Ako nainštalovať OpenSearch na Debian 11
Tento návod existuje pre tieto verzie OS
- Debian 12 (knihomoľ)
- Debian 11 (bullseye)
Na tejto stránke
- Predpoklady
- Systém nastavenia
- Sťahovanie OpenSearch
- Konfigurácia OpenSearch
Generovanie certifikátov TLS
- Generovanie certifikátov koreňovej CA
- Generovanie správcovských certifikátov
- Generovanie certifikátov uzla
- Nastavenie certifikátov
OpenSearch je komunitou riadený projekt Amazonu a rozvetvenie Elasticsearch a Kibana. je to plne open source vyhľadávací nástroj a analytický balík s bohatými funkciami a inovatívnymi funkciami. Hlavným komponentom projektu OpenSearch je OpenSearch (fork Elasticsearch) a OpenSearch Dashboards (fork Kibana). Obidva komponenty poskytujú funkcie, ako je podnikové zabezpečenie, upozornenia, strojové učenie, SQL, správa stavu indexu a ďalšie.
OpenSearch je 100% open source a je licencovaný pod licenciou Apache 2.0. Umožňuje vám jednoducho prijímať, zabezpečovať, vyhľadávať, agregovať, prezerať a analyzovať údaje pre množstvo prípadov použitia, ako je napríklad analýza protokolov, vyhľadávanie aplikácií, podnikové vyhľadávanie a ďalšie.
V tomto návode nasadíte OpenSearch – open source balík na vyhľadávanie, analýzu a vizualizáciu – na server Debian 11. Tento proces zahŕňa stiahnutie balíka OpenSearch a jeho manuálnu inštaláciu do vášho systému Debian. Nastavíte tiež bezpečné SSL/TLS certifikáty pre OpenSearch a zabezpečíte nasadenie pomocou autentifikácie a autorizácie.
Okrem toho tiež nasadíte a nainštalujete OpenSearch Dashboards – open-source vizualizačný nástroj – a nakonfigurujete ho s OpenSearch. Nakoniec budete mať na serveri Debian nainštalovaný balík na analýzu a vizualizáciu údajov a budete musieť odosielať svoje údaje pomocou nástrojov, ako sú fluentd, Logstash, filebeat a mnoho ďalších.
Predpoklady
Ak chcete dokončiť túto príručku, musíte mať nasledujúce požiadavky:
- Server s inštaláciou Debian 11 a aspoň 8 GB RAM. Tento príklad používa systém Debian s názvom hostiteľa 'node1' a lokálnou IP adresou '192.168.5.50'.
- Používateľ bez oprávnenia root s oprávneniami správcu sudo/root.
Ak sú tieto požiadavky pripravené, môžete teraz spustiť inštaláciu OpenSearch.
Systém nastavenia
V prvom kroku nastavíte a optimalizujete svoj server Debian pre nasadenie OpenSearch. Nastavíte názov hostiteľa systému a fqdn, zakážete stránkovanie pamäte a swap, potom zvýšite maximálny počet máp pamäte.
Zakázanie stránkovania pamäte a swapovania na hostiteľovi OpenSearch zlepší výkon. Pre maximálne pamäťové mapy budete musieť nastaviť číslo aspoň '262144' na výrobu.
Spustite nižšie uvedený príkaz 'hostnamectl' a nastavte názov hostiteľa systému. Potom pridajte konfiguráciu fqdn do súboru '/etc/hosts'. V tomto príklade by mal byť názov hostiteľa 'node1' s fqdn 'node1.hwdomain.lan'.
sudo hostnamectl set-hostname node1
echo "192.168.5.50 node1.hwdomain.lan node1" >> /etc/hosts
Teraz overte fqdn vášho servera pomocou nižšie uvedeného príkazu hostname. V príklade by mal byť fqdn servera 'node1.hwdomain.lan'.
hostname -f
výstup:
Ďalej budete musieť vypnúť swap vo vašom systéme. Či už používate swap cez oblasť alebo súbor, konfigurácia swapu je uložená v súbore '/etc/fstab'.
Spustite príkaz uvedený nižšie, aby ste deaktivovali výmenu vo vašom systéme. Príkaz 'sed' tu natrvalo zakáže swap cez súbor '/etc/fstab' pridaním príkazu '#' na začiatok nastavenia zámeny liniek. Príkaz 'swapoff' zakáže výmenu v aktuálnej relácii.
sudo sed -i '/ swap / s/^\(.*\)$/#\1/g' /etc/fstab
sudo swapoff -a
Overte stav výmeny pomocou príkazu nižšie. Ak je zakázaná, v sekcii swap by sa mal zobraziť výstup „0“.
free -m
výstup:
Nakoniec pridáte konfiguráciu do súboru '/etc/sysctl.conf', aby ste zvýšili maximálnu pamäťovú mapu vo vašom systéme.
