So installieren Sie OpenSearch auf Ubuntu 24.04

OpenSearch ist ein von der Community betriebenes Projekt von Amazon und ein Fork von Elasticsearch und Kibana. Es ist eine vollständig Open-Source-Suchmaschine und Analysesoftware mit umfangreichen Funktionen und innovativer Funktionalität. Die Hauptkomponenten des OpenSearch-Projekts sind OpenSearch (ein Fork von Elasticsearch) und die OpenSearch Dashboards (ein Fork von Kibana). Beide Komponenten bieten Funktionen wie Unternehmenssicherheit, Alarmierung, maschinelles Lernen, SQL, Indexzustandsverwaltung und mehr.

Dieser Leitfaden zeigt Ihnen, wie Sie OpenSearch und OpenSearch Dashboard auf dem Ubuntu 24.04-Server installieren. Sie werden auch OpenSearch mit TLS-Zertifikaten sichern und die Authentifizierung mit Benutzername und Passwort aktivieren.

Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass Sie Folgendes haben:

• Einen Ubuntu 24.04-Server mit mindestens 8 GB RAM
• Einen Nicht-Root-Benutzer mit Administratorrechten

Hinzufügen des OpenSearch-Repositorys

Um zu beginnen, müssen Sie die OpenSearch- und OpenSearch Dashboard-Repositorys zu Ihrem System hinzufügen. In diesem Beispiel verwenden wir die neueste stabile Version von OpenSearch.

Zuerst führen Sie den folgenden Befehl aus, um grundlegende Pakete auf Ihrem Ubuntu-System zu installieren.

sudo apt install lsb-release ca-certificates curl gnupg2 -y

Laden Sie den GPG-Schlüssel für das OpenSearch-Repository mit dem folgenden Befehl herunter.

curl -o- https://artifacts.opensearch.org/publickeys/opensearch.pgp | sudo gpg --dearmor --batch --yes -o /usr/share/keyrings/opensearch-keyring

Fügen Sie die Repositorys für OpenSearch und OpenSearch Dashboard mit dem folgenden Befehl zu Ihrem System hinzu. In diesem Beispiel verwenden Sie die OpenSearch 2.x stabile Version.

echo "deb [signed-by=/usr/share/keyrings/opensearch-keyring] https://artifacts.opensearch.org/releases/bundle/opensearch/2.x/apt stable main" | sudo tee /etc/apt/sources.list.d/opensearch-2.x.list  

echo "deb [signed-by=/usr/share/keyrings/opensearch-keyring] https://artifacts.opensearch.org/releases/bundle/opensearch-dashboards/2.x/apt stable main" | sudo tee /etc/apt/sources.list.d/opensearch-dashboards-2.x.list

Führen Sie schließlich den folgenden ‘ apt ‘ Befehl aus, um Ihren Paketindex zu aktualisieren und neue OpenSearch-Paketinformationen abzurufen.

sudo apt update

Installation von OpenSearch und OpenSearch Dashboard

Nachdem das OpenSearch-Repository hinzugefügt wurde, installieren Sie OpenSearch und OpenSearch Dashboard über den APT-Paketmanager. Dann starten Sie beide Dienste über das ‘ systemctl ‘ Dienstprogramm.

Bevor Sie OpenSearch installieren, führen Sie den folgenden Befehl aus, um ein zufälliges Passwort für die OpenSearch-Installation zu generieren. Stellen Sie sicher, dass Sie die Ausgabe kopieren und Großbuchstaben, Zahlen und Symbole enthalten.

sudo openssl rand -hex 16

Führen Sie nun den folgenden Befehl aus, um die Pakete ‘ opensearch ‘ und ‘ opensearch-dashboard ‘ zu installieren. Stellen Sie sicher, dass Sie das ‘ OPENSEARCH_INITIAL_ADMIN_PASSWORD ‘ ändern und ‘ Y ‘ eingeben, um die Installation zu bestätigen.

sudo env OPENSEARCH_INITIAL_ADMIN_PASSWORD=B07e_af7e9f8fe12e@85ab797ddc1f174Dapt-get install opensearch opensearch-dashboard

Nachdem die Installation abgeschlossen ist, führen Sie den folgenden ‘ systemctl ‘ Befehl aus, um den systemd-Manager neu zu laden und die neuen Dienstdateien anzuwenden.

sudo systemctl daemon-reload

Sie können jetzt OpenSearch mit dem folgenden Befehl starten, aktivieren und überprüfen.

sudo systemctl enable --now opensearch  
sudo systemctl status opensearch

Sie können unten sehen, dass OpenSearch läuft.

