fbpx

Elasticsearch 介紹 – 單節點安裝建置篇

Elastic 技術專欄 2022 年 8 月 24 日 最後更新時間 : 2023 年 3 月 19 日

本篇文章說明 ElasticsearchL 8.3.3 單節點的安裝步驟,告訴大家如何快速架設一個單節點的 Elasticsearch。若對 Elasticsearch 還不是很熟悉的朋友,可以參考 Elasticsearch 介紹 – 基本概念篇

本篇文章你會學到:

  1. 單節點安裝
  2. Elasticsearch 基本 API 指令

那我們廢話不多說,馬上開始建立我們第一個 Elasticsearch 吧!

單節點安裝建置

前置作業

  1. 準備環境,筆者環境規格如下:
OSCPUMemoryDisk
CentOS 7.94 vCores8 G50 G
  1. 確認 Elasticsearch 和作業系統版本是否匹配:Support Matrix | Elastic
  2. 下載 Elasticsearch:8.3.3:https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-8.3.3-x86_64.rpm
  3. Elasticsearch 使用 java 開發,因此安裝包內皆會自帶 OpenJDK
  4. Elasticsearch 預設目錄:
名稱描述路徑
elasticsearch 設定檔/etc/elasticsearch/elasticsearch.yml
elasticsearch java 設定檔/etc/elasticsearch/jvm.options
elasticsearch 憑證存放目錄/etc/elasticsearch/certs/
elasticsearch log/var/log/elasticsearch/elasticsearch.log
elasticsearch data/var/lib/elasticsearch

安裝步驟

  1. 確認作業系統版本
$ sudo cat /etc/redhat-release
CentOS Linux release 7.9.2009 (Core)
  1. 關閉防火牆

為了快速建立,筆者先關閉防火牆。若大家有需要,也可為 Elasticsearch 設定防火牆規則。

$ sudo systemctl stop firewalld
$ sudo systemctl status firewalld
  1. 建立管理目錄

建立專用目錄是筆者習慣,對於未來要增加新的 Elasticsearchs 安裝包或其他 Elasticsearch 相關東西,管理上會更加方便。

$ mkdir -p ~/elk/es

切換至該目錄下

$ cd ~/elk/es
  1. 下載 Elasticsearch GPG Key (選擇性)

此步驟為選擇性,即使不安裝也不會影響,頂多會在後續安裝時跳出告警訊息。

GPG Key 的目的簡單來說,是用於驗證安裝包是否和官方相符。

$ sudo rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch
  1. 下載 Elasticsearch:8.3.3 安裝包及 sha 檔
$ wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-8.3.3-x86_64.rpm
$ wget 
https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-8.3.3-x86_64.rpm.sha512
  1. 確認檔案並驗證

檔案若無損壞,則會回傳:OK。

$ ll $ shasum -a 512 -c elasticsearch-8.3.3-x86_64.rpm.sha512

注意:若出現 bash: shasum: command not found,請執行以下指令:

$ sudo yum install -y perl-Digest-SHA
  1. 安裝 Elasticsearch
$ sudo rpm --install elasticsearch-8.3.3-x86_64.rpm

從以上資訊我們可以注意到 5 個階段:

a. 內建腳本會自動幫我們建立 Elasticsearch 的使用者及群組
b. 預設開啟 HTTP/Transport 的加密模式
c. 提供 Elasticsearch 的 superuser 密碼 (此為預設值,可更改,務必記下來!!!)
d. 改預設密碼的指令
e. 建立 token 值的指令(是不是跟 k8s 有點像~)

  1. 編輯 jvm.options 文件

預設是使用 4G,但因為筆者環境記憶體資源不夠多,因此將設定改為 1G。

$ sudo vi /etc/elasticsearch/jvm.options

更改前:

更改後:

  1. 重新加載配置文件
$ sudo systemctl daemon-reload
  1. 設定開機自動啟動 (選擇性)
$ sudo systemctl enable elasticsearch.service
  1. 啟動 Elasticsearch 服務
$ sudo systemctl start elasticsearch.service
$ sudo systemctl status elasticsearch.service

Elasticsearch API

在進行 Elasticsearch API 操作之前,這邊為大家解析 Linux 裡,常用來呼叫 API 的指令及其組成方式,以便大家理解。

呼叫 Elasticseach API 基本組成如下:

curl --cacert <Cert_Path> -u <User_Name:Password> https://<IP | Domain_Name>:<Port_Number>

A:透過 HTTP Protocol 來呼叫 API 的指令

B:開啟 TLS 模式時,需指定憑證檔路徑。(Elasticserch 從版本 8 開始,預設開啟 TLS)。

C:使用者名稱和密碼。

D:服務的網址。這邊需要特別注意是否有開啟 TLS 模式:

  • 開啟 TLS:https
  • 未開啟 TLS:http

常用 Elasticsearch API

  1. 確認 Elasticsearch 版本資訊
$ sudo curl --cacert /etc/elasticsearch/certs/http_ca.crt -u elastic:oYt3J2uBZnHNLNhmoNxY https://localhost:9200
  1. 確認節點狀態
$ sudo curl --cacert /etc/elasticsearch/certs/http_ca.crt -u elastic:oYt3J2uBZnHNLNhmoNxY https://localhost:9200/_cat/nodes?v
  1. 確認節點或集群的健康狀態
$ sudo curl --cacert /etc/elasticsearch/certs/http_ca.crt -u elastic:oYt3J2uBZnHNLNhmoNxY https://localhost:9200/_cat/health?v

注意:單節點的狀態欄 (Status) 若出現 Yellow 是正常狀況,因為這跟 Elasticsearch 的機制有關。當我們有一筆資料進入 Elasticsearch,預設會建立一個主分片 (Shard) 和副本 (Replica),Elasticsearch 作為分散式資料庫,必須確保災難發生 (如節點故障、服務失效等等) 時,資料不會因為都存在同一台主機上導致遺失或損毀。因此,主分片和副本必定不會被分配到同一個節點上,節點狀態值可參考注意事項的表格。

  1. 確認分片
$ sudo curl --cacert /etc/elasticsearch/certs/http_ca.crt -u elastic:oYt3J2uBZnHNLNhmoNxY https://localhost:9200/_cat/shards?v

注意事項

  1. 節點狀態值
狀態描述
green所有主分片和副本正確分配
yellow1. index 內同一組的主、副分片缺少主分片或副本分片
2. 集群中的節點失效
red1. index 內同一組的主、副分片都已遺失
2. 集群整個重啟時,短時間可能會看到狀態為 red,因為分片正在被分配當中
  1. Elasticsearch 預設不允許使用 root 來啟動服務。
  1. 在終端機上輸入 API 時,若 https 這段有使用參數 &,記得要加上雙引號將其框起來,因為在 Linux 中,參數 & 代表背景執行的意思。範例如下:

因查詢語法裡有參數 &,因此加上雙引號將其框起來 (下方灰框處)。

$ sudo curl --cacert /etc/elasticsearch/certs/http_ca.crt -u elastic:oYt3J2uBZnHNLNhmoNxY "https://localhost:9200/_cat/nodes?v&h=name,ip,pid,r"

若沒有框起來,依然可以執行,但會停留在結果畫面不動,須按 Enter 來結束。

$ sudo curl --cacert /etc/elasticsearch/certs/http_ca.crt -u elastic:oYt3J2uBZnHNLNhmoNxY https://localhost:9200/_cat/nodes?v&h=name,ip,pid,r
  1. 因為 Elasticsearch 的 jvm 預設使用 4G 記憶體,需注意自身主機的記憶體資源,若資源不夠則無法啟動,並出現以下訊息。
$ sudo systemctl start elasticsearch.service

error 資訊:

$ sudo less /var/log/elasticsearch/elasticsearch.log
[2022-08-18T11:06:24,582][ERROR][o.e.b.Elasticsearch      ] [localhost] fatal exception while booting Elasticsearchorg.elasticsearch.bootstrap.StartupException: java.security.AccessControlException: access denied ("java.io.FilePermission" "/tmp" "read")

結語

本次 Elasticsearch 單節點的安裝流程到這邊結束。另外推薦大家可以安裝 Kibana,Kibana 作為圖形化 Dashboard,藉由圖表或視覺化畫面,幫助我們更快上手和管理數據。附上官方連結給大家參考:Install Kibana with RPM | Kibana Guide [8.3] | Elastic

本文章由歐立威技術顧問撰寫而成,轉載請註明出處,內容若有侵權請來信告知

相關文章

Elastic Webinar
《歐立威科技 2022 研討會》9/29 | Elastic Security : 監測 x 告警,揪出潛在威脅!

歐立威科技攜手 Elastic 參展 2022 台灣資安大會,特別舉辦本場資安研討會,更全面地介紹 Elastic 最新的資安解決方案,歡迎報名本場活動 。

18 9 月 2022
Elasticㄧ蘇黎世保險 (Zurich Insurance) 利用 Elastic Cloud 提升顧客信任並拓展未來

蘇黎世保險將資料遷移到 Kubernetes 上的 Elastic Cloud 讓員工快速解決理賠問題。轉移到 Elastic Cloud 大幅簡化了升級和基礎架構調整程序,也利用 Elasticsearch 加速資料洞察、整理與分析客戶資料,專員也能即時解決客戶問題

15 12 月 2021
screenshot-kibana-app-search-analytics
Elastic 網路與電子商務搜尋 – 輕鬆檢索和搜尋您的網站

Elastic Enterprise Search 提供建立網站和電子商務搜尋所需的工具,免維護的爬蟲使內容保持最新,直觀的客製化功能和強大的分析功能可以完全控制搜尋的相關性,透過內建分析自動完成分面搜尋,進行客製化結果排名以深入了解用戶行為,針對您的受眾進行調整。

