mise en forme HowtoElasticsearch.md
This commit is contained in:
parent
b2c626039d
commit
608cb57efe
|
@ -218,7 +218,8 @@ On check sur la page `/_cat/health` si le status n'est pas en **red**.
|
||||||
/usr/lib/nagios/plugins/check_http -I 127.0.0.1 -u /_cat/health?h=st -p 9200 -r 'red' --invert-regex
|
/usr/lib/nagios/plugins/check_http -I 127.0.0.1 -u /_cat/health?h=st -p 9200 -r 'red' --invert-regex
|
||||||
~~~
|
~~~
|
||||||
|
|
||||||
**Attention** : Il faut compléter cette commande avec les options suivantes si les options de sécurisation d'elasticsearch son activées ! (ie: Authentification HTTP & Chiffrement avec TLS) :
|
**Attention** : Il faut compléter cette commande avec les options suivantes si les options de sécurisation d'Elasticsearch son activées ! (ie: Authentification HTTP & Chiffrement avec TLS) :
|
||||||
|
|
||||||
* `--authorization 'remote_monitoring_user:xxxx'` - Pour l'authentification HTTP
|
* `--authorization 'remote_monitoring_user:xxxx'` - Pour l'authentification HTTP
|
||||||
* `-S` - Utilisation de TLS
|
* `-S` - Utilisation de TLS
|
||||||
|
|
||||||
|
@ -262,7 +263,7 @@ heap_committed.value 2130051072
|
||||||
|
|
||||||
## Sécurisation
|
## Sécurisation
|
||||||
|
|
||||||
Par défaut, elasticsearch n'est absolument pas sécurisé. Il a donc plusieurs opérations à faire pour sécuriser un nœud ou un cluster.
|
Par défaut, Elasticsearch n'est absolument pas sécurisé. Il a donc plusieurs opérations à faire pour sécuriser un nœud ou un cluster.
|
||||||
|
|
||||||
Elastic définit 3 niveaux de sécurisation :
|
Elastic définit 3 niveaux de sécurisation :
|
||||||
|
|
||||||
|
@ -270,7 +271,7 @@ Elastic définit 3 niveaux de sécurisation :
|
||||||
* Basique (Environnement de production) : Authentification HTTP + Chiffrement inter-nœuds
|
* Basique (Environnement de production) : Authentification HTTP + Chiffrement inter-nœuds
|
||||||
* Basique avec chiffrement des connexion clients : Authentification HTTP + Chiffrement inter-nœuds + HTTPS sur l'interface REST
|
* Basique avec chiffrement des connexion clients : Authentification HTTP + Chiffrement inter-nœuds + HTTPS sur l'interface REST
|
||||||
|
|
||||||
Pour aller plus loin, c'est expliqué en détail dans la documentation d'elasticsearch <https://www.elastic.co/guide/en/elasticsearch/reference/7.17/secure-cluster.html>
|
Pour aller plus loin, c'est expliqué en détail dans la documentation d'Elasticsearch <https://www.elastic.co/guide/en/elasticsearch/reference/7.17/secure-cluster.html>
|
||||||
|
|
||||||
### Authentification HTTP
|
### Authentification HTTP
|
||||||
|
|
||||||
|
@ -357,7 +358,7 @@ Puis redémarrer Kibana `systemctl restart kibana`
|
||||||
|
|
||||||
### Passage en HTTPS
|
### Passage en HTTPS
|
||||||
|
|
||||||
Il y a plusieurs options pour. Le plus simple est de générer une PKI spéciale au cluster elastic avec les outils proposés.
|
Il y a plusieurs options pour. Le plus simple est de générer une PKI spéciale au cluster Elasticsearch avec les outils proposés.
|
||||||
|
|
||||||
#### Amorce de la PKI
|
#### Amorce de la PKI
|
||||||
|
|
||||||
|
@ -694,10 +695,10 @@ On récupère ainsi une archive zip contenant tous les fichiers nécessaires :
|
||||||
2 directories, 7 files
|
2 directories, 7 files
|
||||||
~~~
|
~~~
|
||||||
|
|
||||||
Le dossier `elasticsearch` contient le fichier certificat + clé au format *p12* pour elasticsearch ainsi qu'un extrait de configuration d'exemple pour configurer le HTTPS client. Le dossier `kibana` contient le certificat de la CA (pour pouvoir valider le certificat donné par le serveur elastic) ainsi qu'un extrait de configuration d'exemple pour activer le tls client.
|
Le dossier `elasticsearch` contient le fichier certificat + clé au format *p12* pour Elasticsearch ainsi qu'un extrait de configuration d'exemple pour configurer le HTTPS client. Le dossier `kibana` contient le certificat de la CA (pour pouvoir valider le certificat donné par le serveur Elasticsearch) ainsi qu'un extrait de configuration d'exemple pour activer le tls client.
|
||||||
|
|
||||||
|
|
||||||
> **Note** On pourra ré-utiliser le certificat CA `kibana/elasticsearch-ca.pem` avec tous les services/logiciels clients du cluster elastic pour pouvoir vérifier la validité du certificat donné par le serveur.
|
> **Note** On pourra ré-utiliser le certificat CA `kibana/elasticsearch-ca.pem` avec tous les services/logiciels clients du cluster Elasticsearch pour pouvoir vérifier la validité du certificat donné par le serveur.
|
||||||
|
|
||||||
|
|
||||||
On déplace les fichiers aux bons endroits
|
On déplace les fichiers aux bons endroits
|
||||||
|
|
Loading…
Reference in a new issue