Zuletzt können Sie jetzt den OpenSearch Dashboard-Dienst mit dem folgenden Befehl starten, aktivieren und überprüfen.

sudo systemctl enable --now opensearch-dashboards  
sudo systemctl status opensearch-dashboards

Im folgenden Output sehen Sie, dass der ‘ opensearch-dashboards ‘ Dienst läuft.

Konfigurieren von OpenSearch

Nachdem OpenSearch installiert ist, konfigurieren Sie die Installation über die Datei ‘ /etc/opensearch/opensearch.yml ‘. Sie werden auch die standardmäßige maximale JVM (Java Virtual Memory)-Größe für OpenSearch nach Bedarf erhöhen.

Öffnen Sie die Standardkonfigurationsdatei von OpenSearch ‘ /etc/opensearch/opensearch.yml ‘ mit dem ‘ nano ‘ Editor.

sudo nano /etc/opensearch/opensearch.yml

Ändern Sie die folgenden OpenSearch-Konfigurationen:

• • Ändern Sie die Option ‘ network.host ‘ mit Ihrer lokalen IP-Adresse
• • Fügen Sie den ‘ discovery.type ‘ als ‘ single-node ‘ hinzu, um OpenSearch im Einzelmodus auszuführen
• • Setzen Sie ‘ plugins.security.disabled ‘ auf ‘ false ‘

# Binden Sie OpenSearch an die richtige Netzwerkschnittstelle. Verwenden Sie 0.0.0.0  
# um alle verfügbaren Schnittstellen einzuschließen oder geben Sie eine IP-Adresse an,  
# die einer bestimmten Schnittstelle zugewiesen ist.  
network.host: 192.168.10.60  
  
# Es sei denn, Sie haben bereits einen Cluster konfiguriert, sollten Sie  
# discovery.type auf single-node setzen, oder die Bootstrap-Checks werden  
# fehlschlagen, wenn Sie versuchen, den Dienst zu starten.  
discovery.type: single-node  
  
# Wenn Sie das Sicherheitsplugin in opensearch.yml zuvor deaktiviert haben,  
# stellen Sie sicher, dass Sie es wieder aktivieren. Andernfalls können Sie diese Einstellung überspringen.  
plugins.security.disabled: false

Speichern Sie die Datei und beenden Sie den Editor, wenn Sie fertig sind.

Öffnen Sie als Nächstes die JVM (Java Virtual Machine)-Konfiguration ‘ /etc/opensearch/jvm.options ‘ mit dem ‘ nano ‘ Editor.

sudo nano /etc/opensearch/jvm.options

Erhöhen Sie den standardmäßigen maximalen Speicher für OpenSearch nach Bedarf. Der Standardwert beträgt ‘ 1GB ‘.

-Xms2g  
-Xmx2g

Speichern Sie die Datei und beenden Sie den Editor.

Führen Sie schließlich den folgenden ‘ systemctl ‘ Befehl aus, um ‘ opensearch ‘ neu zu starten und Ihre Änderungen anzuwenden. Damit wird OpenSearch auf einer lokalen IP-Adresse im Einzelmodus ausgeführt.

sudo systemctl restart opensearch

Sichern von OpenSearch mit TLS/SSL-Zertifikaten

Jetzt, da Sie OpenSearch konfiguriert haben, müssen Sie die OpenSearch-Sicherheit über SSL/TLS-Zertifikate einrichten. In diesem Abschnitt deaktivieren Sie Demozertifikate und generieren dann Root-Zertifikate, Admin-Zertifikate und Host-/Server-Zertifikate.