29 4 月 2022
工業物聯網 (IIoT) 與 Elastic Stack – 上

工業物聯網 (IIoT) 使製造業能從成千上萬個感測器與裝置中獲取資料。連接這些資料對監控生產程序以進行後續的分析非常重要。為了能充分利用異質資料 (heterogeneous data),您需將其儲存在一個單獨的環境中,並能隨需求擴展。Elasticsearch 就是上述情形的最佳選擇。

27 10 月 2021
什麼是 Limitless XDR 一 任意提取、保存、分析安全資料

ELK 將 SIEM 和 Endpoint Security 整合在單一平台,讓用戶從不同來源提取和保留大量資料,也能保留較長時間的資料,此外也用監測及機器學習加強威脅狩獵 (threat hunting)。整合 SIEM 和 Endpoint Security 的解決方案就是 Limitless XDR。

28 12 月 2021
Elastic Security: 雲端安全 – Cloud Security

Elastic Cloud 服務致力於資料安全和隱私保護,仔細審查第三方供應商的同時確保強大的實體安全性控制,藉由內建邏輯安全控制,實施存取控制和日誌紀錄、提供資料可用性,並且遵循 GDPR 和 SOC 2 的營運規則進行全方位漏洞管理,保護您的帳戶。

13 4 月 2022
2023 資安大會
2023 CYBERSEC 資安大會|Elastic Security 資源包,活動時間、白皮書&文章整理、Demo 場次都在這裡!

歐立威科技代表 Elastic 再次參展 2023 資安大會!

我們準備了豐富的內容及活動要和大家分享,還沒報名的朋友趕快報名,跟著這篇文章,讓我們一起進入 Elastic Security 的世界吧!

17 4 月 2023
security-network
Elastic Security – SIEM 資訊安全監控中心

Elastic SIEM 安全工具藉由廣泛收集且保護資料、不斷偵測與調查回應、以及全面的主機和資訊安全事件分析。使用戶可以透過 Elastic Security 監控主機和網路的資料,快速訪問幾乎任何領域的趨勢圖和實現 SecOps,使用機器學習和實體分析,評估風險並發現潛在的安全危脅。

29 12 月 2021
elastic devsecops image
Elastic|DevSecOps 未來大解密!三個 IT 營運和資安的預測

數據規模化後,數據觀測團隊除了需要處理大量的數據,資安也是一定會面臨的問題。整合專業知識、提升透明度及領導層的支持,可以讓企業在安全環境中藉由數據獲得洞見,為企業帶來更多可能。

19 4 月 2022
Elastic一POSCO 獲得以使用者為中心的企業搜尋體驗

透過 Elasticsearch 的可擴展性提供以使用者為中心服務的靈活性。Elastic Stack 的各種產品和功能,包含定期版本升級和版本管理,幫助 POSCO 響應使用者需求,控制和穩定快速地處理大量資料,並定期升級,提升團隊的技術和營運能力,滿足使用者的需求。

02 3 月 2022
531-Elastic-企業版VS社群版
《歐立威科技 2023 研討會》5/31 | Elastic Stack 8.X 企業版 VS. 社群版功能比較

Elastic 企業版和社群版差在哪裡?甚麼情況需要使用企業版?又有甚麼理由要付費呢?本次研討會我們將介紹 Elastic Stack 企業版/社群版在資安以及集群管理的功能比較。

16 5 月 2023
Elastic Cloud Image
Elastic Cloud – 專為雲端服務打造的企業搜尋、可觀測性、安全性解決方案

Elastic Cloud 運用託管服務節省營運開銷時間,讓您在任何的公用雲或多朵雲中輕鬆部署與擴展。Elastic Cloud security 符合企業的安全性和合規性要求,提供資料安全和隱私保護。享受在雲端運行 Elastic 部署,包括節省成本、內建安全的最佳實踐、互動式視覺化實時分析資料等。

11 3 月 2022
10 分鐘了解 Elastic Security 四大功能,端點、雲端安全的全面防護!

Elastic Security 的四大功能(Limitless XDR、SIEM、Endpoint、Cloud)在面對資訊安全的威脅,藉預防和響應提升安全性、準確的洞察力、持續監控,實現了安全營運現代化,並支援跨資料分析、自動化關鍵流程以及原生端點安全性,以提供更專業的整合性的服務。

20 4 月 2022
Elastic & AWS
Elastic Cloud Quick Start 幫助 Elastic 在 AWS 上快速部署

現在,將資料從 AWS 環境中部署、擷取和遷移到 Elastic 上是件輕而易舉的事情,因此您能快速搜集、儲存和查詢資料。並利用 Elastic Cloud Quick Start(一種自動化的參考部署) 的性能,快速建置和啟用您的環境,將先前複雜的手動程序大幅地縮減至幾個步驟!

04 7 月 2022
Elastic Webinar
《歐立威 x Elastic 系列講座》Elastic Observability : 監控 x 管理,數據觀測整合系統!

Elastic Observability 整合了指標數值監測、應用程式效能分析與日誌收集,保存資料並進行需要的稽核(Auditing)與分析(Analytics),提供企業更有效的管理與監控方案。

16 12 月 2021