Ako nainštalovať OpenSearch na Rocky Linux 9


Na tejto stránke

  1. Predpoklady
  2. Systém nastavenia
  3. Inštalácia OpenSearch
  4. Konfigurácia OpenSearch
  5. Zabezpečenie OpenSearch pomocou certifikátov TLS

    1. Generovanie certifikátov koreňovej CA
    2. Generovanie správcovských certifikátov
    3. Generovanie certifikátov uzla
    4. Nastavenie certifikátov
  6. Pridanie certifikátov TLS do OpenSearch
  7. Nastavenie správcu OpenSearch
  8. Inštalácia OpenSearch Dashboard
  9. Konfigurácia informačných panelov OpenSearch
  10. Prístup k informačným panelom OpenSearch
  11. Záver

OpenSearch je komunitou riadený projekt Amazonu a rozvetvenie Elasticsearch a Kibana. Je to plne open source vyhľadávací nástroj a analytický balík s bohatými funkciami a inovatívnymi funkciami. Hlavným komponentom projektu OpenSearch je OpenSearch (fork Elasticsearch) a OpenSearch Dashboards (fork Kibana). Obidva komponenty poskytujú funkcie, ako je podnikové zabezpečenie, upozornenia, strojové učenie, SQL, správa stavu indexu a ďalšie.

OpenSearch je 100% open source a je licencovaný pod licenciou Apache 2.0. Umožňuje vám jednoducho prijímať, zabezpečovať, vyhľadávať, agregovať, prezerať a analyzovať údaje pre množstvo prípadov použitia, ako je napríklad analýza protokolov, vyhľadávanie aplikácií, podnikové vyhľadávanie a ďalšie.

Tento článok vám ukáže, ako nainštalovať OpenSearch – open source balík na vyhľadávanie, analýzu a vizualizáciu – na server Rocky Linux 9. Tento článok obsahuje zabezpečenie nasadenia OpenSearch pomocou certifikátov TLS/SSL a nastavenie overovania a autorizácie na OpenSearch.

Tento článok tiež ukazuje, ako nainštalovať OpenSearch Dashboards – open source vizualizačný nástroj, ako je Kibana, a potom ho nakonfigurovať na pripojenie k OpenSearch. Po dokončení tohto článku budete mať na svojom serveri Rocky Linux nainštalovaný balík na analýzu a vizualizáciu údajov.

Predpoklady

Ak chcete začať s touto príručkou, musíte mať nasledujúce požiadavky:

  • Server s Rocky Linux 9 a minimálnou RAM 4 GB – Tento príklad používa server Rocky Linux s názvom hostiteľa 'node-rock1', IP adresou '192.168.5.25' a RAM 8 GB.
  • Používateľ bez oprávnenia root s oprávneniami správcu sudo/root.
  • SELinux beží v povolenom režime.

To je všetko; Začnime s inštaláciou OpenSearch.

Systém nastavenia

Prvá vec, ktorú musíte urobiť, je pripraviť hostiteľa Rocky Linux. To zahŕňa nastavenie správneho názvu hostiteľa a fqdn, zakázanie SWAP a zvýšenie maximálnej pamäte máp vo vašom systéme.

Ak to chcete urobiť, musíte sa prihlásiť na server Rocky Linux.

Teraz zadajte nasledujúci príkaz na nastavenie správneho názvu hostiteľa a fqdn pre váš server Rocky Linux.

V tomto príklade nastavíte názov hostiteľa systému s 'node-rock1' a fqdn 'node-rock1.hwdomain.lan'. Tiež nezabudnite zmeniť IP adresu v nasledujúcom príkaze s IP adresou vášho servera.

sudo hostnamectl set-hostname node-rock1
echo '192.168.5.25  node-rock1.hwdomain.lan  node-rock1' >> /etc/hosts

Odhláste sa z aktuálnej relácie a znova sa prihláste. Potom overte fqdn pomocou nižšie uvedeného príkazu.

sudo hostname -f

Mali by ste dostať takýto výstup. Fqdn na hostiteľovi je nakonfigurovaný na 'node-rock1.hwdomain.lan'.

Ďalej budete musieť zakázať stránkovanie pamäte a SWAP na hostiteľovi Rocky Linux. Zakázanie stránkovania pamäte a SWAP zvýši výkon vášho servera OpenSearch.

