diff --git a/changePassword.sh b/changePassword.sh new file mode 100644 index 0000000..b1fd4ea --- /dev/null +++ b/changePassword.sh @@ -0,0 +1,19 @@ +#!/bin/bash +curl -X POST -v -k --cacert /usr/share/elasticsearch/config/certificates/ca/ca.crt "https://elasticsearch1:9200/_security/user/kibana/_password?pretty" -u elastic:PleaseChangeMe -H 'Content-Type: application/json' -d' { "password" : "PleaseChangeMe" } ' + +if [[ $? == 51 ]] +then + echo "Connect but it not secure So fail to change Password" +else + echo "Skip SSL Secure Connection by -k argument so Change password Success" +fi + +echo "=======" +echo "Variable two sign : $$?" +echo "Variable single sign: $?" + +#!/bin/bash + +curl -k https://elasticsearch1:9200 + +echo "Yeah $?" diff --git a/docker-compose-elastic-http.yml b/docker-compose-elastic-http.yml new file mode 100644 index 0000000..2d092b1 --- /dev/null +++ b/docker-compose-elastic-http.yml @@ -0,0 +1,179 @@ +version: '3.3' +services: + elasticsearch1: + image: docker.elastic.co/elasticsearch/elasticsearch:7.7.0 + container_name: elasticsearch1 + restart: always + environment: + - node.name=elasticsearch1 + # จะทำให้มันไม่ยอมเข้าไปอยู่ใน cluster และเอาตัวเองเป้น master เสมอเลย + # - discovery.type=single-node + - cluster.name=es-docker-cluster + # เวลา scan Elasticsearch จะเช็ค Auto internal Transport Layer บน Port 9300-9305 ทันทีและรวบเข้า Cluster + # ระหว่างทางสามารถเพิ่มลดได้ตามใจชอบระบบจะ Detect เองอัตโนมัติ + - discovery.seed_hosts=elasticsearch1,elasticsearch2,elasticsearch3 + - cluster.initial_master_nodes=elasticsearch1,elasticsearch2,elasticsearch3 + - bootstrap.memory_lock=true + - "ES_JAVA_OPTS=-Xms512m -Xmx512m" + - http.cors.enabled=true + - http.cors.allow-origin=* + # ผูกเข้ากับ interface คอมเราผ่าน ifconfig + - network.host=_eth0_ + # หลังติดตั้งเสร็จแล้วต้องรันคำสั่ง bin/elasticsearch-setup-passwords interactive + # เพื่อให้ xpack module ที่ลงไว้ทำการตั้ง password ตามที่เราตั้งด้วยนั่นเอง + # ถ้าใช้ xpack บน cluster mode จะโดน bootstrap สั่งให้ทำ TLS ด้วยทันทีไม่งั้นจะ bootstrap ไม่ผ่าน + - ELASTIC_PASSWORD=$ELASTIC_PASSWORD + - xpack.security.enabled=true + - xpack.security.http.ssl.enabled=false + # - xpack.security.http.ssl.key=$CERTS_DIR/instance/instance.key + # - xpack.security.http.ssl.certificate_authorities=$CERTS_DIR/ca/ca.crt + # - xpack.security.http.ssl.certificate=$CERTS_DIR/instance/instance.crt + - xpack.security.transport.ssl.enabled=true + - xpack.security.transport.ssl.verification_mode=certificate + - xpack.security.transport.ssl.certificate_authorities=$CERTS_DIR/ca/ca.crt + - xpack.security.transport.ssl.certificate=$CERTS_DIR/instance/instance.crt + - xpack.security.transport.ssl.key=$CERTS_DIR/instance/instance.key + # จำเป็นต้องปิดการ swap memory เมื่อทำ cluster node เพราะว่า + ulimits: + memlock: + soft: -1 + hard: -1 + volumes: + - data01:/usr/share/elasticsearch/data + # volume certs นี้ยังแชร์กับ create-cert.yml service อีกด้วยเพราะว่า namespace ชื่อเดียวกัน + # ทำให้ทำการ mount cert เข้าไปหาทุกๆ node ได้อีกด้วย !!! + - certs:$CERTS_DIR + networks: + - elastic + ports: + - 9200:9200 + # healthcheck: + # test: curl -k https://elasticsearch1:9200; if [[ $? == 0 ]]; then echo 0; else echo 1; fi + # interval: 30s + # timeout: 10s + # retries: 5 + + elasticsearch2: + image: docker.elastic.co/elasticsearch/elasticsearch:7.7.0 + container_name: elasticsearch2 + restart: always + environment: + - node.name=elasticsearch2 + - cluster.name=es-docker-cluster + - discovery.seed_hosts=elasticsearch1,elasticsearch2,elasticsearch3 + - cluster.initial_master_nodes=elasticsearch1,elasticsearch2,elasticsearch3 + - bootstrap.memory_lock=true + - "ES_JAVA_OPTS=-Xms512m -Xmx512m" + - http.cors.enabled=true + - http.cors.allow-origin=* + - network.host=_eth0_ + # หลังติดตั้งเสร็จแล้วต้องรันคำสั่ง bin/elasticsearch-setup-passwords interactive + # เพื่อให้ xpack module ที่ลงไว้ทำการตั้ง password ตามที่เราตั้งด้วยนั่นเอง + # ถ้าใช้ xpack บน cluster mode จะโดน bootstrap สั่งให้ทำ TLS ด้วยทันทีไม่งั้นจะ bootstrap ไม่ผ่าน + - ELASTIC_PASSWORD=$ELASTIC_PASSWORD + - xpack.security.enabled=true + - xpack.security.http.ssl.enabled=false + # - xpack.security.http.ssl.key=$CERTS_DIR/instance/instance.key + # - xpack.security.http.ssl.certificate_authorities=$CERTS_DIR/ca/ca.crt + # - xpack.security.http.ssl.certificate=$CERTS_DIR/instance/instance.crt + - xpack.security.transport.ssl.enabled=true + - xpack.security.transport.ssl.verification_mode=certificate + - xpack.security.transport.ssl.certificate_authorities=$CERTS_DIR/ca/ca.crt + - xpack.security.transport.ssl.certificate=$CERTS_DIR/instance/instance.crt + - xpack.security.transport.ssl.key=$CERTS_DIR/instance/instance.key + # จำเป็นต้องปิดการ swap memory เมื่อทำ cluster node เพราะว่า + ulimits: + memlock: + soft: -1 + hard: -1 + volumes: + - data02:/usr/share/elasticsearch/data + - certs:$CERTS_DIR + networks: + - elastic + + + elasticsearch3: + image: docker.elastic.co/elasticsearch/elasticsearch:7.7.0 + container_name: elasticsearch3 + restart: always + environment: + - node.name=elasticsearch3 + - cluster.name=es-docker-cluster + - discovery.seed_hosts=elasticsearch1,elasticsearch2,elasticsearch3 + - cluster.initial_master_nodes=elasticsearch1,elasticsearch2,elasticsearch3 + - bootstrap.memory_lock=true + - "ES_JAVA_OPTS=-Xms512m -Xmx512m" + - http.cors.enabled=true + - http.cors.allow-origin=* + - network.host=_eth0_ + # ด้วยสาม parameter นี้จะทำให้ Elasticsearch Node นี้เป็นแค่ Coordinate ใช้ประสานคำสั่งเฉยๆ + # จะไม่มีการเก้บข้อมูลใดๆที่ตัวมันดังนั้น Volume จึงไม่ทำงานและห้ามใช้ด้วยนั่นเอง ถ้าใช้ก็จะบึ้มเพราะเป็น Coordinate Node + - node.master=false + - node.data=false + - node.ingest=false + # หลังติดตั้งเสร็จแล้วต้องรันคำสั่ง bin/elasticsearch-setup-passwords interactive + # เพื่อให้ xpack module ที่ลงไว้ทำการตั้ง password ตามที่เราตั้งด้วยนั่นเอง + # ถ้าใช้ xpack บน cluster mode จะโดน bootstrap สั่งให้ทำ TLS ด้วยทันทีไม่งั้นจะ bootstrap ไม่ผ่าน + - ELASTIC_PASSWORD=$ELASTIC_PASSWORD + - xpack.security.enabled=true + - xpack.security.http.ssl.enabled=false + # - xpack.security.http.ssl.key=$CERTS_DIR/instance/instance.key + # - xpack.security.http.ssl.certificate_authorities=$CERTS_DIR/ca/ca.crt + # - xpack.security.http.ssl.certificate=$CERTS_DIR/instance/instance.crt + - xpack.security.transport.ssl.enabled=true + - xpack.security.transport.ssl.verification_mode=certificate + - xpack.security.transport.ssl.certificate_authorities=$CERTS_DIR/ca/ca.crt + - xpack.security.transport.ssl.certificate=$CERTS_DIR/instance/instance.crt + - xpack.security.transport.ssl.key=$CERTS_DIR/instance/instance.key + # จำเป็นต้องปิดการ swap memory เมื่อทำ cluster node เพราะว่า + ulimits: + memlock: + soft: -1 + hard: -1 + volumes: + - certs:$CERTS_DIR + # - data03:/usr/share/elasticsearch/data + networks: + - elastic + + kibana: + image: docker.elastic.co/kibana/kibana:7.7.0 + container_name: kibana + restart: always + environment: + # env ที่อยู่ตรงนี้คือตัวเดียวกับใน kibana.yml แต่จะเขียนด้วย format KEY_PROPERTY: value + # ซึ่งถ้าเป้นใน kibana.yml จะเขียนด้วย key.property: value แทนนั่นเอง มีค่าเท่ากัน + # SERVER_NAME: localhost + # ELASTICSEARCH_URL: http://elasticsearch:9200 + - ELASTICSEARCH_PASSWORD=$ELASTIC_PASSWORD + ports: + - 5601:5601 + volumes: + - ./kibana.yml:/usr/share/kibana/config/kibana.yml + - certs:$CERTS_DIR + networks: + - elastic + # command: > + # bash -c ' + # curl -X POST -v -k --cacert /usr/share/elasticsearch/config/certificates/ca/ca.crt "https://elasticsearch1:9200/_security/user/kibana/_password?pretty" -u elastic:PleaseChangeMe -H 'Content-Type: application/json' -d' { "password" : "PleaseChangeMe" } ' + + # if [[ $? == 51 ]] + # then + # echo "Connect but it not secure So fail to change Password" + # else + # echo "Skip SSL Secure Connection by -k argument so Change password Success" + # fi + # ' + # depends_on: {"elasticsearch1": {"condition": "service_healthy"}} + +networks: + elastic: + +volumes: # volume แบบใช้ในตัว dcoker machine ให้จัดการเอง + data01: + driver: local + data02: + driver: local + certs: + driver: local diff --git a/docker-compose-elastic.yml b/docker-compose-elastic-ssl.yml similarity index 87% rename from docker-compose-elastic.yml rename to docker-compose-elastic-ssl.yml index 0cb7656..d371ff1 100644 --- a/docker-compose-elastic.yml +++ b/docker-compose-elastic-ssl.yml @@ -11,6 +11,7 @@ services: - cluster.name=es-docker-cluster # เวลา scan Elasticsearch จะเช็ค Auto internal Transport Layer บน Port 9300-9305 ทันทีและรวบเข้า Cluster # ระหว่างทางสามารถเพิ่มลดได้ตามใจชอบระบบจะ Detect เองอัตโนมัติ + # sudo sysctl -w vm.max_map_count=262144 ถ้าทำ cluster ต้องขยาย memmory ด้วยไม่งั้นจะ fail - discovery.seed_hosts=elasticsearch1,elasticsearch2,elasticsearch3 - cluster.initial_master_nodes=elasticsearch1,elasticsearch2,elasticsearch3 - bootstrap.memory_lock=true @@ -24,11 +25,11 @@ services: # ถ้าใช้ xpack บน cluster mode จะโดน bootstrap สั่งให้ทำ TLS ด้วยทันทีไม่งั้นจะ bootstrap ไม่ผ่าน - ELASTIC_PASSWORD=$ELASTIC_PASSWORD - xpack.security.enabled=true - - xpack.security.http.ssl.enabled=true + - xpack.security.http.ssl.enabled=false - xpack.security.http.ssl.key=$CERTS_DIR/instance/instance.key - xpack.security.http.ssl.certificate_authorities=$CERTS_DIR/ca/ca.crt - xpack.security.http.ssl.certificate=$CERTS_DIR/instance/instance.crt - - xpack.security.transport.ssl.enabled=true + - xpack.security.transport.ssl.enabled=false - xpack.security.transport.ssl.verification_mode=certificate - xpack.security.transport.ssl.certificate_authorities=$CERTS_DIR/ca/ca.crt - xpack.security.transport.ssl.certificate=$CERTS_DIR/instance/instance.crt @@ -47,6 +48,11 @@ services: - elastic ports: - 9200:9200 + # healthcheck: + # test: curl -k https://elasticsearch1:9200; if [[ $? == 0 ]]; then echo 0; else echo 1; fi + # interval: 30s + # timeout: 10s + # retries: 5 elasticsearch2: image: docker.elastic.co/elasticsearch/elasticsearch:7.7.0 @@ -67,11 +73,11 @@ services: # ถ้าใช้ xpack บน cluster mode จะโดน bootstrap สั่งให้ทำ TLS ด้วยทันทีไม่งั้นจะ bootstrap ไม่ผ่าน - ELASTIC_PASSWORD=$ELASTIC_PASSWORD - xpack.security.enabled=true - - xpack.security.http.ssl.enabled=true + - xpack.security.http.ssl.enabled=false - xpack.security.http.ssl.key=$CERTS_DIR/instance/instance.key - xpack.security.http.ssl.certificate_authorities=$CERTS_DIR/ca/ca.crt - xpack.security.http.ssl.certificate=$CERTS_DIR/instance/instance.crt - - xpack.security.transport.ssl.enabled=true + - xpack.security.transport.ssl.enabled=false - xpack.security.transport.ssl.verification_mode=certificate - xpack.security.transport.ssl.certificate_authorities=$CERTS_DIR/ca/ca.crt - xpack.security.transport.ssl.certificate=$CERTS_DIR/instance/instance.crt @@ -112,11 +118,11 @@ services: # ถ้าใช้ xpack บน cluster mode จะโดน bootstrap สั่งให้ทำ TLS ด้วยทันทีไม่งั้นจะ bootstrap ไม่ผ่าน - ELASTIC_PASSWORD=$ELASTIC_PASSWORD - xpack.security.enabled=true - - xpack.security.http.ssl.enabled=true + - xpack.security.http.ssl.enabled=false - xpack.security.http.ssl.key=$CERTS_DIR/instance/instance.key - xpack.security.http.ssl.certificate_authorities=$CERTS_DIR/ca/ca.crt - xpack.security.http.ssl.certificate=$CERTS_DIR/instance/instance.crt - - xpack.security.transport.ssl.enabled=true + - xpack.security.transport.ssl.enabled=false - xpack.security.transport.ssl.verification_mode=certificate - xpack.security.transport.ssl.certificate_authorities=$CERTS_DIR/ca/ca.crt - xpack.security.transport.ssl.certificate=$CERTS_DIR/instance/instance.crt @@ -149,7 +155,19 @@ services: - certs:$CERTS_DIR networks: - elastic + # command: > + # bash -c ' + # curl -X POST -v -k --cacert /usr/share/elasticsearch/config/certificates/ca/ca.crt "https://elasticsearch1:9200/_security/user/kibana/_password?pretty" -u elastic:PleaseChangeMe -H 'Content-Type: application/json' -d' { "password" : "PleaseChangeMe" } ' + # if [[ $? == 51 ]] + # then + # echo "Connect but it not secure So fail to change Password" + # else + # echo "Skip SSL Secure Connection by -k argument so Change password Success" + # fi + # ' + # depends_on: {"elasticsearch1": {"condition": "service_healthy"}} + networks: elastic: diff --git a/init.sh b/init.sh new file mode 100644 index 0000000..5f9faac --- /dev/null +++ b/init.sh @@ -0,0 +1,3 @@ +#!/bin/bash +sysctl -w vm.max_map_count=262144 + diff --git a/kibana.yml b/kibana.yml index 1f5f43f..5b6a24f 100644 --- a/kibana.yml +++ b/kibana.yml @@ -10,14 +10,14 @@ server.host: 0.0.0.0 # แทนที่จะเป็น ชื่อ Container ซึ่งการแก้ก็คือนำ Kubernetes มาสร้าง Network Overlay ไว้นั่นเอง !!! เพราะ K8s จะรวม # Pods หลายๆตัวให้เป้น Service และใช้ URL Domain นั้นแทนได้ !!! # elasticsearch.hosts: [ "http://elasticsearch1:9200"] -elasticsearch.hosts: ["https://elasticsearch1:9200" ] +elasticsearch.hosts: ["http://elasticsearch1:9200" ] # user ต้องเป้น user ชื่อ kibana เท่านั้นเพราะเงื่อนไขการติดต่อคือ # user ต้องตรงกับ app เช่น apm ต้องใช้ apm ไม่งั้นจะเข้าไมไ่ด้ !!! # ส่วน user elastic มีไว้ใช้ login กับ elastic ไม่เกีย่วกับ user ของ kibana !!! elasticsearch.username: "kibana" elasticsearch.password: "PleaseChangeMe" -server.ssl.enabled: true -server.ssl.key: /usr/share/elasticsearch/config/certificates/instance/instance.key -server.ssl.certificate: /usr/share/elasticsearch/config/certificates/instance/instance.crt -elasticsearch.ssl.certificateAuthorities: /usr/share/elasticsearch/config/certificates/ca/ca.crt -elasticsearch.ssl.verificationMode: certificate \ No newline at end of file +# server.ssl.enabled: false +# server.ssl.key: /usr/share/elasticsearch/config/certificates/instance/instance.key +# server.ssl.certificate: /usr/share/elasticsearch/config/certificates/instance/instance.crt +# elasticsearch.ssl.certificateAuthorities: /usr/share/elasticsearch/config/certificates/ca/ca.crt +# elasticsearch.ssl.verificationMode: certificate \ No newline at end of file