Ինչպես տեղադրել OpenSearch-ը Rocky Linux 9-ում
Այս էջում
- Նախադրյալներ
- Կարգավորման համակարգ
- OpenSearch-ի տեղադրում
- OpenSearch-ի կարգավորում
OpenSearch-ի ապահովում TLS վկայագրերով
- Root CA վկայագրերի ստեղծում
- Ադմինիստրատորի վկայագրերի ստեղծում
- Հանգույցի վկայագրերի ստեղծում
- Հավաստագրերի կարգավորում
OpenSearch-ը համայնքի վրա հիմնված նախագիծ է Amazon-ի կողմից և Elasticsearch-ի և Kibana-ի պատառաքաղ: Այն լիովին բաց կոդով որոնման համակարգ է և վերլուծական հավաքակազմ՝ հարուստ հնարավորություններով և նորարարական գործառույթներով: OpenSearch նախագծի հիմնական բաղադրիչն է OpenSearch-ը (Elasticsearch-ի պատառաքաղ) և OpenSearch Dashboards-ը (Kibana-ի պատառաքաղ): Երկու բաղադրիչներն էլ ապահովում են այնպիսի առանձնահատկություններ, ինչպիսիք են ձեռնարկության անվտանգությունը, զգուշացումը, մեքենայական ուսուցումը, SQL, ինդեքսային վիճակի կառավարումը և այլն:
OpenSearch-ը 100% բաց կոդով է և լիցենզավորված է Apache 2.0-ի լիցենզիայի ներքո: Այն հնարավորություն է տալիս հեշտությամբ ներծծել, ապահովել, որոնել, համախմբել, դիտել և վերլուծել տվյալները մի շարք օգտագործման դեպքերի համար, ինչպիսիք են տեղեկամատյանների վերլուծությունը, հավելվածների որոնումը, ձեռնարկությունների որոնումը և այլն:
Այս հոդվածը ցույց է տալիս, թե ինչպես կարելի է տեղադրել OpenSearch-ը՝ բաց կոդով որոնման, վերլուծության և վիզուալիզացիայի հավաքակազմ, Rocky Linux 9 սերվերի վրա: Այս հոդվածը ներառում է OpenSearch-ի տեղակայման ապահովումը TLS/SSL վկայագրերով և նույնականացման և թույլտվության կարգավորում OpenSearch-ում:
Այս հոդվածը նաև ցույց է տալիս, թե ինչպես տեղադրել OpenSearch Dashboard-ները՝ բաց կոդով վիզուալիզացիայի գործիք, ինչպիսին Kibana-ն է, ապա կարգավորել այն OpenSearch-ին միանալու համար: Այս հոդվածն ավարտելուց հետո ձեր Rocky Linux սերվերում կտեղադրվի տվյալների վերլուծություն և վիզուալիզացիա:
Նախադրյալներ
Այս ուղեցույցը սկսելու համար դուք պետք է ունենաք հետևյալ պահանջները.
- Rocky Linux 9-ով և նվազագույն օպերատիվ հիշողությամբ 4 ԳԲ-ով սերվեր – Այս օրինակում օգտագործվում է Rocky Linux սերվեր՝ «node-rock1» հոսթի անունով, «192.168.5.25» IP հասցեով և RAM 8 ԳԲ:
- Ոչ արմատային օգտատեր՝ sudo/root ադմինիստրատորի արտոնություններով:
- SELinux-ն աշխատում է թույլատրելի ռեժիմում:
Ահա և վերջ; Սկսենք OpenSearch-ի տեղադրումը:
Կարգավորման համակարգ
Առաջին բանը, որ դուք պետք է անեք, ձեր Rocky Linux հոսթին պատրաստելն է: Սա ներառում է պատշաճ հոսթի անունը և fqdn-ի կարգավորումը, SWAP-ի անջատումը և ձեր համակարգի քարտեզների առավելագույն հիշողության ավելացումը:
Դա անելու համար դուք պետք է մուտք գործեք ձեր Rocky Linux սերվեր:
Այժմ թողարկեք հետևյալ հրամանը՝ ձեր Rocky Linux սերվերի համար համապատասխան հոսթի անունը և fqdn-ը կարգավորելու համար:
Այս օրինակում դուք կկարգավորեք համակարգի հոսթի անունը «node-rock1» և fqdn «node-rock1.hwdomain.lan»-ով: Նաև համոզվեք, որ փոխեք IP հասցեն հետևյալ հրամանում ձեր սերվերի IP հասցեով:
sudo hostnamectl set-hostname node-rock1
echo '192.168.5.25 node-rock1.hwdomain.lan node-rock1' >> /etc/hosts
Դուրս եկեք ձեր ընթացիկ նստաշրջանից և նորից մուտք գործեք: Այնուհետև ստուգեք fqdn ստորև նշված հրամանի միջոցով:
sudo hostname -f
Դուք պետք է ստանաք այսպիսի արդյունք: Հոսթի fqdn-ը կազմաձևված է «node-rock1.hwdomain.lan»-ի:
Հաջորդը, դուք պետք է անջատեք հիշողության էջավորումը և SWAP-ը ձեր Rocky Linux հոսթում: Հիշողության paging-ի և SWAP-ի անջատումը կբարձրացնի ձեր OpenSearch սերվերի աշխատանքը:
Ձեր համակարգում SWAP-ն անջատելու համար թողարկեք ստորև նշված հրամանը: Առաջին հրամանը ընդմիշտ կանջատի SWAP-ը՝ մեկնաբանելով SWAP կոնֆիգուրացիան «/etc/fstab» ֆայլում: Եվ երկրորդ հրամանն օգտագործվում է SWAP-ն անջատելու ձեր ընթացիկ նստաշրջանում:
sudo sed -i '/ swap / s/^\(.*\)$/#\1/g' /etc/fstab
sudo swapoff -a
Ստուգեք SWAP-ի կարգավիճակը ձեր համակարգում հետևյալ հրամանի միջոցով.