Bevor Sie SSL-Zertifikate generieren, löschen Sie Demozertifikate von OpenSearch mit dem folgenden Befehl.

rm -f /opt/opensearch/{esnode-key.pem,esnode.pem,kirk-key.pem,kirk.pem,root-ca.pem}

Bearbeiten Sie die OpenSearch-Konfiguration ‘ /etc/opensearch/opensearch.yml ‘ mit dem ‘ nano ‘ Editor.

sudo nano /etc/opensearch/opensearch.yml

Kommentieren Sie die ‘ demo ‘ Sicherheitskonfiguration für OpenSearch wie folgt.

Speichern Sie die Datei und beenden Sie den Editor.

Erstellen Sie nun ein neues Verzeichnis ‘ /etc/opensearch/certs ‘ und wechseln Sie in dieses Verzeichnis. Dieses Verzeichnis wird verwendet, um neue Zertifikate für OpenSearch zu speichern.

mkdir -p /etc/opensearch/certs; cd /etc/opensearch/certs

Generieren von Root-Zertifikaten

Führen Sie zuerst den folgenden Befehl aus, um Root-Zertifikate zu generieren, die verwendet werden, um Ihre anderen Zertifikate wie Server- und Client-Zertifikate zu signieren.

openssl genrsa -out root-ca-key.pem 2048

Führen Sie nun den folgenden Befehl aus, um ein Root-Zertifikat aus Ihrem privaten Schlüssel zu generieren. Stellen Sie sicher, dass Sie die ‘ -subj ‘ Option mit Ihren Serverdetails ändern.

openssl req -new -x509 -sha256 -key root-ca-key.pem -subj "/C=CA/ST=ONTARIO/L=TORONTO/O=ORG/OU=UNIT/CN=ROOT" -out root-ca.pem -days 730

Generieren von Admin-Zertifikaten

Erstellen Sie einen neuen privaten Schlüssel für Ihr Admin-Zertifikat mit dem folgenden Befehl.

openssl genrsa -out admin-key-temp.pem 2048

Konvertieren Sie Ihren Admin-Schlüssel mit dem folgenden Befehl in das PKCS8-Format.

openssl pkcs8 -inform PEM -outform PEM -in admin-key-temp.pem -topk8 -nocrypt -v1 PBE-SHA1-3DES -out admin-key.pem

Erstellen Sie als Nächstes mit dem folgenden Befehl eine neue Signieranfrage für das Admin-Zertifikat (CSR).

openssl req -new -key admin-key.pem -subj "/C=CA/ST=ONTARIO/L=TORONTO/O=ORG/OU=UNIT/CN=A" -out admin.csr

Führen Sie nun den folgenden Befehl aus, um Ihr neues Admin-Anforderungszertifikat (CSR) mit dem Root-Zertifikat zu signieren.

openssl x509 -req -in admin.csr -CA root-ca.pem -CAkey root-ca-key.pem -CAcreateserial -sha256 -out admin.pem -days 730

Generieren von Host- oder Serverzertifikaten

Generieren Sie den privaten Schlüssel für Ihre OpenSearch-Hosts/Server und konvertieren Sie das Zertifikat in das PKCS8-Format.

openssl genrsa -out ubuntu24-key-temp.pem 2048  
openssl pkcs8 -inform PEM -outform PEM -in ubuntu24-key-temp.pem -topk8 -nocrypt -v1 PBE-SHA1-3DES -out ubuntu24-key.PEM

Führen Sie nun den folgenden Befehl aus, um eine Zertifikatsanforderung (CSR) für Ihren Host zu generieren. Der CN oder Common Name sollte mit dem fqdn Ihres Hostservers übereinstimmen und nicht mit dem Hostnamen. In diesem Beispiel ist der fqdn für den Server ‘ ubuntu24.howtoforge.local ‘.

openssl req -new -key ubuntu24-key.pem -subj "/C=CA/ST=ONTARIO/L=TORONTO/O=ORG/OU=UNIT/CN=ubuntu24.howtoforge.local" -out ubuntu24.csr

Führen Sie als Nächstes den folgenden Befehl aus, um eine neue Erweiterungsdatei zu erstellen, die die DNS Ihres Hosts/Servers enthält.

echo 'subjectAltName=DNS:ubuntu24.howtoforge.local' > ubuntu24.ext

Führen Sie schließlich den folgenden Befehl aus, um das Host-/Serverzertifikat mit dem Root-Zertifikat zu signieren und die zuvor erstellte Erweiterungsdatei einzuschließen.

