OpenSearch — это проект компании Amazon, управляемый сообществом, и форк Elasticsearch и Kibana. Это полностью открытая поисковая система и аналитический пакет с богатыми возможностями и инновационной функциональностью. Основными компонентами проекта OpenSearch являются OpenSearch (форк Elasticsearch) и OpenSearch Dashboards (форк Kibana). Оба компонента предоставляют такие возможности, как корпоративная безопасность, оповещение, машинное обучение, SQL, управление состоянием индексов и многое другое.
OpenSearch на 100% с открытым исходным кодом и лицензирован под Apache 2.0-лицензией. Он позволяет легко получать, защищать, искать, агрегировать, просматривать и анализировать данные для различных сценариев использования, таких как анализ журналов, поиск приложений, корпоративный поиск и многое другое.
В этой статье показано, как установить OpenSearch — пакет поиска, аналитики и визуализации с открытым исходным кодом — на сервер Rocky Linux 9. Статья включает защиту установки OpenSearch с помощью TLS/SSL сертификатов и настройку аутентификации и авторизации на OpenSearch.
В статье также показано, как установить OpenSearch Dashboards — инструмент визуализации с открытым исходным кодом, подобный Kibana, а затем настроить его для подключения к OpenSearch. После завершения этой статьи у вас будет установлен пакет для анализа и визуализации данных на вашем сервере Rocky Linux.
Предварительные условия
Чтобы начать работу с этим руководством, вы должны иметь следующие требования:
- Сервер с Rocky Linux 9 и минимальной оперативной памятью 4 ГБ — В данном примере используется сервер Rocky Linux с именем хоста ‘node-rock1’, IP-адресом ‘192.168.5.25’ и оперативной памятью 8 ГБ.
- Пользователь не root с привилегиями администратора sudo/root.
- SELinux работает в разрешительном режиме.
Настройка системы
Первое, что вы должны сделать, это подготовить ваш хост Rocky Linux. Это включает в себя установку правильного имени хоста и fqdn, отключение SWAP и увеличение максимального объема памяти карты в вашей системе.
Для этого необходимо войти на сервер Rocky Linux.
Теперь выполните следующую команду для установки правильного имени хоста и fqdn для вашего сервера Rocky Linux.
В этом примере вы установите имя хоста системы ‘node-rock1’ и fqdn ‘node-rock1.hwdomain.lan’. Также не забудьте изменить IP-адрес в следующей команде на IP-адрес вашего сервера.
sudo hostnamectl set-hostname node-rock1 echo '192.168.5.25 node-rock1.hwdomain.lan node-rock1' >> /etc/hosts
Выйдите из текущей сессии и войдите в нее снова. Затем проверьте fqdn с помощью следующей команды.
sudo hostname -f
Вы должны получить следующее сообщение. fqdn на хосте настроен на ‘node-rock1.hwdomain.lan’.
Далее вам нужно будет отключить подкачку памяти и SWAP на вашем хосте Rocky Linux. Отключение подкачки памяти и SWAP увеличит производительность вашего сервера OpenSearch.
Выполните следующие команды, чтобы отключить SWAP в вашей системе. Первая команда отключит SWAP навсегда, закомментировав конфигурацию SWAP в файле ‘/etc/fstab’. Вторая команда используется для отключения SWAP в текущей сессии.
sudo sed -i '/ swap / s/^(.*)$/#1/g' /etc/fstab sudo swapoff -a
Проверьте состояние SWAP в вашей системе с помощью следующей команды.
free -m
Вы получите результат, подобный этому — Раздел ‘Swap’ со значением 0 в целом подтверждает, что SWAP отключен.
Наконец, вы должны увеличить максимальное количество памяти карт в вашей системе для OpenSearch. Это можно сделать через файл ‘/etc/sysctl.conf’.
