/tags/elastic-search/ elastic search Source Themes Academic (https://sourcethemes.com/academic/)zhFri, 03 Nov 2017 04:49:29 +0800 /img/logo-wide.png /tags/elastic-search/ /post/es-on-k8s-auth-cleanup/ Fri, 03 Nov 2017 04:49:29 +0800 /post/es-on-k8s-auth-cleanup/ <p>Kubernetes 的 Release 文件包中，一直包含了使用 Elastic Search 方案进行日志处理的简单例子， 这个例子非常简陋外加版本较旧，处于“能用”的状态而已。</p> <p>而近期的版本中这一情况发生了变化，原来的 <code>elasticsearch</code> 中新增了一个子目录： <code>production_cluster</code>，<code>README.md</code>中的介绍是：</p> <p><strong>A more robust example that follows Elasticsearch best-practices of separating nodes concern is also available.</strong></p> <p>这个听起来就厉害了，关键字：robuts，best-practice。</p> <p>顺藤摸瓜找到了作者的 github 地址：<code>https://github.com/pires/</code></p> <p>这一集群的特点是：</p> <ol> <li>ES 集群分为 Master/Client/Data 三组，各司其职，各自可以设置自己的资源使用，参数配置等。</li> <li>提供了 StatefulSet 形式的数据节点，便于数据持久化的支持。</li> <li>采用 Curator 的 CronJob，用于数据的清理。</li> <li>自定义的 Elastic Search 镜像。</li> </ol> <p>这一些功能自然是极好的，然而因为 X-Pack 的授权问题，使得两个重要的功能： https 通信和认证落了空，还好发现了一个替代方案：<a href="https://github.com/floragunncom/search-guard" target="_blank">Search Guard</a>， 简单说来，这一方案提供了免费的认证和 https 通信方案，并且提供了更多的商业支持特性。具体能力范围可以参看官网，下面基于 Pries 的 ES 5.6.3 版本，来把假设在 Kubernetes 集群上的 ES 集群进行加固。</p> <h2 id="环境准备">环境准备</h2> <ul> <li>Kubernetes 集群：1.7.x <ul> <li><code>kube-apiserver</code>启动参数中加入<code>--runtime-config=batch/v2alpha1=true</code>用于支持后面的 CronJob 对象</li> <li>集群存储，用于满足 PVC 需求（可选）</li> </ul></li> <li>Docker：用于自定义镜像的构建</li> <li>源代码： <ul> <li><a href="https://github.com/pires/kubernetes-elasticsearch-cluster" target="_blank">https://github.com/pires/kubernetes-elasticsearch-cluster</a></li> <li><a href="https://github.com/fluent/fluentd-kubernetes-daemonset.git" target="_blank">https://github.com/fluent/fluentd-kubernetes-daemonset.git</a></li> </ul></li> </ul> <h2 id="镜像的构建">镜像的构建</h2> <p>Search Guard 的安装分为插件安装、初始化和集群设置三个步骤，Pries 镜像中推荐的插件安装方式仅能完成第一步骤，因此这里做一些定制，将前两个步骤在镜像中直接完成。</p> <p>这里我们使用 Pries 镜像为基础：</p> <h3 id="dockerfile">Dockerfile</h3> <pre><code class="language-dockerfile">FROM quay.io/pires/docker-elasticsearch-kubernetes:5.6.3 COPY prepare.sh /tmp RUN sh /tmp/prepare.sh </code></pre> <h3 id="prepare-sh">prepare.sh</h3> <pre><code class="language-bash">#!/bin/sh set -xe export NODE_NAME=&quot;MASTER&quot; # 占位符 # 插件安装 bin/elasticsearch-plugin install -b com.floragunn:search-guard-5:5.6.3-16 # 初始化 chmod a+x plugins/search-guard-5/tools/install_demo_configuration.sh plugins/search-guard-5/tools/install_demo_configuration.sh -y # 清理不必要的配置 sed -i 's/network.host.*0$//' config/elasticsearch.yml sed -i 's/cluster.name.