free -m
Դուք կստանաք սրա նման արդյունք. «Փոխանակում» բաժինը 0 ընդհանուր արժեքով հաստատում է, որ SWAP-ն անջատված է:
Վերջապես, դուք պետք է ավելացնեք ձեր համակարգի քարտեզների առավելագույն հիշողությունը OpenSearch-ի համար: Եվ դա կարելի է անել '/etc/sysctl.conf' ֆայլի միջոցով:
Թողարկեք հետևյալ հրամանը՝ քարտեզների առավելագույն հիշողությունը «262144» ավելացնելու և փոփոխությունները կիրառելու համար: Դրանով դուք կավելացնեք նոր կազմաձև 'vm.max_map_count=262144' /etc/sysctl.conf' ֆայլում և փոփոխությունները կկիրառեք ձեր համակարգում 'sysctl -p-ի միջոցով: հրամանը:
sudo echo "vm.max_map_count=262144" >> /etc/sysctl.conf
sudo sysctl -p
Այժմ կարող եք անջատել առավելագույն քարտեզների հիշողության կարգավիճակը ձեր համակարգում՝ ստորև նշված հրամանով: Եվ դուք պետք է «max_map_count»-ը հասցվի «262144»:
cat /proc/sys/vm/max_map_count
Արդյունք:
Համակարգի կազմաձևման դեպքում դուք պատրաստ եք տեղադրել OpenSearch-ը:
OpenSearch-ի տեղադրում
OpenSearch-ը կարող է տեղադրվել բազմաթիվ եղանակներով: Դուք կարող եք տեղադրել OpenSearch-ը tarball-ի, Docker-ի, RPM-ի և Kubernetes-ի միջոցով: RHEL-ի վրա հիմնված բաշխումների համար դուք հեշտությամբ կարող եք տեղադրել OpenSearch-ը պաշտոնական OpenSearch պահոցի միջոցով:
Ներքևում թողարկեք curl հրամանը՝ OpenSearch-ի պահոցը ձեր համակարգում ներբեռնելու համար: Այնուհետև ստուգեք առկա պահեստների ցանկը ստորև նշված հրամանի միջոցով:
sudo curl -SL https://artifacts.opensearch.org/releases/bundle/opensearch/2.x/opensearch-2.x.repo -o /etc/yum.repos.d/opensearch-2.x.repo
sudo dnf repolist
Եթե հաջողվի, դուք պետք է ստանաք «OpenSearch 2.x» պահոցը, որը հասանելի է ձեր տերմինալի ելքում:
Կարող եք նաև ստուգել «opensearch»-ի հասանելի փաթեթները՝ տալով հետևյալ հրամանը:
sudo dnf info opensearch
Այս գրելու պահին OpenSearch-ի պահոցը տրամադրում է OpenSearch-ի երկու տարբերակ տարբեր համակարգերի ճարտարապետության համար՝ OpenSearch 2.5 համար x86_64 և aarch64:
Զանգահարեք հետևյալ dnf հրամանը՝ OpenSearch-ը ձեր Rocky Linux սերվերում տեղադրելու համար: Երբ ձեզ հուշում են հաստատել, մուտքագրեք y՝ հաստատելու համար և սեղմեք ENTER՝ շարունակելու համար:
sudo dnf install opensearch
Արդյունք:
Տեղադրման ընթացքում ձեզ նաև կառաջարկվի ավելացնել GPG ստեղնը OpenSearch պահեստի համար: Հաստատելու համար մուտքագրեք y և սեղմեք ENTER:
OpenSearch-ը հաջողությամբ տեղադրվելուց հետո վերաբեռնեք systemd կառավարիչը և կիրառեք նոր փոփոխություններ՝ օգտագործելով ստորև systemctl հրամանի օգտակար ծրագիրը:
sudo systemctl daemon-reload
Այժմ սկսեք և միացրեք OpenSearch-ը՝ օգտագործելով ստորև նշված հրամանը: Դրանով, OpenSearch-ը պետք է գործարկվի լռելյայն կազմաձևերով և այն նաև միացված է, ինչը նշանակում է, որ OpenSearch-ը ավտոմատ կերպով կսկսվի համակարգի գործարկման ժամանակ:
sudo systemctl start opensearch
sudo systemctl enable opensearch
Համոզվելու համար, որ OpenSearch-ն աշխատում և աշխատում է, կարող եք հաստատել՝ օգտագործելով ստորև systemctl հրամանը:
sudo systemctl status opensearch
Դուք պետք է ստանաք այսպիսի ելք. «ակտիվ (աշխատող)» ելքը հաստատում է, որ OpenSearch ծառայությունն աշխատում է, մինչդեռ «... միացված է;...»-ը հաստատում է: որ OpenSearch ծառայությունը միացված է:
Դուք այժմ տեղադրել եք OpenSearch-ը և այն այժմ աշխատում և միացված է: Այժմ կարող եք անցնել հաջորդ քայլին՝ ձեր OpenSearch-ի տեղադրումը կարգավորելու համար:
OpenSearch-ի կարգավորում
Լռելյայնորեն, OpenSearch-ի կազմաձևերը պահվում են '/etc/opensearch' գրացուցակում: Այս քայլում դուք կկատարեք OpenSearch-ի հիմնական կոնֆիգուրացիան մեկ հանգույցի ռեժիմում: Դուք նաև կավելացնեք ձեր համակարգի առավելագույն կուտակային հիշողությունը՝ OpenSearch սերվերի ավելի լավ աշխատանք ստանալու համար:
Բացեք OpenSearch կազմաձևման ֆայլը '/etc/opensearch/opensearch.yml'՝ օգտագործելով ստորև ներկայացված nano editor հրամանը:
sudo nano /etc/opensearch/opensearch.yml
Փոխեք որոշ կանխադրված OpenSearch պարամետրեր հետևյալ տողերով. Դրանով դուք կգործարկեք OpenSearch-ը հատուկ ցանցային IP հասցեով «192.168.5.25», տեղակայման տեսակն է «single-node» և նորից միացնեք OpenSearch անվտանգության պլագիններ:
