เจชเจฟเจเจฒเฉ เจธเจพเจฒ เจฆเฉเจฐเจพเจจ, เจกเฉเจเจพเจฌเฉเจธ เจคเฉเจ เจฌเจนเฉเจค เจธเจพเจฐเฉ เจฒเฉเจ เจนเฉเจ เจนเจจ
เจเจ เจคเฉเจฐเฉฐเจค เจเฉฑเจ เจฐเจฟเจเจผเจฐเจตเฉเจธเจผเจจ เจเจฐเฉเจ เจเจฟ เจธเจพเจกเฉ เจ เจญเจฟเจเจธ เจตเจฟเฉฑเจ เจ เจธเฉเจ เจธเจพเจกเฉ IaaS เจชเจฒเฉเจเจซเจพเจฐเจฎ เจตเจฟเฉฑเจ เจฒเฉเจเจธ เจจเฉเฉฐ เจธเจเฉเจฐ เจเจฐเจจ เจ เจคเฉ เจเจพเจฃเจเจพเจฐเฉ เจธเฉเจฐเฉฑเจเจฟเจ เจธเจพเจงเจจเจพเจ, OS เจ เจคเฉ เจธเฉเจซเจเจตเฉเจ เจฐ เจฆเฉ เจฒเฉเจเจพเจ เจฆเจพ เจตเจฟเจธเจผเจฒเฉเจธเจผเจฃ เจเจฐเจจ เจฒเจ Elasticsearch เจฆเฉ เจตเจฐเจคเฉเจ เจเจฐเจฆเฉ เจนเจพเจ, เจเฉ เจเจฟ 152-FZ, Cloud-152 เจฆเฉเจเจ เจฒเฉเฉเจพเจ เจฆเฉ เจชเจพเจฒเจฃเจพ เจเจฐเจฆเจพ เจนเฉเฅค
เจ เจธเฉเจ เจเจพเจเจ เจเจฐเจฆเฉ เจนเจพเจ เจเจฟ เจกเฉเจเจพเจฌเฉเจธ เจเฉฐเจเจฐเจจเฉเจ เจจเจพเจฒ "เจธเจเจฟเฉฑเจ เจเจเจ" เจนเฉ เจเจพเจ เจจเจนเฉเจ
เจฒเฉเจ เจฆเฉ เจเจผเจฟเจเจฆเจพเจคเจฐ เจเจพเจฃเฉ-เจชเจเจพเจฃเฉ เจฎเจพเจฎเจฒเจฟเจเจ เจตเจฟเฉฑเจ (
เจชเจนเจฟเจฒเจพเจ, เจเจ เจเฉฐเจเจฐเจจเฉเฉฑเจ 'เจคเฉ เจชเฉเจฐเจเจพเจธเจผเจจ เจจเจพเจฒ เจจเจเจฟเฉฑเจ เฉเจเฅค เจ
เจเจฟเจนเจพ เจเจฟเจเจ เจนเฉเฉฐเจฆเจพ เจนเฉ? เจคเฉฑเจฅ เจเจน เจนเฉ เจเจฟ Elasticsearch เจฆเฉ เจตเจงเฉเจฐเฉ เจฒเจเจเจฆเจพเจฐ เจเจพเจฐเจตเจพเจ เจฒเจ
เจเฉ เจคเฉเจธเฉเจ เจ เฉฐเจฆเจฐ เจเจพ เจธเจเจฆเฉ เจนเฉ, เจคเจพเจ เจเจธเจจเฉเฉฐ เจฌเฉฐเจฆ เจเจฐเจจ เจฒเจ เจฆเฉเฉเฉ.