Spustite príkaz uvedený nižšie a pridajte parameter 'vm.max_map_count=262144' do súboru '/etc/sysctl.conf'. Potom použite zmeny pomocou príkazu 'sysctl -p'.
sudo echo "vm.max_map_count=262144" >> /etc/sysctl.conf
sudo sysctl -p
Overte maximálne mapy pamäte spustením nižšie uvedeného príkazu. Ak bude úspešná, mapa maximálnej pamäte by mala byť „262144“.
cat /proc/sys/vm/max_map_count
výstup:
S nakonfigurovaným a optimalizovaným systémom ste pripravení nainštalovať OpenSearch na jeho vrch.
Sťahovanie OpenSearch
OpenSearch je možné nainštalovať mnohými spôsobmi. V tomto príklade nainštalujete OpenSearch cez Tarball. V tomto kroku vytvoríte nového špecializovaného systémového používateľa „opensearch“, stiahnete balík tarball OpenSearch a potom nastavíte inštalačný adresár OpenSearch so správnymi povoleniami a vlastníctvom.
Najprv pridajte nového používateľa systému 'opensearch' pomocou nižšie uvedeného príkazu.
sudo adduser --system --shell /bin/bash -U 10001 --no-create-home opensearch
Pridajte novú skupinu 'opensearch' pomocou príkazu groupadd nižšie. Potom pridajte svojho systémového používateľa 'opensearch' do skupiny 'opensearch' pomocou príkazu usermod.
sudo groupadd opensearch
sudo usermod -aG opensearch opensearch
Teraz vytvorte nový domovský adresár '/home/opensearch' a zmeňte vlastníctvo domovského adresára '/home/opensearch' na 'opensearch >' užívateľ.
mkdir -p /home/opensearch
sudo chown -R opensearch /home/opensearch
výstup:
Potom si stiahnite balík OpenSource pomocou príkazu wget. Po dokončení sťahovania rozbaľte súbor pomocou príkazu tar nižšie. V tomto príklade nainštalujete OpenSearch 2.4.1. Na oficiálnej stránke sťahovania skontrolujte najnovšiu verziu OpenSearch.
wget https://artifacts.opensearch.org/releases/bundle/opensearch/2.4.1/opensearch-2.4.1-linux-x64.tar.gz
tar xf opensearch-2.4.1-linux-x64.tar.gz
Po rozbalení balíka OpenSearch presuňte extrahovaný adresár do '/opt/opensearch'. Toto bude hlavný inštalačný adresár pre OpenSearch. Potom spustite príkaz chown a zmeňte vlastníctvo adresára '/opt/opesearch' na používateľa 'opensearch'.
mv opensearch-2.4.1 /opt/opensearch
sudo chown -R opensearch /opt/opensearch
výstup:
Teraz, keď ste si stiahli balík OpenSearch, nakonfigurujte cieľový inštalačný adresár na '/opt/opensearch'. Ďalej nastavíte a nakonfigurujete inštaláciu OpenSearch.
Konfigurácia OpenSearch
V tomto kroku nastavíte OpenSearch tak, aby sa spúšťal na konkrétnej IP adrese, spúšťal sa na jednom uzle, povolíte bezpečnostné doplnky OpenSearch a nastavíte maximálnu haldu pamäte pre proces OpenSearch. Toto všetko je možné vykonať úpravou konfiguračného súboru OpenSearch '/opt/opensearch/config/opensearch.yml' a súboru možností OpenSearch JVM 'config/jvm.options' .
Presuňte pracovný adresár do '/opt/opensearch' pomocou príkazu cd.
cd /opt/opensearch
Otvorte konfiguračný súbor OpenSearch 'config/opensearch.yml' pomocou nižšie uvedeného príkazu editora nano.
sudo nano config/opensearch.yml
Pridajte do súboru nasledujúce riadky.
# Bind OpenSearch to interface or IP address
network.host: 192.168.5.50
# OpenSearch deployment type
discovery.type: single-node
# Re-enable security plugins
plugins.security.disabled: false
Po dokončení uložte a ukončite súbor 'config/opensearch.yml'.
Parametre podrobností:
- Parameter 'network.host' sa používa na naviazanie OpenSearch na konkrétnu IP adresu. V tomto príklade bude OpenSearch bežať na internej IP adrese '192.168.5.50'.
- Parameter 'discovery.type: single-node' sa používa, keď chcete nasadiť OpenSearch v jednom uzle.
- Parameter 'plugins.security.disabled' je nastavený na 'false', čo znamená, že bezpečnostný doplnok pre OpenSearch bude povolený.
Potom otvorte súbor 'config/jvm.options' pomocou nižšie uvedeného príkazu editora nano.
sudo nano config/jvm.options
Upravte maximálnu pamäť haldy pre proces OpenSearch. Toto nastavenie závisí od dostupnej pamäte alebo RAM vášho servera. Tento príklad vyčlení 2GB pamäte pre OpenSearch.