*demo$//' config/elasticsearch.yml </code></pre> <h2 id="运行-es-集群">运行 ES 集群</h2> <p>运行集群之前，注意三处需要修改：</p> <ul> <li>镜像名称。</li> <li><p>环境变量加入：</p> <pre><code class="language-yaml">- name: &quot;NETWORK_HOST&quot; value: &quot;_eth0_&quot; </code></pre></li> <li><p>因为 Search Guard 的加入，Client 的可用检测是失效的，因此需要删除。</p> <pre><code class="language-bash">kubectl apply -f es-discovery-svc.yaml kubectl apply -f es-svc.yaml kubectl apply -f es-master.yaml kubectl apply -f es-client.yaml kubectl apply -f es-data.yaml </code></pre></li> </ul> <p>集群启动之后会处于不可用状态，需要进行 Search guard 设置，使用 kubectl 命令进入任意一个 Master 节点的 Shell，编辑如下文件：</p> <pre><code class="language-bash">#!/bin/bash /elasticsearch/plugins/search-guard-5/tools/sgadmin.sh \ -cd /elasticsearch/plugins/search-guard-5/sgconfig \ -ks /elasticsearch/config/kirk.jks -arc \ -ts /elasticsearch/config/truststore.jks -nhnv -icl \ -h 172.200.62.7 </code></pre> <ul> <li><code>-icl</code> 参数用于禁止证书 CN 的检查。</li> <li><code>-h</code> 指定该 Pod 的地址。</li> <li><code>-arc</code> 接受状态为 RED 的集群操作。</li> </ul> <p>这样就完成了 ES 集群的初始化设置，并且开始运行。 这时我们如果访问其服务，例如：<code>https://node.port:9200</code>，如果弹出安全警告，在选择不检查证书之后，会弹出验证窗口，输入预置的：<code>admin/admin</code> 就能看到正常的 API 页面了。</p> <h2 id="fluentd">Fluentd</h2> <p>因为我们的 Fluentd 需要访问 https 协议的有认证要求的 ES 集群，所以这里使用 ConfigMap 的方式，为 Fluentd 加载修改好的配置文件。</p> <p>首先使用 <code>docker cp</code> 命令，或者直接从源码中获取 fluent.conf 和 kubernetes.conf 两个文件。</p> <p>在 fluent.conf 的 es 配置中加入 <code>ssl_verify false</code> 一行。</p> <p><code>--from-file</code> 开关将上文中的两个配置文件加入 ConfigMap。</p> <p>修改 DaemonSet 的源码：</p> <pre><code class="language-yaml">... # 接入配置 - name: FLUENT_ELASTICSEARCH_SCHEME value: &quot;https&quot; - name: FLUENT_ELASTICSEARCH_USER value: &quot;admin&quot; - name: FLUENT_ELASTICSEARCH_PASSWORD value: &quot;admin&quot; ... # 配置文件 volumeMounts: ... - name: etc mountPath: /fluentd/etc terminationGracePeriodSeconds: 30 volumes: ... - name: etc configMap: name: fluentd-config </code></pre> <p>这样，Fluentd 就能成功连接 es 并发送日志了。</p> <h2 id="kibana">Kibana</h2> <p>和 Fluentd 的情况类似，也需要创建他的配置文件，并在 kibana.yml 原有内容基础上增加几行：</p> <pre><code class="language-yaml">elasticsearch.username: &quot;admin&quot; elasticsearch.password: &quot;admin&quot; elasticsearch.ssl.verificationMode: none </code></pre> <p>另外在他的 Deployment 描述中，需要将 ES 集群接口地址改为 https 协议。</p> <p>启用后，打开 Kibana 页面，就会弹出认证要求。</p> <h2 id="curator">Curator</h2> <p>编辑 es-curator-config.yml，修改：</p> <pre><code class="language-yaml">use_ssl: True ssl_no_validate: True http_auth: admin:admin </code></pre> <p>然后创建 ConfigMap 和 Cronjob 对象即可。</p> <h2 id="补充">补充</h2> <ul> <li><p>sgadmin 及其配置有着相当丰富的功能，例如用户和角色的管理等。</p></li> <li><p>证书也是可以使用合法证书进行替代的，不一定需要使用自这个过程中生成的自签名证书。</p></li> </ul>