Vydaním nižšie uvedeného príkazu zakážete SWAP vo vašom systéme. Prvý príkaz natrvalo zakáže SWAP komentovaním konfigurácie SWAP v súbore '/etc/fstab'. A druhý príkaz sa používa na zakázanie SWAP vo vašej aktuálnej relácii.

sudo sed -i '/ swap / s/^\(.*\)$/#\1/g' /etc/fstab
sudo swapoff -a

Overte stav SWAP vo vašom systéme pomocou nasledujúceho príkazu.

free -m

Dostanete výstup podobný tomuto – sekcia 'Swap' s celkovou hodnotou 0 potvrdzuje, že SWAP je zakázaný.

Nakoniec musíte zvýšiť maximálnu pamäť máp vo vašom systéme pre OpenSearch. A to sa dá urobiť pomocou súboru '/etc/sysctl.conf'.

Vydaním nasledujúceho príkazu zväčšite maximálnu pamäť máp na '262144' a aplikujte zmeny. Týmto pridáte novú konfiguráciu 'vm.max_map_count=262144' do súboru /etc/sysctl.conf' a použijete zmeny vo svojom systéme pomocou 'sysctl -p '.

sudo echo "vm.max_map_count=262144" >> /etc/sysctl.conf
sudo sysctl -p

Teraz môžete vypnúť stav maximálnej pamäte máp vo vašom systéme pomocou príkazu nižšie. Hodnota 'max_map_count' by sa mala zvýšiť na '262144'.

cat /proc/sys/vm/max_map_count

výstup:

S nakonfigurovaným systémom ste pripravení nainštalovať OpenSearch.

Inštalácia OpenSearch

OpenSearch je možné nainštalovať viacerými spôsobmi. OpenSearch môžete nainštalovať cez tarball, Docker, RPM a Kubernetes. Pre distribúcie založené na RHEL môžete jednoducho nainštalovať OpenSearch prostredníctvom oficiálneho úložiska OpenSearch.

Ak chcete stiahnuť úložisko OpenSearch do svojho systému, zadajte príkaz curl nižšie. Potom skontrolujte zoznam dostupných úložísk pomocou príkazu nižšie.

sudo curl -SL https://artifacts.opensearch.org/releases/bundle/opensearch/2.x/opensearch-2.x.repo -o /etc/yum.repos.d/opensearch-2.x.repo
sudo dnf repolist

Ak budete úspešní, mali by ste získať úložisko 'OpenSearch 2.x' dostupné vo výstupe vášho terminálu.

Dostupné balíky 'opensearch' môžete skontrolovať aj zadaním nasledujúceho príkazu.

sudo dnf info opensearch

V čase písania tohto článku poskytuje úložisko OpenSearch dve verzie OpenSearch pre rôzne architektúry systému – OpenSearch 2.5 pre x86_64 a aarch64.

Vyvolaním nasledujúceho príkazu dnf nainštalujte OpenSearch na server Rocky Linux. Po výzve na potvrdenie zadajte y na potvrdenie a pokračujte stlačením ENTER.

sudo dnf install opensearch

výstup:

Počas inštalácie budete tiež vyzvaní, aby ste pridali kľúč GPG pre úložisko OpenSearch. Zadajte y na potvrdenie a stlačte ENTER.

Po úspešnej inštalácii OpenSearch znova načítajte správcu systemd a použite nové zmeny pomocou príkazového nástroja systemctl nižšie.

sudo systemctl daemon-reload

Teraz spustite a povoľte OpenSearch pomocou nižšie uvedeného príkazu. Vďaka tomu by OpenSearch malo bežať s predvolenými konfiguráciami a je tiež povolené, čo znamená, že OpenSearch sa spustí automaticky pri štarte systému.

sudo systemctl start opensearch
sudo systemctl enable opensearch

Aby ste sa uistili, že OpenSearch funguje a beží, môžete to overiť pomocou nižšie uvedeného príkazu systemctl.

sudo systemctl status opensearch

Mali by ste dostať takýto výstup – výstup 'aktívny (spustený)' potvrdzuje, že služba OpenSearch je spustená, zatiaľ čo '... enabled;...' potvrdzuje že je povolená služba OpenSearch.

Teraz ste nainštalovali OpenSearch a teraz je spustený a povolený. Teraz môžete prejsť k ďalšiemu kroku nastavenia inštalácie OpenSearch.

