• 配置主机hosts文件
192.168.75.20 filebeat.local kibana.local logstash.local

192.168.75.22 node2.elastic.test.com node2

说明:

192.168.75.20主机上配置filebeat,logstash和kibana

192.168.75.22主机上配置elasticsearch

  • instances.yml文件内容

    存储路径:/usr/share/elasticsearch
instances:

  - name: "node2"

    dns: ['node2.elastic.test.com']

  - name: 'kibana'

    dns: ['kibana.local']

  - name: 'logstash'

    dns: ['logstash.local']

  - name: 'filebeat'

    dns: ['filebeat.local']
  • 生成证书
cd /usr/share/elasticsearch

bin/elasticsearch-certutil cert ca --pem --in instance.yml --out /root/certs.zip

# 解压后目录结构内容如下:

├── ca

│   └── ca.crt

├── certs.zip

├── filebeat

│   ├── filebeat.crt

│   └── filebeat.key

├── instance.yml

├── kibana

│   ├── kibana.crt

│   └── kibana.key

├── logstash

│   ├── logstash.crt

│   └── logstash.key

├── node2

    ├── node2.crt

    └── node2.key

# 把生成的相应证书复制到相应节点目录下
  • es配置
cluster.name: my-application

node.name: node2

path.data: /var/lib/elasticsearch

path.logs: /var/log/elasticsearch

network.host: node2.elastic.test.com

http.port: 9200

transport.port: 9300

discovery.seed_hosts: ["node2.elastic.test.com"]

cluster.initial_master_nodes: ["node2"]

http.cors.enabled: true

http.cors.allow-origin: "*"

xpack.security.enabled: true

xpack.security.http.ssl.enabled: true

xpack.security.http.ssl.key: /etc/elasticsearch/new_certs/node2.key

xpack.security.http.ssl.certificate: /etc/elasticsearch/new_certs/node2.crt

xpack.security.http.ssl.certificate_authorities: /etc/elasticsearch/new_certs/ca.crt

xpack.security.transport.ssl.enabled: true

xpack.security.transport.ssl.key: /etc/elasticsearch/new_certs/node2.key

xpack.security.transport.ssl.certificate: /etc/elasticsearch/new_certs/node2.crt

xpack.security.transport.ssl.certificate_authorities: ["/etc/elasticsearch/new_certs/ca.crt"]

设置系统内置用户密码

# 自动生成,记录下来

bin/elasticsearch-setup-passwords auto -u "https://node2.elastic.test.com:9200"

# 通过 HTTPS 访问 _cat/nodes API,需要输入elastic用户的密码

curl --cacert /etc/elasticsearch/new_certs/ca.crt -u elastic 'https://node2.elastic.test.com:9200/_cat/nodes?v'
  • kibana配置文件
server.host: "kibana.local"

server.name: "kibana"

elasticsearch.hosts: ["https://node2.elastic.test.com:9200"]

elasticsearch.username: "kibana"

elasticsearch.password: "xafpbULaycAArnLc9O6H"

server.ssl.enabled: true

server.ssl.certificate: /etc/kibana/certs/kibana.crt

server.ssl.key: /etc/kibana/certs/kibana.key

elasticsearch.ssl.certificateAuthorities: ["/etc/kibana/certs/ca.crt"]
  • 在es上创建logstash使用的用户
# 注意索引名

POST /_security/role/logstash_write_role

{

    "cluster": [

      "monitor",

      "manage_index_templates"

    ],

    "indices": [

      {

        "names": [

          "logstash*"

        ],

        "privileges": ["write","create","delete","create_index","manage","manage_ilm"],

        "field_security": {

          "grant": [

            "*"

          ]

        }

      }

    ],

    "run_as": [],

    "metadata": {},

    "transient_metadata": {

      "enabled": true

    }

}

# 设置该用户密码

POST /_security/user/logstash_writer

{

  "username": "logstash_writer",

  "roles": [

    "logstash_write_role"

  ],

  "full_name": null,

  "email": null,

  "password": "1234567890",

  "enabled": true

}
  • 针对 Beats 输入插件,将 logstash.key 转换为 PKCS#8 格式
openssl pkcs8 -in logstash.key -topk8 -nocrypt -out logstash.pkcs8.key
  • logstash配置
# grep -v '^#' /etc/logstash/logstash.yml

node.name: logstash.local

path.data: /var/lib/logstash

path.config: /etc/logstash/conf.d/*.conf

path.logs: /var/log/logstash

xpack.monitoring.enabled: true

xpack.monitoring.elasticsearch.username: logstash_system

xpack.monitoring.elasticsearch.password: TBQOrC23OjbivKfqonMg

xpack.monitoring.elasticsearch.hosts: ["https://node2.elastic.test.com:9200"]

xpack.monitoring.elasticsearch.ssl.certificate_authority: "/etc/logstash/new_certs/ca.crt"

# 注意输出的索引名

# grep -v '^#' /etc/logstash/conf.d/nginx.conf 

input {

  beats {

    port => 5044

    ssl => true

    ssl_certificate_authorities => ["/etc/logstash/new_certs/ca.crt"]

    ssl_certificate => "/etc/logstash/new_certs/logstash.crt"

    ssl_key => "/etc/logstash/new_certs/logstash.pkcs8.key"

    ssl_verify_mode => "force_peer"

  }

}

output {

  stdout {

    codec => json

  }

  elasticsearch {

     hosts => ["https://node2.elastic.test.com:9200"]

     ssl => true

     cacert => "/etc/logstash/new_certs/ca.crt"

     index => "logstash-%{+YYYY.MM.dd}"

     user => "logstash_writer"

     password => "1234567890"

  }

}
  • filebeat配置
output.logstash:

  hosts: ["logstash.local:5044"]

  ssl.certificate_authorities: ["/etc/filebeat/new_certs/ca.crt"]

  ssl.certificate: "/etc/filebeat/new_certs/filebeat.crt"

  ssl.key: "/etc/filebeat/new_certs/filebeat.key"

配置 SSL、TLS 以及 HTTPS 来确保 Elasticsearch、Kibana、Beats 和 Logstash 的安全的更多相关文章

  1. 在 Tomcat 中配置 SSL/TLS 以支持 HTTPS

    本件详细介绍了如何通过几个简单步骤在 Tomcat 中配置 SSL/TLS .使用 JDK 生成自签名的证书,最终实现在应用中支持 HTTPS 协议. 生产密钥和证书 Tomcat 目前只能操作 JK ...