# Bind OpenSearch to the correct network interface. Use 0.0.0.0
# to include all available interfaces or specify an IP address
# assigned to a specific interface.
network.host: 192.168.5.25
# Unless you have already configured a cluster, you should set
# discovery.type to single-node, or the bootstrap checks will
# fail when you try to start the service.
discovery.type: single-node
# If you previously disabled the security plugin in opensearch.yml,
# be sure to re-enable it. Otherwise you can skip this setting.
plugins.security.disabled: false
Ավարտելուց հետո պահպանեք և դուրս եկեք ֆայլից '/etc/opensearch/opensearch.yml':
Հաջորդը, բացեք կանխադրված JVM ընտրանքների ֆայլը OpenSearch-ի համար «/etc/opensearch/jvm.options»՝ օգտագործելով հետևյալ նանո խմբագրիչի հրամանը:
sudo nano /etc/opensearch/jvm.options
Փոխեք լռելյայն առավելագույն կուտակային հիշողությունը հետևյալ տողերով. Սա կախված է ձեր սերվերի հիշողությունից: Դուք կարող եք ավելի շատ 2 ԳԲ հատկացնել OpenSearch-ի համար, եթե ունեք ավելի մեծ RAM հիշողություն:
-Xms2g
-Xmx2g
Պահպանեք ֆայլը և ավարտից հետո դուրս եկեք խմբագրիչից:
Վերջապես գործարկեք ստորև systemctl հրամանի օգտակար ծրագիրը՝ OpenSearch ծառայությունը վերագործարկելու և փոփոխությունները կիրառելու համար:
sudo systemctl restart opensearch
Այժմ OpenSearch-ը պետք է գործարկվի «192.168.5.25» IP հասցեով՝ «9200» լռելյայն միացքով: Ստուգեք ձեր համակարգի բաց նավահանգիստների ցանկը՝ ստորև թողարկելով ss հրամանը:
ss -tulpn
OpenSearch-ի ապահովում TLS վկայագրերով
Այս քայլում դուք կստեղծեք բազմաթիվ վկայագրեր, որոնք կօգտագործվեն OpenSearch-ի տեղակայումն ապահովելու համար: Դուք կապահովեք հանգույցից հանգույց հաղորդակցությունը TLS վկայագրերով և կապահովեք REST շերտի տրաֆիկները հաճախորդ-սերվեր հաղորդակցությունների միջև TLS-ի միջոցով:
Ստորև ներկայացված է այն վկայագրերի ցանկը, որոնք կստեղծվեն.
- Root CA վկայագրեր. այս վկայագրերը կօգտագործվեն այլ վկայագրեր ստորագրելու համար:
- Ադմինիստրատորի վկայականներ. այս վկայագրերը կօգտագործվեն՝ ադմինիստրատիվ իրավունքներ ստանալու համար՝ բոլոր առաջադրանքների հետ կապված անվտանգության հավելվածը կատարելու համար:
- Հանգույցի և հաճախորդի վկայագրեր. այս վկայագրերը կօգտագործվեն OpenSearch կլաստերի մեջ գտնվող հանգույցների և հաճախորդների կողմից:
Նախքան նոր TLS վկայագրեր ստեղծելը, եկեք հեռացնենք որոշ կանխադրված վկայագրեր և կանխադրված OpenSearch-ի կազմաձևեր:
Թողարկեք հետևյալ հրամանը՝ կանխադրված OpenSearch TLS վկայականները հեռացնելու համար: Այնուհետև բացեք OpenSearch կոնֆիգուրացիան '/etc/opensearch/opensearch.yml' օգտագործելով հետևյալ նանո խմբագրիչի հրամանը:
rm -f /opt/opensearch/{esnode-key.pem,esnode.pem,kirk-key.pem,kirk.pem,root-ca.pem}
sudo nano /etc/opensearch/opensearch.yml
Գծի ներքևի մասում մեկնաբանեք կանխադրված OpenSearch-ի անվտանգության ցուցադրական կազմաձևումը, ինչպես ստորև:
Ավարտելուց հետո պահպանեք և դուրս եկեք ֆայլից:
Այնուհետև թողարկեք հետևյալ հրամանը՝ «/etc/opensearch/certs» նոր գրացուցակ ստեղծելու համար: Այս գրացուցակը կօգտագործվի ստեղծվող նոր TLS վկայագրերը պահելու համար: Այնուհետև տեղափոխեք ձեր աշխատանքային գրացուցակը դրա մեջ:
mkdir -p /etc/opensearch/certs; cd /etc/opensearch/certs
Root CA վկայագրերի ստեղծում
Ստեղծեք անձնական բանալի արմատային CA վկայագրերի համար՝ օգտագործելով ստորև:
openssl genrsa -out root-ca-key.pem 2048
Այժմ ստեղծեք ինքնաստորագրված արմատային CA վկայագիր ստորև նշված հրամանի միջոցով: Դուք կարող եք նաև փոխել արժեքները '-subj' պարամետրում ձեր տեղեկություններով:
openssl req -new -x509 -sha256 -key root-ca-key.pem -subj "/C=CA/ST=ONTARIO/L=TORONTO/O=ORG/OU=UNIT/CN=ROOT" -out root-ca.pem -days 730
