Elastic Fleet Server部署的注意事项

Raven95676

本文默认用户在Linux环境下进行操作。其他平台的文件路径和命令语法可能有所不同，请根据实际情况自行调整。

本文基于个人经验，并参考了官方文档进行编写，若有不准确之处，欢迎指正。

————<这是一条分割线>————

根据官方文档，Elastic 在安装时会自动在 /etc/elasticsearch/certs 目录下生成所需证书：



然而，在部署 Fleet Server 后，即便已经信任了 http_ca.crt，后续注册 Elastic Agent 时仍需要通过添加 --insecure 参数以跳过证书校验。

这是因为在默认设置下，Fleet Server 会自动生成自签名证书，而该证书并非由 http_ca.crt 签发。

所以如果希望后续注册 Elastic Agent 时无需添加 --insecure 参数，我们需要手动使用 http_ca.crt 签发一个供 Fleet Server 使用的证书。

现在我们只有 http_ca.crt，但缺少对应的密钥文件。该密钥文件包含在 http.p12 文件中。要提取密钥，首先需要执行以下命令来查看该 PKCS#12 密钥库的导入密码

1. sudo /usr/share/elasticsearch/bin/elasticsearch-keystore show xpack.security.http.ssl.keystore.secure_password

复制代码

输入下面的命令得到private.key：

1. sudo openssl pkcs12 -in /etc/elasticsearch/certs/http.p12 -out /etc/elasticsearch/certs/private.key -nocerts -nodes

复制代码

当提示“Enter Import Password:”时，输入上一步得到的导入密码。

好了，我们已经得到了key文件（用完记得删除），可以签发证书了。执行以下命令签发 Fleet Server 所需的证书：

1. sudo /usr/share/elasticsearch/bin/elasticsearch-certutil cert \
   
2.   --name fleet-server \
   
3.   --ca-cert /etc/elasticsearch/certs/http_ca.crt \
   
4.   --ca-key /etc/elasticsearch/certs/private.key \
   
5.   --dns （主机名） \
   
6.   --ip （主机ip） \
   
7.   --pem

复制代码

该命令将生成一个包含 fleet-server.crt 和 fleet-server.key 文件的 zip 压缩包。解压该文件，并将其存储在安全位置。

万事俱备，只欠东风。在fleet server注册的页面选择“Advanced”。



其余步骤不再赘述，这里仅说明有关于证书的步骤。

选择“生产”。



点击“生成服务令牌”后，页面将显示 Fleet Server 的安装命令，其中部分参数需要自定义（部分命令已省略）：

1. sudo ./elastic-agent install --url=（自动生成的信息） \
   
2.   --fleet-server-es=（自动生成的信息） \
   
3.   --fleet-server-service-token=（自动生成的信息） \
   
4.   --fleet-server-policy=（自动生成的信息） \
   
5.   --fleet-server-es-ca-trusted-fingerprint=（自动生成的信息） \
   
6.   --certificate-authorities=（http_ca.crt的位置，默认为/etc/elasticsearch/certs/http_ca.crt） \
   
7.   --fleet-server-cert=（fleet-server.crt的位置） \
   
8.   --fleet-server-cert-key=（fleet-server.key的位置）\
   
9.   --fleet-server-port=（自动生成的信息）

复制代码

这样，只需后继的agent注册前信任http_ca.crt，就不再需要添加--insecure参数。