openssl x509 -req -in ubuntu24.csr -CA root-ca.pem -CAkey root-ca-key.pem -CAcreateserial -sha256 -out ubuntu24.pem -days 730 -extfile ubuntu24.ext

Einrichten von Zertifikaten

Löschen Sie temporäre Zertifikate, CSR (Zertifikatsanforderungen) für den Admin und den Host sowie die Erweiterungsdatei mit dem folgenden Befehl.

rm *temp.pem *csr *ext  
ls

Konvertieren Sie nun das ‘ root-ca.pem ‘ Zertifikat in die ‘ root-ca.crt ‘ Datei mit dem folgenden Befehl.

openssl x509 -outform der -in root-ca.pem -out root-ca.crt

Kopieren Sie anschließend das ‘ root-ca.crt ‘ Zertifikat in das Verzeichnis ‘ /usr/local/share/ca-certificates ‘ und laden Sie Ihr Root-Zertifikat auf den Server.

sudo cp root-ca.crt /usr/local/share/ca-certificates  
sudo update-ca-certificates

Führen Sie schließlich den folgenden Befehl aus, um die richtigen Berechtigungen und den Besitz der Zertifikatsdateien und -verzeichnisse festzulegen.

sudo chown -R opensearch:opensearch /etc/opensearch/certs  
sudo chmod 0700 /etc/opensearch/certs

sudo chmod 0600 /etc/opensearch/certs/*.pem  
sudo chmod 0600 /etc/opensearch/certs/*.crt

Hinzufügen von Zertifikaten zu OpenSearch

Nachdem Sie TLS-Zertifikate für OpenSearch generiert haben, müssen Sie eine neue Konfiguration zur Datei ‘ opensearch.yml ‘ hinzufügen. In diesem Fall fügen Sie eine neue Konfiguration zur ‘opensearch.yml’ über das Bash-Skript hinzu.

Bevor Sie Zertifikate zu Ihrem OpenSearch-Server hinzufügen, führen Sie den folgenden Befehl aus, um die Datei ‘ opensearch.yml ‘ zu sichern und Ihren Server fqdn einzurichten.

sudo cp /etc/opensearch/opensearch.yml /etc/opensearch/opensearch.yml.orig  
sudo hostnamectl set-hostname ubuntu24.howtoforge.local

Erstellen Sie nun eine neue Datei ‘ add-cert.sh ‘ mit dem ‘ nano ‘ Editor.

nano add-cert.sh

Fügen Sie die folgenden Konfigurationen in die Datei ein. Damit fügen Sie neue Konfigurationen zur OpenSearch-Konfigurationsdatei ‘ opensearch.yml ‘ hinzu.

#! /bin/bash  
  
# Bevor Sie dieses Skript ausführen, stellen Sie sicher, dass Sie den CN im  
# Distinguished Name des Knotens durch einen echten DNS A-Eintrag ersetzen.  
  
