ElasticSearch 7.4集羣部署 啓用x-pack驗證 Kibana7.4用戶管理

一.es7.4集羣搭建

1.1下載es以及修改相應配置

1.1.1節點規劃

內網ip	節點
192.168.18.126	node-1
192.168.18.125	node-2
192.168.18.133	node-3

1.1.2下載

cd /opt
wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.4.2-linux-x86_64.tar.gz
tar -zxvf elasticsearch-7.4.2-linux-x86_64.tar.gz

1.1.3修改配置

cd /opt/elasticsearch-7.4.2/config
vim elasticsearch.yml

cluster.name: es
# 節點名稱
node.name: node-1
node.master: true
node.data: true

path.data: /opt/elasticsearch-7.4.2/data
path.logs: /opt/elasticsearch-7.4.2/logs

#允許遠程訪問
network.host: 0.0.0.0
transport.tcp.port: 19300
http.port: 19200

###
action.destructive_requires_name: true
discovery.zen.minimum_master_nodes: 2
discovery.seed_hosts: ["192.168.18.126","192.168.18.125","192.168.18.133"]
# 集羣選舉,對應三個節點
cluster.initial_master_nodes: ["node-1","node-2","node-3"]
#### 允許跨域訪問
http.cors.enabled: true
http.cors.allow-origin: "*"
http.cors.allow-headers: Authorization
xpack.security.enabled: true
xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: none
xpack.security.transport.ssl.keystore.path: elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: elastic-certificates.p12

1.1.4設置普通用戶

參考centos7安裝elasticsearch-7.0.1僞集羣

1.2啓用x-pack驗證

切換到es_123用戶下，使用下面命令生成證書

bin/elasticsearch-certutil cert -out config/elastic-certificates.p12 -pass ""

啓動elasticsearch

./elasticsearch -d

自動生成默認用戶和密碼

bin/elasticsearch-setup-passwords auto

1.3瀏覽器驗證

二.Kibana7.4用戶管理

2.1下載kibana以及修改相應配置

2.1.1下載

cd /opt
wget https://artifacts.elastic.co/downloads/kibana/kibana-7.4.2-linux-x86_64.tar.gz
tar -zxvf kibana-7.4.2-linux-x86_64.tar.gz

2.1.2修改配置

cd /opt/kibana-7.4.2-linux-x86_64/config
vim kibana.yml

server.port: 15601
server.host: "0.0.0.0"
elasticsearch.hosts: ["http://192.168.18.126:19200"]
elasticsearch.username: "elastic"
elasticsearch.password: "xxxxx"
kibana.index: ".kibana"
xpack.reporting.encryptionKey: "a_random_string"
xpack.security.encryptionKey: "something_at_least_32_characters"
# 是否開啓安全策略
# xpack.security.enabled: false

2.1.3 kibana用戶管理

啓動

/opt/kibana-7.4.2-linux-x86_64/bin/kibana --allow-root

添加用戶並賦予相應的權限

2.1.4 用戶權限

Elastic Stack安全功能將默認角色應用於所有用戶，包括 匿名用戶。默認角色使用戶可以訪問身份驗證端點，更改自己的密碼並獲取有關自己的信息。
您還可以顯式分配給用戶一組內置角色。這些角色具有一組固定的特權，無法更新。

apm_system
授予APM系統用戶將系統級數據（例如監視）發送到Elasticsearch所需的訪問權限。
apm_user
授予對於APM用戶（如所需的權限read和 view_index_metadata特權的apm-*和.ml-anomalies*指數）。
beats_admin
授予對.management-beats索引的訪問權限，該索引包含Beats的配置信息。
beats_system
授予Beats系統用戶將系統級數據（例如監視）發送到Elasticsearch所需的訪問權限。
注意:   不應將此角色分配給用戶，因爲授予的權限可能會在版本之間發生變化。        該角色不提供對節拍索引的訪問，並且不適合將節拍輸出寫入Elasticsearch。data_frame_transforms_admin
授予manage_data_frame_transforms羣集特權，使您可以管理轉換。該角色還包括針對機器學習功能的所有 Kibana特權。
data_frame_transforms_user
授予monitor_data_fram_transforms羣集特權，使您可以使用轉換。該角色還包括針對機器學習功能的所有 Kibana特權。
ingest_admin
授予訪問權限以管理所有索引模板和所有接收管道配置。
注意:這個角色也沒有提供用於創建指數的能力; 這些特權必須在單獨的角色中定義。

kibana_dashboard_only_user
授予對Kibana儀表板的訪問權限和對Kibana的只讀權限。該角色無權使用Kibana中的編輯工具。有關更多信息，請參閱 僅Kibana儀表板模式。
kibana_system
授予Kibana系統用戶讀取和寫入Kibana索引，管理索引模板和令牌以及檢查Elasticsearch集羣可用性所必需的訪問權限。該角色授予對.monitoring-*索引的讀取訪問權限以及對索引的讀寫訪問權限.reporting-*。有關更多信息，請參閱在Kibana中配置安全性。
注意:不應將此角色分配給用戶，因爲授予的權限可能會在版本之間發生變化。
kibana_user
授予訪問Kibana中所有功能的權限。有關Kibana授權的更多信息，請參見Kibana授權。
logstash_admin
授予訪問.logstash*索引以管理配置的權限。
logstash_system
授予Logstash系統用戶將系統級數據（例如監視）發送到Elasticsearch所需的訪問權限。有關更多信息，請參見 在Logstash中配置安全性。
注意:不應將此角色分配給用戶，因爲授予的權限可能會在版本之間發生變化。
該角色不提供對logstash索引的訪問，因此不適合在Logstash管道內使用。
machine_learning_admin
資助manage_ml集羣權限，讀取訪問.ml-anomalies*， .ml-notifications*，.ml-state*，.ml-meta*指數和寫入訪問 .ml-annotations*索引。該角色還包括針對機器學習功能的所有 Kibana特權。
machine_learning_user
授予查看機器學習配置，狀態和處理結果所需的最低特權。該角色授予monitor_ml集羣特權，對.ml-notifications和.ml-anomalies*索引的讀取訪問權限（存儲機器學習結果）以及對.ml-annotations*索引的寫入訪問權限。該角色還包括針對機器學習功能的所有Kibana特權。
monitoring_user
授予除使用Kibana所需的X-Pack監視用戶所需的最低特權。該角色授予對監視索引的訪問權限，並授予讀取基本羣集信息所必需的特權。該角色還包括彈性堆棧監視功能的所有Kibana特權。還應該爲監視用戶分配kibana_user角色。
remote_monitoring_agent
授予將數據寫入監視索引（.monitoring-*）所需的最低特權。該角色還具有創建Metricbeat索引（metricbeat-*）並將數據寫入其中所需的特權。
remote_monitoring_collector
授予收集彈性堆棧的監視數據所需的最低特權。
reporting_user
授予X-Pack報告用戶所需的特定特權，而不是使用Kibana所需的特權。該角色授予訪問報告索引的權限；每個用戶只能訪問自己的報告。還應爲報告用戶分配一個kibana_user角色和一個角色，以授予他們訪問將用於生成報告的數據的權限。
snapshot_user
授予必要的特權，以創建所有索引的快照並查看其元數據。該角色使用戶可以查看現有快照存儲庫的配置和快照詳細信息。它不授予刪除或添加存儲庫或還原快照的權限。它還不允許更改索引設置或讀取或更新索引數據。
superuser
授予對羣集的完全訪問權限，包括所有索引和數據。具有superuser角色的用戶還可以管理用戶和角色，並 模擬系統中的任何其他用戶。由於此角色的允許性質，在將其分配給用戶時要格外小心。
transport_client
授予通過Java Transport Client訪問集羣所需的特權。Java Transport Client使用Node Liveness API和Cluster State API（在啓用嗅探功能時）獲取有關集羣中節點的信息。如果用戶使用傳輸客戶端，請爲其分配此角色。

注意
有效使用傳輸客戶端意味着授予用戶訪問羣集狀態的權限。這意味着用戶可以查看所有索引，索引模板，映射，節點以及基本上與集羣有關的所有內容的元數據。但是，此角色未授予查看所有索引中的數據的權限。

watcher_admin
授予對.watches索引的讀取訪問權限，對監視歷史記錄和觸發的監視索引的讀取訪問權限，並允許執行所有監視程序操作。
watcher_user
授予對.watches索引，獲取監視操作和監視者統計信息的讀取權限。

參考:https://www.cnblogs.com/wangyong-blog/p/11598120.html
參考:https://discuss.elastic.co/t/ssl-errors-remaining-after-upgrade-to-7-5-0/212520
參考:https://blog.csdn.net/jiedaodezhuti/article/details/103972554