เจกเจพเจเจพเจฌเฉเจธ เจจเจพเจฒ เจเฉเจจเฉเจเจธเจผเจจ เจฆเฉ เจธเฉเจฐเฉฑเจเจฟเจ
เจนเฉเจฃ เจ เจธเฉเจ เจเจธเจจเฉเฉฐ เจฌเจฃเจพเจตเจพเจเจเฉ เจคเจพเจ เจเจฟ เจชเฉเจฐเจฎเจพเจฃเจฟเจเจคเจพ เจคเฉเจ เจฌเจฟเจจเจพเจ เจกเฉเจเจพเจฌเฉเจธ เจจเจพเจฒ เจเฉเฉเจจเจพ เจ เจธเฉฐเจญเจต เจนเฉ.
Elasticsearch เจเฉเจฒ เจเฉฑเจ เจชเฉเจฐเจฎเจพเจฃเจฟเจเจคเจพ เจฎเฉเจกเฉเจเจฒ เจนเฉ เจเฉ เจกเฉเจเจพเจฌเฉเจธ เจคเฉฑเจ เจชเจนเฉเฉฐเจ เจจเฉเฉฐ เจธเฉเจฎเจฟเจค เจเจฐเจฆเจพ เจนเฉ, เจชเจฐ เจเจน เจธเจฟเจฐเจซเจผ เจญเฉเจเจคเจพเจจ เจเฉเจคเฉ X-Pack เจชเจฒเฉฑเจเจเจจ เจธเฉเฉฑเจ (1 เจฎเจนเฉเจจเฉ เจฆเฉ เจฎเฉเจซเจผเจค เจตเจฐเจคเฉเจ) เจตเจฟเฉฑเจ เจเจชเจฒเจฌเจง เจนเฉเฅค
เจเฉฐเจเฉ เจเจผเจฌเจฐ เจเจน เจนเฉ เจเจฟ 2019 เจฆเฉ เจชเจคเจเฉ เจตเจฟเฉฑเจ, เจเจฎเจพเจเจผเจพเจจ เจจเฉ เจเจชเจฃเฉ เจตเจฟเจเจพเจธ เจจเฉเฉฐ เจเฉเจฒเฉเจนเจฟเจ, เจเฉ เจเจฟ เจเจเจธ-เจชเฉเจ เจจเจพเจฒ เจเจตเจฐเจฒเฉเจช เจนเฉเฉฐเจฆเจพ เจนเฉ. เจเฉฑเจ เจกเฉเจเจพเจฌเฉเจธ เจจเจพเจฒ เจเจจเฉเจเจ เจเจฐเจจ เจตเฉเจฒเฉ เจชเฉเจฐเจฎเจพเจฃเจฟเจเจคเจพ เจซเฉฐเจเจธเจผเจจ Elasticsearch 7.3.2 เจธเฉฐเจธเจเจฐเจฃ เจฒเจ เจเฉฑเจ เจฎเฉเจซเจค เจฒเจพเจเจธเฉเจเจธ เจฆเฉ เจคเจนเจฟเจค เจเจชเจฒเจฌเจง เจนเฉ เจเจฟเจ เจนเฉ, เจ เจคเฉ Elasticsearch 7.4.0 เจฒเจ เจเฉฑเจ เจจเจตเจพเจ เจฐเฉเจฒเฉเจเจผ เจชเจนเจฟเจฒเจพเจ เจนเฉ เจเฉฐเจฎ เจตเจฟเฉฑเจ เจนเฉเฅค
เจเจน เจชเจฒเฉฑเจเจเจจ เจเฉฐเจธเจเจพเจฒ เจเจฐเจจ เจฒเจ เจเจธเจพเจจ เจนเฉ. เจธเจฐเจตเจฐ เจเฉฐเจธเฉเจฒ เจคเฉ เจเจพเจ เจ เจคเฉ เจฐเจฟเจชเฉเจเจผเจเจฐเฉ เจจเฉเฉฐ เจเจจเฉเจเจ เจเจฐเฉ:
RPM เจเจงเจพเจฐเจฟเจค:
curl https://d3g5vo6xdbdb9a.cloudfront.net/yum/opendistroforelasticsearch-artifacts.repo -o /etc/yum.repos.d/opendistroforelasticsearch-artifacts.repo
yum update
yum install opendistro-security
DEB เจ
เจงเจพเจฐเจค:
wget -qO โ https://d3g5vo6xdbdb9a.cloudfront.net/GPG-KEY-opendistroforelasticsearch | sudo apt-key add -
SSL เจฐเจพเจนเฉเจ เจธเจฐเจตเจฐเจพเจ เจตเจฟเจเจเจพเจฐ เจเจชเจธเฉ เจคเจพเจฒเจฎเฉเจฒ เจธเจฅเจพเจชเจค เจเจฐเจจเจพ
เจชเจฒเฉฑเจเจเจจ เจจเฉเฉฐ เจธเจฅเจพเจชเจฟเจค เจเจฐเจฆเฉ เจธเจฎเฉเจ, เจกเฉเจเจพเจฌเฉเจธ เจจเจพเจฒ เจเฉเฉเจจ เจตเจพเจฒเฉ เจชเฉเจฐเจ เจฆเฉ เจธเฉฐเจฐเจเจจเจพ เจฌเจฆเจฒ เจเจพเจเจฆเฉ เจนเฉเฅค เจเจน SSL เจเจจเจเฉเจฐเจฟเจชเจธเจผเจจ เจจเฉเฉฐ เจธเจฎเจฐเฉฑเจฅ เจฌเจฃเจพเจเจเจฆเจพ เจนเฉเฅค เจเจฒเฉฑเจธเจเจฐ เจธเจฐเจตเจฐเจพเจ เจจเฉเฉฐ เจเฉฑเจ เจฆเฉเจเฉ เจจเจพเจฒ เจเฉฐเจฎ เจเจฐเจจเจพ เจเจพเจฐเฉ เจฐเฉฑเจเจฃ เจฒเจ, เจคเฉเจนเจพเจจเฉเฉฐ SSL เจฆเฉ เจตเจฐเจคเฉเจ เจเจฐเจเฉ เจเจนเจจเจพเจ เจตเจฟเจเจเจพเจฐ เจชเจฐเจธเจชเจฐ เจชเฉเจฐเจญเจพเจต เจจเฉเฉฐ เจเฉเจเจซเจฟเจเจฐ เจเจฐเจจ เจฆเฉ เจฒเฉเฉ เจนเฉเฅค
เจฎเฉเจเจผเจฌเจพเจจเจพเจ เจตเจฟเจเจเจพเจฐ เจญเจฐเฉเจธเจพ เจเจธ เจฆเฉ เจเจชเจฃเฉ เจธเจฐเจเฉเจซเจฟเจเฉเจ เจ เจฅเจพเจฐเจเฉ เจฆเฉ เจจเจพเจฒ เจเจพเจ เจฌเจฟเจจเจพเจ เจธเจฅเจพเจชเจค เจเฉเจคเจพ เจเจพ เจธเจเจฆเจพ เจนเฉเฅค เจชเจนเจฟเจฒเฉ เจตเจฟเจงเฉ เจจเจพเจฒ, เจธเจญ เจเฉเจ เจธเจชเฉฑเจธเจผเจ เจนเฉ: เจคเฉเจนเจพเจจเฉเฉฐ เจธเจฟเจฐเจซเจผ CA เจฎเจพเจนเจฟเจฐเจพเจ เจจเจพเจฒ เจธเฉฐเจชเจฐเจ เจเจฐเจจ เจฆเฉ เจฒเฉเฉ เจนเฉเฅค เจเจ เจธเจฟเฉฑเจงเฉ เจฆเฉเจเฉ เจตเฉฑเจฒ เจตเจงเฉเจเฅค
- เจชเฉเจฐเฉ เจกเฉเจฎเฉเจจ เจจเจพเจฎ เจจเจพเจฒ เจเฉฑเจ เจตเฉเจฐเฉเจเจฌเจฒ เจฌเจฃเจพเจ:
export DOMAIN_CN="example.com"
- เจเฉฑเจ เจจเจฟเฉฑเจเฉ เจเฉเฉฐเจเฉ เจฌเจฃเจพเจ:
openssl genrsa -out root-ca-key.pem 4096
- เจฐเฉเจ เจธเจฐเจเฉเจซเจฟเจเฉเจ 'เจคเฉ เจฆเจธเจคเจเจค เจเจฐเฉเฅค เจเจธ เจจเฉเฉฐ เจธเฉเจฐเฉฑเจเจฟเจ
เจค เจฐเฉฑเจเฉ: เจเฉเจเจฐ เจเจน เจเฉเจเจ เจเจฟเจ เจนเฉ เจเจพเจ เจธเจฎเจเฉเจคเจพ เจเฉเจคเจพ เจเจฟเจ เจนเฉ, เจคเจพเจ เจธเจพเจฐเฉ เจฎเฉเจเจผเจฌเจพเจจเจพเจ เจตเจฟเจเจเจพเจฐ เจญเจฐเฉเจธเฉ เจจเฉเฉฐ เจฎเฉเฉ เจธเฉฐเจฐเจเจฟเจค เจเจฐเจจ เจฆเฉ เจฒเฉเฉ เจนเฉเจตเฉเจเฉเฅค