Выполните следующую команду для увеличения max maps memory до ‘262144’ и примените изменения. Этим вы добавите новую конфигурацию ‘vm.max_map_count=262144′ в файл /etc/sysctl.conf’ и примените изменения в вашей системе с помощью команды ‘sysctl -p’.
sudo echo "vm.max_map_count=262144" >> /etc/sysctl.conf sudo sysctl -p
Теперь вы можете отключить статус max maps memory в вашей системе с помощью следующей команды. При этом ‘max_map_count’ должно быть увеличено до ‘262144’.
cat /proc/sys/vm/max_map_count
Выходные данные:
Установка OpenSearch
OpenSearch может быть установлен несколькими способами. Вы можете установить OpenSearch через tarball, Docker, RPM и Kubernetes. Для дистрибутивов на базе RHEL вы можете легко установить OpenSearch через официальный репозиторий OpenSearch.
Выполните приведенную ниже команду curl, чтобы загрузить репозиторий OpenSearch в вашу систему. Затем проверьте список доступных репозиториев с помощью команды ниже.
sudo curl -SL https://artifacts.opensearch.org/releases/bundle/opensearch/2.x/opensearch-2.x.repo -o /etc/yum.repos.d/opensearch-2.x.repo sudo dnf repolist
В случае успеха вы должны получить репозиторий ‘OpenSearch 2.x’, доступный в выводе терминала.
Вы также можете проверить доступные пакеты ‘opensearch’, выполнив следующую команду.
sudo dnf info opensearch
На момент написания этой статьи репозиторий OpenSearch предоставляет две версии OpenSearch для различных системных архитектур — OpenSearch 2.5 для x86_64 и aarch64.
Выполните следующую команду dnf для установки OpenSearch на ваш сервер Rocky Linux. Когда появится запрос на подтверждение, введите y для подтверждения и нажмите ENTER для продолжения.
sudo dnf install opensearch
Выходные данные:
Во время установки вам также будет предложено добавить ключ GPG для репозитория OpenSearch. Введите y для подтверждения и нажмите ENTER.
После успешной установки OpenSearch перезагрузите менеджер systemd и примените новые изменения с помощью приведенной ниже командной утилиты systemctl.
sudo systemctl daemon-reload
Теперь запустите и включите OpenSearch с помощью приведенной ниже команды. После этого OpenSearch должен быть запущен с конфигурацией по умолчанию, а также включен, что означает, что OpenSearch будет запускаться автоматически при загрузке системы.
sudo systemctl start opensearch sudo systemctl enable opensearch
Чтобы убедиться, что OpenSearch работает и запущен, вы можете проверить это с помощью приведенной ниже команды systemctl.
sudo systemctl status opensearch
Вы должны получить вывод, подобный этому — Вывод ‘active (running)’ подтверждает, что служба OpenSearch запущена, а ‘… enabled;…’ подтверждает, что служба OpenSearch включена.
Вы установили OpenSearch, и теперь он запущен и включен. Теперь вы можете перейти к следующему шагу по настройке вашей установки OpenSearch.
Настройка OpenSearch
По умолчанию конфигурации OpenSearch хранятся в каталоге ‘/etc/opensearch’. В этом шаге вы выполните базовую настройку OpenSearch в одноузловом режиме. Вы также увеличите максимальное количество памяти кучи в вашей системе, чтобы повысить производительность сервера OpenSearch.
Откройте файл конфигурации OpenSearch ‘/etc/opensearch/opensearch.yml’ с помощью приведенной ниже команды редактора nano.
sudo nano /etc/opensearch/opensearch.yml
Измените некоторые параметры OpenSearch по умолчанию с помощью следующих строк. С помощью этого вы запустите OpenSearch на определенном сетевом IP-адресе ‘192.168.5.25’, тип развертывания — ‘single-node’, и повторно включите плагины безопасности OpenSearch.
# Bind OpenSearch to the correct network interface. Use 0.0.0.0 # to include all available interfaces or specify an IP address # assigned to a specific interface. network.host: 192.168.5.25 # Unless you have already configured a cluster, you should set # discovery.type to single-node, or the bootstrap checks will # fail when you try to start the service. discovery.type: single-node # If you previously disabled the security plugin in opensearch.yml, # be sure to re-enable it. Otherwise you can skip this setting. plugins.security.disabled: false
Сохраните и выйдите из файла ‘/etc/opensearch/opensearch.yml’ после завершения работы.