-Xms2g
-Xmx2g
Po dokončení uložte a ukončite súbor 'config/jvm.options'.
Nakoniec spustite príkaz uvedený nižšie a nastavte premennú prostredia 'OPENSEARCH_JAVA_HOME' vo vašej aktuálnej relácii. Balík OpenSearch obsahoval požadované balíčky java a JDK, ktoré sú dostupné v adresári '/opt/opensearch/jdk'.
export OPENSEARCH_JAVA_HOME=/opt/opensearch/jdk
echo $OPENSEARCH_JAVA_HOME
Po dokončení základných konfigurácií OpenSearch. ďalej vygenerujete certifikáty TLS a zabezpečíte nasadenie OpenSearch.
Generovanie certifikátov TLS
V tomto kroku vygenerujete viacero certifikátov, ktoré sa použijú na zabezpečenie nasadenia OpenSearch. Zabezpečíte komunikáciu medzi uzlom pomocou certifikátov TLS a zabezpečíte prenosy na vrstve REST medzi komunikáciou klient-server prostredníctvom TLS.
Nižšie je uvedený zoznam certifikátov, ktoré budú vygenerované:
- Certifikáty koreňovej CA: tieto certifikáty sa použijú na podpisovanie iných certifikátov.
- Certifikáty správcu: Tieto certifikáty sa použijú na získanie správcovských práv na vykonávanie všetkých úloh súvisiacich s doplnkom zabezpečenia.
- Certifikáty uzlov a klientov: Tieto certifikáty budú používať uzly a klienti v rámci klastra OpenSearch.
Skôr než začnete, spustite príkaz uvedený nižšie na vytvorenie nového adresára '/opt/opensearch/config/certs' a presuňte doň svoj pracovný adresár. Tento adresár sa použije na uloženie certifikátov TLS.
mkdir -p /opt/opensearch/config/certs; cd /opt/opensearch/config/certs
Generovanie certifikátov koreňovej CA
Vygenerujte súkromný kľúč pre certifikáty koreňovej CA pomocou nižšie uvedeného.
openssl genrsa -out root-ca-key.pem 2048
Teraz vygenerujte certifikát koreňovej CA s vlastným podpisom pomocou príkazu nižšie. Pomocou svojich informácií môžete zmeniť aj hodnoty v rámci parametra '-subj'.
openssl req -new -x509 -sha256 -key root-ca-key.pem -subj "/C=CA/ST=ONTARIO/L=TORONTO/O=ORG/OU=UNIT/CN=ROOT" -out root-ca.pem -days 730
Týmto by ste mali získať súkromný kľúč koreňovej CA 'root-ca-key.pem' a certifikát koreňovej CA 'root-ca.pem'.
výstup:
Generovanie správcovských certifikátov
Vygenerujte nový súkromný kľúč certifikátu správcu 'admin-key-temp.pem' pomocou nižšie uvedeného príkazu.
openssl genrsa -out admin-key-temp.pem 2048
Skonvertujte predvolený súkromný kľúč správcu na formát PKCS#8. Pre aplikáciu Java musíte skonvertovať predvolený súkromný kľúč na algoritmus kompatibilný s PKCS#12 (3DES). V tomto prípade by váš súkromný kľúč správcu mal byť „admin-key.pem“.
openssl pkcs8 -inform PEM -outform PEM -in admin-key-temp.pem -topk8 -nocrypt -v1 PBE-SHA1-3DES -out admin-key.pem
Potom spustite príkaz uvedený nižšie a vygenerujte správu CSR (žiadosť o podpis certifikátu) zo súkromného kľúča 'admin-key.pem'. Vaša vygenerovaná CSR by teraz mala byť súborom 'admin.csr'.
Keďže tento certifikát sa používa na overenie zvýšeného prístupu a nie je viazaný na žiadnych hostiteľov, môžete použiť čokoľvek v konfigurácii 'CN'.
openssl req -new -key admin-key.pem -subj "/C=CA/ST=ONTARIO/L=TORONTO/O=ORG/OU=UNIT/CN=A" -out admin.csr
Nakoniec spustite príkaz uvedený nižšie a podpíšte správu CSR správcu pomocou certifikátu koreňovej CA a súkromného kľúča. Výstupom certifikátu správcu je súbor 'admin.pem'.
openssl x509 -req -in admin.csr -CA root-ca.pem -CAkey root-ca-key.pem -CAcreateserial -sha256 -out admin.pem -days 730
Váš certifikát správcu by teraz mal byť súbor 'admin.pem', ktorý je podpísaný koreňovými certifikátmi CA. Súkromný kľúč správcu je „admin-key.pem“, ktorý je skonvertovaný na formát PKCS#8.
výstup:
Generovanie certifikátov uzla
Proces generovania certifikátov uzla je podobný ako pri certifikátoch správcu. Môžete však zadať hodnotu CN s názvom hostiteľa alebo IP adresou vášho uzla.
