Ինչպես տեղադրել OpenSearch-ը Rocky Linux 9-ում


Այս էջում

  1. Նախադրյալներ
  2. Կարգավորման համակարգ
  3. OpenSearch-ի տեղադրում
  4. OpenSearch-ի կարգավորում
  5. OpenSearch-ի ապահովում TLS վկայագրերով

    1. Root CA վկայագրերի ստեղծում
    2. Ադմինիստրատորի վկայագրերի ստեղծում
    3. Հանգույցի վկայագրերի ստեղծում
    4. Հավաստագրերի կարգավորում
  6. TLS վկայագրերի ավելացում OpenSearch-ում
  7. Admin User OpenSearch-ի կարգավորում
  8. OpenSearch Dashboard-ի տեղադրում
  9. OpenSearch-ի վահանակների կարգավորում
  10. Մուտք գործել OpenSearch Dashboards
  11. Եզրակացություն

OpenSearch-ը համայնքի վրա հիմնված նախագիծ է Amazon-ի կողմից և Elasticsearch-ի և Kibana-ի պատառաքաղ: Այն լիովին բաց կոդով որոնման համակարգ է և վերլուծական հավաքակազմ՝ հարուստ հնարավորություններով և նորարարական գործառույթներով: OpenSearch նախագծի հիմնական բաղադրիչն է OpenSearch-ը (Elasticsearch-ի պատառաքաղ) և OpenSearch Dashboards-ը (Kibana-ի պատառաքաղ): Երկու բաղադրիչներն էլ ապահովում են այնպիսի առանձնահատկություններ, ինչպիսիք են ձեռնարկության անվտանգությունը, զգուշացումը, մեքենայական ուսուցումը, SQL, ինդեքսային վիճակի կառավարումը և այլն:

OpenSearch-ը 100% բաց կոդով է և լիցենզավորված է Apache 2.0-ի լիցենզիայի ներքո: Այն հնարավորություն է տալիս հեշտությամբ ներծծել, ապահովել, որոնել, համախմբել, դիտել և վերլուծել տվյալները մի շարք օգտագործման դեպքերի համար, ինչպիսիք են տեղեկամատյանների վերլուծությունը, հավելվածների որոնումը, ձեռնարկությունների որոնումը և այլն:

Այս հոդվածը ցույց է տալիս, թե ինչպես կարելի է տեղադրել OpenSearch-ը՝ բաց կոդով որոնման, վերլուծության և վիզուալիզացիայի հավաքակազմ, Rocky Linux 9 սերվերի վրա: Այս հոդվածը ներառում է OpenSearch-ի տեղակայման ապահովումը TLS/SSL վկայագրերով և նույնականացման և թույլտվության կարգավորում OpenSearch-ում:

Այս հոդվածը նաև ցույց է տալիս, թե ինչպես տեղադրել OpenSearch Dashboard-ները՝ բաց կոդով վիզուալիզացիայի գործիք, ինչպիսին Kibana-ն է, ապա կարգավորել այն OpenSearch-ին միանալու համար: Այս հոդվածն ավարտելուց հետո ձեր Rocky Linux սերվերում կտեղադրվի տվյալների վերլուծություն և վիզուալիզացիա:

Նախադրյալներ

Այս ուղեցույցը սկսելու համար դուք պետք է ունենաք հետևյալ պահանջները.

  • Rocky Linux 9-ով և նվազագույն օպերատիվ հիշողությամբ 4 ԳԲ-ով սերվեր – Այս օրինակում օգտագործվում է Rocky Linux սերվեր՝ «node-rock1» հոսթի անունով, «192.168.5.25» IP հասցեով և RAM 8 ԳԲ:
  • Ոչ արմատային օգտատեր՝ sudo/root ադմինիստրատորի արտոնություններով:
  • SELinux-ն աշխատում է թույլատրելի ռեժիմում:

Ահա և վերջ; Սկսենք OpenSearch-ի տեղադրումը:

Կարգավորման համակարգ

Առաջին բանը, որ դուք պետք է անեք, ձեր Rocky Linux հոսթին պատրաստելն է: Սա ներառում է պատշաճ հոսթի անունը և fqdn-ի կարգավորումը, SWAP-ի անջատումը և ձեր համակարգի քարտեզների առավելագույն հիշողության ավելացումը:

Դա անելու համար դուք պետք է մուտք գործեք ձեր Rocky Linux սերվեր:

Այժմ թողարկեք հետևյալ հրամանը՝ ձեր Rocky Linux սերվերի համար համապատասխան հոսթի անունը և fqdn-ը կարգավորելու համար:

Այս օրինակում դուք կկարգավորեք համակարգի հոսթի անունը «node-rock1» և fqdn «node-rock1.hwdomain.lan»-ով: Նաև համոզվեք, որ փոխեք IP հասցեն հետևյալ հրամանում ձեր սերվերի IP հասցեով:

sudo hostnamectl set-hostname node-rock1
echo '192.168.5.25  node-rock1.hwdomain.lan  node-rock1' >> /etc/hosts

Դուրս եկեք ձեր ընթացիկ նստաշրջանից և նորից մուտք գործեք: Այնուհետև ստուգեք fqdn ստորև նշված հրամանի միջոցով:

sudo hostname -f

Դուք պետք է ստանաք այսպիսի արդյունք: Հոսթի fqdn-ը կազմաձևված է «node-rock1.hwdomain.lan»-ի:

Հաջորդը, դուք պետք է անջատեք հիշողության էջավորումը և SWAP-ը ձեր Rocky Linux հոսթում: Հիշողության paging-ի և SWAP-ի անջատումը կբարձրացնի ձեր OpenSearch սերվերի աշխատանքը:

Ձեր համակարգում SWAP-ն անջատելու համար թողարկեք ստորև նշված հրամանը: Առաջին հրամանը ընդմիշտ կանջատի SWAP-ը՝ մեկնաբանելով SWAP կոնֆիգուրացիան «/etc/fstab» ֆայլում: Եվ երկրորդ հրամանն օգտագործվում է SWAP-ն անջատելու ձեր ընթացիկ նստաշրջանում:

sudo sed -i '/ swap / s/^\(.*\)$/#\1/g' /etc/fstab
sudo swapoff -a

Ստուգեք SWAP-ի կարգավիճակը ձեր համակարգում հետևյալ հրամանի միջոցով.

free -m

Դուք կստանաք սրա նման արդյունք. «Փոխանակում» բաժինը 0 ընդհանուր արժեքով հաստատում է, որ SWAP-ն անջատված է:

Վերջապես, դուք պետք է ավելացնեք ձեր համակարգի քարտեզների առավելագույն հիշողությունը OpenSearch-ի համար: Եվ դա կարելի է անել '/etc/sysctl.conf' ֆայլի միջոցով:

Թողարկեք հետևյալ հրամանը՝ քարտեզների առավելագույն հիշողությունը «262144» ավելացնելու և փոփոխությունները կիրառելու համար: Դրանով դուք կավելացնեք նոր կազմաձև 'vm.max_map_count=262144' /etc/sysctl.conf' ֆայլում և փոփոխությունները կկիրառեք ձեր համակարգում 'sysctl -p-ի միջոցով: հրամանը:

sudo echo "vm.max_map_count=262144" >> /etc/sysctl.conf
sudo sysctl -p

Այժմ կարող եք անջատել առավելագույն քարտեզների հիշողության կարգավիճակը ձեր համակարգում՝ ստորև նշված հրամանով: Եվ դուք պետք է «max_map_count»-ը հասցվի «262144»:

cat /proc/sys/vm/max_map_count

Արդյունք:

Համակարգի կազմաձևման դեպքում դուք պատրաստ եք տեղադրել OpenSearch-ը:

OpenSearch-ի տեղադրում

OpenSearch-ը կարող է տեղադրվել բազմաթիվ եղանակներով: Դուք կարող եք տեղադրել OpenSearch-ը tarball-ի, Docker-ի, RPM-ի և Kubernetes-ի միջոցով: RHEL-ի վրա հիմնված բաշխումների համար դուք հեշտությամբ կարող եք տեղադրել OpenSearch-ը պաշտոնական OpenSearch պահոցի միջոցով:

Ներքևում թողարկեք curl հրամանը՝ OpenSearch-ի պահոցը ձեր համակարգում ներբեռնելու համար: Այնուհետև ստուգեք առկա պահեստների ցանկը ստորև նշված հրամանի միջոցով:

sudo curl -SL https://artifacts.opensearch.org/releases/bundle/opensearch/2.x/opensearch-2.x.repo -o /etc/yum.repos.d/opensearch-2.x.repo
sudo dnf repolist

Եթե հաջողվի, դուք պետք է ստանաք «OpenSearch 2.x» պահոցը, որը հասանելի է ձեր տերմինալի ելքում:

Կարող եք նաև ստուգել «opensearch»-ի հասանելի փաթեթները՝ տալով հետևյալ հրամանը:

sudo dnf info opensearch

Այս գրելու պահին OpenSearch-ի պահոցը տրամադրում է OpenSearch-ի երկու տարբերակ տարբեր համակարգերի ճարտարապետության համար՝ OpenSearch 2.5 համար x86_64 և aarch64:

Զանգահարեք հետևյալ dnf հրամանը՝ OpenSearch-ը ձեր Rocky Linux սերվերում տեղադրելու համար: Երբ ձեզ հուշում են հաստատել, մուտքագրեք y՝ հաստատելու համար և սեղմեք ENTER՝ շարունակելու համար:

sudo dnf install opensearch

Արդյունք:

Տեղադրման ընթացքում ձեզ նաև կառաջարկվի ավելացնել GPG ստեղնը OpenSearch պահեստի համար: Հաստատելու համար մուտքագրեք y և սեղմեք ENTER:

OpenSearch-ը հաջողությամբ տեղադրվելուց հետո վերաբեռնեք systemd կառավարիչը և կիրառեք նոր փոփոխություններ՝ օգտագործելով ստորև systemctl հրամանի օգտակար ծրագիրը:

sudo systemctl daemon-reload

Այժմ սկսեք և միացրեք OpenSearch-ը՝ օգտագործելով ստորև նշված հրամանը: Դրանով, OpenSearch-ը պետք է գործարկվի լռելյայն կազմաձևերով և այն նաև միացված է, ինչը նշանակում է, որ OpenSearch-ը ավտոմատ կերպով կսկսվի համակարգի գործարկման ժամանակ:

sudo systemctl start opensearch
sudo systemctl enable opensearch

Համոզվելու համար, որ OpenSearch-ն աշխատում և աշխատում է, կարող եք հաստատել՝ օգտագործելով ստորև systemctl հրամանը:

sudo systemctl status opensearch

Դուք պետք է ստանաք այսպիսի ելք. «ակտիվ (աշխատող)» ելքը հաստատում է, որ OpenSearch ծառայությունն աշխատում է, մինչդեռ «... միացված է;...»-ը հաստատում է: որ OpenSearch ծառայությունը միացված է:

Դուք այժմ տեղադրել եք OpenSearch-ը և այն այժմ աշխատում և միացված է: Այժմ կարող եք անցնել հաջորդ քայլին՝ ձեր OpenSearch-ի տեղադրումը կարգավորելու համար:

OpenSearch-ի կարգավորում

Լռելյայնորեն, OpenSearch-ի կազմաձևերը պահվում են '/etc/opensearch' գրացուցակում: Այս քայլում դուք կկատարեք OpenSearch-ի հիմնական կոնֆիգուրացիան մեկ հանգույցի ռեժիմում: Դուք նաև կավելացնեք ձեր համակարգի առավելագույն կուտակային հիշողությունը՝ OpenSearch սերվերի ավելի լավ աշխատանք ստանալու համար:

Բացեք OpenSearch կազմաձևման ֆայլը '/etc/opensearch/opensearch.yml'՝ օգտագործելով ստորև ներկայացված nano editor հրամանը:

sudo nano /etc/opensearch/opensearch.yml

Փոխեք որոշ կանխադրված OpenSearch պարամետրեր հետևյալ տողերով. Դրանով դուք կգործարկեք OpenSearch-ը հատուկ ցանցային IP հասցեով «192.168.5.25», տեղակայման տեսակն է «single-node» և նորից միացնեք OpenSearch անվտանգության պլագիններ:

# Bind OpenSearch to the correct network interface. Use 0.0.0.0
# to include all available interfaces or specify an IP address
# assigned to a specific interface.
network.host: 192.168.5.25
# Unless you have already configured a cluster, you should set
# discovery.type to single-node, or the bootstrap checks will
# fail when you try to start the service.
discovery.type: single-node
# If you previously disabled the security plugin in opensearch.yml,
# be sure to re-enable it. Otherwise you can skip this setting.
plugins.security.disabled: false

Ավարտելուց հետո պահպանեք և դուրս եկեք ֆայլից '/etc/opensearch/opensearch.yml':

Հաջորդը, բացեք կանխադրված JVM ընտրանքների ֆայլը OpenSearch-ի համար «/etc/opensearch/jvm.options»՝ օգտագործելով հետևյալ նանո խմբագրիչի հրամանը:

sudo nano /etc/opensearch/jvm.options

Փոխեք լռելյայն առավելագույն կուտակային հիշողությունը հետևյալ տողերով. Սա կախված է ձեր սերվերի հիշողությունից: Դուք կարող եք ավելի շատ 2 ԳԲ հատկացնել OpenSearch-ի համար, եթե ունեք ավելի մեծ RAM հիշողություն:

-Xms2g
-Xmx2g

Պահպանեք ֆայլը և ավարտից հետո դուրս եկեք խմբագրիչից:

Վերջապես գործարկեք ստորև systemctl հրամանի օգտակար ծրագիրը՝ OpenSearch ծառայությունը վերագործարկելու և փոփոխությունները կիրառելու համար:

sudo systemctl restart opensearch

Այժմ OpenSearch-ը պետք է գործարկվի «192.168.5.25» IP հասցեով՝ «9200» լռելյայն միացքով: Ստուգեք ձեր համակարգի բաց նավահանգիստների ցանկը՝ ստորև թողարկելով ss հրամանը:

ss -tulpn

OpenSearch-ի ապահովում TLS վկայագրերով

Այս քայլում դուք կստեղծեք բազմաթիվ վկայագրեր, որոնք կօգտագործվեն OpenSearch-ի տեղակայումն ապահովելու համար: Դուք կապահովեք հանգույցից հանգույց հաղորդակցությունը TLS վկայագրերով և կապահովեք REST շերտի տրաֆիկները հաճախորդ-սերվեր հաղորդակցությունների միջև TLS-ի միջոցով:

Ստորև ներկայացված է այն վկայագրերի ցանկը, որոնք կստեղծվեն.

  • Root CA վկայագրեր. այս վկայագրերը կօգտագործվեն այլ վկայագրեր ստորագրելու համար:
  • Ադմինիստրատորի վկայականներ. այս վկայագրերը կօգտագործվեն՝ ադմինիստրատիվ իրավունքներ ստանալու համար՝ բոլոր առաջադրանքների հետ կապված անվտանգության հավելվածը կատարելու համար:
  • Հանգույցի և հաճախորդի վկայագրեր. այս վկայագրերը կօգտագործվեն OpenSearch կլաստերի մեջ գտնվող հանգույցների և հաճախորդների կողմից:

Նախքան նոր TLS վկայագրեր ստեղծելը, եկեք հեռացնենք որոշ կանխադրված վկայագրեր և կանխադրված OpenSearch-ի կազմաձևեր:

Թողարկեք հետևյալ հրամանը՝ կանխադրված OpenSearch TLS վկայականները հեռացնելու համար: Այնուհետև բացեք OpenSearch կոնֆիգուրացիան '/etc/opensearch/opensearch.yml' օգտագործելով հետևյալ նանո խմբագրիչի հրամանը:

rm -f /opt/opensearch/{esnode-key.pem,esnode.pem,kirk-key.pem,kirk.pem,root-ca.pem}
sudo nano /etc/opensearch/opensearch.yml

Գծի ներքևի մասում մեկնաբանեք կանխադրված OpenSearch-ի անվտանգության ցուցադրական կազմաձևումը, ինչպես ստորև:

Ավարտելուց հետո պահպանեք և դուրս եկեք ֆայլից:

Այնուհետև թողարկեք հետևյալ հրամանը՝ «/etc/opensearch/certs» նոր գրացուցակ ստեղծելու համար: Այս գրացուցակը կօգտագործվի ստեղծվող նոր TLS վկայագրերը պահելու համար: Այնուհետև տեղափոխեք ձեր աշխատանքային գրացուցակը դրա մեջ:

mkdir -p /etc/opensearch/certs; cd /etc/opensearch/certs

Root CA վկայագրերի ստեղծում

Ստեղծեք անձնական բանալի արմատային CA վկայագրերի համար՝ օգտագործելով ստորև:

openssl genrsa -out root-ca-key.pem 2048

Այժմ ստեղծեք ինքնաստորագրված արմատային CA վկայագիր ստորև նշված հրամանի միջոցով: Դուք կարող եք նաև փոխել արժեքները '-subj' պարամետրում ձեր տեղեկություններով:

openssl req -new -x509 -sha256 -key root-ca-key.pem -subj "/C=CA/ST=ONTARIO/L=TORONTO/O=ORG/OU=UNIT/CN=ROOT" -out root-ca.pem -days 730

Դրանով դուք պետք է ստանաք «root-ca-key.pem» արմատային CA մասնավոր բանալին և «root-ca.pem» արմատային CA վկայագիրը:

Արդյունք:

Ադմինիստրատորի վկայագրերի ստեղծում

Ստեղծեք նոր ադմինիստրատորի վկայականի անձնական բանալին «admin-key-temp.pem»՝ օգտագործելով ստորև նշված հրամանը:

openssl genrsa -out admin-key-temp.pem 2048

Վերափոխեք ադմինիստրատորի կանխադրված անձնական բանալին PKCS#8 ձևաչափի: Java հավելվածի համար դուք պետք է փոխարկեք լռելյայն մասնավոր բանալին PKCS#12-ին համատեղելի ալգորիթմի (3DES): Այս դեպքում ձեր ադմինիստրատորի անձնական բանալին պետք է լինի «admin-key.pem»:

openssl pkcs8 -inform PEM -outform PEM -in admin-key-temp.pem -topk8 -nocrypt -v1 PBE-SHA1-3DES -out admin-key.pem

Այնուհետև գործարկեք ստորև նշված հրամանը՝ «admin-key.pem» մասնավոր բանալիից ադմինիստրատորի CSR (Վկայագրի ստորագրման հարցում) ստեղծելու համար: Ձեր ստեղծած CSR-ն այժմ պետք է լինի 'admin.csr' ֆայլ:

Քանի որ այս վկայագիրն օգտագործվում է բարձրացված մուտքի նույնականացման համար և կապված չէ որևէ հոսթինգի հետ, դուք կարող եք ցանկացած բան օգտագործել «CN» կազմաձևում:

openssl req -new -key admin-key.pem -subj "/C=CA/ST=ONTARIO/L=TORONTO/O=ORG/OU=UNIT/CN=A" -out admin.csr

Ի վերջո, գործարկեք ստորև նշված հրամանը՝ ադմինիստրատորի CSR-ն արմատային CA վկայականով և անձնական բանալիով ստորագրելու համար: Ադմինիստրատորի վկայագրի ելքը «admin.pem» ֆայլն է:

openssl x509 -req -in admin.csr -CA root-ca.pem -CAkey root-ca-key.pem -CAcreateserial -sha256 -out admin.pem -days 730

Ձեր ադմինիստրատորի վկայականն այժմ պետք է լինի «admin.pem» ֆայլ, որը ստորագրված է արմատային CA վկայագրերով: Իսկ ադմինիստրատորի անձնական բանալին «admin-key.pem» է, որը փոխարկվում է PKCS#8 ձևաչափի:

Արդյունք:

Հանգույցի վկայագրերի ստեղծում

Հանգույցի վկայագրերի ստեղծման գործընթացը նման է ադմինիստրատորի վկայականներին: Բայց դուք կարող եք նշել CN արժեքը ձեր հանգույցի հոսթի անվան կամ IP հասցեով:

Ստեղծեք հանգույցի մասնավոր բանալին՝ օգտագործելով ստորև նշված հրամանը:

openssl genrsa -out node-rock1-key-temp.pem 2048

Փոխակերպեք հանգույցի մասնավոր բանալին PKCS#8 ձևաչափի: Ձեր հանգույցի մասնավոր բանալին այժմ պետք է լինի «node-rock1-key.pem»:

openssl pkcs8 -inform PEM -outform PEM -in node-rock1-key-temp.pem -topk8 -nocrypt -v1 PBE-SHA1-3DES -out node-rock1-key.pem

Հաջորդը, ստեղծեք նոր CSR հանգույցի վկայագրի համար: Համոզվեք, որ փոխեք «CN» արժեքը ձեր հանգույցի հյուրընկալողի անունով: Այս վկայագիրը կապված է հոսթինգների հետ, և դուք պետք է նշեք CN արժեքը ձեր OpenSearch հանգույցի հյուրընկալողի անունը կամ IP հասցեն:

openssl req -new -key node-rock1-key.pem -subj "/C=CA/ST=ONTARIO/L=TORONTO/O=ORG/OU=UNIT/CN=node-rock1.hwdomain.lan" -out node-rock1.csr