Затем откройте файл параметров JVM по умолчанию для OpenSearch ‘/etc/opensearch/jvm.options’, используя следующую команду редактора nano.
sudo nano /etc/opensearch/jvm.options
Измените максимальную память по умолчанию следующими строками. Это зависит от памяти вашего сервера, вы можете выделить больше 2 ГБ для OpenSearch, если у вас больше оперативной памяти.
-Xms2g -Xmx2g
Сохраните файл и выйдите из редактора после завершения работы.
Наконец, запустите приведенную ниже командную утилиту systemctl, чтобы перезапустить службу OpenSearch и применить изменения.
sudo systemctl restart opensearch
Теперь OpenSearch должен быть запущен на IP-адресе ‘192.168.5.25’ с портом по умолчанию ‘9200’. Проверьте список открытых портов в вашей системе, выполнив команду ss, приведенную ниже.
ss -tulpn
Обеспечение безопасности OpenSearch с помощью TLS сертификатов
В этом шаге вы сгенерируете несколько сертификатов, которые будут использоваться для защиты развертывания OpenSearch. Вы защитите связь между узлами с помощью TLS сертификатов и защитите трафик REST-уровня между клиент-серверными соединениями с помощью TLS.
Ниже приведен список сертификатов, которые будут сгенерированы:
- Сертификаты корневого центра сертификации: Эти сертификаты будут использоваться для подписи других сертификатов.
- Сертификаты администраторов: Эти сертификаты будут использоваться для получения прав администратора для выполнения всех задач, связанных с безопасностью плагина.
- Сертификаты узлов и клиентов: Эти сертификаты будут использоваться узлами и клиентами в кластере OpenSearch.
Прежде чем генерировать новые TLS сертификаты, давайте удалим некоторые сертификаты по умолчанию и конфигурации OpenSearch по умолчанию.
Выполните следующую команду для удаления стандартных TLS-сертификатов OpenSearch. Затем откройте конфигурацию OpenSearch ‘/etc/opensearch/opensearch.yml’ с помощью следующей команды редактора nano.
rm -f /opt/opensearch/{esnode-key.pem,esnode.pem,kirk-key.pem,kirk.pem,root-ca.pem}
sudo nano /etc/opensearch/opensearch.yml
В нижней части строки закомментируйте стандартную конфигурацию OpenSearch Security Demo Configuration, как показано ниже.
Сохраните и выйдите из файла после завершения.
Далее выполните следующую команду для создания нового каталога ‘/etc/opensearch/certs’. Этот каталог будет использоваться для хранения новых генерируемых TLS-сертификатов. Затем переместите в него свой рабочий каталог.
mkdir -p /etc/opensearch/certs; cd /etc/opensearch/certs
Генерация корневых сертификатов ЦС
Сгенерируйте закрытый ключ для сертификатов корневого ЦС, используя приведенные ниже инструкции.
openssl genrsa -out root-ca-key.pem 2048
Теперь сгенерируйте самоподписанный сертификат корневого ЦС с помощью следующей команды. Вы также можете изменить значения в параметре ‘-subj’ по своему усмотрению.
openssl req -new -x509 -sha256 -key root-ca-key.pem -subj "/C=CA/ST=ONTARIO/L=TORONTO/O=ORG/OU=UNIT/CN=ROOT" -out root-ca.pem -days 730
В результате вы должны получить закрытый ключ корневого ЦС ‘root-ca-key.pem’ и сертификат корневого ЦС ‘root-ca.pem’.