Vygenerujte súkromný kľúč uzla pomocou nižšie uvedeného príkazu.
openssl genrsa -out node1-key-temp.pem 2048
Skonvertujte súkromný kľúč uzla na formát PKCS#8. Váš súkromný kľúč uzla by teraz mal byť 'node1-key.pem'.
openssl pkcs8 -inform PEM -outform PEM -in node1-key-temp.pem -topk8 -nocrypt -v1 PBE-SHA1-3DES -out node1-key.pem
Ďalej vytvorte nové CSR pre certifikát uzla. Nezabudnite zmeniť hodnotu 'CN' s názvom hostiteľa vášho uzla. Tento certifikát je viazaný na hostiteľov a musíte zadať hodnotu CN s názvom hostiteľa alebo IP adresou vášho uzla OpenSearch.
openssl req -new -key node1-key.pem -subj "/C=CA/ST=ONTARIO/L=TORONTO/O=ORG/OU=UNIT/CN=node1.hwdomain.lan" -out node1.csr
Pred podpísaním certifikátu uzla spustite príkaz uvedený nižšie a vytvorte súbor rozšírenia SAN 'node1.ext'. Toto bude obsahovať názov hostiteľa uzla alebo FQDN alebo IP adresu
echo 'subjectAltName=DNS:node1.hwdomain.lan' > node1.ext
Nakoniec podpíšte súbor CSR certifikátu uzla s koreňovým certifikátom CA a súkromným pomocou nižšie uvedeného príkazu.
openssl x509 -req -in node1.csr -CA root-ca.pem -CAkey root-ca-key.pem -CAcreateserial -sha256 -out node1.pem -days 730 -extfile node1.ext
Týmto je váš certifikát uzla súborom 'node1.pem' a súkromný kľúč je 'node1-key.pem'.
výstup:
Nastavenie certifikátov
Spustite príkaz uvedený nižšie na odstránenie dočasného certifikátu, súboru CSR a rozšírenia SAN.
rm *temp.pem *csr *ext
ls
Preveďte certifikát koreňovej CA do formátu .crt.
openssl x509 -outform der -in root-ca.pem -out root-ca.crt
Pridajte certifikát koreňovej CA do svojho systému Debian pomocou nižšie uvedeného príkazu. Skopírujte súbor root-ca.crt do adresára '/usr/local/share/ca-certificates/' a nahrajte nový koreňový certifikát CA do svojho systému.
sudo cp root-ca.crt /usr/local/share/ca-certificates/
sudo update-ca-certificates
Výstup „1 pridaný“ potvrdzuje, že do vášho systému boli pridané nové certifikáty koreňovej CA.
Nakoniec spustite príkaz uvedený nižšie, aby ste nastavili správne povolenie a vlastníctvo vašich certifikátov. Vlastníkom adresára '/opt/opensearch/config/certs' by mal byť používateľ 'opensearch' s povolením 0700. A pre všetky súbory certifikátov by povolenie malo byť 0600.
sudo chown -R opensearch /opt/opensearch/config/certs
sudo chmod 0700 /opt/opensearch/config/certs
sudo chmod 0600 /opt/opensearch/config/certs/*.pem
sudo chmod 0600 /opt/opensearch/config/certs/*.crt
Pridanie certifikátov TLS do OpenSearch
S vygenerovanými certifikátmi TLS sú to koreňová CA, správcovské certifikáty a certifikáty uzla. Ďalej pridáte certifikáty do konfiguračného súboru OpenSearch '/opt/opensearch/config/opensearch.yml'. V tomto príklade vytvoríte nový bash skript, ktorý pridá certifikáty a nastavenia bezpečnostného doplnku TLS do OpenSearch.
Vytvorte nový súbor 'add.sh' pomocou nižšie uvedeného príkazu nano editora.
nano add.sh
Pridajte do súboru nasledujúce riadky. Uistite sa, že ste zmenili a použili správnu cestu k súborom certifikátov a cieľovému konfiguračnému súboru OpenSearch.