openssl req -new -x509 -sha256 -subj "/C=RU/ST=Moscow/O=Moscow, Inc./CN=${DOMAIN_CN}" -key root-ca-key.pem -out root-ca.pem
- เจเฉฑเจ เจชเฉเจฐเจธเจผเจพเจธเจ เจเฉเฉฐเจเฉ เจฌเจฃเจพเจ:
openssl genrsa -out admin-key-temp.pem 4096 openssl pkcs8 -inform PEM -outform PEM -in admin-key-temp.pem -topk8 -nocrypt -v1 PBE-SHA1-3DES -out admin-key.pem
- เจธเจฐเจเฉเจซเจฟเจเฉเจ 'เจคเฉ เจฆเจธเจคเจเจค เจเจฐเจจ เจฒเจ เจเฉฑเจ เจฌเฉเจจเจคเฉ เจฌเจฃเจพเจ:
openssl req -new -subj "/C=RU/ST=Moscow/O=Moscow Inc./CN=${DOMAIN_CN}/CN=admin " -key admin-key.pem -out admin.csr
- เจเฉฑเจ เจชเฉเจฐเจฌเฉฐเจงเจ เจธเจฐเจเฉเจซเจฟเจเฉเจ เจฌเจฃเจพเจ:
openssl x509 -req -extensions usr_cert -in admin.csr -CA root-ca.pem -CAkey root-ca-key.pem -CAcreateserial -sha256 -out admin.pem
- Elasticsearch เจจเฉเจก เจฒเจ เจธเจฐเจเฉเจซเจฟเจเฉเจ เจฌเจฃเจพเจ:
export NODENAME="node-01" openssl genrsa -out ${NODENAME}-key-temp.pem 4096 openssl pkcs8 -inform PEM -outform PEM -in ${NODENAME}-key-temp.pem -topk8 -nocrypt -v1 PBE-SHA1-3DES -out ${NODENAME}-key.pem
- เจเฉฑเจ เจฆเจธเจคเจเจค เจฌเฉเจจเจคเฉ เจฌเจฃเจพเจ:
openssl req -new -subj "/C=RU/ST=Moscow/O=Moscow Inc./CN=${NODENAME}.${DOMAIN_CN}" -addext"subjectAltName=DNS:${NODENAME}.${DOMAIN_CN},DNS:www.${NODENAME}.${DOMAIN_CN}" -key ${NODENAME}-key.pem -out ${NODENAME}.csr
- เจธเจฐเจเฉเจซเจฟเจเฉเจ 'เจคเฉ เจฆเจธเจคเจเจค เจเจฐเจจเจพ:
openssl x509 -req -in node.csr -CA root-ca.pem -CAkey root-ca-key.pem -CAcreateserial -sha256 -out node.pem
- เจนเฉเจ เจฆเจฟเฉฑเจคเฉ เจซเฉเจฒเจกเจฐ เจตเจฟเฉฑเจ Elasticsearch เจจเฉเจกเจพเจ เจตเจฟเจเจเจพเจฐ เจธเจฐเจเฉเจซเจฟเจเฉเจ เจฐเฉฑเจเฉ:
/etc/elasticsearch/
เจธเจพเจจเฉเฉฐ เจซเจพเจเจฒเจพเจ เจฆเฉ เจฒเฉเฉ เจนเฉ:node-01-key.pem node-01.pem admin-key.pem admin.pem root-ca.pem
- เจ
เจจเฉเจเฉเจฒเจฟเจค /etc/elasticsearch/elasticsearch.yml - เจธเจฐเจเฉเจซเจฟเจเฉเจเจพเจ เจตเจพเจฒเฉเจเจ เจซเจพเจเจฒเจพเจ เจฆเจพ เจจเจพเจฎ เจธเจพเจกเฉ เจฆเฉเจเจฐเจพ เจคเจฟเจเจฐ เจเฉเจคเฉ เจเจ เจจเจพเจฒ เจฌเจฆเจฒเฉ:
opendistro_security.ssl.transport.pemcert_filepath: node-01.pem opendistro_security.ssl.transport.pemkey_filepath: node-01-key.pem opendistro_security.ssl.transport.pemtrustedcas_filepath: root-ca.pem opendistro_security.ssl.transport.enforce_hostname_verification: false opendistro_security.ssl.http.enabled: true opendistro_security.ssl.http.pemcert_filepath: node-01.pem opendistro_security.ssl.http.pemkey_filepath: node-01-key.pem opendistro_security.ssl.http.pemtrustedcas_filepath: root-ca.pem opendistro_security.allow_unsafe_democertificates: false opendistro_security.allow_default_init_securityindex: true opendistro_security.authcz.admin_dn: โ CN=admin,CN=example.com,O=Moscow Inc.,ST=Moscow,C=RU opendistro_security.nodes_dn: โ CN=node-01.example.com,O=Moscow Inc.,ST=Moscow,C=RU
เจ เฉฐเจฆเจฐเฉเจจเฉ เจเจชเจญเฉเจเจคเจพเจตเจพเจ เจฒเจ เจชเจพเจธเจตเจฐเจก เจฌเจฆเจฒเจฃเจพ
- เจนเฉเจ เจพเจ เจฆเจฟเฉฑเจคเฉ เจเจฎเจพเจเจก เจฆเฉ เจตเจฐเจคเฉเจ เจเจฐเจฆเฉ เจนเฉเจ, เจ
เจธเฉเจ เจเฉฐเจธเฉเจฒ เจตเจฟเฉฑเจ เจชเจพเจธเจตเจฐเจก เจนเฉเจธเจผ เจจเฉเฉฐ เจเจเจเจชเฉเฉฑเจ เจเจฐเจฆเฉ เจนเจพเจ:
sh ${OD_SEC}/tools/hash.sh -p [ะฟะฐัะพะปั]
- เจซเจพเจเจฒ เจตเจฟเฉฑเจ เจนเฉเจธเจผ เจจเฉเฉฐ เจชเฉเจฐเจพเจชเจค เจเฉเจคเฉ เจเฉฑเจ เจตเจฟเฉฑเจ เจฌเจฆเจฒเฉ:
/usr/share/elasticsearch/plugins/opendistro_security/securityconfig/internal_users.yml
