Cómo instalar OpenSearch en Ubuntu 24.04

OpenSearch es un proyecto impulsado por la comunidad de Amazon y un fork de Elasticsearch y Kibana. Es un motor de búsqueda y suite de análisis completamente de código abierto con características ricas y funcionalidad innovadora. Los principales componentes del proyecto OpenSearch son OpenSearch (un fork de Elasticsearch) y OpenSearch Dashboards (un fork de Kibana). Ambos componentes proporcionan características como seguridad empresarial, alertas, aprendizaje automático, SQL, gestión del estado del índice y más.

Esta guía te mostrará cómo instalar OpenSearch y OpenSearch Dashboard en el servidor Ubuntu 24.04. También asegurarás OpenSearch con certificados TLS y habilitarás la autenticación con nombre de usuario y contraseña.

Prerrequisitos

Antes de comenzar, asegúrate de tener lo siguiente:

• Un servidor Ubuntu 24.04 con al menos 8GB de RAM
• Un usuario no root con privilegios de administrador

Agregando el repositorio de OpenSearch

Para comenzar, necesitas agregar los repositorios de OpenSearch y OpenSearch Dashboard a tu sistema. En este ejemplo, utilizaremos la última versión estable de OpenSearch.

Primero, ejecuta el siguiente comando para instalar paquetes básicos en tu sistema Ubuntu.

sudo apt install lsb-release ca-certificates curl gnupg2 -y

Descarga la clave GPG para el repositorio de OpenSearch con el siguiente comando.

curl -o- https://artifacts.opensearch.org/publickeys/opensearch.pgp | sudo gpg --dearmor --batch --yes -o /usr/share/keyrings/opensearch-keyring

Agrega los repositorios para OpenSearch y OpenSearch Dashboard a tu sistema con el siguiente comando. En este ejemplo, utilizarás la versión estable de OpenSearch 2.x.

echo "deb [signed-by=/usr/share/keyrings/opensearch-keyring] https://artifacts.opensearch.org/releases/bundle/opensearch/2.x/apt stable main" | sudo tee /etc/apt/sources.list.d/opensearch-2.x.list  

echo "deb [signed-by=/usr/share/keyrings/opensearch-keyring] https://artifacts.opensearch.org/releases/bundle/opensearch-dashboards/2.x/apt stable main" | sudo tee /etc/apt/sources.list.d/opensearch-dashboards-2.x.list

Por último, ejecuta el comando ‘ apt ‘ a continuación para actualizar tu índice de paquetes y recuperar nueva información del paquete OpenSearch.

sudo apt update

Instalando OpenSearch y OpenSearch Dashboard

Después de agregar el repositorio de OpenSearch, instalarás OpenSearch y OpenSearch Dashboard a través del gestor de paquetes APT. Luego, iniciarás ambos servicios a través de la utilidad ‘ systemctl ‘.

Antes de instalar OpenSearch, ejecuta el siguiente comando para generar una contraseña aleatoria para la instalación de OpenSearch. Asegúrate de copiar la salida e incluir mayúsculas, números y símbolos.

sudo openssl rand -hex 16

Ahora ejecuta el siguiente comando para instalar los paquetes ‘ opensearch ‘ y ‘ opensearch-dashboard ‘. Asegúrate de cambiar ‘ OPENSEARCH_INITIAL_ADMIN_PASSWORD ‘ y escribe ‘ Y ‘ para confirmar la instalación.

sudo env OPENSEARCH_INITIAL_ADMIN_PASSWORD=B07e_af7e9f8fe12e@85ab797ddc1f174Dapt-get install opensearch opensearch-dashboard

Después de que la instalación haya finalizado, ejecuta el comando ‘ systemctl ‘ a continuación para recargar el gestor systemd y aplicar los nuevos archivos de servicio.

sudo systemctl daemon-reload

Ahora puedes iniciar, habilitar y verificar OpenSearch con el siguiente comando.

sudo systemctl enable --now opensearch  
sudo systemctl status opensearch

Puedes ver a continuación que OpenSearch está en funcionamiento.

Por último, ahora puedes iniciar, habilitar y verificar el servicio de OpenSearch Dashboard utilizando el siguiente comando.

sudo systemctl enable --now opensearch-dashboards  
sudo systemctl status opensearch-dashboards

En la siguiente salida, puedes ver que el servicio ‘ opensearch-dashboards ‘ está en funcionamiento.