echo "plugins.security.ssl.transport.pemcert_filepath: /etc/opensearch/certs/ubuntu24.pem" | sudo tee -a /etc/opensearch/opensearch.yml  
echo "plugins.security.ssl.transport.pemkey_filepath: /etc/opensearch/certs/ubuntu24-key.pem" | sudo tee -a /etc/opensearch/opensearch.yml  
echo "plugins.security.ssl.transport.pemtrustedcas_filepath: /etc/opensearch/certs/root-ca.pem" | sudo tee -a /etc/opensearch/opensearch.yml  
echo "plugins.security.ssl.http.enabled: true" | sudo tee -a /etc/opensearch/opensearch.yml  
echo "plugins.security.ssl.http.pemcert_filepath: /etc/opensearch/certs/ubuntu24.pem" | sudo tee -a /etc/opensearch/opensearch.yml  
echo "plugins.security.ssl.http.pemkey_filepath: /etc/opensearch/certs/ubuntu24-key.pem" | sudo tee -a /etc/opensearch/opensearch.yml  
echo "plugins.security.ssl.http.pemtrustedcas_filepath: /etc/opensearch/certs/root-ca.pem" | sudo tee -a /etc/opensearch/opensearch.yml  
echo "plugins.security.allow_default_init_securityindex: true" | sudo tee -a /etc/opensearch/opensearch.yml  
echo "plugins.security.authcz.admin_dn:" | sudo tee -a /etc/opensearch/opensearch.yml  
echo " - 'CN=A,OU=UNIT,O=ORG,L=TORONTO,ST=ONTARIO,C=CA'" | sudo tee -a /etc/opensearch/opensearch.yml  
echo "plugins.security.nodes_dn:" | sudo tee -a /etc/opensearch/opensearch.yml  
echo " - 'CN=ubuntu24.hwdomain.lan,OU=UNIT,O=ORG,L=TORONTO,ST=ONTARIO,C=CA'" | sudo tee -a /etc/opensearch/opensearch.yml  
echo "plugins.security.audit.type: internal_opensearch" | sudo tee -a /etc/opensearch/opensearch.yml  
echo "plugins.security.enable_snapshot_restore_privilege: true" | sudo tee -a /etc/opensearch/opensearch.yml  
echo "plugins.security.check_snapshot_restore_write_privileges: true" | sudo tee -a /etc/opensearch/opensearch.yml  
echo "plugins.security.restapi.roles_enabled: [\"all_access\", \"security_rest_api_access\"]" | sudo tee -a /etc/opensearch/opensearch.yml

Speichern Sie die Datei und beenden Sie den Editor, wenn Sie fertig sind.

Machen Sie nun die Datei ‘ add-cert.sh ‘ ausführbar und führen Sie sie mit dem folgenden Befehl aus. Neue Konfigurationen werden zur Datei ‘opensearch.yml’ hinzugefügt.

chmod +x add-cert.sh  
./add-cert.sh

Sichern von OpenSearch mit Passwortauthentifizierung

An diesem Punkt haben Sie OpenSearch mit SSL/TLS-Zertifikaten konfiguriert, und im nächsten Schritt richten Sie die Passwortauthentifizierung für OpenSearch ein. Sie werden zwei Benutzer einrichten, die verwendet werden, um sich bei OpenSearch anzumelden und in das OpenSearch Dashboard zu integrieren.

Gehen Sie zum Verzeichnis ‘ /usr/share/opensearch/plugins/opensearch-security/tools ‘ und führen Sie das Skript ‘ hash.sh ‘ aus, um ein neues Passwort für OpenSearch zu generieren. Führen Sie ‘ hash.sh ‘ zweimal aus, um zwei Passwörter für OpenSearch und OpenSearch Dashboard zu generieren. Stellen Sie auch sicher, dass Sie das generierte Passwort notieren.

cd /usr/share/opensearch/plugins/opensearch-security/tools  
OPENSEARCH_JAVA_HOME=/usr/share/opensearch/jdk ./hash.sh

Öffnen Sie nun die Datei ‘ /etc/opensearch/opensearch-security/internal_users.yml ‘ mit dem folgenden ‘ nano ‘ Editor.

sudo nano /etc/opensearch/opensearch-security/internal_users.yml

Ändern Sie das Hash-Passwort für die Benutzer ‘ admin ‘ und ‘ kibanaserver ‘ mit Ihrem vorherigen Passwort. Der Benutzer ‘ admin ‘ wird verwendet, um sich beim OpenSearch Dashboard anzumelden, der Benutzer ‘ kibanaserver ‘ wird verwendet, um die Verbindung zwischen OpenSearch und OpenSearch Dashboard herzustellen.

admin:  
hash: "$2y$12$zPtsgbrpfmInPRuDEKvDKetuzhUzsQWyCpE9foT1uun5RTMW51p9K"  
reserved: true  
backend_roles:  
- "admin"  
description: "Admin-Benutzer"  
  
kibanaserver:  
hash: "$2y$12$zPtsgbrpfmInPRuDEKvDKetuzhUzsQWyCpE9foT1uun5RTMW51p9K"  
reserved: true  
description: "Demo OpenSearch Dashboards-Benutzer"

Speichern Sie die Datei und beenden Sie den Editor, wenn Sie fertig sind.