Konfigurácia OpenSearch

Štandardne sú konfigurácie OpenSearch uložené v adresári '/etc/opensearch'. V tomto kroku vykonáte základnú konfiguráciu OpenSearch v režime jedného uzla. Zvýšite tiež maximálnu pamäť haldy vo vašom systéme, aby ste dosiahli lepší výkon servera OpenSearch.

Otvorte konfiguračný súbor OpenSearch '/etc/opensearch/opensearch.yml' pomocou nižšie uvedeného príkazu editora nano.

sudo nano /etc/opensearch/opensearch.yml

Zmeňte niektoré predvolené parametre OpenSearch pomocou nasledujúcich riadkov. Vďaka tomu spustíte OpenSearch v špecifickej sieťovej IP adrese '192.168.5.25', typ nasadenia je 'single-node' a znova povolíte Bezpečnostné doplnky OpenSearch.

# Bind OpenSearch to the correct network interface. Use 0.0.0.0
# to include all available interfaces or specify an IP address
# assigned to a specific interface.
network.host: 192.168.5.25
# Unless you have already configured a cluster, you should set
# discovery.type to single-node, or the bootstrap checks will
# fail when you try to start the service.
discovery.type: single-node
# If you previously disabled the security plugin in opensearch.yml,
# be sure to re-enable it. Otherwise you can skip this setting.
plugins.security.disabled: false

Po dokončení uložte a ukončite súbor '/etc/opensearch/opensearch.yml'.

Potom otvorte predvolený súbor možností JVM pre OpenSearch '/etc/opensearch/jvm.options' pomocou nasledujúceho príkazu editora nano.

sudo nano /etc/opensearch/jvm.options

Zmeňte predvolenú maximálnu pamäť haldy pomocou nasledujúcich riadkov. Závisí to od pamäte vášho servera. Ak máte väčšiu pamäť RAM, môžete pre OpenSearch prideliť viac ako 2 GB.

-Xms2g
-Xmx2g

Uložte súbor a po dokončení ukončite editor.

Nakoniec spustite príkazový nástroj systemctl nižšie, aby ste reštartovali službu OpenSearch a použili zmeny.

sudo systemctl restart opensearch

Teraz by OpenSearch malo bežať na IP adrese '192.168.5.25' s predvoleným portom '9200'. Skontrolujte zoznam otvorených portov vo vašom systéme zadaním príkazu ss nižšie.

ss -tulpn

Zabezpečenie OpenSearch pomocou certifikátov TLS

V tomto kroku vygenerujete viacero certifikátov, ktoré sa použijú na zabezpečenie nasadenia OpenSearch. Zabezpečíte komunikáciu medzi uzlom pomocou certifikátov TLS a zabezpečíte prenosy na vrstve REST medzi komunikáciou klient-server prostredníctvom TLS.

Nižšie je uvedený zoznam certifikátov, ktoré budú vygenerované:

  • Certifikáty koreňovej CA: tieto certifikáty sa použijú na podpisovanie iných certifikátov.
  • Správcovské certifikáty: Tieto certifikáty sa použijú na získanie administrátorských práv na vykonávanie všetkých úloh súvisiacich s bezpečnostným doplnkom.
  • Certifikáty uzlov a klientov: Tieto certifikáty budú používať uzly a klienti v rámci klastra OpenSearch.

Pred vygenerovaním nových certifikátov TLS odstráňte niektoré predvolené certifikáty a predvolené konfigurácie OpenSearch.

Ak chcete odstrániť predvolené certifikáty TLS OpenSearch, zadajte nasledujúci príkaz. Potom otvorte konfiguráciu OpenSearch '/etc/opensearch/opensearch.yml' pomocou nasledujúceho príkazu nano editora.

rm -f /opt/opensearch/{esnode-key.pem,esnode.pem,kirk-key.pem,kirk.pem,root-ca.pem}
sudo nano /etc/opensearch/opensearch.yml

V spodnej časti riadku uveďte komentár k predvolenej konfigurácii ukážky zabezpečenia OpenSearch, ako je uvedené nižšie.

Po dokončení uložte a ukončite súbor.