Configurando OpenSearch

Con OpenSearch instalado, estarás configurando la instalación a través del archivo ‘ /etc/opensearch/opensearch.yml ‘. También aumentarás el tamaño máximo de JVM (Java Virtual Memory) predeterminado para OpenSearch según sea necesario.

Abre la configuración predeterminada de OpenSearch ‘ /etc/opensearch/opensearch.yml ‘ con el editor ‘ nano ‘.

sudo nano /etc/opensearch/opensearch.yml

Cambia las siguientes configuraciones de OpenSearch:

• • Cambia la opción ‘ network.host ‘ con tu dirección IP local
• • Agrega el ‘ discovery.type ‘ como ‘ single-node ‘ para ejecutar OpenSearch en modo único
• • Establece ‘ plugins.security.disabled ‘ en ‘ false ‘

# Bind OpenSearch to the correct network interface. Use 0.0.0.0  
# to include all available interfaces or specify an IP address  
# assigned to a specific interface.  
network.host: 192.168.10.60  
  
# Unless you have already configured a cluster, you should set  
# discovery.type to single-node, or the bootstrap checks will  
# fail when you try to start the service.  
discovery.type: single-node  
  
# If you previously disabled the security plugin in opensearch.yml,  
# be sure to re-enable it. Otherwise you can skip this setting.  
plugins.security.disabled: false

Guarda el archivo y sal del editor cuando termines.

A continuación, abre la configuración de JVM (Java Virtual Machine) ‘ /etc/opensearch/jvm.options ‘ con el editor ‘ nano ‘.

sudo nano /etc/opensearch/jvm.options

Aumenta la memoria máxima predeterminada para OpenSearch según sea necesario. El valor predeterminado es ‘ 1GB ‘.

-Xms2g  
-Xmx2g

Guarda y sal del archivo.

Por último, ejecuta el siguiente comando ‘ systemctl ‘ para reiniciar ‘ opensearch ‘ y aplicar tus cambios. Con esto, OpenSearch se ejecutará en una dirección IP local en modo único.

sudo systemctl restart opensearch

Asegurando OpenSearch con certificados TLS/SSL

Ahora que has configurado OpenSearch, necesitarás configurar la seguridad de OpenSearch a través de certificados SSL/TLS. En esta sección, deshabilitarás los certificados de demostración y luego generarás certificados raíz, certificados de administrador y certificados de host/servidor.

Antes de generar certificados SSL, elimina los certificados de demostración de OpenSearch utilizando el siguiente comando.

rm -f /opt/opensearch/{esnode-key.pem,esnode.pem,kirk-key.pem,kirk.pem,root-ca.pem}

Edita la configuración de OpenSearch ‘ /etc/opensearch/opensearch.yml ‘ con el editor ‘ nano ‘.

sudo nano /etc/opensearch/opensearch.yml

Comenta la configuración de seguridad ‘ demo ‘ para OpenSearch como sigue.

Guarda el archivo y sal del editor.

Ahora crea un nuevo directorio ‘ /etc/opensearch/certs ‘ y muévete a él. Este directorio se utilizará para almacenar nuevos certificados para OpenSearch.

mkdir -p /etc/opensearch/certs; cd /etc/opensearch/certs

Generando certificados raíz

Primero, ejecuta el siguiente comando para generar certificados raíz que se utilizarán para firmar tus otros certificados, como los certificados de servidor y cliente.

openssl genrsa -out root-ca-key.pem 2048

Ahora ejecuta el siguiente comando para generar un certificado raíz a partir de tu clave privada. Asegúrate de cambiar la opción ‘ -subj ‘ con los detalles de tu servidor.

openssl req -new -x509 -sha256 -key root-ca-key.pem -subj "/C=CA/ST=ONTARIO/L=TORONTO/O=ORG/OU=UNIT/CN=ROOT" -out root-ca.pem -days 730

Generando certificados de administrador

Crea una nueva clave privada para tu certificado de administrador con lo siguiente.

openssl genrsa -out admin-key-temp.pem 2048

Convierte tu clave de administrador al formato PKCS8 utilizando el siguiente comando.

openssl pkcs8 -inform PEM -outform PEM -in admin-key-temp.pem -topk8 -nocrypt -v1 PBE-SHA1-3DES -out admin-key.pem