Դրանով դուք պետք է ստանաք «root-ca-key.pem» արմատային CA մասնավոր բանալին և «root-ca.pem» արմատային CA վկայագիրը:
Արդյունք:
Ադմինիստրատորի վկայագրերի ստեղծում
Ստեղծեք նոր ադմինիստրատորի վկայականի անձնական բանալին «admin-key-temp.pem»՝ օգտագործելով ստորև նշված հրամանը:
openssl genrsa -out admin-key-temp.pem 2048
Վերափոխեք ադմինիստրատորի կանխադրված անձնական բանալին PKCS#8 ձևաչափի: Java հավելվածի համար դուք պետք է փոխարկեք լռելյայն մասնավոր բանալին PKCS#12-ին համատեղելի ալգորիթմի (3DES): Այս դեպքում ձեր ադմինիստրատորի անձնական բանալին պետք է լինի «admin-key.pem»:
openssl pkcs8 -inform PEM -outform PEM -in admin-key-temp.pem -topk8 -nocrypt -v1 PBE-SHA1-3DES -out admin-key.pem
Այնուհետև գործարկեք ստորև նշված հրամանը՝ «admin-key.pem» մասնավոր բանալիից ադմինիստրատորի CSR (Վկայագրի ստորագրման հարցում) ստեղծելու համար: Ձեր ստեղծած CSR-ն այժմ պետք է լինի 'admin.csr' ֆայլ:
Քանի որ այս վկայագիրն օգտագործվում է բարձրացված մուտքի նույնականացման համար և կապված չէ որևէ հոսթինգի հետ, դուք կարող եք ցանկացած բան օգտագործել «CN» կազմաձևում:
openssl req -new -key admin-key.pem -subj "/C=CA/ST=ONTARIO/L=TORONTO/O=ORG/OU=UNIT/CN=A" -out admin.csr
Ի վերջո, գործարկեք ստորև նշված հրամանը՝ ադմինիստրատորի CSR-ն արմատային CA վկայականով և անձնական բանալիով ստորագրելու համար: Ադմինիստրատորի վկայագրի ելքը «admin.pem» ֆայլն է:
openssl x509 -req -in admin.csr -CA root-ca.pem -CAkey root-ca-key.pem -CAcreateserial -sha256 -out admin.pem -days 730
Ձեր ադմինիստրատորի վկայականն այժմ պետք է լինի «admin.pem» ֆայլ, որը ստորագրված է արմատային CA վկայագրերով: Իսկ ադմինիստրատորի անձնական բանալին «admin-key.pem» է, որը փոխարկվում է PKCS#8 ձևաչափի:
Արդյունք:
Հանգույցի վկայագրերի ստեղծում
Հանգույցի վկայագրերի ստեղծման գործընթացը նման է ադմինիստրատորի վկայականներին: Բայց դուք կարող եք նշել CN արժեքը ձեր հանգույցի հոսթի անվան կամ IP հասցեով:
Ստեղծեք հանգույցի մասնավոր բանալին՝ օգտագործելով ստորև նշված հրամանը:
openssl genrsa -out node-rock1-key-temp.pem 2048
Փոխակերպեք հանգույցի մասնավոր բանալին PKCS#8 ձևաչափի: Ձեր հանգույցի մասնավոր բանալին այժմ պետք է լինի «node-rock1-key.pem»:
openssl pkcs8 -inform PEM -outform PEM -in node-rock1-key-temp.pem -topk8 -nocrypt -v1 PBE-SHA1-3DES -out node-rock1-key.pem
Հաջորդը, ստեղծեք նոր CSR հանգույցի վկայագրի համար: Համոզվեք, որ փոխեք «CN» արժեքը ձեր հանգույցի հյուրընկալողի անունով: Այս վկայագիրը կապված է հոսթինգների հետ, և դուք պետք է նշեք CN արժեքը ձեր OpenSearch հանգույցի հյուրընկալողի անունը կամ IP հասցեն:
openssl req -new -key node-rock1-key.pem -subj "/C=CA/ST=ONTARIO/L=TORONTO/O=ORG/OU=UNIT/CN=node-rock1.hwdomain.lan" -out node-rock1.csr
Նախքան հանգույցի վկայագիրը ստորագրելը, գործարկեք ստորև նշված հրամանը՝ «node-rock1.ext» SAN ընդլայնման ֆայլ ստեղծելու համար: Սա կպարունակի հանգույցի հոսթի անունը կամ FQDN կամ IP հասցեն:
echo 'subjectAltName=DNS:node-rock1.hwdomain.lan' > node-rock1.ext
Ի վերջո, ստորագրեք հանգույցի վկայագրի CSR ֆայլը արմատային CA վկայականով և մասնավոր՝ օգտագործելով ստորև նշված հրամանը:
openssl x509 -req -in node-rock1.csr -CA root-ca.pem -CAkey root-ca-key.pem -CAcreateserial -sha256 -out node-rock1.pem -days 730 -extfile node-rock1.ext
Դրանով ձեր հանգույցի վկայականը «node-rock1.pem» ֆայլ է, իսկ մասնավոր բանալին՝ «node-rock1-key.pem»:
Արդյունք:
Հավաստագրերի կարգավորում
Գործարկեք ստորև նշված հրամանը՝ հեռացնելու ժամանակավոր վկայականը, CSR-ն և SAN ընդլայնման ֆայլը:
rm *temp.pem *csr *ext
ls
Փոխարկեք արմատային CA վկայագիրը .crt ձևաչափի:
openssl x509 -outform der -in root-ca.pem -out root-ca.crt