Նախքան հանգույցի վկայագիրը ստորագրելը, գործարկեք ստորև նշված հրամանը՝ «node-rock1.ext» SAN ընդլայնման ֆայլ ստեղծելու համար: Սա կպարունակի հանգույցի հոսթի անունը կամ FQDN կամ IP հասցեն:

echo 'subjectAltName=DNS:node-rock1.hwdomain.lan' > node-rock1.ext

Ի վերջո, ստորագրեք հանգույցի վկայագրի CSR ֆայլը արմատային CA վկայականով և մասնավոր՝ օգտագործելով ստորև նշված հրամանը:

openssl x509 -req -in node-rock1.csr -CA root-ca.pem -CAkey root-ca-key.pem -CAcreateserial -sha256 -out node-rock1.pem -days 730 -extfile node-rock1.ext

Դրանով ձեր հանգույցի վկայականը «node-rock1.pem» ֆայլ է, իսկ մասնավոր բանալին՝ «node-rock1-key.pem»:

Արդյունք:

Հավաստագրերի կարգավորում

Գործարկեք ստորև նշված հրամանը՝ հեռացնելու ժամանակավոր վկայականը, CSR-ն և SAN ընդլայնման ֆայլը:

rm *temp.pem *csr *ext
ls

Փոխարկեք արմատային CA վկայագիրը .crt ձևաչափի:

openssl x509 -outform der -in root-ca.pem -out root-ca.crt

Ավելացրեք արմատային CA վկայականը ձեր Rocky Linux համակարգին՝ օգտագործելով ստորև նշված հրամանը: Պատճենեք root-ca.crt ֆայլը «/etc/pki/ca-trust/source/anchors/» գրացուցակում և բեռնեք նոր արմատային CA վկայագիրը ձեր համակարգում:

sudo cp root-ca.crt /etc/pki/ca-trust/source/anchors/
sudo update-ca-trust

Արդյունք:

Ի վերջո, գործարկեք ստորև նշված հրամանը՝ ձեր վկայականների համապատասխան թույլտվությունը և սեփականության իրավունքը կարգավորելու համար: «/etc/opensearch/certs» գրացուցակի սեփականությունը պետք է լինի «opensearch» օգտվողը՝ 0700 թույլտվությամբ: Եվ բոլոր վկայագրերի ֆայլերի համար թույլտվությունը պետք է լինի 0600:

sudo chown -R opensearch:opensearch /etc/opensearch/certs
sudo chmod 0700 /etc/opensearch/certs
sudo chmod 0600 /etc/opensearch/certs/*.pem
sudo chmod 0600 /etc/opensearch/certs/*.crt

TLS վկայագրերի ավելացում OpenSearch-ում

Ստեղծված TLS վկայագրերի դեպքում արմատային CA-ն, ադմինիստրատորի վկայականները և հանգույցի վկայագրերն են: Հաջորդիվ դուք վկայականներ կավելացնեք OpenSearch կազմաձևման ֆայլում '/etc/opensearch/opensearch.yml': Այս օրինակում դուք կստեղծեք նոր bash սկրիպտ, որը OpenSearch-ին կավելացնի վկայականներ և TLS անվտանգության հավելվածի կարգավորումներ:

Ստեղծեք նոր ֆայլ 'add.sh' օգտագործելով ստորև բերված նանո խմբագրիչ հրամանը:

nano add.sh

Ֆայլին ավելացրեք հետևյալ տողերը. Համոզվեք, որ փոխեք և օգտագործեք ձեր վկայագրի ֆայլերի և թիրախային OpenSearch կազմաձևման ֆայլի ճիշտ ուղին:

#! /bin/bash
# Before running this script, make sure to replace the CN in the 
# node's distinguished name with a real DNS A record.
echo "plugins.security.ssl.transport.pemcert_filepath: /etc/opensearch/certs/node-rock1.pem" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.ssl.transport.pemkey_filepath: /etc/opensearch/certs/node-rock1-key.pem" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.ssl.transport.pemtrustedcas_filepath: /etc/opensearch/certs/root-ca.pem" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.ssl.http.enabled: true" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.ssl.http.pemcert_filepath: /etc/opensearch/certs/node-rock1.pem" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.ssl.http.pemkey_filepath: /etc/opensearch/certs/node-rock1-key.pem" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.ssl.http.pemtrustedcas_filepath: /etc/opensearch/certs/root-ca.pem" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.allow_default_init_securityindex: true" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.authcz.admin_dn:" | sudo tee -a /etc/opensearch/opensearch.yml
echo "  - 'CN=A,OU=UNIT,O=ORG,L=TORONTO,ST=ONTARIO,C=CA'" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.nodes_dn:" | sudo tee -a /etc/opensearch/opensearch.yml
echo "  - 'CN=node-rock1.hwdomain.lan,OU=UNIT,O=ORG,L=TORONTO,ST=ONTARIO,C=CA'" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.audit.type: internal_opensearch" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.enable_snapshot_restore_privilege: true" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.check_snapshot_restore_write_privileges: true" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.restapi.roles_enabled: [\"all_access\", \"security_rest_api_access\"]" | sudo tee -a /etc/opensearch/opensearch.yml

Ավարտելուց հետո պահպանեք և դուրս եկեք ֆայլից:

Այնուհետև «add.sh» ֆայլը դարձրեք գործարկելի և կատարեք այն: OpenSearch-ի համար TLS անվտանգության նոր հավելումը պետք է ավելացվի «/etc/opensearch/opensearch.yml» OpenSearch կազմաձևման ֆայլում:

chmod +x add.sh
./add.sh

Արդյունք:

Եթե ստուգեք «/etc/opensearch/opensearch.yml» OpenSearch կազմաձևման ֆայլը, դուք պետք է տեսնեք «add.sh» սկրիպտի կողմից ստեղծված նոր կարգավորումները:

Այժմ դուք ավելացրել եք TLS վկայագրեր OpenSearch-ում և միացրել եք անվտանգության հավելումները: Հաջորդ քայլում դուք կապահովեք OpenSearch-ը նույնականացման և թույլտվության միջոցով՝ OpenSearch-ում նոր օգտվող ստեղծելով:

Admin User OpenSearch-ի կարգավորում

Նախ, տեղափոխեք ձեր աշխատանքային գրացուցակը '/usr/share/opensearch/plugins/opensearch-security/tools'՝ ստորև բերված cd հրամանը տալով:

cd /usr/share/opensearch/plugins/opensearch-security/tools

Գործարկեք «hash.sh» սկրիպտը՝ OpenSearch-ի համար գաղտնաբառի նոր հեշ ստեղծելու համար: Մուտքագրեք ձեր ստեղծած գաղտնաբառը և սեղմեք ENTER:

OPENSEARCH_JAVA_HOME=/usr/share/opensearch/jdk ./hash.sh

Դուք պետք է ստանաք ձեր գաղտնաբառի ստեղծած հեշը: Պատճենեք այդ հեշը, քանի որ դուք պետք է ավելացնեք այդ հաշված գաղտնաբառը OpenSearch-ի կազմաձևում:

Կրկին գործարկեք 'hash.sh' սկրիպտը՝ գաղտնաբառի մեկ այլ հեշ ստեղծելու համար, որը կօգտագործվի OpenSearch Dashboards-ի համար:

OPENSEARCH_JAVA_HOME=/usr/share/opensearch/jdk ./hash.sh

Դրանով դուք այժմ ստեղծել եք երկու հաշված գաղտնաբառ OpenSearch-ի համար:

Հաջորդը, բացեք OpenSearch օգտվողի կոնֆիգուրացիան '/etc/opensearch/opensearch-security/internal_users.yml' օգտագործելով ստորև բերված նանո խմբագրիչ հրամանը: Այժմ դուք կկարգավորեք OpenSearch օգտվողներին OpenSearch Security-ի միջոցով:

sudo nano /etc/opensearch/opensearch-security/internal_users.yml

Ջնջել բոլոր կանխադրված OpenSearch օգտվողներին և փոխարինել դրանք հետևյալ տողերով. Համոզվեք, որ փոխեք հաշված գաղտնաբառը ձեր ստեղծած գաղտնաբառով: Այս օրինակում դուք կստեղծեք երկու օգտվող OpenSearch-ի համար, «admin» օգտվողը OpenSearch-ի համար և «kibanaserver» օգտվողը, որը կօգտագործվի OpenSearch Dashboards-ի կողմից:

...
...
admin:
   hash: "$2y$12$BnfqwqWRi7DkyuPgLa8.3.kLzdpIY11jFpSXTAOKOMCVj/i20k9oW"
   reserved: true
   backend_roles:
   - "admin"
   description: "Admin user"
kibanaserver:
  hash: "$2y$12$kYjgPjPzIp9oTghNdWIHcuUalE99RqSYtTCh6AiNuS5wmeEaWnbzK"
  reserved: true
  description: "Demo OpenSearch Dashboards user"

Ավարտելուց հետո պահպանեք և դուրս եկեք ֆայլից:

Այժմ թողարկեք հետևյալ systemctl հրամանի օգտակար ծրագիրը՝ OpenSearch ծառայությունը վերագործարկելու և փոփոխությունները կիրառելու համար:

sudo systemctl restart opensearch

Այժմ տեղափոխեք «/usr/share/opensearch/plugins/opensearch-security/tools» գրացուցակը և կանչեք «securityadmin.sh» սկրիպտը՝ նոր փոփոխությունները կիրառելու համար: OpenSearch Security.

cd /usr/share/opensearch/plugins/opensearch-security/tools
OPENSEARCH_JAVA_HOME=/usr/share/opensearch/jdk ./securityadmin.sh -h 192.168.5.25 -p 9200 -cd /etc/opensearch/opensearch-security/ -cacert /etc/opensearch/certs/root-ca.pem -cert /etc/opensearch/certs/admin.pem -key /etc/opensearch/certs/admin-key.pem -icl -nhnv

«securityadmin.sh» սկրիպտը կմիանա OpenSearch սերվերին, որն աշխատում է «192.168.5.25» IP հասցեով և «9200» լռելյայն միացքով: . Այնուհետև կիրառեք նոր օգտվողներին, որոնք դուք կազմաձևել եք «/etc/opensearch/opensearch-security/internal_users.yml» ֆայլում OpenSearch-ի տեղակայման համար:

վերջապես, երբ նոր օգտվողներն ավելացվեն և կիրառվեն «securityadmin.sh» սկրիպտի միջոցով, այժմ դուք կստուգեք OpenSearch-ի օգտատերերը ստորև բերված curl հրամանի միջոցով: Համոզվեք, որ փոխեք հյուրընկալողի անունը կամ IP հասցեն և օգտատերը և գաղտնաբառը OpenSearch-ի համար:

curl https://node-rock1:9200 -u admin:password -k
curl https://node-rock1:9200 -u kibanaserver:kibanapass -k

Եթե օգտագործողի կոնֆիգուրացիան հաջող է, դուք պետք է ստանաք այսպիսի արդյունք.