A continuación, crea una nueva solicitud de firma de certificado (CSR) para el certificado de administrador con el siguiente comando.

openssl req -new -key admin-key.pem -subj "/C=CA/ST=ONTARIO/L=TORONTO/O=ORG/OU=UNIT/CN=A" -out admin.csr

Ahora ejecuta el siguiente comando para firmar tu nuevo certificado de solicitud de administrador (CSR) con el certificado raíz.

openssl x509 -req -in admin.csr -CA root-ca.pem -CAkey root-ca-key.pem -CAcreateserial -sha256 -out admin.pem -days 730

Generando certificados de host o servidor

Genera la clave privada para tus hosts/servidores de OpenSearch y convierte el certificado al formato PKCS8.

openssl genrsa -out ubuntu24-key-temp.pem 2048  
openssl pkcs8 -inform PEM -outform PEM -in ubuntu24-key-temp.pem -topk8 -nocrypt -v1 PBE-SHA1-3DES -out ubuntu24-key.PEM

Ahora ejecuta el siguiente comando para generar una solicitud de certificado (CSR) para tu host. El CN o Nombre Común debe coincidir con el fqdn de tu servidor host y no con el nombre del host. En este ejemplo, el fqdn para el servidor es ‘ ubuntu24.howtoforge.local ‘.

openssl req -new -key ubuntu24-key.pem -subj "/C=CA/ST=ONTARIO/L=TORONTO/O=ORG/OU=UNIT/CN=ubuntu24.howtoforge.local" -out ubuntu24.csr

A continuación, ejecuta el comando a continuación para crear un nuevo archivo de extensión que contenga el DNS de tu host/servidor.

echo 'subjectAltName=DNS:ubuntu24.howtoforge.local' > ubuntu24.ext

Por último, ejecuta el siguiente comando para firmar el certificado de host/servidor con el certificado raíz e incluir el archivo de extensión que creaste anteriormente.

openssl x509 -req -in ubuntu24.csr -CA root-ca.pem -CAkey root-ca-key.pem -CAcreateserial -sha256 -out ubuntu24.pem -days 730 -extfile ubuntu24.ext

Configurando certificados

Elimina los certificados temporales, CSR (solicitudes de certificados) para el administrador y el host, y el archivo de extensión con lo siguiente.

rm *temp.pem *csr *ext  
ls

Ahora convierte el certificado ‘ root-ca.pem ‘ al archivo ‘ root-ca.crt ‘ con el siguiente comando.

openssl x509 -outform der -in root-ca.pem -out root-ca.crt

Después de eso, copia el certificado ‘ root-ca.crt ‘ al directorio ‘ /usr/local/share/ca-certificates ‘ y carga tu certificado raíz en el servidor.

sudo cp root-ca.crt /usr/local/share/ca-certificates  
sudo update-ca-certificates

Por último, ejecuta el siguiente comando para establecer los permisos y la propiedad adecuados de los archivos y directorios de certificados.

sudo chown -R opensearch:opensearch /etc/opensearch/certs  
sudo chmod 0700 /etc/opensearch/certs

sudo chmod 0600 /etc/opensearch/certs/*.pem  
sudo chmod 0600 /etc/opensearch/certs/*.crt

Agregando certificados a OpenSearch

Después de generar certificados TLS para OpenSearch, necesitas agregar una nueva configuración al archivo ‘ opensearch.yml ‘. En este caso, agregarás una nueva configuración al ‘opensearch.yml’ a través del script bash.

Antes de agregar certificados a tu servidor OpenSearch, ejecuta el siguiente comando para hacer una copia de seguridad del archivo ‘ opensearch.yml ‘ y configurar tu servidor fqdn.

sudo cp /etc/opensearch/opensearch.yml /etc/opensearch/opensearch.yml.orig  
sudo hostnamectl set-hostname ubuntu24.howtoforge.local

Ahora crea un nuevo archivo ‘ add-cert.sh ‘ con el editor ‘ nano ‘.

nano add-cert.sh

Inserta las siguientes configuraciones en el archivo. Con esto, agregarás nuevas configuraciones al archivo de configuración de OpenSearch ‘ opensearch.yml ‘