Potom zadajte nasledujúci príkaz na vytvorenie nového adresára '/etc/opensearch/certs'. Tento adresár sa použije na ukladanie nových certifikátov TLS, ktoré sa vygenerujú. Potom doň presuňte svoj pracovný adresár.

mkdir -p /etc/opensearch/certs; cd /etc/opensearch/certs

Generovanie certifikátov koreňovej CA

Vygenerujte súkromný kľúč pre certifikáty koreňovej CA pomocou nižšie uvedeného.

openssl genrsa -out root-ca-key.pem 2048

Teraz vygenerujte certifikát koreňovej CA s vlastným podpisom pomocou príkazu nižšie. Pomocou svojich informácií môžete zmeniť aj hodnoty v rámci parametra '-subj'.

openssl req -new -x509 -sha256 -key root-ca-key.pem -subj "/C=CA/ST=ONTARIO/L=TORONTO/O=ORG/OU=UNIT/CN=ROOT" -out root-ca.pem -days 730

Týmto by ste mali získať súkromný kľúč koreňovej CA 'root-ca-key.pem' a certifikát koreňovej CA 'root-ca.pem'.

výstup:

Generovanie správcovských certifikátov

Vygenerujte nový súkromný kľúč certifikátu správcu 'admin-key-temp.pem' pomocou nižšie uvedeného príkazu.

openssl genrsa -out admin-key-temp.pem 2048

Skonvertujte predvolený súkromný kľúč správcu na formát PKCS#8. Pre aplikáciu Java musíte skonvertovať predvolený súkromný kľúč na algoritmus kompatibilný s PKCS#12 (3DES). V tomto prípade by váš súkromný kľúč správcu mal byť „admin-key.pem“.

openssl pkcs8 -inform PEM -outform PEM -in admin-key-temp.pem -topk8 -nocrypt -v1 PBE-SHA1-3DES -out admin-key.pem

Potom spustite príkaz uvedený nižšie a vygenerujte správu CSR (žiadosť o podpis certifikátu) zo súkromného kľúča 'admin-key.pem'. Vaša vygenerovaná CSR by teraz mala byť súbor 'admin.csr'.

Keďže tento certifikát sa používa na overenie zvýšeného prístupu a nie je viazaný na žiadnych hostiteľov, môžete použiť čokoľvek v konfigurácii 'CN'.

openssl req -new -key admin-key.pem -subj "/C=CA/ST=ONTARIO/L=TORONTO/O=ORG/OU=UNIT/CN=A" -out admin.csr

Nakoniec spustite príkaz uvedený nižšie a podpíšte správu CSR správcu pomocou certifikátu koreňovej CA a súkromného kľúča. Výstupom certifikátu správcu je súbor 'admin.pem'.

openssl x509 -req -in admin.csr -CA root-ca.pem -CAkey root-ca-key.pem -CAcreateserial -sha256 -out admin.pem -days 730

Váš certifikát správcu by teraz mal byť súbor 'admin.pem', ktorý je podpísaný koreňovými certifikátmi CA. Súkromný kľúč správcu je „admin-key.pem“, ktorý je skonvertovaný do formátu PKCS#8.

výstup:

Generovanie certifikátov uzla

Proces generovania certifikátov uzla je podobný ako pri certifikátoch správcu. Môžete však zadať hodnotu CN s názvom hostiteľa alebo IP adresou vášho uzla.

Vygenerujte súkromný kľúč uzla pomocou nižšie uvedeného príkazu.

openssl genrsa -out node-rock1-key-temp.pem 2048

Skonvertujte súkromný kľúč uzla na formát PKCS#8. Váš súkromný kľúč uzla by teraz mal byť 'node-rock1-key.pem'.

openssl pkcs8 -inform PEM -outform PEM -in node-rock1-key-temp.pem -topk8 -nocrypt -v1 PBE-SHA1-3DES -out node-rock1-key.pem

Ďalej vytvorte nové CSR pre certifikát uzla. Nezabudnite zmeniť hodnotu 'CN' s názvom hostiteľa vášho uzla. Tento certifikát je viazaný na hostiteľov a musíte zadať hodnotu CN s názvom hostiteľa alebo adresou IP vášho uzla OpenSearch.

openssl req -new -key node-rock1-key.pem -subj "/C=CA/ST=ONTARIO/L=TORONTO/O=ORG/OU=UNIT/CN=node-rock1.hwdomain.lan" -out node-rock1.csr

Pred podpísaním certifikátu uzla spustite príkaz uvedený nižšie a vytvorte súbor rozšírenia SAN 'node-rock1.ext'. Toto bude obsahovať názov hostiteľa uzla alebo FQDN alebo IP adresu.

echo 'subjectAltName=DNS:node-rock1.hwdomain.lan' > node-rock1.ext

Nakoniec podpíšte súbor CSR certifikátu uzla s koreňovým certifikátom CA a súkromným pomocou nižšie uvedeného príkazu.