Ավելացրեք արմատային CA վկայականը ձեր Rocky Linux համակարգին՝ օգտագործելով ստորև նշված հրամանը: Պատճենեք root-ca.crt ֆայլը «/etc/pki/ca-trust/source/anchors/» գրացուցակում և բեռնեք նոր արմատային CA վկայագիրը ձեր համակարգում:
sudo cp root-ca.crt /etc/pki/ca-trust/source/anchors/
sudo update-ca-trust
Արդյունք:
Ի վերջո, գործարկեք ստորև նշված հրամանը՝ ձեր վկայականների համապատասխան թույլտվությունը և սեփականության իրավունքը կարգավորելու համար: «/etc/opensearch/certs» գրացուցակի սեփականությունը պետք է լինի «opensearch» օգտվողը՝ 0700 թույլտվությամբ: Եվ բոլոր վկայագրերի ֆայլերի համար թույլտվությունը պետք է լինի 0600:
sudo chown -R opensearch:opensearch /etc/opensearch/certs
sudo chmod 0700 /etc/opensearch/certs
sudo chmod 0600 /etc/opensearch/certs/*.pem
sudo chmod 0600 /etc/opensearch/certs/*.crt
TLS վկայագրերի ավելացում OpenSearch-ում
Ստեղծված TLS վկայագրերի դեպքում արմատային CA-ն, ադմինիստրատորի վկայականները և հանգույցի վկայագրերն են: Հաջորդիվ դուք վկայականներ կավելացնեք OpenSearch կազմաձևման ֆայլում '/etc/opensearch/opensearch.yml': Այս օրինակում դուք կստեղծեք նոր bash սկրիպտ, որը OpenSearch-ին կավելացնի վկայականներ և TLS անվտանգության հավելվածի կարգավորումներ:
Ստեղծեք նոր ֆայլ 'add.sh' օգտագործելով ստորև բերված նանո խմբագրիչ հրամանը:
nano add.sh
Ֆայլին ավելացրեք հետևյալ տողերը. Համոզվեք, որ փոխեք և օգտագործեք ձեր վկայագրի ֆայլերի և թիրախային OpenSearch կազմաձևման ֆայլի ճիշտ ուղին:
#! /bin/bash
# Before running this script, make sure to replace the CN in the
# node's distinguished name with a real DNS A record.
echo "plugins.security.ssl.transport.pemcert_filepath: /etc/opensearch/certs/node-rock1.pem" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.ssl.transport.pemkey_filepath: /etc/opensearch/certs/node-rock1-key.pem" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.ssl.transport.pemtrustedcas_filepath: /etc/opensearch/certs/root-ca.pem" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.ssl.http.enabled: true" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.ssl.http.pemcert_filepath: /etc/opensearch/certs/node-rock1.pem" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.ssl.http.pemkey_filepath: /etc/opensearch/certs/node-rock1-key.pem" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.ssl.http.pemtrustedcas_filepath: /etc/opensearch/certs/root-ca.pem" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.allow_default_init_securityindex: true" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.authcz.admin_dn:" | sudo tee -a /etc/opensearch/opensearch.yml
echo " - 'CN=A,OU=UNIT,O=ORG,L=TORONTO,ST=ONTARIO,C=CA'" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.nodes_dn:" | sudo tee -a /etc/opensearch/opensearch.yml
echo " - 'CN=node-rock1.hwdomain.lan,OU=UNIT,O=ORG,L=TORONTO,ST=ONTARIO,C=CA'" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.audit.type: internal_opensearch" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.enable_snapshot_restore_privilege: true" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.check_snapshot_restore_write_privileges: true" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.restapi.roles_enabled: [\"all_access\", \"security_rest_api_access\"]" | sudo tee -a /etc/opensearch/opensearch.yml
Ավարտելուց հետո պահպանեք և դուրս եկեք ֆայլից:
Այնուհետև «add.sh» ֆայլը դարձրեք գործարկելի և կատարեք այն: OpenSearch-ի համար TLS անվտանգության նոր հավելումը պետք է ավելացվի «/etc/opensearch/opensearch.yml» OpenSearch կազմաձևման ֆայլում:
chmod +x add.sh
./add.sh
Արդյունք:
Եթե ստուգեք «/etc/opensearch/opensearch.yml» OpenSearch կազմաձևման ֆայլը, դուք պետք է տեսնեք «add.sh» սկրիպտի կողմից ստեղծված նոր կարգավորումները:
Այժմ դուք ավելացրել եք TLS վկայագրեր OpenSearch-ում և միացրել եք անվտանգության հավելումները: Հաջորդ քայլում դուք կապահովեք OpenSearch-ը նույնականացման և թույլտվության միջոցով՝ OpenSearch-ում նոր օգտվող ստեղծելով:
Admin User OpenSearch-ի կարգավորում
Նախ, տեղափոխեք ձեր աշխատանքային գրացուցակը '/usr/share/opensearch/plugins/opensearch-security/tools'՝ ստորև բերված cd հրամանը տալով:
cd /usr/share/opensearch/plugins/opensearch-security/tools
Գործարկեք «hash.sh» սկրիպտը՝ OpenSearch-ի համար գաղտնաբառի նոր հեշ ստեղծելու համար: Մուտքագրեք ձեր ստեղծած գաղտնաբառը և սեղմեք ENTER:
OPENSEARCH_JAVA_HOME=/usr/share/opensearch/jdk ./hash.sh
Դուք պետք է ստանաք ձեր գաղտնաբառի ստեղծած հեշը: Պատճենեք այդ հեշը, քանի որ դուք պետք է ավելացնեք այդ հաշված գաղտնաբառը OpenSearch-ի կազմաձևում:
Կրկին գործարկեք 'hash.sh' սկրիպտը՝ գաղտնաբառի մեկ այլ հեշ ստեղծելու համար, որը կօգտագործվի OpenSearch Dashboards-ի համար:
OPENSEARCH_JAVA_HOME=/usr/share/opensearch/jdk ./hash.sh
Դրանով դուք այժմ ստեղծել եք երկու հաշված գաղտնաբառ OpenSearch-ի համար:
Հաջորդը, բացեք OpenSearch օգտվողի կոնֆիգուրացիան '/etc/opensearch/opensearch-security/internal_users.yml' օգտագործելով ստորև բերված նանո խմբագրիչ հրամանը: Այժմ դուք կկարգավորեք OpenSearch օգտվողներին OpenSearch Security-ի միջոցով:
sudo nano /etc/opensearch/opensearch-security/internal_users.yml
Ջնջել բոլոր կանխադրված OpenSearch օգտվողներին և փոխարինել դրանք հետևյալ տողերով. Համոզվեք, որ փոխեք հաշված գաղտնաբառը ձեր ստեղծած գաղտնաբառով: Այս օրինակում դուք կստեղծեք երկու օգտվող OpenSearch-ի համար, «admin» օգտվողը OpenSearch-ի համար և «kibanaserver» օգտվողը, որը կօգտագործվի OpenSearch Dashboards-ի կողմից:
...
...
admin:
hash: "$2y$12$BnfqwqWRi7DkyuPgLa8.3.kLzdpIY11jFpSXTAOKOMCVj/i20k9oW"
reserved: true
backend_roles:
- "admin"
description: "Admin user"
kibanaserver:
hash: "$2y$12$kYjgPjPzIp9oTghNdWIHcuUalE99RqSYtTCh6AiNuS5wmeEaWnbzK"
reserved: true
description: "Demo OpenSearch Dashboards user"
Ավարտելուց հետո պահպանեք և դուրս եկեք ֆայլից:
Այժմ թողարկեք հետևյալ systemctl հրամանի օգտակար ծրագիրը՝ OpenSearch ծառայությունը վերագործարկելու և փոփոխությունները կիրառելու համար:
sudo systemctl restart opensearch
Այժմ տեղափոխեք «/usr/share/opensearch/plugins/opensearch-security/tools» գրացուցակը և կանչեք «securityadmin.sh» սկրիպտը՝ նոր փոփոխությունները կիրառելու համար: OpenSearch Security.
cd /usr/share/opensearch/plugins/opensearch-security/tools
OPENSEARCH_JAVA_HOME=/usr/share/opensearch/jdk ./securityadmin.sh -h 192.168.5.25 -p 9200 -cd /etc/opensearch/opensearch-security/ -cacert /etc/opensearch/certs/root-ca.pem -cert /etc/opensearch/certs/admin.pem -key /etc/opensearch/certs/admin-key.pem -icl -nhnv
«securityadmin.sh» սկրիպտը կմիանա OpenSearch սերվերին, որն աշխատում է «192.168.5.25» IP հասցեով և «9200» լռելյայն միացքով: . Այնուհետև կիրառեք նոր օգտվողներին, որոնք դուք կազմաձևել եք «/etc/opensearch/opensearch-security/internal_users.yml» ֆայլում OpenSearch-ի տեղակայման համար:
վերջապես, երբ նոր օգտվողներն ավելացվեն և կիրառվեն «securityadmin.sh» սկրիպտի միջոցով, այժմ դուք կստուգեք OpenSearch-ի օգտատերերը ստորև բերված curl հրամանի միջոցով: Համոզվեք, որ փոխեք հյուրընկալողի անունը կամ IP հասցեն և օգտատերը և գաղտնաբառը OpenSearch-ի համար:
curl https://node-rock1:9200 -u admin:password -k
curl https://node-rock1:9200 -u kibanaserver:kibanapass -k
Եթե օգտագործողի կոնֆիգուրացիան հաջող է, դուք պետք է ստանաք այսպիսի արդյունք.