#! /bin/bash
# Before running this script, make sure to replace the /path/to your OpenSearch directory,
# and remember to replace the CN in the node's distinguished name with a real
# DNS A record.
echo "plugins.security.ssl.transport.pemcert_filepath: /opt/opensearch/config/certs/node1.pem" | sudo tee -a /opt/opensearch/config/opensearch.yml
echo "plugins.security.ssl.transport.pemkey_filepath: /opt/opensearch/config/certs/node1-key.pem" | sudo tee -a /opt/opensearch/config/opensearch.yml
echo "plugins.security.ssl.transport.pemtrustedcas_filepath: /opt/opensearch/config/certs/root-ca.pem" | sudo tee -a /opt/opensearch/config/opensearch.yml
echo "plugins.security.ssl.http.enabled: true" | sudo tee -a /opt/opensearch/config/opensearch.yml
echo "plugins.security.ssl.http.pemcert_filepath: /opt/opensearch/config/certs/node1.pem" | sudo tee -a /opt/opensearch/config/opensearch.yml
echo "plugins.security.ssl.http.pemkey_filepath: /opt/opensearch/config/certs/node1-key.pem" | sudo tee -a /opt/opensearch/config/opensearch.yml
echo "plugins.security.ssl.http.pemtrustedcas_filepath: /opt/opensearch/config/certs/root-ca.pem" | sudo tee -a /opt/opensearch/config/opensearch.yml
echo "plugins.security.allow_default_init_securityindex: true" | sudo tee -a /opt/opensearch/config/opensearch.yml
echo "plugins.security.authcz.admin_dn:" | sudo tee -a /opt/opensearch/config/opensearch.yml
echo " - 'CN=A,OU=UNIT,O=ORG,L=TORONTO,ST=ONTARIO,C=CA'" | sudo tee -a /opt/opensearch/config/opensearch.yml
echo "plugins.security.nodes_dn:" | sudo tee -a /opt/opensearch/config/opensearch.yml
echo " - 'CN=node1.dns.a-record,OU=UNIT,O=ORG,L=TORONTO,ST=ONTARIO,C=CA'" | sudo tee -a /opt/opensearch/config/opensearch.yml
echo "plugins.security.audit.type: internal_opensearch" | sudo tee -a /opt/opensearch/config/opensearch.yml
echo "plugins.security.enable_snapshot_restore_privilege: true" | sudo tee -a /opt/opensearch/config/opensearch.yml
echo "plugins.security.check_snapshot_restore_write_privileges: true" | sudo tee -a /opt/opensearch/config/opensearch.yml
echo "plugins.security.restapi.roles_enabled: [\"all_access\", \"security_rest_api_access\"]" | sudo tee -a /opt/opensearch/config/opensearch.yml
Po dokončení uložte a ukončite súbor.
Potom urobte súbor 'add.sh' spustiteľným a spustite ho. Nový bezpečnostný doplnok TLS pre OpenSearch by mal byť pridaný do konfiguračného súboru OpenSearch '/opt/opensearch/config/opensearch.yml'.
chmod +x add.sh
./add.sh
výstup:
Ak skontrolujete konfiguračný súbor OpenSearch '/opt/opensearch/config/opensearch.yml', v spodnej časti konfiguračného súboru by ste mali vidieť nové nastavenia, ako je toto.
V tomto bode ste teraz pridali certifikáty TLS do OpenSearch a povolili bezpečnostné doplnky. V ďalšom kroku zabezpečíte OpenSearch autentifikáciou a autorizáciou vytvorením nového používateľa na OpenSearch.
Vytvorenie používateľa na OpenSearch
Skôr než začnete, spustite príkaz uvedený nižšie, aby ste nastavili premennú prostredia pre „OPENSEARCH_JAVA_HOME“ a spustili nástroje zabezpečenia OpenSearch.
export OPENSEARCH_JAVA_HOME=/opt/opensearch/jdk
chmod 755 /opt/opensearch/plugins/opensearch-security/tools/*.sh
Presuňte svoj pracovný adresár do '/opt/opensearch/plugins/opensearch-security/tools' a spustite skript 'hash.sh' na vygenerovanie hašovaného hesla pre OpenSearch.
cd /opt/opensearch/plugins/opensearch-security/tools
./hash.sh
Zadajte svoje heslo a skopírujte vygenerované hash heslo.
výstup:
Teraz znova spustite skript 'hash.sh', aby sa vygenerovalo ďalšie hash heslo, ktoré sa použije pre informačné panely OpenSearch. Zadajte nové heslo a skopírujte vygenerované hash heslo.
./hash.sh
Po vygenerovaní hash hesla nastavíte používateľa OpenSearch cez konfiguračný súbor 'internal_users.yml'.
Presuňte svoj pracovný adresár do '/opt/opensearch/config/opensearch-security/' a otvorte súbor 'internal_users.yml' pomocou nižšie uvedeného príkazu nano editora.
cd /opt/opensearch/config/opensearch-security/
sudo nano internal_users.yml
Odstráňte predvolené používateľské nastavenia a nahraďte ich nasledujúcimi riadkami. Nezabudnite zmeniť heslo hash s vygenerovaným heslom. Takto vytvoríte dvoch používateľov OpenSearch, používateľa 'admin' a používateľa 'kibanaserver', ktorých budú používať informačné panely OpenSearch.
...
