Elasticsearch集羣許可證管理

Elasticsearch集羣許可證管理

1.許可證有效期管理

Elasticsearch集羣許可證有效期查看

1.通過kibana查看：

Your Basic license is active
Your license will expire on May 30, 2019 7:59 AM CST.

2.通過ES的http接口查看：

curl -XGET -u admin:password 'http://<host>:<port>/_license'
集羣沒有帳號密碼的，忽略-u參數

看到的帳號信息如下：

"license" : {
"status" : "active",
"uid" : "6187622c-8372-4cab-95ff-00ae82de241f",
"type" : "basic",
"issue_date" : "2018-05-29T00:00:00.000Z",
"issue_date_in_millis" : 1527552000000,
"expiry_date" : "2019-05-29T23:59:59.999Z",
"expiry_date_in_millis" : 1559174399999,
"max_nodes" : 100,
"issued_to" : "david xu (tengyun)",
"issuer" : "Web Form"
}

2.許可證快過期了，如何更新？

如果許可證快過期了，需要先申請許可證，根據需要可以申請免費的basic許可，也可以花錢購買更高級的許可，其他非官方的途徑僅限學習交流，不推薦用於生產環境，不符合騰訊的氣質。

獲取許可證書

許可類型：
BASIC:免費，有效期一年，功能受限，好像只允許最大100個節點機器
GOLD,PLATINUM,ENTERPRISE 收費，功能相對豐富一些
https://www.elastic.co/subscriptions

以BASIC許可更新爲例，目前集羣節點在100以內，直接使用BASIC版本。
https://register.elastic.co/

Register below to receive a free 1 year Basic license, which enables many great features in X-Pack. See the subscription page for more details. And yes, when the 1 year is up, you can come back and register for another year. Happy searching!

一年到期後，可以繼續申請重新更新。

填寫完頁面的資料後，會收到一封標題爲“Elastic License”的郵件，郵件內容大概長這個樣子：

Thank you for using the Elastic Stack and registering for your free Basic license! This license expires on May 29, 2019.

To download your license, please go to:

--> http://license.elastic.co/registration/download/********-b564-4b00-a079-b0b5802ba27f

For license installation instructions:

Elasticsearch 6.x -- https://www.elastic.co/guide/en/x-pack/current/license-management.html
Elasticsearch 5.x -- https://www.elastic.co/guide/en/x-pack/5.6/installing-license.html
Elasticsearch 2.x -- https://www.elastic.co/guide/en/marvel/current/license-management.html
Elasticsearch 1.x -- Use license code '1010' to register

If you have any questions or issues, please visit us on the forums: https://discuss.elastic.co/ or reach out to us directly at [email protected].

Best,
The Elastic Team

根據郵件中的鏈接就可以下載basic版本的授權許可文件。

根據需要選擇相應版本的BASIC授權文件。
Please download the license for your Elasticsearch version.

導入許可證書

無需重啓ES集羣的節點，即可更新集羣的許可授權證書，但是需要擁有ES集羣的admin權限來安裝授權許可。
許可的更新是立即生效的，kibana頁面上的展示可能有緩存需要過幾分鐘後才能更新。

curl -XPUT -u admin 'http://<host>:<port>/_license' -d @license.json
如果沒有權限限制，可以去掉-u admin

license.json需要更換爲獲取到的授權許可license文件的具體名字，也可以將獲取到的文件改名爲license.json。

如果您正在安裝的許可證不支持您以前的許可證提供的所有功能，則會在回覆中收到通知。要完成許可證安裝，您必須重新提交許可證更新請求並將acknowledge參數設置爲true以表示您知道這些更改。

如果之前安裝了一個收費的許可，到快到期時，導入的是免費的BASIC許可，那可能無法直接導入，會有提示信息。此時需要通過將acknowledge參數設置爲true，來導入許可文件。

curl -XPUT  'http://<host>:<port>/_license?acknowledge=true' -d @license.json

許可過期的風險

許可過期有什麼風險？
過期之前有沒有提示，會不會突然發現證書過期了？
萬一我忘記更新許可證書了，集羣會不會拒絕服務？

許可證到期之前會有提醒，只是你千萬不要不當回事。
如果使用2.x版本的Marvel，許可證在30天內到期時會顯示許可證到期警告，不過顯示的地方不太明顯。
許可過期的警告信息也會在啓動時顯示，並且會寫入Elasticsearch日誌。

這些錯誤消息會告訴您許可證何時到期，如果您無法更新，哪些功能將被禁用：
跟集羣和索引狀態相關的收集、監控、查看的功能都將被禁用，請求的時候返回401錯誤；
所有數據的讀寫操作可以正常工作。

{
"error": {
"root_cause": [{
"type": "security_exception",
"reason": "current license is non-compliant for [shield]",
"license.expired.feature": "shield"
}],
"type": "security_exception",
"reason": "current license is non-compliant for [shield]",
"license.expired.feature": "shield"
},
"status": 401
}

許可過期應及時更新，否則就如黑夜中閉着眼睛狂奔，集羣出問題是遲早的問題。

詳見官網內容：

https://www.elastic.co/guide/en/shield/current/license-management.html