Выходные данные:
Генерация сертификатов администратора
Сгенерируйте новый закрытый ключ сертификата администратора ‘admin-key-temp.pem’ с помощью следующей команды.
openssl genrsa -out admin-key-temp.pem 2048
Преобразуйте закрытый ключ администратора по умолчанию в формат PKCS#8. Для Java-приложения необходимо преобразовать закрытый ключ по умолчанию в PKCS#12-совместимый алгоритм (3DES). При этом ваш закрытый ключ администратора должен иметь вид ‘admin-key.pem’.
openssl pkcs8 -inform PEM -outform PEM -in admin-key-temp.pem -topk8 -nocrypt -v1 PBE-SHA1-3DES -out admin-key.pem
Затем выполните приведенную ниже команду, чтобы сгенерировать CSR (запрос на подпись сертификата) администратора из закрытого ключа ‘admin-key.pem’. Теперь ваш сгенерированный CSR должен быть файлом ‘admin.csr’.
Поскольку этот сертификат используется для аутентификации повышенного доступа и не привязан к каким-либо хостам, вы можете использовать что угодно в конфигурации ‘CN’.
openssl req -new -key admin-key.pem -subj "/C=CA/ST=ONTARIO/L=TORONTO/O=ORG/OU=UNIT/CN=A" -out admin.csr
Наконец, выполните приведенную ниже команду, чтобы подписать CSR администратора сертификатом корневого центра сертификации и закрытым ключом. Результатом подписания сертификата администратора будет файл ‘admin.pem’.
openssl x509 -req -in admin.csr -CA root-ca.pem -CAkey root-ca-key.pem -CAcreateserial -sha256 -out admin.pem -days 730
Теперь ваш сертификат администратора должен быть файлом ‘admin.pem’, который подписан сертификатами корневого центра сертификации. А закрытый ключ администратора — ‘admin-key.pem’, который преобразован в формат PKCS#8.
Выходные данные:
Генерация сертификатов узлов
Процесс создания сертификатов узла аналогичен сертификатам администратора. Но вы можете указать значение CN с именем хоста или IP-адресом вашего узла.
Сгенерируйте закрытый ключ узла с помощью следующей команды.
openssl genrsa -out node-rock1-key-temp.pem 2048
Преобразуйте закрытый ключ узла в формат PKCS#8. Теперь ваш закрытый ключ узла должен иметь формат ‘node-rock1-key.pem’.
openssl pkcs8 -inform PEM -outform PEM -in node-rock1-key-temp.pem -topk8 -nocrypt -v1 PBE-SHA1-3DES -out node-rock1-key.pem
Затем создайте новый CSR для сертификата узла. Обязательно измените значение ‘CN’ на имя хоста вашего узла. Этот сертификат привязан к узлам, и вы должны указать в значении CN имя узла или IP-адрес вашего узла OpenSearch.
openssl req -new -key node-rock1-key.pem -subj "/C=CA/ST=ONTARIO/L=TORONTO/O=ORG/OU=UNIT/CN=node-rock1.hwdomain.lan" -out node-rock1.csr
Перед подписанием сертификата узла выполните приведенную ниже команду, чтобы создать файл расширения SAN ‘node-rock1.ext’. Он будет содержать имя узла, FQDN или IP-адрес.
echo 'subjectAltName=DNS:node-rock1.hwdomain.lan' > node-rock1.ext
Наконец, подпишите файл CSR сертификата узла сертификатом корневого ЦС и приватным сертификатом с помощью следующей команды.
openssl x509 -req -in node-rock1.csr -CA root-ca.pem -CAkey root-ca-key.pem -CAcreateserial -sha256 -out node-rock1.pem -days 730 -extfile node-rock1.ext
В этом случае сертификатом узла будет файл ‘node-rock1.pem’, а закрытым ключом — ‘node-rock1-key.pem’.
Выходные данные:
Настройка сертификатов
Выполните приведенную ниже команду, чтобы удалить временный сертификат, CSR и файл расширения SAN.
rm *temp.pem *csr *ext ls
Преобразуйте сертификат корневого ЦС в формат .crt.
openssl x509 -outform der -in root-ca.pem -out root-ca.crt
Добавьте сертификат корневого ЦС в систему Rocky Linux с помощью приведенной ниже команды. Скопируйте файл root-ca.crt в каталог ‘/etc/pki/ca-trust/source/anchors/’ и загрузите новый сертификат корневого ЦС в вашу систему.