Հաստատեք OpenSearch օգտվողի «admin»:

Հաստատեք OpenSearch օգտվողի «kibanaserver»:

Այս պահին դուք այժմ ավարտել եք OpenSearch-ի տեղադրումը Rocky Linux 9 սերվերի RPM փաթեթների միջոցով: Եվ նաև ապահովեց OpenSearch-ի տեղակայումը TLS վկայագրերի միջոցով և միացրեց օգտվողի նույնականացումը և թույլտվությունը OpenSearch Security հավելվածների միջոցով:

Հաջորդ քայլում դուք կտեղադրեք OpenSearch Dashboards-ը և դրանում կավելացնեք ձեր OpenSearch սերվերը՝ օգտագործելով ձեր ստեղծած «kibanaserver» նոր օգտվողը:

OpenSearch Dashboard-ի տեղադրում

Քանի որ OpenSearch-ի պահոցը դեռ օգտագործում է SHA1 հաշը՝ OpenSearch Dashboard փաթեթը ստուգելու համար, ապա դուք պետք է փոխեք ձեր Rocky Linux-ի լռելյայն կրիպտո քաղաքականությունը LEGACY-ի:

Գործարկեք ստորև նշված հրամանը՝ լռելյայն կրիպտո քաղաքականությունը LEGACY-ի թարմացնելու համար:

sudo update-crypto-policies --set LEGACY

Հաջորդը, ձեր համակարգին ավելացրեք OpenSearch Dashboards պահոցը ստորև բերված curl հրամանի միջոցով:

sudo curl -SL https://artifacts.opensearch.org/releases/bundle/opensearch-dashboards/2.x/opensearch-dashboards-2.x.repo -o /etc/yum.repos.d/opensearch-dashboards-2.x.repo

Այնուհետև ստուգեք ձեր համակարգի հասանելի պահեստների ցանկը: Դուք պետք է տեսնեք «OpenSearch Dashboard 2.x» պահոցը, որը հասանելի է պահեստների ցանկում:

sudo dnf repolist

Արդյունք:

Այժմ կանչեք հետևյալ dnf հրամանը՝ OpenSearch Dashboards փաթեթը տեղադրելու համար: Երբ ձեզ հուշում են, մուտքագրեք y՝ հաստատելու համար և սեղմեք ENTER՝ շարունակելու համար:

sudo dnf install opensearch-dashboards

Տեղադրման ընթացքում ձեզ նաև կառաջարկվի ընդունել OpenSearch Dashboards պահեստի GPG ստեղնը: Մուտքագրեք y և սեղմեք ENTER՝ հաստատելու համար:

Երբ OpenSearch Dashboards-ը տեղադրվի, գործարկեք ստորև systemctl հրամանի օգտակար ծրագիրը՝ «opensearch-dashboard» ծառայությունը սկսելու և միացնելու համար: OpenSearch Dashboard-ն այժմ պետք է գործարկվի լռելյայն կազմաձևով և այն պետք է միացված լինի, ինչը նշանակում է, որ ծառայությունը ավտոմատ կերպով կսկսվի համակարգի գործարկման ժամանակ:

sudo systemctl start opensearch-dashboards
sudo systemctl enable opensearch-dashboards

Ստուգեք OpenSearch Dashboard ծառայությունը՝ համոզվելու, որ ծառայությունն աշխատում է:

sudo systemctl status opensearch-dashboards

Դուք պետք է ստանաք այսպիսի ելք՝ OpenSearch Dashboard ծառայության կարգավիճակն աշխատում է, և այն այժմ նույնպես միացված է և ավտոմատ կերպով կաշխատվի համակարգի բեռնման ժամանակ:

Այժմ անցեք հաջորդ քայլին՝ ձեր OpenSearch Dashboard-ի տեղադրումը կարգավորելու համար:

OpenSearch-ի վահանակների կարգավորում

Այս քայլում դուք կտեղադրեք OpenSearch Dashboard-ները, որոնց վրա IP հասցեն և պորտը պետք է գործարկվի Open Search Dashboard-ը, ինչպես նաև կապ կստեղծեք OpenSearch սերվերի հետ:

Բացեք OpenSearch Dashboard կազմաձևման ֆայլը '/etc/opensearch-dashboards/opensearch-dashboard.yml' օգտագործելով ստորև բերված նանո խմբագրիչը:

sudo nano /etc/opensearch-dashboards/opensearch-dashboard.yml

Ապամեկնաբանեք և փոխեք «server.port» և «server.host» լռելյայն պարամետրը հետևյալ տողերով: Կանխադրված OpenSearch Dashboard-ները կաշխատեն «5601» նավահանգստում, համոզվեք, որ «server.host» պարամետրը հարմարեցրեք ձեր սերվերի IP հասցեին:

# OpenSearch Dashboards is served by a back end server. This setting specifies the port to use.
server.port: 5601
# Specifies the address to which the OpenSearch Dashboards server will bind. IP addresses and host names are both valid values.
# The default is 'localhost', which usually means remote machines will not be able to connect.
# To allow connections from remote users, set this parameter to a non-loopback address.
server.host: "192.168.5.25"

Անցեք կոնֆիգուրացիայի ներքևի տող և փոխեք OpenSearch պարամետրերի մանրամասները, որոնք օգտագործվում են OpenSearch սերվերին միանալու համար: Համոզվեք, որ փոխեք «opensearch.hosts», «opensearch.username» և «opensearch.password»-ի պարամետրը ձեր OpenSearch սերվերով: մանրամասներ.