...
admin:
hash: "$2y$12$ChrsBPaDAJsuel.HXFi2Ie2Jn1MpdzXA4Nd1jeyXf65N97RDJc3Ky"
reserved: true
backend_roles:
- "admin"
description: "Admin user"
kibanaserver:
hash: "$2y$12$wIeuRDp5txoJ3d6.lyybJOPwoRaizuuBvlKKzAGdAiu.I/qaX8hXu"
reserved: true
description: "Demo OpenSearch Dashboards user"
Po dokončení uložte a ukončite súbor 'internal_users.yml'.
Potom spustite príkaz uvedený nižšie, aby ste zabezpečili vlastníctvo inštalačného adresára OpenSearch používateľovi 'opensearch'. Potom sa prihláste ako používateľ 'opensearch'.
sudo chown -R opensearch /opt/opensearch
su - opensearch
Presuňte sa do adresára '/opt/opensearch/bin' a spustite inštaláciu OpenSearch. OpenSearch by teraz mal bežať na lokálnej IP adrese '192.168.5.50' s predvoleným portom '9200'.
cd /opt/opensearch/bin
./opensearch
Mali by ste dostať výstup podobný tomuto:
Teraz otvorte nový terminál, pripojte sa k vášmu serveru OpenSearch a potom sa prihláste ako používateľ „opensearch“.
su - opensearch
Presuňte pracovný adresár do „/opt/opensearch/plugins/opensearch-security/tools“ a spustite skript „securityadmin.sh“ ako je uvedené nižšie. Nezabudnite zmeniť IP adresu hostiteľa OpenSearch a cestu k certifikátom správcu.
Týmto sa pripojíte k serveru OpenSearch a na používateľov OpenSearch sa použijú nové zmeny, ktoré ste nakonfigurovali v súbore 'internal_users.yml'.
cd /opt/opensearch/plugins/opensearch-security/tools
OPENSEARCH_JAVA_HOME=/opt/opensearch/jdk ./securityadmin.sh -h 192.168.5.50 -p 9200 -cd /opt/opensearch/config/opensearch-security/ -cacert /opt/opensearch/config/certs/root-ca.pem -cert /opt/opensearch/config/certs/admin.pem -key /opt/opensearch/config/certs/admin-key.pem -icl -nhnv
výstup:
Teraz prejdite späť na prvý terminál a ukončite server OpenSearch stlačením tlačidla 'Ctrl+c'. Potom znova spustite server OpenSearch.
./opensearch
V tomto bode je teraz server OpenSearch spustený s nakonfigurovaným novým používateľom.
Prejdite späť na druhú reláciu terminálu a spustite príkaz uvedený nižšie, aby ste overili svoj server OpenSearch. Týmto spôsobom sa overíte ako používateľ OpenSearch 'admin' a 'kibanaserver'. Nezabudnite tiež zmeniť heslo pre každého používateľa.
curl https://192.168.5.50:9200 -u admin:password -k
curl https://192.168.5.50:9200 -u kibanaserver:kibanapass -k
Keď bola autentifikácia úspešná, mali by ste vidieť podrobnosti vášho servera OpenSearch.
Výstup – overený ako používateľ „admin“.
Výstup – overený ako používateľ 'kibanaserver'.
Týmto ste teraz úspešne nakonfigurovali autentifikáciu a autorizáciu na serveri OpenSearch. Teraz prejdite späť na prvú reláciu terminálu a stlačte Ctrl + c na terminál pre proces OpenSearch.
V ďalšom kroku nastavíte servisný súbor systemd, ktorý sa bude používať na spustenie servera OpenSearch.
Spustenie OpenSearch ako Systemd Service
Pre tento tutoriál spustíte server OpenSearch v pozadí ako systémovú službu. Aby ste to dosiahli, musíte vytvoriť nový servisný súbor systemd, znova načítať správcu systemd, potom môžete spustiť a povoliť OpenSearch pomocou príkazového nástroja systemctl.
Vytvorte nový súbor služby systemd '/etc/systemd/system/opensearch.service' pomocou nižšie uvedeného príkazu editora nano.
sudo nano /etc/systemd/system/opensearch.service
Pridajte do súboru nasledujúce riadky.
[Unit]
Description=OpenSearch
Wants=network-online.target
After=network-online.target
[Service]
Type=forking
RuntimeDirectory=data
WorkingDirectory=/opt/opensearch
ExecStart=/opt/opensearch/bin/opensearch -d
User=opensearch
Group=opensearch
StandardOutput=journal
StandardError=inherit
LimitNOFILE=65535
LimitNPROC=4096
LimitAS=infinity
LimitFSIZE=infinity
TimeoutStopSec=0
KillSignal=SIGTERM
KillMode=process
SendSIGKILL=no
SuccessExitStatus=143
TimeoutStartSec=75
[Install]
WantedBy=multi-user.target
Po dokončení uložte a zatvorte súbor.