  2. mosquitto ---配置SSL/TLS linux

    mosquitto ---配置SSL/TLS 摘自: https://www.cnblogs.com/saryli/p/9821343.html 在服务器电脑上面创建myCA文件夹, 如在/home/ ...

  3. [转] Nginx 配置 SSL 证书 + 搭建 HTTPS 网站教程

    一.HTTPS 是什么? 根据维基百科的解释: 超文本传输安全协议(缩写:HTTPS,英语:Hypertext Transfer Protocol Secure)是超文本传输协议和SSL/TLS的组合 ...

  4. Nginx 配置 SSL 证书 + 搭建 HTTPS 网站教程

    一.HTTPS 是什么? 根据维基百科的解释: 超文本传输安全协议(缩写:HTTPS,英语:Hypertext Transfer Protocol Secure)是超文本传输协议和SSL/TLS的组合 ...

  5. Nginx配置SSL证书实现https访问「浏览器未认证」

    http 和 https 介绍 http:应用最广泛的一种网络协议,是一个B/S的request和response的标准,用于从www服务器传输超文本到本地浏览器的传输协议. https:以安全为目标 ...

  6. TOMCAT配置SSL认证为HTTPS协议服务

     1 . 问题概述 很多安全性要求较高的系统,都会使用安全套接字层(SSL)进行信息交换, Sun为了解决在Internet上的实现安全信息传输的解决方案.它实现了SSL和TSL(传输层安全)协议 ...

  7. nginx配置SSL证书实现https服务

    在前面一篇文章中,使用openssl生成了免费证书 后,我们现在使用该证书来实现我们本地node服务的https服务需求.假如我现在node基本架构如下: |----项目 | |--- static ...

  8. Nginx配置SSL证书部署HTTPS网站(颁发证书)

    一.Http与Https的区别HTTP:是互联网上应用最为广泛的一种网络协议,是一个客户端和服务器端请求和应答的标准(TCP),用于从WWW服务器传输超文本到本地浏览器的传输协议,它可以使浏览器更加高 ...

  9. 阿里云Center OS 6.2 Nginx 配置 SSL/TLS HTTPS配置

    1.通过https://www.startssl.com/ 免费SSL证书 STARTSSL 跟VeriSign一样,StartSSL(网址:http://www.startssl.com,公司名:S ...

随机推荐

  1. iOS - iPhone屏幕适配/启动图适配/APP图标适配(iPhone最全尺寸包含iPhoneX/XR/XS/XS Max等)

    趁iPhone新品还没有发布,先整理一下屏幕适配.启动图适配.APP图标适配的笔记,方便以后查阅: 注:部分图片来源于网络 违删; (一)iPhone屏幕适配: (1)屏幕分辨率: ①设计尺寸规范(表 ...

  2. https://support.microsoft.com/zh-cn/help/2290714/error-message-when-you-install-office-2010-on-a-windows-7-based-comput

    Error message when you install Office 2010 on a Windows 7-based computer "The installation of M ...

  3. day09 作业

    简述定义函数的三种方式 空函数.无参函数.有参函数 简述函数的返回值 函数内部代码经过一系列的逻辑处理返回的结果 函数没有返回值,默认返回None 函数可以通过return返回出返回值 return可 ...

  4. super与this用法

    super注意点: 1.当super调用父类的构造方法,必须在构造方法的第一个: 2.super必须只能出现在子类的方法或者构造方法中: 3.super和this不能同时调用构造方法: 4.super ...

  5. mac下命令行安装node.js及切换不同版本nodejs

    摘自: http://www.cnblogs.com/ikuyka/p/5825762.html 前提是你电脑里已经装了node.js然后才能采用以下命令(以下代码最好不要同时运行) sudo n - ...

  6. vue项目实基础到实战,入门到精通,移动商城

    最近发现许多的朋友都问我有没有vue项目的案例学习,最近正在学习vue,在这可以分享给大家,希望大家学有所成,相互交流共同进步,先不说了,吃个宵夜. 就这么多吧,需要的可以在下方留言或者加qq:116 ...

  7. (day47)jQuery

    目录 一.初识jQuery (一)jQuery介绍 (二)版本介绍 (三)jQuery对象 (四)相关网站 (五)基础语法 二.查找标签 (一)基本选择器 (1)id选择器 (2)标签选择器 (3)c ...

  8. SLAM:暑期学校

    专门开个(大)坑: RGB-D SLAM:姜翰青,商汤 视觉SLAM:章国锋,浙大CAD&CG国家重点实验室

  9. 为什么说要搞定微服务架构,先搞定RPC框架

    今天开始聊一些微服务的实践,第一块,RPC框架的原理及实践,为什么说要搞定微服务架构,先搞定RPC框架呢? 一.需求缘起 服务化的一个好处就是,不限定服务的提供方使用什么技术选型,能够实现大公司跨团队 ...

  10. HttpRequestMessage扩展方法

    public static class HttpRequestMessageExtensions { /// <summary> /// Gets the <see cref=&qu ...