sudo cp root-ca.crt /etc/pki/ca-trust/source/anchors/ sudo update-ca-trust
Выходные данные:
Наконец, выполните приведенную ниже команду, чтобы установить правильное разрешение и право собственности на сертификаты. Владельцем каталога ‘/etc/opensearch/certs’ должен быть пользователь ‘opensearch’ с разрешением 0700. А для всех файлов сертификатов разрешение должно быть 0600.
sudo chown -R opensearch:opensearch /etc/opensearch/certs sudo chmod 0700 /etc/opensearch/certs
sudo chmod 0600 /etc/opensearch/certs/*.pem sudo chmod 0600 /etc/opensearch/certs/*.crt
Добавление TLS-сертификатов в OpenSearch
Сгенерированные TLS сертификаты, корневой CA, сертификаты администратора и сертификаты узла. Далее вы добавите сертификаты в конфигурационный файл OpenSearch ‘/etc/opensearch/opensearch.yml’. В этом примере вы создадите новый сценарий bash, который будет добавлять сертификаты и настройки плагина безопасности TLS в OpenSearch.
Создайте новый файл ‘add.sh’ с помощью приведенной ниже команды редактора nano.
nano add.sh
Добавьте в файл следующие строки. Обязательно измените и используйте правильный путь к файлам сертификатов и целевому файлу конфигурации OpenSearch.
#! /bin/bash # Before running this script, make sure to replace the CN in the # node's distinguished name with a real DNS A record. echo "plugins.security.ssl.transport.pemcert_filepath: /etc/opensearch/certs/node-rock1.pem" | sudo tee -a /etc/opensearch/opensearch.yml echo "plugins.security.ssl.transport.pemkey_filepath: /etc/opensearch/certs/node-rock1-key.pem" | sudo tee -a /etc/opensearch/opensearch.yml echo "plugins.security.ssl.transport.pemtrustedcas_filepath: /etc/opensearch/certs/root-ca.pem" | sudo tee -a /etc/opensearch/opensearch.yml echo "plugins.security.ssl.http.enabled: true" | sudo tee -a /etc/opensearch/opensearch.yml echo "plugins.security.ssl.http.pemcert_filepath: /etc/opensearch/certs/node-rock1.pem" | sudo tee -a /etc/opensearch/opensearch.yml echo "plugins.security.ssl.http.pemkey_filepath: /etc/opensearch/certs/node-rock1-key.pem" | sudo tee -a /etc/opensearch/opensearch.yml echo "plugins.security.ssl.http.pemtrustedcas_filepath: /etc/opensearch/certs/root-ca.pem" | sudo tee -a /etc/opensearch/opensearch.yml echo "plugins.security.allow_default_init_securityindex: true" | sudo tee -a /etc/opensearch/opensearch.yml echo "plugins.security.authcz.admin_dn:" | sudo tee -a /etc/opensearch/opensearch.yml echo " - 'CN=A,OU=UNIT,O=ORG,L=TORONTO,ST=ONTARIO,C=CA'" | sudo tee -a /etc/opensearch/opensearch.yml echo "plugins.security.nodes_dn:" | sudo tee -a /etc/opensearch/opensearch.yml echo " - 'CN=node-rock1.hwdomain.lan,OU=UNIT,O=ORG,L=TORONTO,ST=ONTARIO,C=CA'" | sudo tee -a /etc/opensearch/opensearch.yml echo "plugins.security.audit.type: internal_opensearch" | sudo tee -a /etc/opensearch/opensearch.yml echo "plugins.security.enable_snapshot_restore_privilege: true" | sudo tee -a /etc/opensearch/opensearch.yml echo "plugins.security.check_snapshot_restore_write_privileges: true" | sudo tee -a /etc/opensearch/opensearch.yml echo "plugins.security.restapi.roles_enabled: ["all_access", "security_rest_api_access"]" | sudo tee -a /etc/opensearch/opensearch.yml
Сохраните и выйдите из файла после завершения.
Далее сделайте файл ‘add.sh’ исполняемым и выполните его. Новый плагин безопасности TLS для OpenSearch должен быть добавлен в файл конфигурации OpenSearch ‘/etc/opensearch/opensearch.yml’.
chmod +x add.sh ./add.sh
Выходные данные:
Если вы проверите конфигурационный файл OpenSearch ‘/etc/opensearch/opensearch.yml’, вы должны увидеть новые настройки, созданные скриптом ‘add.sh’.
Итак, вы добавили TLS сертификаты в OpenSearch и включили плагины безопасности. На следующем шаге вы защитите OpenSearch с помощью аутентификации и авторизации, создав нового пользователя на OpenSearch.
Установка администраторского пользователя OpenSearch
Сначала переместите рабочий каталог в ‘/usr/share/opensearch/plugins/opensearch-security/tools’, выполнив команду cd ниже.
cd /usr/share/opensearch/plugins/opensearch-security/tools
Выполните сценарий ‘hash.sh’ для создания нового хэша пароля для OpenSearch. Введите пароль, который вы будете создавать, и нажмите ENTER.
OPENSEARCH_JAVA_HOME=/usr/share/opensearch/jdk ./hash.sh
Вы должны получить сгенерированный хэш вашего пароля. Скопируйте этот хэш, потому что вам нужно будет добавить этот хэшированный пароль в конфигурацию OpenSearch.
Повторно запустите сценарий ‘hash.sh’ для генерации другого хэша пароля, который будет использоваться для панелей OpenSearch Dashboards.
OPENSEARCH_JAVA_HOME=/usr/share/opensearch/jdk ./hash.sh
Таким образом, вы сгенерировали два хэшированных пароля для OpenSearch.
Далее откройте конфигурацию пользователей OpenSearch ‘/etc/opensearch/opensearch-security/internal_users.yml’ с помощью приведенной ниже команды редактора nano. Теперь вы настроите пользователей OpenSearch через OpenSearch Security.
sudo nano /etc/opensearch/opensearch-security/internal_users.yml
Удалите всех пользователей OpenSearch по умолчанию и замените их следующими строками. Не забудьте заменить хэшированный пароль сгенерированным паролем. В этом примере вы создадите двух пользователей для OpenSearch, пользователя ‘admin’ для OpenSearch и пользователя ‘kibanaserver’, который будет использоваться в OpenSearch Dashboards.
... ... admin: hash: "$2y$12$BnfqwqWRi7DkyuPgLa8.3.kLzdpIY11jFpSXTAOKOMCVj/i20k9oW" reserved: true backend_roles: - "admin" description: "Admin user" kibanaserver: hash: "$2y$12$kYjgPjPzIp9oTghNdWIHcuUalE99RqSYtTCh6AiNuS5wmeEaWnbzK" reserved: true description: "Demo OpenSearch Dashboards user"
Сохраните и выйдите из файла после завершения работы.
Теперь выполните следующую команду systemctl, чтобы перезапустить службу OpenSearch и применить изменения.
sudo systemctl restart opensearch
Теперь перейдите в каталог ‘/usr/share/opensearch/plugins/opensearch-security/tools’ и вызовите скрипт ‘securityadmin.sh’ для применения новых изменений в OpenSearch Security.
cd /usr/share/opensearch/plugins/opensearch-security/tools OPENSEARCH_JAVA_HOME=/usr/share/opensearch/jdk ./securityadmin.sh -h 192.168.5.25 -p 9200 -cd /etc/opensearch/opensearch-security/ -cacert /etc/opensearch/certs/root-ca.pem -cert /etc/opensearch/certs/admin.pem -key /etc/opensearch/certs/admin-key.pem -icl -nhnv
Сценарий ‘securityadmin.sh’ подключится к серверу OpenSearch, который работает на IP-адресе ‘192.168.5.25’ и порту по умолчанию ‘9200’. Затем примените новых пользователей, которых вы настроили в файле ‘/etc/opensearch/opensearch-security/internal_users.yml’, к развертыванию OpenSearch.
Наконец, когда новые пользователи добавлены и применены с помощью скрипта ‘securityadmin.sh’, теперь вы должны проверить пользователей OpenSearch с помощью команды curl, приведенной ниже. Не забудьте изменить имя хоста или IP-адрес, а также пользователя и пароль для OpenSearch.
curl https://node-rock1:9200 -u admin:password -k curl https://node-rock1:9200 -u kibanaserver:kibanapass -k
Если настройка пользователя прошла успешно, вы должны получить сообщение следующего содержания:
Проверка пользователя OpenSearch ‘admin’.
Проверьте пользователя OpenSearch ‘kibanaserver’.
На этом этапе вы завершили установку OpenSearch с помощью пакетов RPM на сервер Rocky Linux 9. А также обеспечили безопасность развертывания OpenSearch с помощью TLS сертификатов и включили аутентификацию и авторизацию пользователей с помощью плагинов OpenSearch Security.
На следующем шаге вы установите OpenSearch Dashboards и добавите в него ваш сервер OpenSearch, используя нового пользователя, которого вы создали ‘kibanaserver’.
Установка OpenSearch Dashboard
Поскольку репозиторий OpenSearch все еще использует устаревший хэш SHA1 для проверки пакета OpenSearch Dashboard, вам необходимо изменить криптографические политики по умолчанию в вашем Rocky Linux на LEGACY.
Выполните приведенную ниже команду для обновления криптополитики по умолчанию на LEGACY.
sudo update-crypto-policies --set LEGACY
Затем добавьте репозиторий OpenSearch Dashboards в свою систему с помощью приведенной ниже команды curl.
sudo curl -SL https://artifacts.opensearch.org/releases/bundle/opensearch-dashboards/2.x/opensearch-dashboards-2.x.repo -o /etc/yum.repos.d/opensearch-dashboards-2.x.repo
Затем проверьте список доступных репозиториев в вашей системе. Вы должны увидеть репозиторий ‘OpenSearch Dashboard 2.x’ доступным в списке репозиториев.
sudo dnf repolist
Выходные данные:
Теперь выполните следующую команду dnf для установки пакета OpenSearch Dashboards. Когда появится запрос, введите y для подтверждения и нажмите ENTER для продолжения.
sudo dnf install opensearch-dashboards
Во время установки вам также будет предложено принять ключ GPG репозитория OpenSearch Dashboards. Введите y и нажмите ENTER для подтверждения.
После установки OpenSearch Dashboards запустите приведенную ниже командную утилиту systemctl для запуска и включения службы ‘opensearch-dashboard’. Теперь OpenSearch Dashboard должен работать с конфигурацией по умолчанию и должен быть включен, что означает, что служба будет запускаться автоматически при запуске системы.
sudo systemctl start opensearch-dashboards sudo systemctl enable opensearch-dashboards
Проверьте службу OpenSearch Dashboard, чтобы убедиться, что служба запущена.
sudo systemctl status opensearch-dashboards
Вы должны получить следующее сообщение — статус службы OpenSearch Dashboard запущен, теперь она также включена и будет запускаться автоматически при загрузке системы.
Теперь перейдите к следующему шагу, чтобы настроить установку OpenSearch Dashboard.
Настройка инструментальных панелей OpenSearch
В этом шаге вы настроите OpenSearch Dashboards, на каком IP-адресе и порту должна быть запущена Open Search Dashboard, а также установите соединение с сервером OpenSearch.
Откройте файл конфигурации OpenSearch Dashboard ‘/etc/opensearch-dashboards/opensearch-dashboard.yml’ с помощью редактора nano.
sudo nano /etc/opensearch-dashboards/opensearch-dashboard.yml
Откомментируйте и измените параметры по умолчанию ‘server.port’ и ‘server.host’ следующими строками. По умолчанию OpenSearch Dashboards будет работать на порту ‘5601’, убедитесь, что параметр ‘server.host’ соответствует IP-адресу вашего сервера.
# OpenSearch Dashboards is served by a back end server. This setting specifies the port to use. server.port: 5601 # Specifies the address to which the OpenSearch Dashboards server will bind. IP addresses and host names are both valid values. # The default is 'localhost', which usually means remote machines will not be able to connect. # To allow connections from remote users, set this parameter to a non-loopback address. server.host: "192.168.5.25"
Перейдите к нижней строке конфигурации и измените детали параметров OpenSearch, которые используются для подключения к серверу OpenSearch. Обязательно измените параметры ‘opensearch.hosts’, ‘opensearch.username’ и ‘opensearch.password’ на данные вашего сервера OpenSearch.
opensearch.hosts: [https://192.168.5.25:9200] opensearch.ssl.verificationMode: none opensearch.username: kibanaserver opensearch.password: kibanapass
Сохраните файл и выйдите из редактора после завершения работы.
Затем выполните приведенную ниже команду systemctl, чтобы перезапустить службу OpenSearch Dashboards и применить изменения.
sudo systemctl restart opensearch-dashboards
При этом приборные панели OpenSearch должны работать на IP-адресе ‘192.168.5.25’ с портом ‘5601’. Кроме того, приборная панель OpenSearch будет подключена к серверу OpenSearch с реквизитами пользователя ‘kibanaserver’.
Доступ к информационным панелям OpenSearch
На этом этапе вы закончили установку и настройку OpenSearch Dashboard. Теперь вам нужно проверить установку OpenSearch Dashboards, зайдя в нее через веб-браузер и проверив подключение к серверу OpenSearch через ‘Dev Tools’.
Перед тем как получить доступ к OpenSearch Dashboards, необходимо открыть порт 5601 в вашем firewalld.
Выполните следующие команды firewall-cmd, чтобы открыть TCP порт 5601. Затем перезагрузите firewalld, чтобы применить изменения.
sudo firewall-cmd --add-port=5601/tcp --permanent sudo firewall-cmd --reload
Затем проверьте список правил на firewalld с помощью следующей команды. Вы должны увидеть, что порт 5601 доступен на firewalld.
sudo firewall-cmd --list-all
Теперь откройте веб-браузер и зайдите на IP-адрес OpenSearch Dashboards с портом 5601 (т.е.: http:192.168.5.25:5601). Теперь вы увидите страницу входа в OpenSearch Dashboards.
Введите созданные вами имя пользователя и пароль. В данном примере пользователь — ‘kibanaserver’. Затем нажмите кнопку ‘Войти’, чтобы подтвердить и войти в OpenSearch Dashboards.
После успешного завершения вы должны получить следующую страницу с сообщением ‘Добро пожаловать в OpenSearch Dashboards’. Теперь вы можете нажать ‘Добавить данные’, чтобы добавить новые данные на ваш сервер OpenSearch или нажать ‘Исследовать мои собственные’ для последующей настройки.
Далее, чтобы убедиться, что OpenSearch Dashboards подключен к серверу OpenSearch, выполните следующие действия:
В левом меню перейдите в раздел Управление и нажмите ‘Dev Tools’.
Теперь введите запрос ‘GET /’ на консоли и нажмите кнопку воспроизведения. После успешного выполнения вы должны увидеть вывод справа с подробной информацией о вашем сервере OpenSearch. Также вы можете увидеть справа вверху HTTP-код ‘200 — OK’, который подтверждает, что запрос выполнен без ошибок.
Учитывая это, вы установили OpenSearch Dashboards на сервер Rocky Linux с помощью пакета RPM. Кроме того, вы настроили OpenSearch Dashboards для подключения к серверу OpenSearch.
Заключение
В этой статье вы установили OpenSearch через RPM на сервер Rocky Linux 9. Вы также обеспечили безопасность OpenSearch с помощью TLS сертификатов, включили аутентификацию и авторизацию, а также настроили пользователей в OpenSearch. Кроме того, вы также настроили и оптимизировали сервер Rocky Linux для развертывания OpenSearch.
Вы также установили приборные панели OpenSearch через RPM на сервер Rocky Linux 9. Вы успешно настроили и подключили OpenSearch Dashboards к OpenSearch Server с включенной аутентификацией, а также успешно проверили установку OpenSearch и OpenSearch Dashboards.