#! /bin/bash  
  
# Before running this script, make sure to replace the CN in the  
# node's distinguished name with a real DNS A record.  
  
echo "plugins.security.ssl.transport.pemcert_filepath: /etc/opensearch/certs/ubuntu24.pem" | sudo tee -a /etc/opensearch/opensearch.yml  
echo "plugins.security.ssl.transport.pemkey_filepath: /etc/opensearch/certs/ubuntu24-key.pem" | sudo tee -a /etc/opensearch/opensearch.yml  
echo "plugins.security.ssl.transport.pemtrustedcas_filepath: /etc/opensearch/certs/root-ca.pem" | sudo tee -a /etc/opensearch/opensearch.yml  
echo "plugins.security.ssl.http.enabled: true" | sudo tee -a /etc/opensearch/opensearch.yml  
echo "plugins.security.ssl.http.pemcert_filepath: /etc/opensearch/certs/ubuntu24.pem" | sudo tee -a /etc/opensearch/opensearch.yml  
echo "plugins.security.ssl.http.pemkey_filepath: /etc/opensearch/certs/ubuntu24-key.pem" | sudo tee -a /etc/opensearch/opensearch.yml  
echo "plugins.security.ssl.http.pemtrustedcas_filepath: /etc/opensearch/certs/root-ca.pem" | sudo tee -a /etc/opensearch/opensearch.yml  
echo "plugins.security.allow_default_init_securityindex: true" | sudo tee -a /etc/opensearch/opensearch.yml  
echo "plugins.security.authcz.admin_dn:" | sudo tee -a /etc/opensearch/opensearch.yml  
echo " - 'CN=A,OU=UNIT,O=ORG,L=TORONTO,ST=ONTARIO,C=CA'" | sudo tee -a /etc/opensearch/opensearch.yml  
echo "plugins.security.nodes_dn:" | sudo tee -a /etc/opensearch/opensearch.yml  
echo " - 'CN=ubuntu24.hwdomain.lan,OU=UNIT,O=ORG,L=TORONTO,ST=ONTARIO,C=CA'" | sudo tee -a /etc/opensearch/opensearch.yml  
echo "plugins.security.audit.type: internal_opensearch" | sudo tee -a /etc/opensearch/opensearch.yml  
echo "plugins.security.enable_snapshot_restore_privilege: true" | sudo tee -a /etc/opensearch/opensearch.yml  
echo "plugins.security.check_snapshot_restore_write_privileges: true" | sudo tee -a /etc/opensearch/opensearch.yml  
echo "plugins.security.restapi.roles_enabled: [\"all_access\", \"security_rest_api_access\"]" | sudo tee -a /etc/opensearch/opensearch.yml

Guarda el archivo y sal del editor cuando termines.

Ahora haz que el archivo ‘ add-cert.sh ‘ sea ejecutable y ejecútalo con el siguiente comando. Se agregarán nuevas configuraciones al archivo ‘opensearch.yml’.

chmod +x add-cert.sh  
./add-cert.sh

Asegurando OpenSearch con autenticación por contraseña

En este punto, has configurado OpenSearch con certificados SSL/TLS, y en el siguiente paso, configurarás la autenticación por contraseña para OpenSearch. Establecerás dos usuarios que se utilizarán para iniciar sesión en OpenSearch e integrarse en OpenSearch Dashboard.

Ve al directorio ‘ /usr/share/opensearch/plugins/opensearch-security/tools ‘ y ejecuta el script ‘ hash.sh ‘ para generar una nueva contraseña para OpenSearch. Ejecuta el ‘ hash.sh ‘ dos veces para generar dos contraseñas para OpenSearch y OpenSearch Dashboard. Además, asegúrate de copiar la contraseña generada en tu nota.

cd /usr/share/opensearch/plugins/opensearch-security/tools  
OPENSEARCH_JAVA_HOME=/usr/share/opensearch/jdk ./hash.sh

Ahora abre el archivo ‘ /etc/opensearch/opensearch-security/internal_users.yml ‘ con el siguiente editor ‘ nano ‘.

sudo nano /etc/opensearch/opensearch-security/internal_users.yml

Cambia la contraseña hash para el usuario ‘ admin ‘ y ‘ kibanaserver ‘ con tu contraseña anterior. El usuario ‘ admin ‘ se utilizará para iniciar sesión en OpenSearch Dashboard, el usuario ‘ kibanaserver ‘ se utilizará para conectar entre OpenSearch y OpenSearch Dashboard.

