Để tạo chứng chỉ và khóa riêng cho Elasticsearch bằng cách sử dụng openssl, bạn có thể làm theo các bước sau:
1. Tạo khóa riêng tư (Private Key)
Sử dụng lệnh sau để tạo một khóa riêng tư 2048-bit:
openssl genpkey -algorithm RSA -out elasticsearch.key -pkeyopt rsa_keygen_bits:2048
2. Tạo tệp CSR (Certificate Signing Request)
Sau khi có khóa riêng tư, bạn cần tạo một tệp yêu cầu chứng chỉ (CSR). Đây là nơi bạn cung cấp thông tin về tổ chức và miền của mình:
openssl req -new -key elasticsearch.key -out elasticsearch.csr
Bạn sẽ được yêu cầu nhập thông tin như quốc gia, tiểu bang, tên tổ chức, tên miền (CN), v.v. Ví dụ:
Country Name (2 letter code) [AU]:VN
State or Province Name (full name) [Some-State]:Hanoi
Locality Name (eg, city) []:Hanoi
Organization Name (eg, company) [Internet Widgits Pty Ltd]:MyCompany
Organizational Unit Name (eg, section) []:IT
Common Name (e.g. server FQDN or YOUR name) []:elasticsearch.local
- Tạo chứng chỉ tự ký (Self-signed Certificate) Sử dụng khóa riêng và tệp CSR để tạo chứng chỉ tự ký:
openssl x509 -req -days 365 -in elasticsearch.csr -signkey elasticsearch.key -out elasticsearch.crt
Dưới đây là một ví dụ cấu hình file Deployment cho Elasticsearch trên Kubernetes, kèm theo cấu hình ConfigMap để lưu trữ chứng chỉ bảo mật (TLS certificates) cho Elasticsearch.
1. ConfigMap để lưu trữ chứng chỉ
Bạn sẽ cần tạo một ConfigMap để lưu các chứng chỉ và khóa riêng tư sử dụng trong Elasticsearch. Giả sử bạn có tệp chứng chỉ elasticsearch.crt và khóa riêng tư elasticsearch.key, chúng ta sẽ lưu chúng vào ConfigMap.
apiVersion: v1
kind: ConfigMap
metadata: name: elasticsearch-certificates namespace: elk
data: elasticsearch.crt: | -----BEGIN CERTIFICATE----- # Nội dung của chứng chỉ -----END CERTIFICATE----- elasticsearch.key: | -----BEGIN PRIVATE KEY----- # Nội dung của khóa riêng tư -----END PRIVATE KEY----- 2. File Deployment cho Elasticsearch
Dưới đây là file Deployment cơ bản cho Elasticsearch sử dụng chứng chỉ từ ConfigMap.
apiVersion: apps/v1
kind: Deployment
metadata: name: elasticsearch namespace: elk
spec: replicas: 1 selector: matchLabels: app: elasticsearch template: metadata: labels: app: elasticsearch spec: containers: - name: elasticsearch image: docker.elastic.co/elasticsearch/elasticsearch:8.1.2 ports: - containerPort: 9200 - containerPort: 9300 env: - name: discovery.type value: single-node - name: ELASTIC_PASSWORD value: "your_elasticsearch_password" - name: xpack.security.enabled value: "true" - name: xpack.security.transport.ssl.enabled value: "true" - name: xpack.security.http.ssl.enabled value: "true" volumeMounts: - name: elasticsearch-certificates mountPath: /usr/share/elasticsearch/config/certs readOnly: true volumes: - name: elasticsearch-certificates configMap: name: elasticsearch-certificates securityContext: fsGroup: 1000 runAsUser: 1000
---
apiVersion: v1
kind: Service
metadata: name: elasticsearch namespace: elk
spec: ports: - port: 9200 name: http - port: 9300 name: transport selector: app: elasticsearch Giải thích cấu hình: ConfigMap lưu chứng chỉ: Chúng ta tạo một ConfigMap có chứa chứng chỉ và khóa riêng tư sử dụng để thiết lập SSL cho Elasticsearch.
Deployment cho Elasticsearch:
Environment Variables: Một số biến môi trường được sử dụng để bật tính năng bảo mật của Elasticsearch (xpack.security.enabled, xpack.security.transport.ssl.enabled, xpack.security.http.ssl.enabled). Volumes: Sử dụng volumeMounts để gắn chứng chỉ từ ConfigMap vào container Elasticsearch tại thư mục /usr/share/elasticsearch/config/certs. Dịch vụ (Service): Expose Elasticsearch với 2 cổng: 9200 cho HTTP và 9300 cho giao thức Transport.
Sau khi tạo xong cấu hình này, bạn có thể triển khai bằng lệnh kubectl:
kubectl apply -f elasticsearch-configmap.yaml
kubectl apply -f elasticsearch-deployment.yaml
Nhớ thay thế nội dung chứng chỉ trong ConfigMap và mật khẩu Elasticsearch theo yêu cầu của bạn.