openssl x509 -req -in node-rock1.csr -CA root-ca.pem -CAkey root-ca-key.pem -CAcreateserial -sha256 -out node-rock1.pem -days 730 -extfile node-rock1.ext

Týmto je váš certifikát uzla súbor 'node-rock1.pem' a súkromný kľúč je 'node-rock1-key.pem'.

výstup:

Nastavenie certifikátov

Spustite príkaz uvedený nižšie na odstránenie dočasného certifikátu, súboru CSR a rozšírenia SAN.

rm *temp.pem *csr *ext
ls

Preveďte certifikát koreňovej CA do formátu .crt.

openssl x509 -outform der -in root-ca.pem -out root-ca.crt

Pridajte certifikát koreňovej CA do svojho systému Rocky Linux pomocou nižšie uvedeného príkazu. Skopírujte súbor root-ca.crt do adresára '/etc/pki/ca-trust/source/anchors/' a nahrajte nový certifikát koreňovej CA do vášho systému.

sudo cp root-ca.crt /etc/pki/ca-trust/source/anchors/
sudo update-ca-trust

výstup:

Nakoniec spustite príkaz uvedený nižšie a nastavte správne povolenia a vlastníctvo certifikátov. Vlastníkom adresára '/etc/opensearch/certs' by mal byť používateľ 'opensearch' s povolením 0700. A pre všetky súbory certifikátov by povolenie malo byť 0600.

sudo chown -R opensearch:opensearch /etc/opensearch/certs
sudo chmod 0700 /etc/opensearch/certs
sudo chmod 0600 /etc/opensearch/certs/*.pem
sudo chmod 0600 /etc/opensearch/certs/*.crt

Pridanie certifikátov TLS do OpenSearch

S vygenerovanými certifikátmi TLS sú to koreňová CA, správcovské certifikáty a certifikáty uzla. Ďalej pridáte certifikáty do konfiguračného súboru OpenSearch '/etc/opensearch/opensearch.yml'. V tomto príklade vytvoríte nový bash skript, ktorý pridá certifikáty a nastavenia bezpečnostného doplnku TLS do OpenSearch.

Vytvorte nový súbor 'add.sh' pomocou nižšie uvedeného príkazu nano editora.

nano add.sh

Pridajte do súboru nasledujúce riadky. Uistite sa, že ste zmenili a použili správnu cestu k súborom certifikátov a cieľovému konfiguračnému súboru OpenSearch.

#! /bin/bash
# Before running this script, make sure to replace the CN in the 
# node's distinguished name with a real DNS A record.
echo "plugins.security.ssl.transport.pemcert_filepath: /etc/opensearch/certs/node-rock1.pem" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.ssl.transport.pemkey_filepath: /etc/opensearch/certs/node-rock1-key.pem" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.ssl.transport.pemtrustedcas_filepath: /etc/opensearch/certs/root-ca.pem" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.ssl.http.enabled: true" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.ssl.http.pemcert_filepath: /etc/opensearch/certs/node-rock1.pem" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.ssl.http.pemkey_filepath: /etc/opensearch/certs/node-rock1-key.pem" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.ssl.http.pemtrustedcas_filepath: /etc/opensearch/certs/root-ca.pem" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.allow_default_init_securityindex: true" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.authcz.admin_dn:" | sudo tee -a /etc/opensearch/opensearch.yml
echo "  - 'CN=A,OU=UNIT,O=ORG,L=TORONTO,ST=ONTARIO,C=CA'" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.nodes_dn:" | sudo tee -a /etc/opensearch/opensearch.yml
echo "  - 'CN=node-rock1.hwdomain.lan,OU=UNIT,O=ORG,L=TORONTO,ST=ONTARIO,C=CA'" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.audit.type: internal_opensearch" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.enable_snapshot_restore_privilege: true" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.check_snapshot_restore_write_privileges: true" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.restapi.roles_enabled: [\"all_access\", \"security_rest_api_access\"]" | sudo tee -a /etc/opensearch/opensearch.yml

Po dokončení uložte a ukončite súbor.

Potom urobte súbor 'add.sh' spustiteľným a spustite ho. Nový bezpečnostný doplnok TLS pre OpenSearch by mal byť pridaný do konfiguračného súboru OpenSearch '/etc/opensearch/opensearch.yml'.

chmod +x add.sh
./add.sh

výstup:

Ak skontrolujete konfiguračný súbor OpenSearch '/etc/opensearch/opensearch.yml', mali by ste vidieť nové nastavenia vygenerované skriptom 'add.sh'.