Potom spustite nižšie uvedený príkaz systemctl, aby ste znova načítali správcu systemd a použili zmeny.
sudo systemctl daemon-reload
Potom spustite a povoľte službu OpenSearch pomocou nižšie uvedeného príkazu systemctl. Vďaka tomu by teraz služba OpenSearch mala bežať na pozadí ako systémová služba a mala by byť povolená, čo znamená, že OpenSearch sa spustí automaticky pri štarte systému.
sudo systemctl start opensearch
sudo systemctl enable opensearch
výstup:
Teraz overte službu OpenSearch, aby ste sa uistili, že je spustená. Mali by ste vidieť výstup, že služba OpenSearch je spustená a teraz je povolená.
sudo systemctl status opensearch
výstup:
Server OpenSearch môžete overiť aj príkazom curl na overenie voči OpenSearch.
curl https://192.168.5.50:9200 -u admin:password -k
curl https://192.168.5.50:9200 -u kibanaserver:kibanapass -k
Ak je spustené OpenSearch, mali by ste byť overení a získať podrobné informácie o inštalácii OpenSearch.
Pre používateľa správcu OpenSearch.
Pre používateľa kibanaserver.
Môžete tiež overiť zoznam otvorených portov vo vašom systéme pomocou príkazu ss nižšie. Mali by ste vidieť, že porty 9200 a 9300 sú otvorené aplikáciou Java, čo je server OpenSearch.
ss -tulpn
výstup:
Týmto ste dokončili inštaláciu OpenSearch. A teraz beží na lokálnej IP adrese 192.168.5.50 s predvoleným portom 9200. Beží na pozadí ako systémová služba a spustí sa automaticky pri štarte systému.
Inštalácia informačných panelov OpenSearch
V tomto kroku si stiahnete balík OpenSearch Dashboards a nainštalujete ho manuálne cez Tarball. Nastavíte tiež, ako má fungovať informačný panel OpenSearch a ako sa pripojiť k serveru OpenSearch pomocou používateľského mena a hesla.
Stiahnite si balík OpenSearch Dashboards pomocou nasledujúceho príkazu wget.
wget https://artifacts.opensearch.org/releases/bundle/opensearch-dashboards/2.4.1/opensearch-dashboards-2.4.1-linux-x64.tar.gz
Po dokončení sťahovania extrahujte balík OpenSearch Dashboards pomocou príkazu tar nižšie. Mali by ste získať nový adresár 'opensearch-dashboards-2.4.1'.
tar xf opensearch-dashboards-2.4.1-linux-x64.tar.gz
Presuňte adresár OpenSearch Dashboard do '/opt/opensearch-dashboards'. Potom zmeňte vlastníctvo tohto adresára na používateľa 'opensearch'.
mv opensearch-dashboards-* /opt/opensearch-dashboards
sudo chown -R opensearch /opt/opensearch-dashboards
Potom presuňte svoj pracovný adresár do „/opt/opensearch-dashboards“ a pomocou nižšie uvedeného príkazu editora nano otvorte konfiguračný súbor OpenSearch Dashboards „config/opensearch_dashboards.yml“.
cd /opt/opensearch-dashboards
sudo nano config/opensearch_dashboards.yml
Odkomentujte nasledujúce riadky a nahraďte hodnotu každého parametra vašimi nastaveniami. V tomto príklade spustíte informačné panely OpenSearch na predvolenom porte „5601“ a adrese IP servera „192.168.5.50“.
# OpenSearch Dashboards is served by a back end server. This setting specifies the port to use.
server.port: 5601
# Specifies the address to which the OpenSearch Dashboards server will bind. IP addresses and host names are both valid values.
# The default is 'localhost', which usually means remote machines will not be able to connect.
# To allow connections from remote users, set this parameter to a non-loopback address.
server.host: "192.168.5.50"
Ďalej pridajte nasledujúce riadky do spodnej časti riadku. Nezabudnite zmeniť parameter 'opensearch.hosts', 'opensearch.username' a 'opensearch.password' pomocou servera OpenSearch podrobnosti.
opensearch.hosts: [https://192.168.5.50:9200]
opensearch.ssl.verificationMode: none
opensearch.username: kibanaserver
opensearch.password: kibanapass
Po dokončení uložte a ukončite súbor 'config/opensearch_dashboards.yml'.
Teraz ste si stiahli OpenSearch Dashboard a nakonfigurovali ho na pripojenie k serveru OpenSearch. Ďalej nastavíte súbor služby systemd, ktorý sa bude používať na spustenie informačných panelov OpenSearch.
Spustenie informačných panelov OpenSearch ako Systemd Service
V tomto kroku vytvoríte novú službu systemd, ktorá sa bude používať na spustenie informačných panelov OpenSearch.