Հաստատեք OpenSearch օգտվողի «admin»:
Հաստատեք OpenSearch օգտվողի «kibanaserver»:
Այս պահին դուք այժմ ավարտել եք OpenSearch-ի տեղադրումը Rocky Linux 9 սերվերի RPM փաթեթների միջոցով: Եվ նաև ապահովեց OpenSearch-ի տեղակայումը TLS վկայագրերի միջոցով և միացրեց օգտվողի նույնականացումը և թույլտվությունը OpenSearch Security հավելվածների միջոցով:
Հաջորդ քայլում դուք կտեղադրեք OpenSearch Dashboards-ը և դրանում կավելացնեք ձեր OpenSearch սերվերը՝ օգտագործելով ձեր ստեղծած «kibanaserver» նոր օգտվողը:
OpenSearch Dashboard-ի տեղադրում
Քանի որ OpenSearch-ի պահոցը դեռ օգտագործում է SHA1 հաշը՝ OpenSearch Dashboard փաթեթը ստուգելու համար, ապա դուք պետք է փոխեք ձեր Rocky Linux-ի լռելյայն կրիպտո քաղաքականությունը LEGACY-ի:
Գործարկեք ստորև նշված հրամանը՝ լռելյայն կրիպտո քաղաքականությունը LEGACY-ի թարմացնելու համար:
sudo update-crypto-policies --set LEGACY
Հաջորդը, ձեր համակարգին ավելացրեք OpenSearch Dashboards պահոցը ստորև բերված curl հրամանի միջոցով:
sudo curl -SL https://artifacts.opensearch.org/releases/bundle/opensearch-dashboards/2.x/opensearch-dashboards-2.x.repo -o /etc/yum.repos.d/opensearch-dashboards-2.x.repo
Այնուհետև ստուգեք ձեր համակարգի հասանելի պահեստների ցանկը: Դուք պետք է տեսնեք «OpenSearch Dashboard 2.x» պահոցը, որը հասանելի է պահեստների ցանկում:
sudo dnf repolist
Արդյունք:
Այժմ կանչեք հետևյալ dnf հրամանը՝ OpenSearch Dashboards փաթեթը տեղադրելու համար: Երբ ձեզ հուշում են, մուտքագրեք y՝ հաստատելու համար և սեղմեք ENTER՝ շարունակելու համար:
sudo dnf install opensearch-dashboards
Տեղադրման ընթացքում ձեզ նաև կառաջարկվի ընդունել OpenSearch Dashboards պահեստի GPG ստեղնը: Մուտքագրեք y և սեղմեք ENTER՝ հաստատելու համար:
Երբ OpenSearch Dashboards-ը տեղադրվի, գործարկեք ստորև systemctl հրամանի օգտակար ծրագիրը՝ «opensearch-dashboard» ծառայությունը սկսելու և միացնելու համար: OpenSearch Dashboard-ն այժմ պետք է գործարկվի լռելյայն կազմաձևով և այն պետք է միացված լինի, ինչը նշանակում է, որ ծառայությունը ավտոմատ կերպով կսկսվի համակարգի գործարկման ժամանակ:
sudo systemctl start opensearch-dashboards
sudo systemctl enable opensearch-dashboards
Ստուգեք OpenSearch Dashboard ծառայությունը՝ համոզվելու, որ ծառայությունն աշխատում է:
sudo systemctl status opensearch-dashboards
Դուք պետք է ստանաք այսպիսի ելք՝ OpenSearch Dashboard ծառայության կարգավիճակն աշխատում է, և այն այժմ նույնպես միացված է և ավտոմատ կերպով կաշխատվի համակարգի բեռնման ժամանակ:
Այժմ անցեք հաջորդ քայլին՝ ձեր OpenSearch Dashboard-ի տեղադրումը կարգավորելու համար:
OpenSearch-ի վահանակների կարգավորում
Այս քայլում դուք կտեղադրեք OpenSearch Dashboard-ները, որոնց վրա IP հասցեն և պորտը պետք է գործարկվի Open Search Dashboard-ը, ինչպես նաև կապ կստեղծեք OpenSearch սերվերի հետ:
Բացեք OpenSearch Dashboard կազմաձևման ֆայլը '/etc/opensearch-dashboards/opensearch-dashboard.yml' օգտագործելով ստորև բերված նանո խմբագրիչը:
sudo nano /etc/opensearch-dashboards/opensearch-dashboard.yml
Ապամեկնաբանեք և փոխեք «server.port» և «server.host» լռելյայն պարամետրը հետևյալ տողերով: Կանխադրված OpenSearch Dashboard-ները կաշխատեն «5601» նավահանգստում, համոզվեք, որ «server.host» պարամետրը հարմարեցրեք ձեր սերվերի IP հասցեին:
# OpenSearch Dashboards is served by a back end server. This setting specifies the port to use.
server.port: 5601
# Specifies the address to which the OpenSearch Dashboards server will bind. IP addresses and host names are both valid values.