Führen Sie den folgenden Befehl aus, um den ‘ opensearch ‘ Dienst neu zu starten und Ihre Änderungen anzuwenden.

sudo systemctl restart opensearch

Sobald OpenSearch neu gestartet wurde, führen Sie den folgenden Befehl aus, um Ihre SSL-Zertifikate auf OpenSearch anzuwenden.

cd /usr/share/opensearch/plugins/opensearch-security/tools  
OPENSEARCH_JAVA_HOME=/usr/share/opensearch/jdk ./securityadmin.sh -h 192.168.10.60 -p 9200 -cd /etc/opensearch/opensearch-security/ -cacert /etc/opensearch/certs/root-ca.pem -cert /etc/opensearch/certs/admin.pem -key /etc/opensearch/certs/admin-key.pem -icl -nhnv

Wenn alles gut geht, sehen Sie eine Ausgabe wie diese:

Führen Sie schließlich den folgenden ‘ curl ‘ Befehl aus, um die Authentifizierung zum OpenSearch-Server zu überprüfen.

curl https://192.168.10.60:9200 -u admin:password -k  
curl https://node-rock1:9200 -u kibanaserver:kibanapass -k

Wenn es erfolgreich ist, können Sie über das HTTPS-Protokoll mit Ihrem Benutzernamen und Passwort auf OpenSearch zugreifen.

Konfigurieren des OpenSearch Dashboards

Nachdem die Passwortauthentifizierung konfiguriert ist, richten Sie das OpenSearch Dashboard ein, indem Sie die Datei ‘ opensearch-dashboard,yml ‘ bearbeiten.

Öffnen Sie die Konfiguration für das OpenSearch Dashboard ‘ /etc/opensearch-dashboards/opensearch-dashboard.yml ‘ mit dem ‘ nano ‘ Editor.

sudo nano /etc/opensearch-dashboards/opensearch-dashboard.yml

Geben Sie Ihre lokale IP-Adresse in die Option ‘ server.host ‘ wie folgt ein:

server.host: "192.168.10.60"

Stellen Sie sicher, dass Sie den OpenSearch-Host, Benutzernamen und Passwort mit Ihren Informationen ändern.

opensearch.hosts: ["https://192.168.10.60:9200"]  
opensearch.ssl.verificationMode: none  
opensearch.username: kibanaserver  
opensearch.password: kibanapass

Speichern Sie die Datei und beenden Sie den Editor.

Führen Sie nun den folgenden ‘ systemctl ‘ Befehl aus, um das OpenSearch Dashboard neu zu starten und Ihre Änderungen anzuwenden. Damit sollte das OpenSearch Dashboard mit OpenSearch verbunden sein.

sudo systemctl restart opensearch-dashboards

Öffnen Sie als Nächstes Ihren Webbrowser und besuchen Sie http://192.168.10.60:5601. Wenn Ihre Installation erfolgreich ist, sehen Sie die Anmeldeseite des OpenSearch Dashboards.

Geben Sie Ihren Admin-Benutzer und Ihr Passwort ein und klicken Sie auf ‘ Anmelden ‘.

Sobald Sie angemeldet sind, wählen Sie die Option ‘ Daten hinzufügen ‘, um neue Daten hinzuzufügen, oder klicken Sie auf die Option ‘ Selbst erkunden ‘.

Um die Verbindung zwischen OpenSearch und OpenSearch Dashboard sicherzustellen, müssen Sie den OpenSearch-Status vom Dashboard aus überprüfen.

Im Abschnitt ‘ Verwaltung ‘ klicken Sie auf ‘ Entwicklertools ‘.

Geben Sie im Konsolenbereich ‘ GET / ‘ ein und klicken Sie auf die Schaltfläche „Abspielen“. Wenn Ihre Verbindung zu OpenSearch und OpenSearch Dashboard erfolgreich ist, sehen Sie die folgende Seite.

Fazit

Herzlichen Glückwunsch! Sie haben OpenSearch und OpenSearch Dashboard auf dem Ubuntu 24.04-Server installiert. OpenSearch läuft im Einzelmodus, und die Installation ist mit HTTPS gesichert. Zuletzt haben Sie auch die Authentifizierung für OpenSearch konfiguriert und OpenSearch mit dem OpenSearch Dashboard integriert.