Vytvorte nový súbor služby systemd '/etc/systemd/system/opensearch-dashboards.service' pomocou nižšie uvedeného príkazu editora nano.
sudo nano /etc/systemd/system/opensearch-dashboards.service
Pridajte do súboru nasledujúce riadky.
[Unit]
Description=OpenSearch-Dashboards
Wants=network-online.target
After=network-online.target opensearch.service
[Service]
Type=simple
User=opensearch
Environment=NODE_ENV=production
Environment=CONFIG_PATH=/opt/opensearch-dashboards/config/opensearch_dashboards.yml
WorkingDirectory=/opt/opensearch-dashboards
ExecStart=/opt/opensearch-dashboards/bin/opensearch-dashboards
StandardOutput=journal
StandardError=inherit
Restart=on-failure
[Install]
WantedBy=multi-user.target
Po dokončení uložte a ukončite súbor.
Potom spustite nižšie uvedený príkaz systemctl, aby ste znova načítali správcu systemd a použili nové zmeny.
sudo systemctl daemon-reload
Potom spustite a povoľte službu OpenSearch Dashboards pomocou nižšie uvedeného príkazu systemctl. Vďaka tomu by mala byť spustená a povolená služba OpenSearch Dashboards, čo znamená, že služba OpenSearch Dashboard sa spustí automaticky pri štarte systému.
sudo systemctl start opensearch-dashboards
sudo systemctl enable opensearch-dashboards
Overte službu OpenSearch Dashboards pomocou nižšie uvedeného príkazu.
sudo systemctl status opensearch-dashboards
Výstup „aktívny (spustený)“ potvrdzuje, že služba OpenSearch Dashboards je spustená. A výstup '...; enabled;...“ potvrdzuje, že služba je povolená.
Vďaka tomu teraz OpenSearch Dashboards bežia na vašom Debian serveri s predvoleným konfiguračným súborom '/opt/opensearch-dashboards/config/opensearch_dashboards.yml'. Beží na predvolenom porte 5601 s adresou IP servera 192.168.5.50
Prístup k informačným panelom OpenSearch
Otvorte webový prehliadač a navštívte IP adresu OpenSearch Dashboards s portom 5601 (t.j.: http:192.168.5.50:5601). Teraz uvidíte prihlasovaciu stránku OpenSearch Dashboards.
Zadajte svoje používateľské meno a heslo, ktoré ste si vytvorili. V tomto príklade je používateľom 'kibanaserver'. Potom kliknutím na tlačidlo „Prihlásiť sa“ potvrďte a prihláste sa do informačných panelov OpenSearch.
Keď bude úspešný, mala by sa vám zobraziť nasledujúca stránka so správou „Vitajte v informačných paneloch OpenSearch“. Teraz môžete kliknúť na „Pridať údaje“ a pridať nové údaje na svoj server OpenSearch alebo kliknúť na „Preskúmať moje vlastné“ pre neskoršie nastavenie.
Ďalej, aby ste sa uistili, že sú informačné panely OpenSearch pripojené k serveru OpenSearch, vykonajte nasledujúce kroky:
Kliknite na ľavú ponuku, prejdite do sekcie Správa a kliknite na „Nástroje pre vývojárov“.
Teraz zadajte na konzole dopyt „GET /“ a kliknite na tlačidlo prehrávania. Keď bude úspešný, na pravej strane by ste mali vidieť výstup s podrobnými informáciami o vašom serveri OpenSearch. Vpravo hore môžete vidieť aj kód HTTP '200 - OK', ktorý potvrdzuje, že dotaz sa vykoná bez chyby.
S týmto vedomím ste teraz dokončili inštaláciu OpenSearch Dashboards na server Debian cez Tarball. A tiež nakonfiguroval OpenSearch Dashboard na pripojenie k serveru OpenSearch.
Záver
V tomto návode ste nainštalovali OpenSearch cez Tarball na server Debian 11. OpenSearch ste tiež zabezpečili pomocou certifikátov TLS, povolili autentifikáciu a autorizáciu a nakonfigurovali používateľov v OpenSearch. Okrem toho ste nakonfigurovali OpenSearch tak, aby fungoval ako systémová služba a optimalizovali ste server Debian Linux na nasadenie OpenSearch.
Nainštalovali ste si aj OpenSearch Dashboards cez Tarball na server Debian. Nakonfigurovali ste OpenSearch Dashboards, aby sa spúšťali ako systémová služba, pripojili ste OpenSearch Dashboards k OpenSearch Serveru s povolenou autentifikáciou a úspešne ste overili inštaláciu OpenSearch a OpenSearch Dashboards.
S týmto nastavením môžete teraz preskúmať viac o OpenSearch nasadením OpenSearch Cluster, nastavením dodatočnej autentifikácie a mnohými ďalšími. Viac o všetkých o OpenSearch sa dozviete z oficiálnej dokumentácie OpenSearch.