# The default is 'localhost', which usually means remote machines will not be able to connect.
# To allow connections from remote users, set this parameter to a non-loopback address.
server.host: "192.168.5.25"
Անցեք կոնֆիգուրացիայի ներքևի տող և փոխեք OpenSearch պարամետրերի մանրամասները, որոնք օգտագործվում են OpenSearch սերվերին միանալու համար: Համոզվեք, որ փոխեք «opensearch.hosts», «opensearch.username» և «opensearch.password»-ի պարամետրը ձեր OpenSearch սերվերով: մանրամասներ.
opensearch.hosts: [https://192.168.5.25:9200]
opensearch.ssl.verificationMode: none
opensearch.username: kibanaserver
opensearch.password: kibanapass
Պահպանեք ֆայլը և ավարտին հասցրեք խմբագրիչը:
Հաջորդը գործարկեք ստորև systemctl հրամանը՝ OpenSearch Dashboards ծառայությունը վերագործարկելու և փոփոխությունները կիրառելու համար:
sudo systemctl restart opensearch-dashboards
Դրանով, OpenSearch Dashboard-ները պետք է աշխատեն «192.168.5.25» IP հասցեով՝ «5601» պորտով: Բացի այդ, OpenSearch Dashboard-ը կմիանա OpenSearch սերվերին՝ «kibanaserver» օգտվողի մանրամասներով:
Մուտք գործել OpenSearch Dashboards
Այս պահին դուք ավարտել եք OpenSearch Dashboard-ի տեղադրումն ու կազմաձևումը: Այժմ դուք կհաստատեք OpenSearch Dashboards-ի տեղադրումը, մուտք գործելով այն վեբ բրաուզերի միջոցով և ստուգեք կապը OpenSearch սերվերի հետ «Dev Tools»-ի միջոցով:
Նախքան OpenSearch Dashboards մուտք գործելը, դուք պետք է բացեք 5601 նավահանգիստը ձեր firewall-ում:
TCP պորտը բացելու համար կանչեք հետևյալ firewall-cmd հրամանները 5601: Այնուհետև վերաբեռնեք firewall-ը՝ փոփոխությունները կիրառելու համար:
sudo firewall-cmd --add-port=5601/tcp --permanent
sudo firewall-cmd --reload
Հաջորդը, ստուգեք firewalld-ի կանոնների ցանկը՝ օգտագործելով ստորև նշված հրամանը: Դուք պետք է տեսնեք, որ 5601 նավահանգիստը հասանելի է firewall-ում:
sudo firewall-cmd --list-all
Այժմ բացեք ձեր վեբ զննարկիչը և այցելեք OpenSearch Dashboards IP հասցեն 5601 պորտով (այսինքն՝ http:192.168.5.25:5601): Այժմ դուք կտեսնեք OpenSearch Dashboards մուտքի էջը:
Մուտքագրեք ձեր ստեղծած օգտվողի անունը և գաղտնաբառը: Այս օրինակում օգտագործողը «kibanaserver» է: Այնուհետև սեղմեք «Մուտք գործել» կոճակը՝ հաստատելու և մուտք գործելու OpenSearch Dashboards:
Երբ հաջողվի, դուք պետք է ստանաք հետևյալ էջը «Բարի գալուստ OpenSearch Dashboards» հաղորդագրությամբ: Այժմ կարող եք սեղմել «Ավելացնել տվյալներ»՝ ձեր OpenSearch սերվերին նոր տվյալներ ավելացնելու համար կամ սեղմել «Ուսումնասիրել իմ սեփականը» ավելի ուշ կարգավորումների համար:
Հաջորդը, համոզվելու համար, որ OpenSearch Dashboards-ը միացված է OpenSearch սերվերին, դուք կանեք հետևյալ քայլերը.
Սեղմեք ձախ ընտրացանկի վրա, տեղափոխվեք Կառավարում բաժին և սեղմեք «Dev Tools»:
Այժմ մուտքագրեք «GET /» հարցումը վահանակի վրա և սեղմեք նվագարկման կոճակը: Հաջողության դեպքում դուք պետք է տեսնեք ելքը աջ կողմում՝ ձեր OpenSearch սերվերի մասին մանրամասն տեղեկություններով: Բացի այդ, վերևի աջ կողմում կարող եք տեսնել «200 - OK» HTTP կոդը, որը հաստատում է, որ հարցումը կատարվում է առանց սխալի:
Սա նկատի ունենալով, դուք այժմ տեղադրել եք OpenSearch Dashboards Rocky Linux սերվերի վրա RPM փաթեթի միջոցով: Բացի այդ, դուք կարգավորել եք OpenSearch Dashboards-ը OpenSearch սերվերին միանալու համար:
Եզրակացություն
Այս հոդվածում դուք տեղադրել եք OpenSearch-ը RPM-ի միջոցով Rocky Linux 9 սերվերի վրա: Դուք նաև ապահովել եք OpenSearch-ը TLS վկայագրերով, միացրել եք նույնականացումը և թույլտվությունը, ինչպես նաև կարգավորել եք օգտվողներին OpenSearch-ում: Բացի դրանից, դուք նաև կարգավորել և օպտիմիզացրել եք Rocky Linux սերվերը OpenSearch-ը տեղակայելու համար:
Դուք նաև տեղադրել եք OpenSearch Dashboard-ները RPM-ի միջոցով Rocky Linux 9 սերվերի վրա: Դուք հաջողությամբ կարգավորել և միացրել եք OpenSearch Dashboards-ը OpenSearch Server-ին, իսկ նույնականացումը միացված է, ինչպես նաև հաջողությամբ ստուգել OpenSearch և OpenSearch Dashboards տեղադրումը:
Այս կարգավորումով դուք կարող եք ավելին ուսումնասիրել OpenSearch-ի մասին՝ տեղադրելով OpenSearch Cluster-ը, կարգավորելով լրացուցիչ նույնականացում և շատ ավելին: Դուք կարող եք ավելին իմանալ OpenSearch-ի մասին OpenSearch-ի պաշտոնական փաստաթղթերից: