Elasticsearch 7.10.1 X-Pack权限控制配置全攻略

"本文详细介绍了如何在Elasticsearch 7.10.1版本中配置xPack插件以实现权限控制，同时适用于Kibana 7.10.0版本。xPack是一个内置的安全、监视、告警和管理功能的插件，通过它，我们可以对Elasticsearch集群进行安全配置，包括生成证书、配置访问控制等步骤。" 在Elasticsearch集群中启用xPack的访问控制，首先需要进行的是证书的生成与配置。这一步涉及到SSL/TLS加密，确保数据传输的安全性。通过`elasticsearch-certutil`工具，我们可以自动生成证书和认证中心（CA）。 1. 生成CA： 使用`bin/elasticsearch-certutil ca`命令生成CA，系统会提示输入密码和文件名。默认生成的文件名为`elastic-stack-ca.p12`，密码需记住，后续步骤会用到。 2. 生成证书： 利用之前生成的CA，运行`bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12`命令创建证书，同样需要输入密码。生成的证书文件默认为`elastic-certificates.p12`。 3. 移动证书文件： 将这两个文件移动到`config/certs`目录下，如果没有该目录，需要先创建。使用命令`mkdir config/certs && mv elastic-stack-ca.p12 elastic-certificates.p12 config/certs`。 4. 配置集群中的所有节点： 确保每个节点的`config/certs`目录下都有这些证书文件，以便集群内的节点能够相互识别和通信。 5. 修改elasticsearch.yml配置： 在`config/elasticsearch.yml`配置文件中添加如下内容，以启用SSL并配置证书路径： ``` xpack.security.enabled: true path.config: /path/to/config path.data: /path/to/data path.logs: /path/to/logs http.ssl.key: config/certs/elastic-certificates.p12 http.ssl.certificate_authorities: [ "config/certs/elastic-stack-ca.p12" ] ``` 这里，`path.config`、`path.data`和`path.logs`应替换为实际路径，`http.ssl.key`和`http.ssl.certificate_authorities`指向证书文件。 6. 设置Keystore密码： 在配置过程中，你可能需要设置证书的密码，这可以通过`bin/elasticsearch-keystore add`命令完成，例如：`bin/elasticsearch-keystore add --stdin xpack.security.keystore.password`，然后输入之前设置的密码。 7. 启动Elasticsearch： 修改配置后，重启Elasticsearch服务以应用新的安全设置。 8. Kibana配置： Kibana同样需要配置以连接到启用了xPack安全的Elasticsearch实例。在`config/kibana.yml`中添加： ``` server.host: "localhost" elasticsearch.url: "https://localhost:9200" elasticsearch.username: "kibana_system" elasticsearch.password: "your_kibana_password" elasticsearch.ssl.truststore.path: "config/certs/elastic-stack-ca.p12" elasticsearch.ssl.truststore.password: "your_ca_password" ``` 替换`your_kibana_password`和`your_ca_password`为实际密码。 9. 权限控制： 启用xPack后，可以创建用户、角色和权限策略，以控制不同用户对集群的访问权限。这可以通过Kibana的Management界面或使用Elasticsearch的API完成。 以上步骤完成后，你的Elasticsearch集群就配置好了xPack安全，实现了基本的访问控制和加密通信。然而，实际部署时可能还需要根据具体需求调整其他xPack功能，如监控、告警和报告等。记得在生产环境中，安全配置应更为严格，避免敏感信息泄露。