opensearch.hosts: [https://192.168.5.25:9200]
opensearch.ssl.verificationMode: none
opensearch.username: kibanaserver
opensearch.password: kibanapass

Պահպանեք ֆայլը և ավարտին հասցրեք խմբագրիչը:

Հաջորդը գործարկեք ստորև systemctl հրամանը՝ OpenSearch Dashboards ծառայությունը վերագործարկելու և փոփոխությունները կիրառելու համար:

sudo systemctl restart opensearch-dashboards

Դրանով, OpenSearch Dashboard-ները պետք է աշխատեն «192.168.5.25» IP հասցեով՝ «5601» պորտով: Բացի այդ, OpenSearch Dashboard-ը կմիանա OpenSearch սերվերին՝ «kibanaserver» օգտվողի մանրամասներով:

Մուտք գործել OpenSearch Dashboards

Այս պահին դուք ավարտել եք OpenSearch Dashboard-ի տեղադրումն ու կազմաձևումը: Այժմ դուք կհաստատեք OpenSearch Dashboards-ի տեղադրումը, մուտք գործելով այն վեբ բրաուզերի միջոցով և ստուգեք կապը OpenSearch սերվերի հետ «Dev Tools»-ի միջոցով:

Նախքան OpenSearch Dashboards մուտք գործելը, դուք պետք է բացեք 5601 նավահանգիստը ձեր firewall-ում:

TCP պորտը բացելու համար կանչեք հետևյալ firewall-cmd հրամանները 5601: Այնուհետև վերաբեռնեք firewall-ը՝ փոփոխությունները կիրառելու համար:

sudo firewall-cmd --add-port=5601/tcp --permanent
sudo firewall-cmd --reload

Հաջորդը, ստուգեք firewalld-ի կանոնների ցանկը՝ օգտագործելով ստորև նշված հրամանը: Դուք պետք է տեսնեք, որ 5601 նավահանգիստը հասանելի է firewall-ում:

sudo firewall-cmd --list-all

Այժմ բացեք ձեր վեբ զննարկիչը և այցելեք OpenSearch Dashboards IP հասցեն 5601 պորտով (այսինքն՝ http:192.168.5.25:5601): Այժմ դուք կտեսնեք OpenSearch Dashboards մուտքի էջը:

Մուտքագրեք ձեր ստեղծած օգտվողի անունը և գաղտնաբառը: Այս օրինակում օգտագործողը «kibanaserver» է: Այնուհետև սեղմեք «Մուտք գործել» կոճակը՝ հաստատելու և մուտք գործելու OpenSearch Dashboards:

Երբ հաջողվի, դուք պետք է ստանաք հետևյալ էջը «Բարի գալուստ OpenSearch Dashboards» հաղորդագրությամբ: Այժմ կարող եք սեղմել «Ավելացնել տվյալներ»՝ ձեր OpenSearch սերվերին նոր տվյալներ ավելացնելու համար կամ սեղմել «Ուսումնասիրել իմ սեփականը» ավելի ուշ կարգավորումների համար:

Հաջորդը, համոզվելու համար, որ OpenSearch Dashboards-ը միացված է OpenSearch սերվերին, դուք կանեք հետևյալ քայլերը.

Սեղմեք ձախ ընտրացանկի վրա, տեղափոխվեք Կառավարում բաժին և սեղմեք «Dev Tools»:

Այժմ մուտքագրեք «GET /» հարցումը վահանակի վրա և սեղմեք նվագարկման կոճակը: Հաջողության դեպքում դուք պետք է տեսնեք ելքը աջ կողմում՝ ձեր OpenSearch սերվերի մասին մանրամասն տեղեկություններով: Բացի այդ, վերևի աջ կողմում կարող եք տեսնել «200 - OK» HTTP կոդը, որը հաստատում է, որ հարցումը կատարվում է առանց սխալի:

Սա նկատի ունենալով, դուք այժմ տեղադրել եք OpenSearch Dashboards Rocky Linux սերվերի վրա RPM փաթեթի միջոցով: Բացի այդ, դուք կարգավորել եք OpenSearch Dashboards-ը OpenSearch սերվերին միանալու համար:

Եզրակացություն

Այս հոդվածում դուք տեղադրել եք OpenSearch-ը RPM-ի միջոցով Rocky Linux 9 սերվերի վրա: Դուք նաև ապահովել եք OpenSearch-ը TLS վկայագրերով, միացրել եք նույնականացումը և թույլտվությունը, ինչպես նաև կարգավորել եք օգտվողներին OpenSearch-ում: Բացի դրանից, դուք նաև կարգավորել և օպտիմիզացրել եք Rocky Linux սերվերը OpenSearch-ը տեղակայելու համար:

Դուք նաև տեղադրել եք OpenSearch Dashboard-ները RPM-ի միջոցով Rocky Linux 9 սերվերի վրա: Դուք հաջողությամբ կարգավորել և միացրել եք OpenSearch Dashboards-ը OpenSearch Server-ին, իսկ նույնականացումը միացված է, ինչպես նաև հաջողությամբ ստուգել OpenSearch և OpenSearch Dashboards տեղադրումը:

Այս կարգավորումով դուք կարող եք ավելին ուսումնասիրել OpenSearch-ի մասին՝ տեղադրելով OpenSearch Cluster-ը, կարգավորելով լրացուցիչ նույնականացում և շատ ավելին: Դուք կարող եք ավելին իմանալ OpenSearch-ի մասին OpenSearch-ի պաշտոնական փաստաթղթերից: