当前位置：首页 > news >正文

elasticsearch集群部署及加密通讯

news 2025/7/9 14:56:37

原文地址：elasticsearch集群部署及加密通讯 – 无敌牛

欢迎参观我的个人博客：无敌牛 – 技术/著作/典籍/分享等

第零步，准备

给各台设备配置虚拟主机名，这样集群不依赖IP，即使IP变动，改动也更方便。参考往期文章：https://www.madbull.site/?p=1094 第三步 3.2 一节。

第一步，颁发证书

本次文章自建CA根证书，以自建证书给各个子节点颁发服务端证书。

参看这篇文章：https://www.madbull.site/?p=1111 自建根证书，并用此根证书给三个设备分别颁发证书。

注意：在创建服务端证书时，用到的 csr.conf 文件中，commonName 和 alt_names 配置要根据自己的实际情况做相应修改。

第二步，修改配置文件

修改 /etc/elasticsearch/elasticsearch.yml 文件，内容如下：

cluster.name: CLUSTERNAMEXXX
node.name: xxxxnode1path.data: /data/xxxx/data 
path.logs: /data/xxxx/logs
path.repo: /data/xxxx/esbackupbootstrap.memory_lock: true
network.host: xxxxnode1, 127.0.0.1
discovery.seed_hosts: ["xxxxnode1", "xxxxnode2", "xxxxnode3"]action.destructive_requires_name: falsexpack.security.enabled: truexpack.security.enrollment.enabled: truexpack.security.http.ssl:enabled: truekey: certs/private.keycertificate: certs/public.crtcertificate_authorities: certs/CAs/myCA.crtverification_mode: certificatexpack.security.transport.ssl:enabled: trueverification_mode: certificatekey: certs/private.keycertificate: certs/public.crtcertificate_authorities: certs/CAs/myCA.crtcluster.initial_master_nodes: ["xxxxnode1", "xxxxnode2", "xxxxnode3"]

配置项解释：

cluster.name: 集群名称，同一个集群里的各个节点，配置相同集群名称。

node.name: 当前服务节点名称，在集群里名字是唯一的

path.data: 数据保存路径

path.logs: 日志存储路径

path.repo: 数据库快照备份路径

bootstrap.memory_lock: 是否锁定内存，不允许磁盘交换。如果大内存，可以设置为true；否则内存空间不够则可能数据库服务启动失败。

network.host: 如果不考虑设备有多个IP的情况，可以直接配置成 0.0.0.0 或者 _site_。集群需要跨主机访问，所以需要开放端口，不能只绑定在 _local_ 或者 127.0.0.1 。

discovery.seed_host: 用于发现集群中其他节点的初始主机列表。

action.destructive_requires_name: 控制执行某些破坏性操作，设置 false 操作验证会减少。

xpack.security.enabled: 是否启用xpack安全特征，包括认证、授权和加密等。

xpack.security.enrollment.enabled: 是否启用节点自动加入集群。

xpack.security.http.ssl: https访问相关配置。

xpack.security.transport.ssl: 节点间通讯通过ssl加密相关配置。

verification_mode: 验证模式，此处为证书

key: 私钥文件

certificate: 证书文件

certificate_authorities: 信任的CA根证书文件

cluster.initial_master_nodes: 指定哪些节点可以作为主节点 master

需要根据各个服务器自身的情况做调整。

第三步，安装证书

把第一步申请的服务端私钥、服务端证书和 CA根证书，放在 key、certificate、certificate_authorities 参数指定的文件路径。目录结构如下，并确保文件对minio用户可读。此处用了软连接，也是同样的效果，可以把对应的文件直接放在指定的位置上。

注意：三台设备用到的根证书，也就是 CAs/myCA.crt 是同一个，但是服务端私钥和服务端证书则各不相同。xpack.security.http.ssl 下的配置和 xpack.security.transport.ssl 下的配置可以不是同一个文件。

elasticsearch集群不信任系统的证书，所以把CA证书添加到系统信任列表不起作用，必须把根证书放在 certificate_authorities 指定的位置。

最后

三台设备重启 elasticsearch 服务： systemctl restart elasticsearch。

如果原来的 elasticsearch 库中已经有数据，设备只会保留主设备的数据，其他设备的数据将被删除。

如果遇到三台设备都只找到自己，并选定自己是主设备，且找不到其他设备，尝试删除数据目录（也就是path.data配置项指定的目录）下 _state 文件夹下的所有内容，重启 elasticsearch 服务尝试组建集群。

elasticsearch基本操作，参考文章：https://www.madbull.site/?p=424

python开发基本操作参考示例：https://www.madbull.site/?p=606

elasticsearch集群部署及加密通讯

相关文章：

elasticsearch集群部署及加密通讯

ML 系列：第 32节 — 机器学习中的统计简介

CatVton升级版？CatVton-Flux：AI虚拟试衣方案新选择。

JavaEE---计算机是如何工作的?

十、Spring Boot集成Spring Security之HTTP请求授权

C#基础控制台程序

【网络安全】CSRF

网络原理（一）—— http

【实体配置】.NET开源 ORM 框架 SqlSugar 系列

【Zookeeper】四，Zookeeper节点类型、通知、仲裁、会话

【二分查找】力扣 34. 在排序数组中查找元素的第一个和最后一个位置

以达梦为数据库底座时部署的微服务页面报乱码，调整兼容模式

Java设计模式 —— 【创建型模式】工厂模式（简单工厂、工厂方法模式、抽象工厂）详解

KST-3D01型胎儿超声仿真体模、吸声材料以及超声骨密度仪用定量试件介绍

网络原理-＞DNS协议和NAT协议解

基于yolov8、yolov5的100种中药材检测识别系统（含UI界面、训练好的模型、Python代码、数据集）

RuoYi排序

Python+Pytest+Yaml+Allure数据参数化（DDT）数据驱动（一）

BASLER工业相机维修不能触发拍照如何处理解决这个问题

Could not locate device support files.

鸿蒙中用HarmonyOS SDK应用服务 HarmonyOS5开发一个生活电费的缴纳和查询小程序

三体问题详解

Map相关知识

什么是Ansible Jinja2

浪潮交换机配置track检测实现高速公路收费网络主备切换NQA

Redis：现代应用开发的高效内存数据存储利器

BLEU评分：机器翻译质量评估的黄金标准

Java求职者面试指南：Spring、Spring Boot、Spring MVC与MyBatis技术解析

Python常用模块：time、os、shutil与flask初探

WEB3全栈开发——面试专业技能点P4数据库