

├── certs.zip

├── filebeat

│   ├── filebeat.crt

│   └── filebeat.key

├── instance.yml

├── kibana

│   ├── kibana.crt

│   └── kibana.key

├── logstash

│   ├── logstash.crt

│   └── logstash.key

├── node2

    ├── node2.crt

    └── node2.key

# 把生成的相应证书复制到相应节点目录下
  • es配置
cluster.name: my-application

node.name: node2

path.data: /var/lib/elasticsearch

path.logs: /var/log/elasticsearch

network.host: node2.elastic.test.com

http.port: 9200

transport.port: 9300

discovery.seed_hosts: ["node2.elastic.test.com"]

cluster.initial_master_nodes: ["node2"]

http.cors.enabled: true

http.cors.allow-origin: "*"

xpack.security.enabled: true

xpack.security.http.ssl.enabled: true

xpack.security.http.ssl.key: /etc/elasticsearch/new_certs/node2.key

xpack.security.http.ssl.certificate: /etc/elasticsearch/new_certs/node2.crt

xpack.security.http.ssl.certificate_authorities: /etc/elasticsearch/new_certs/ca.crt

xpack.security.transport.ssl.enabled: true

xpack.security.transport.ssl.key: /etc/elasticsearch/new_certs/node2.key

xpack.security.transport.ssl.certificate: /etc/elasticsearch/new_certs/node2.crt

xpack.security.transport.ssl.certificate_authorities: ["/etc/elasticsearch/new_certs/ca.crt"]

设置系统内置用户密码

# 自动生成,记录下来

bin/elasticsearch-setup-passwords auto -u "https://node2.elastic.test.com:9200"

# 通过 HTTPS 访问 _cat/nodes API,需要输入elastic用户的密码

curl --cacert /etc/elasticsearch/new_certs/ca.crt -u elastic 'https://node2.elastic.test.com:9200/_cat/nodes?v'
  • kibana配置文件
server.host: "kibana.local"

server.name: "kibana"

elasticsearch.hosts: ["https://node2.elastic.test.com:9200"]

elasticsearch.username: "kibana"

elasticsearch.password: "xafpbULaycAArnLc9O6H"

server.ssl.enabled: true

server.ssl.certificate: /etc/kibana/certs/kibana.crt

server.ssl.key: /etc/kibana/certs/kibana.key

elasticsearch.ssl.certificateAuthorities: ["/etc/kibana/certs/ca.crt"]
  • 在es上创建logstash使用的用户
# 注意索引名

POST /_security/role/logstash_write_role

{

    "cluster": [

      "monitor",

      "manage_index_templates"

    ],

    "indices": [

      {

        "names": [

          "logstash*"

        ],

        "privileges": ["write","create","delete","create_index","manage","manage_ilm"],

        "field_security": {

          "grant": [

            "*"

          ]

        }

      }

    ],

    "run_as": [],

    "metadata": {},

    "transient_metadata": {

      "enabled": true

    }

}

# 设置该用户密码

POST /_security/user/logstash_writer

{

  "username": "logstash_writer",

  "roles": [

    "logstash_write_role"

  ],

  "full_name": null,

  "email": null,

  "password": "1234567890",

  "enabled": true

}
  • 针对 Beats 输入插件,将 logstash.key 转换为 PKCS#8 格式
openssl pkcs8 -in logstash.key -topk8 -nocrypt -out logstash.pkcs8.key
  • logstash配置
# grep -v '^#' /etc/logstash/logstash.yml

node.name: logstash.local

path.data: /var/lib/logstash

path.config: /etc/logstash/conf.d/*.conf

path.logs: /var/log/logstash

xpack.monitoring.enabled: true

xpack.monitoring.elasticsearch.username: logstash_system

xpack.monitoring.elasticsearch.password: TBQOrC23OjbivKfqonMg

xpack.monitoring.elasticsearch.hosts: ["https://node2.elastic.test.com:9200"]

xpack.monitoring.elasticsearch.ssl.certificate_authority: "/etc/logstash/new_certs/ca.crt"

# 注意输出的索引名

# grep -v '^#' /etc/logstash/conf.d/nginx.conf 

input {

  beats {

    port => 5044

    ssl => true

    ssl_certificate_authorities => ["/etc/logstash/new_certs/ca.crt"]

    ssl_certificate => "/etc/logstash/new_certs/logstash.crt"

    ssl_key => "/etc/logstash/new_certs/logstash.pkcs8.key"

    ssl_verify_mode => "force_peer"

  }

}

output {

  stdout {

    codec => json

  }

  elasticsearch {

     hosts => ["https://node2.elastic.test.com:9200"]

     ssl => true

     cacert => "/etc/logstash/new_certs/ca.crt"

     index => "logstash-%{+YYYY.MM.dd}"

     user => "logstash_writer"

     password => "1234567890"

  }

}
  • filebeat配置
output.logstash:

  hosts: ["logstash.local:5044"]

  ssl.certificate_authorities: ["/etc/filebeat/new_certs/ca.crt"]

  ssl.certificate: "/etc/filebeat/new_certs/filebeat.crt"

  ssl.key: "/etc/filebeat/new_certs/filebeat.key"

配置 SSL、TLS 以及 HTTPS 来确保 Elasticsearch、Kibana、Beats 和 Logstash 的安全的更多相关文章

  1. 在 Tomcat 中配置 SSL/TLS 以支持 HTTPS

    本件详细介绍了如何通过几个简单步骤在 Tomcat 中配置 SSL/TLS .使用 JDK 生成自签名的证书,最终实现在应用中支持 HTTPS 协议. 生产密钥和证书 Tomcat 目前只能操作 JK ...

  2. mosquitto ---配置SSL/TLS linux

    mosquitto ---配置SSL/TLS 摘自: https://www.cnblogs.com/saryli/p/9821343.html 在服务器电脑上面创建myCA文件夹, 如在/home/ ...

  3. [转] Nginx 配置 SSL 证书 + 搭建 HTTPS 网站教程

    一.HTTPS 是什么? 根据维基百科的解释: 超文本传输安全协议(缩写:HTTPS,英语:Hypertext Transfer Protocol Secure)是超文本传输协议和SSL/TLS的组合 ...

  4. Nginx 配置 SSL 证书 + 搭建 HTTPS 网站教程

    一.HTTPS 是什么? 根据维基百科的解释: 超文本传输安全协议(缩写:HTTPS,英语:Hypertext Transfer Protocol Secure)是超文本传输协议和SSL/TLS的组合 ...

  5. Nginx配置SSL证书实现https访问「浏览器未认证」

    http 和 https 介绍 http:应用最广泛的一种网络协议,是一个B/S的request和response的标准,用于从www服务器传输超文本到本地浏览器的传输协议. https:以安全为目标 ...

  6. TOMCAT配置SSL认证为HTTPS协议服务

     1 . 问题概述 很多安全性要求较高的系统,都会使用安全套接字层(SSL)进行信息交换, Sun为了解决在Internet上的实现安全信息传输的解决方案.它实现了SSL和TSL(传输层安全)协议 ...

  7. nginx配置SSL证书实现https服务

    在前面一篇文章中,使用openssl生成了免费证书 后,我们现在使用该证书来实现我们本地node服务的https服务需求.假如我现在node基本架构如下: |----项目 | |--- static ...

  8. Nginx配置SSL证书部署HTTPS网站(颁发证书)

    一.Http与Https的区别HTTP:是互联网上应用最为广泛的一种网络协议,是一个客户端和服务器端请求和应答的标准(TCP),用于从WWW服务器传输超文本到本地浏览器的传输协议,它可以使浏览器更加高 ...

  9. 阿里云Center OS 6.2 Nginx 配置 SSL/TLS HTTPS配置

    1.通过https://www.startssl.com/ 免费SSL证书 STARTSSL 跟VeriSign一样,StartSSL(网址:http://www.startssl.com,公司名:S ...

随机推荐

  1. 在 Docker 中已运行的 container 如何修改 run 时的 env

    https://www.cnblogs.com/xiaouisme/p/9837221.html 首先不推荐这样做,如需修改配置,应删掉重新部署. 其次,可以进行如下操作(未测试,不知道仅重启 con ...

  2. 澄清Fundebug录屏技术的几点误会

    1. "视频"并非真的视频.也不是通过连续播放大量截图来实现 首先请大家观看这个视频: 视频中,当鼠标点击"场景重现",会立即播放一段"视频" ...

  3. 001-Zabbix 服务安装

    Zabbix 服务安装 [官方地址]点我快速打开文章 1.安装 Zabbix 1.1 下载 Zabbix 清华源 rpm -ivh https://mirrors.tuna.tsinghua.edu. ...

  4. <人人都懂设计模式>-单例模式

    这个模式,我还是了解的. 书上用了三种不同的方法. class Singleton1: # 单例实现方式1 __instance = None __is_first_init = False def ...

  5. Go语言goroutine调度器概述(11)

    本文是<go调度器源代码情景分析>系列的第11篇,也是第二章的第1小节. goroutine简介 goroutine是Go语言实现的用户态线程,主要用来解决操作系统线程太“重”的问题,所谓 ...

  6. 201871010124-王生涛 《面向对象程序设计(java)》第八周学习总结

    博文正文开头格式:(2分) 项目 内容 这个作业属于哪个课程 https://www.cnblogs.com/nwnu-daizh/ 这个作业的要求在哪里 https://www.cnblogs.co ...

  7. SQLAlchemy查询数据库数据

    首先创建模型,在数据库里面生成表,然后填入数据,如下 # 定义orm,数据模型 class Test(db.Model): __tablename__ = 'test' id = db.Column( ...

  8. echars 实现多曲线,多Y轴,曲线单选切换,并且跟随切换指定Y轴

    html代码 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UT ...

  9. USACO Grass Planting

    洛谷 P3038 [USACO11DEC]牧草种植Grass Planting 洛谷传送门 JDOJ 2282: USACO 2011 Dec Gold 3.Grass Planting JDOJ传送 ...

  10. SSH登录服务器慢

      最近频繁遇到ssh登录到服务器验证慢的这个问题,今天抽时间总结下原因以及解决办法. UseDNS   登录到服务器端查看sshd_config配置文件,当UseDNS项配置为yes时(默认情况下可 ...