Teraz ste do OpenSearch pridali certifikáty TLS a povolili bezpečnostné doplnky. V ďalšom kroku zabezpečíte OpenSearch autentifikáciou a autorizáciou vytvorením nového používateľa na OpenSearch.

Nastavenie správcu OpenSearch

Najprv presuňte svoj pracovný adresár do '/usr/share/opensearch/plugins/opensearch-security/tools' zadaním príkazu cd nižšie.

cd /usr/share/opensearch/plugins/opensearch-security/tools

Spustite skript 'hash.sh' na vygenerovanie nového hash hesla pre OpenSearch. Zadajte heslo, ktoré vytvárate, a stlačte ENTER.

OPENSEARCH_JAVA_HOME=/usr/share/opensearch/jdk ./hash.sh

Mali by ste dostať vygenerovaný hash vášho hesla. Skopírujte tento hash, pretože toto hashované heslo budete musieť pridať do konfigurácie OpenSearch.

Znova spustite skript 'hash.sh', aby sa vygeneroval ďalší hash hesla, ktorý sa použije pre informačné panely OpenSearch.

OPENSEARCH_JAVA_HOME=/usr/share/opensearch/jdk ./hash.sh

Týmto ste teraz vygenerovali dve hashované heslá pre OpenSearch.

Ďalej otvorte používateľskú konfiguráciu OpenSearch '/etc/opensearch/opensearch-security/internal_users.yml' pomocou nižšie uvedeného príkazu nano editora. Teraz nastavíte používateľov OpenSearch cez OpenSearch Security.

sudo nano /etc/opensearch/opensearch-security/internal_users.yml

Odstráňte všetkých predvolených používateľov OpenSearch a nahraďte ich nasledujúcimi riadkami. Nezabudnite zmeniť hashované heslo s vygenerovaným heslom. V tomto príklade vytvoríte dvoch používateľov pre OpenSearch, používateľa 'admin' pre OpenSearch a používateľa 'kibanaserver', ktorých budú používať informačné panely OpenSearch.

...
...
admin:
   hash: "$2y$12$BnfqwqWRi7DkyuPgLa8.3.kLzdpIY11jFpSXTAOKOMCVj/i20k9oW"
   reserved: true
   backend_roles:
   - "admin"
   description: "Admin user"
kibanaserver:
  hash: "$2y$12$kYjgPjPzIp9oTghNdWIHcuUalE99RqSYtTCh6AiNuS5wmeEaWnbzK"
  reserved: true
  description: "Demo OpenSearch Dashboards user"

Po dokončení uložte a ukončite súbor.

Teraz spustite nasledujúci príkaz systemctl, aby ste reštartovali službu OpenSearch a použili zmeny.

sudo systemctl restart opensearch

Teraz prejdite do adresára '/usr/share/opensearch/plugins/opensearch-security/tools' a spustite skript 'securityadmin.sh', aby ste aplikovali nové zmeny na Zabezpečenie OpenSearch.

cd /usr/share/opensearch/plugins/opensearch-security/tools
OPENSEARCH_JAVA_HOME=/usr/share/opensearch/jdk ./securityadmin.sh -h 192.168.5.25 -p 9200 -cd /etc/opensearch/opensearch-security/ -cacert /etc/opensearch/certs/root-ca.pem -cert /etc/opensearch/certs/admin.pem -key /etc/opensearch/certs/admin-key.pem -icl -nhnv

Skript 'securityadmin.sh' sa pripojí k serveru OpenSearch, ktorý beží na adrese IP '192.168.5.25' a predvolenom porte '9200' . Potom použite nových používateľov, ktorých ste nakonfigurovali v súbore '/etc/opensearch/opensearch-security/internal_users.yml' na nasadenie OpenSearch.

a nakoniec, s novými používateľmi pridanými a aplikovanými prostredníctvom skriptu 'securityadmin.sh', teraz overíte používateľov OpenSearch pomocou príkazu curl nižšie. Nezabudnite zmeniť názov hostiteľa alebo IP adresu a používateľa a heslo pre OpenSearch.

curl https://node-rock1:9200 -u admin:password -k
curl https://node-rock1:9200 -u kibanaserver:kibanapass -k

Ak je konfigurácia používateľa úspešná, mali by ste dostať takýto výstup:

Overte používateľa OpenSearch 'admin'.

Overte používateľa OpenSearch 'kibanaserver'.

V tomto bode ste teraz dokončili inštaláciu OpenSearch prostredníctvom balíkov RPM na serveri Rocky Linux 9. A tiež zabezpečené nasadenie OpenSearch prostredníctvom certifikátov TLS a povolené overenie a autorizácia používateľov prostredníctvom doplnkov OpenSearch Security.

V ďalšom kroku nainštalujete OpenSearch Dashboards a pridáte doň svoj OpenSearch server pomocou nového používateľa, ktorého ste vytvorili 'kibanaserver'.

Inštalácia OpenSearch Dashboard

Pretože úložisko OpenSearch stále používa starý hash SHA1 na overenie balíka OpenSearch Dashboard, musíte zmeniť predvolené šifrovacie pravidlá na vašom Rocky Linuxe na LEGACY.

Spustite príkaz uvedený nižšie a aktualizujte predvolenú politiku šifrovania na LEGACY.

sudo update-crypto-policies --set LEGACY

Potom pridajte úložisko OpenSearch Dashboards do svojho systému pomocou príkazu curl nižšie.

sudo curl -SL https://artifacts.opensearch.org/releases/bundle/opensearch-dashboards/2.x/opensearch-dashboards-2.x.repo -o /etc/yum.repos.d/opensearch-dashboards-2.x.repo

Potom skontrolujte zoznam dostupných úložísk vo vašom systéme. Mali by ste vidieť úložisko „OpenSearch Dashboard 2.x“ dostupné v zozname úložiska.

sudo dnf repolist

výstup:

Teraz vyvolajte nasledujúci príkaz dnf na inštaláciu balíka OpenSearch Dashboards. Po zobrazení výzvy zadajte y na potvrdenie a pokračujte stlačením ENTER.

sudo dnf install opensearch-dashboards

Počas inštalácie budete tiež vyzvaní, aby ste prijali kľúč GPG z úložiska OpenSearch Dashboards. Zadajte y a potvrďte stlačením ENTER.

Po nainštalovaní informačných panelov OpenSearch spustite nižšie uvedený príkazový nástroj systemctl a spustite a povoľte službu „opensearch-dashboard“. OpenSearch Dashboard by teraz mal bežať s predvolenou konfiguráciou a mal by byť povolený, čo znamená, že služba sa spustí automaticky pri štarte systému.

sudo systemctl start opensearch-dashboards
sudo systemctl enable opensearch-dashboards

Overte službu OpenSearch Dashboard a uistite sa, že je spustená.

sudo systemctl status opensearch-dashboards

Mali by ste dostať takýto výstup – stav služby OpenSearch Dashboard je spustený a teraz je tiež povolený a bude sa spúšťať automaticky pri štarte systému.

Teraz prejdite na ďalší krok a nastavte si inštaláciu OpenSearch Dashboard.

Konfigurácia informačných panelov OpenSearch

V tomto kroku nastavíte OpenSearch Dashboards, na ktorých IP adrese a porte Open Search Dashboard by mal bežať, a tiež nastavíte pripojenie k OpenSearch serveru.

Otvorte konfiguračný súbor OpenSearch Dashboard '/etc/opensearch-dashboards/opensearch-dashboard.yml' pomocou nižšie uvedeného nano editora.

sudo nano /etc/opensearch-dashboards/opensearch-dashboard.yml

Odkomentujte a zmeňte predvolený parameter 'server.port' a 'server.host' pomocou nasledujúcich riadkov. Predvolené informačné panely OpenSearch budú spustené na porte '5601', nezabudnite upraviť parameter 'server.host' s IP adresou vášho servera.

# OpenSearch Dashboards is served by a back end server. This setting specifies the port to use.
server.port: 5601
# Specifies the address to which the OpenSearch Dashboards server will bind. IP addresses and host names are both valid values.
# The default is 'localhost', which usually means remote machines will not be able to connect.
# To allow connections from remote users, set this parameter to a non-loopback address.
server.host: "192.168.5.25"

Prejdite na spodný riadok konfigurácie a zmeňte podrobnosti parametrov OpenSearch, ktoré sa používajú na pripojenie k serveru OpenSearch. Nezabudnite zmeniť parameter 'opensearch.hosts', 'opensearch.username' a 'opensearch.password' pomocou servera OpenSearch podrobnosti.

opensearch.hosts: [https://192.168.5.25:9200]
opensearch.ssl.verificationMode: none
opensearch.username: kibanaserver
opensearch.password: kibanapass

Uložte súbor a po dokončení ukončite editor.

Potom spustite nižšie uvedený príkaz systemctl, aby ste reštartovali službu OpenSearch Dashboards a použili zmeny.

sudo systemctl restart opensearch-dashboards

Vďaka tomu by informačné panely OpenSearch mali bežať na adrese IP '192.168.5.25' s portom '5601'. OpenSearch Dashboard bude tiež pripojený k OpenSearch serveru s podrobnosťami užívateľa 'kibanaserver'.

Prístup k informačným panelom OpenSearch

V tomto bode ste dokončili inštaláciu a konfiguráciu OpenSearch Dashboard. Teraz overíte inštaláciu OpenSearch Dashboards tak, že k nim pristúpite cez webový prehliadač a overíte pripojenie k serveru OpenSearch pomocou 'Dev Tools'.

Pred prístupom k informačným panelom OpenSearch musíte na vašej bráne firewall otvoriť port 5601.

Vyvolaním nasledujúcich príkazov firewall-cmd otvorte port TCP 5601. Potom znova načítajte bránu firewall, aby ste použili zmeny.

sudo firewall-cmd --add-port=5601/tcp --permanent
sudo firewall-cmd --reload

Potom skontrolujte zoznam pravidiel na firewalle pomocou nižšie uvedeného príkazu. Mali by ste vidieť, že port 5601 je dostupný na firewalle.

sudo firewall-cmd --list-all

Teraz otvorte webový prehliadač a navštívte IP adresu OpenSearch Dashboards s portom 5601 (t.j.: http:192.168.5.25:5601). Teraz uvidíte prihlasovaciu stránku OpenSearch Dashboards.

Zadajte svoje používateľské meno a heslo, ktoré ste si vytvorili. V tomto príklade je používateľom 'kibanaserver'. Potom kliknutím na tlačidlo „Prihlásiť sa“ potvrďte a prihláste sa do informačných panelov OpenSearch.

Keď bude úspešný, mala by sa vám zobraziť nasledujúca stránka so správou „Vitajte v informačných paneloch OpenSearch“. Teraz môžete kliknúť na 'Pridať údaje' a pridať nové údaje na svoj server OpenSearch alebo kliknúť na 'Preskúmať moje' pre neskoršie nastavenie.

Ďalej, aby ste sa uistili, že sú informačné panely OpenSearch pripojené k serveru OpenSearch, vykonajte nasledujúce kroky:

Kliknite na ponuku vľavo, prejdite do sekcie Správa a kliknite na „Nástroje pre vývojárov“.

Teraz zadajte na konzole dopyt „GET /“ a kliknite na tlačidlo prehrávania. Keď bude úspešný, na pravej strane by ste mali vidieť výstup s podrobnými informáciami o vašom serveri OpenSearch. Vpravo hore môžete vidieť aj kód HTTP '200 - OK', ktorý potvrdzuje, že dotaz sa vykoná bez chyby.

S týmto vedomím ste teraz nainštalovali OpenSearch Dashboards na server Rocky Linux prostredníctvom balíka RPM. Okrem toho ste nakonfigurovali informačné panely OpenSearch na pripojenie k serveru OpenSearch.

Záver

V tomto článku ste nainštalovali OpenSearch cez RPM na server Rocky Linux 9. OpenSearch ste tiež zabezpečili pomocou certifikátov TLS, povolili autentifikáciu a autorizáciu a nakonfigurovali používateľov v OpenSearch. Okrem toho ste tiež nakonfigurovali a optimalizovali server Rocky Linux na nasadenie OpenSearch.

Na server Rocky Linux 9 ste nainštalovali aj informačné panely OpenSearch prostredníctvom RPM. Úspešne ste nakonfigurovali a pripojili informačné panely OpenSearch k serveru OpenSearch s povolenou autentifikáciou a tiež ste úspešne overili inštaláciu panelov OpenSearch a OpenSearch.

S týmto nastavením môžete preskúmať viac o OpenSearch nasadením OpenSearch Cluster, nastavením dodatočnej autentifikácie a mnohými ďalšími. Viac o všetkých o OpenSearch sa dozviete z oficiálnej dokumentácie OpenSearch.