admin:  
hash: "$2y$12$zPtsgbrpfmInPRuDEKvDKetuzhUzsQWyCpE9foT1uun5RTMW51p9K"  
reserved: true  
backend_roles:  
- "admin"  
description: "Usuario administrador"  
  
kibanaserver:  
hash: "$2y$12$zPtsgbrpfmInPRuDEKvDKetuzhUzsQWyCpE9foT1uun5RTMW51p9K"  
reserved: true  
description: "Usuario de demostración de OpenSearch Dashboards"

Guarda el archivo y sal del editor cuando termines.

Ahora ejecuta el siguiente comando para reiniciar el servicio ‘ opensearch ‘ y aplicar tus cambios.

sudo systemctl restart opensearch

Una vez que OpenSearch se reinicie, ejecuta el siguiente comando para aplicar tus certificados SSL a OpenSearch.

cd /usr/share/opensearch/plugins/opensearch-security/tools  
OPENSEARCH_JAVA_HOME=/usr/share/opensearch/jdk ./securityadmin.sh -h 192.168.10.60 -p 9200 -cd /etc/opensearch/opensearch-security/ -cacert /etc/opensearch/certs/root-ca.pem -cert /etc/opensearch/certs/admin.pem -key /etc/opensearch/certs/admin-key.pem -icl -nhnv

Si todo va bien, verás una salida como esta:

Por último, ejecuta el comando ‘ curl ‘ a continuación para verificar la autenticación en el servidor OpenSearch.

curl https://192.168.10.60:9200 -u admin:password -k  
curl https://node-rock1:9200 -u kibanaserver:kibanapass -k

Cuando sea exitoso, podrás acceder a OpenSearch con tu nombre de usuario y contraseña a través del protocolo HTTPS.

Configurando OpenSearch Dashboard

Después de que se configure la autenticación por contraseña, estarás configurando OpenSearch Dashboard editando el archivo ‘ opensearch-dashboard,yml ‘.

Abre la configuración para OpenSearch Dashboard ‘ /etc/opensearch-dashboards/opensearch-dashboard.yml ‘ con el editor ‘ nano ‘.

sudo nano /etc/opensearch-dashboards/opensearch-dashboard.yml

Ingresa tu dirección IP local en la opción ‘ server.host ‘ como sigue:

server.host: "192.168.10.60"

Asegúrate de cambiar el host de OpenSearch, el nombre de usuario y la contraseña con tu información.

opensearch.hosts: ["https://192.168.10.60:9200"]  
opensearch.ssl.verificationMode: none  
opensearch.username: kibanaserver  
opensearch.password: kibanapass

Guarda el archivo y sal del editor.

Ahora ejecuta el comando ‘ systemctl ‘ a continuación para reiniciar OpenSearch Dashboard y aplicar tus cambios. Con esto, OpenSearch Dashboard debería estar conectado a OpenSearch.

sudo systemctl restart opensearch-dashboards

A continuación, abre tu navegador web y visita http://192.168.10.60:5601. Si tu instalación es exitosa, verás la página de inicio de sesión de OpenSearch Dashboard.

Ingresa tu usuario administrador y contraseña, luego haz clic en ‘ Iniciar sesión ‘.

Una vez que hayas iniciado sesión, selecciona ‘ Agregar datos ‘ para agregar nuevos datos o haz clic en la opción ‘ Explorar por mi cuenta ‘.

Para asegurar la conexión entre OpenSearch y OpenSearch Dashboard, necesitas verificar el estado de OpenSearch desde el panel.

En la sección ‘ Gestión ‘, haz clic en ‘ Herramientas de desarrollo ‘.

Dentro de la sección de consola, ingresa ‘ GET / ‘ y haz clic en el botón de reproducción. Si tu conexión a OpenSearch y OpenSearch Dashboard es exitosa, verás la siguiente página.

Conclusión

¡Felicidades! Has instalado OpenSearch y OpenSearch Dashboard en el servidor Ubuntu 24.04. OpenSearch se ejecuta en modo único, y la instalación está asegurada con HTTPS. Por último, también has configurado la autenticación para OpenSearch e integrado OpenSearch con OpenSearch Dashboard.