OS เจตเจฟเฉฑเจ เจเฉฑเจ เจซเจพเจเจฐเจตเจพเจฒ เจธเฉเจ เจ เจช เจเจฐเจจเจพ
- เจซเจพเจเจฐเจตเจพเจฒ เจจเฉเฉฐ เจธเจผเฉเจฐเฉ เจเจฐเจจ เจฆเจฟเจ:
systemctl enable firewalld
- เจเจฒเฉ เจเจธเจจเฉเฉฐ เจฒเจพเจเจ เจเจฐเฉเจ:
systemctl start firewalld
- Elasticsearch เจจเจพเจฒ เจเจจเฉเจเจธเจผเจจ เจฆเฉ เจเจเจฟเจ เจฆเจฟเจ:
firewall-cmd --set-default-zone work firewall-cmd --zone=work --add-port=9200/TCP --permanent
- เจซเจพเจเจฐเจตเจพเจฒ เจจเจฟเจฏเจฎเจพเจ เจจเฉเฉฐ เจฐเฉเจฒเฉเจก เจเจฐเฉ:
firewall-cmd --reload
- เจเฉฑเจฅเฉ เจเฉฐเจฎ เจเจฐเจจ เจฆเฉ เจจเจฟเจฏเจฎ เจนเจจ:
firewall-cmd --list-all
เจธเจพเจกเฉเจเจ เจธเจพเจฐเฉเจเจ เจคเจฌเจฆเฉเจฒเฉเจเจ เจจเฉเฉฐ Elasticsearch เจตเจฟเฉฑเจ เจฒเจพเจเฉ เจเจฐเจจเจพ
- เจชเจฒเฉฑเจเจเจจ เจจเจพเจฒ เจซเฉเจฒเจกเจฐ เจฆเฉ เจชเฉเจฐเฉ เจฎเจพเจฐเจ เจฆเฉ เจจเจพเจฒ เจเฉฑเจ เจตเฉเจฐเฉเจเจฌเจฒ เจฌเจฃเจพเจ:
export OD_SEC="/usr/share/elasticsearch/plugins/opendistro_security/"
- เจเจฒเฉ เจเฉฑเจ เจธเจเฉเจฐเจฟเจชเจ เจเจฒเจพเจเจเจฆเฉ เจนเจพเจ เจเฉ เจชเจพเจธเจตเจฐเจก เจ
เฉฑเจชเจกเฉเจ เจเจฐเฉเจเฉ เจ
เจคเฉ เจธเฉเจเจฟเฉฐเจเจพเจ เจฆเฉ เจเจพเจเจ เจเจฐเฉเจเฉ:
${OD_SEC}/tools/securityadmin.sh -cd ${OD_SEC}/securityconfig/ -icl -nhnv -cacert /etc/elasticsearch/root-ca.pem -cert /etc/elasticsearch/admin.pem -key /etc/elasticsearch/admin-key.pem
- เจเจพเจเจ เจเจฐเฉ เจเจฟ เจเฉ เจคเจฌเจฆเฉเจฒเฉเจเจ เจฒเจพเจเฉ เจเฉเจคเฉเจเจ เจเจเจเจ เจนเจจ:
curl -XGET https://[IP/ะะผั Elasticsearch]:9200/_cat/nodes?v -u admin:[ะฟะฐัะพะปั] --insecure
เจฌเฉฑเจธ เจเจนเฉ เจนเฉ, เจเจน เจเฉฑเจเฉ-เจเฉฑเจ เจธเฉเจเจฟเฉฐเจเจพเจ เจนเจจ เจเฉ เจเจฒเจพเจธเจเจฟเจ เจเฉเจ เจจเฉเฉฐ เจ
เจฃเจ
เจงเจฟเจเจพเจฐเจค เจเจจเฉเจเจธเจผเจจเจพเจ เจคเฉเจ เจฌเจเจพเจเจเจฆเฉเจเจ เจนเจจเฅค
เจธเจฐเฉเจค: www.habr.com