OpenSearch 설치 · 23 min read · Oct 12, 2025
Debian 12에 OpenSearch 설치하는 방법
OpenSearch는 Amazon에서 개발한 Elasticsearch 및 Kibana의 오픈 소스 포크입니다. 이는 전체 텍스트 검색 및 분석을 허용하는 실시간, 분산 및 확장 가능한 검색 엔진입니다. 대량의 데이터를 인덱싱하고 검색하는 데 사용됩니다. OpenSearch Dashboards(즉, Kibana의 포크)와 함께 배포되는 경우가 많으며, OpenSearch를 위한 강력한 데이터 시각화 대시보드입니다. OpenSearch Dashboards를 통해 OpenSearch 로그 데이터를 탐색하고 대시보드 및 쿼리를 구축하여 애플리케이션에 대한 통찰력을 얻을 수 있습니다.
이 튜토리얼에서는 Debian 12 서버에 OpenSearch를 설치하는 방법을 보여줍니다. 또한 사용자 정의 TLS 인증서로 설치를 보호하고 OpenSearch에서 인증을 활성화하는 방법도 배웁니다.
전제 조건
최소 4GB의 RAM을 갖춘 Debian 12를 실행하는 서버.
sudo 권한이 있는 비루트 사용자.
간단한 방화벽(UFW)이 활성화되어 실행 중입니다.
서버를 가리키는
opensearch.example.com과 같은 완전한 도메인 이름(FQDN). 이는 프록시 서버를 사용하여 SSL을 통해 OpenSearch Dashboards를 제공하려는 경우 유용합니다.모든 것이 업데이트되었습니다.
$ sudo apt update && sudo apt upgrade튜토리얼과 Craft CMS가 실행되는 데 필요한 몇 가지 필수 패키지가 필요합니다. 이 중 일부는 이미 서버에 있을 수 있습니다.
$ sudo apt install curl wget nano software-properties-common dirmngr apt-transport-https ca-certificates lsb-release debian-archive-keyring gnupg2 ufw unzip -y
1단계 - 방화벽 구성
패키지를 설치하기 전에 첫 번째 단계는 HTTP 및 HTTPS 연결을 허용하도록 방화벽을 구성하는 것입니다.
방화벽 상태를 확인합니다.
$ sudo ufw status다음과 유사한 내용을 볼 수 있어야 합니다.
상태: 활성
허용된 포트 액션 출처
-- ------ ----
OpenSSH ALLOW Anywhere
OpenSSH (v6) ALLOW Anywhere (v6)HTTP 및 HTTPS 포트를 허용합니다.
$ sudo ufw allow http
$ sudo ufw allow https확인을 위해 상태를 다시 확인합니다.
$ sudo ufw status
상태: 활성
허용된 포트 액션 출처
-- ------ ----
OpenSSH ALLOW Anywhere
80/tcp ALLOW Anywhere
443/tcp ALLOW Anywhere
OpenSSH (v6) ALLOW Anywhere (v6)
80/tcp (v6) ALLOW Anywhere (v6)
443/tcp (v6) ALLOW Anywhere (v6)2단계 - 시스템 준비
OpenSearch를 설치하기 전에 시스템을 준비하고 최적화해야 합니다. 여기에는 스왑 메모리를 비활성화하고, 시스템의 메모리 맵 수를 설정하고, 시스템 호스트 이름을 설정하는 여러 단계가 포함됩니다.
먼저 스왑 메모리가 활성화되어 있는지 확인합니다.
$ free -m스왑이 활성화되어 있다면 비슷한 출력을 볼 수 있습니다.
총계 사용 여유 공유 버퍼/캐시 사용 가능
메모리: 7945 1083 6492 34 636 6861
스왑: 4242 0 4242스왑 공간을 영구적으로 비활성화하려면 다음 명령을 실행합니다.
$ sudo swapoff -a
$ sudo sed -i '/ swap / s/^\(.*\)$/#
\\1/g' /etc/fstab스왑 메모리를 다시 확인하면 다음과 같은 결과가 표시되어야 합니다.
총계 사용 여유 공유 버퍼/캐시 사용 가능
메모리: 7945 1113 6449 37 651 6831
스왑: 0 0 0OpenSearch는 기본적으로 mapfs 디렉토리를 사용하여 인덱스를 저장합니다. 기본 운영 체제의 nmap 수에 대한 제한이 너무 낮아 메모리 부족 오류가 발생할 수 있습니다.
vm.max_map_count 변수의 기존 값을 확인합니다.
$ sysctl -n vm.max_map_count
65530각 프로세스에서 사용하는 메모리 맵 수를 늘리려면 다음 명령을 실행합니다.
$ sudo sysctl -w vm.max_map_count=262144이 값은 시스템이 재부팅될 때까지 유효합니다. 이 값을 영구적으로 만들려면 다음 명령을 사용하여 /etc/sysctl.conf 파일에 vm.max_map_count=262144 행을 추가합니다.
$ echo "vm.max_map_count=262144" | sudo tee -a /etc/sysctl.conf시스템을 재부팅하거나 다음 명령을 실행하여 변경 사항을 영구적으로 만들 수 있습니다.
$ sudo sysctl -p마지막 단계는 호스트 이름을 설정하는 것입니다. 서버를 호스팅하는 위치에 따라 일부 클라우드 회사는 제어판을 통해 직접 호스트 이름을 설정할 수 있도록 허용합니다. 그러나 터미널을 통해 설정하는 것이 더 좋습니다.
다음 명령을 실행하여 호스트 이름을 설정합니다.
$ sudo hostnamectl set-hostname opensearchFQDN(완전한 도메인 이름)을 /etc/hosts 파일에 추가합니다. 여기에서 호스트 이름 opensearch를 도메인 이름 opensearch.example.com에 매핑하고 서버 IP 주소를 가리킵니다. 아래 명령에서
$ echo " opensearch.example.com opensearch" | sudo tee -a /etc/hosts 다음 명령을 사용하여 호스트 이름과 FQDN을 확인합니다.
$ hostname
opensearch
$ hostname -f
opensearch.example.com이로써 OpenSearch와 함께 작업하기 위해 시스템을 최적화하는 과정이 완료되었습니다.
3단계 - OpenSearch 설치
설치 패키지 서명을 위해 사용되는 OpenSearch GPG 키를 가져옵니다.
$ curl -o- https://artifacts.opensearch.org/publickeys/opensearch.pgp | sudo gpg --dearmor --batch --yes -o /usr/share/keyrings/opensearch-keyringOpenSearch APT 리포지토리 파일을 생성합니다.
$ echo "deb [signed-by=/usr/share/keyrings/opensearch-keyring] https://artifacts.opensearch.org/releases/bundle/opensearch/2.x/apt stable main" | sudo tee /etc/apt/sources.list.d/opensearch-2.x.list시스템 리포지토리 목록을 업데이트합니다.
$ sudo apt update사용 가능한 OpenSearch의 모든 버전을 확인합니다.
$ sudo apt list -a opensearch
목록... 완료
opensearch/stable 2.12.0 amd64
opensearch/stable 2.11.1 amd64
opensearch/stable 2.11.0 amd64
opensearch/stable 2.10.0 amd64
opensearch/stable 2.9.0 amd64
opensearch/stable 2.8.0 amd64
opensearch/stable 2.7.0 amd64
opensearch/stable 2.6.0 amd64
opensearch/stable 2.5.0 amd64OpenSearch v2.12.0의 최신 버전은 설치 전에 관리자 데모 비밀번호를 설정해야 하며, 그렇지 않으면 실패합니다.
다음 명령을 사용하여 최신 버전의 OpenSearch를 설치할 수 있습니다. 설치 명령 자체에서 환경 변수를 사용하여 관리자 데모 비밀번호를 설정할 수 있습니다. 강력한 비밀번호를 선택하세요.
$ sudo env OPENSEARCH_INITIAL_ADMIN_PASSWORD= apt install opensearch 설치 중에 다음 경고가 표시되면 무시해도 안전합니다.
......
chown: 경고: '.'는 ':': ‘opensearch.opensearch’여야 합니다.
chown: 경고: '.'는 ':': ‘opensearch.opensearch’여야 합니다.
chown: 경고: '.'는 ':': ‘opensearch.opensearch’여야 합니다.
chown: 경고: '.'는 ':': ‘opensearch.opensearch’여야 합니다.
chown: 경고: '.'는 ':': ‘opensearch.opensearch’여야 합니다.
......또는 특정 버전을 설치할 수 있습니다.
$ sudo apt install opensearch=2.11.1서비스 데몬을 다시 로드합니다.
$ sudo systemctl daemon-reloadOpenSearch 서비스를 활성화합니다.
$ sudo systemctl enable opensearchOpenSearch 서비스를 시작합니다.
$ sudo systemctl start opensearchOpenSearch 서비스의 상태를 확인합니다.
$ sudo systemctl status opensearch다음과 같은 출력을 얻어야 합니다.
? opensearch.service - OpenSearch
Loaded: loaded (/lib/systemd/system/opensearch.service; enabled; preset: enabled)
Active: active (running) since Sat 2024-03-02 06:37:01 UTC; 5s ago
Docs: https://opensearch.org/
Main PID: 31109 (java)
Tasks: 75 (limit: 4652)
Memory: 1.3G
CPU: 1min 3.128s
CGroup: /system.slice/opensearch.service
??31109 /usr/share/opensearch/jdk/bin/java -Xshare:auto -Dopensearch.networkaddress.cache.ttl=60 -Dopensearch.networkaddress.cache.negative.ttl=10 -XX:+AlwaysPreTouch -Xss1m -Djava.awt.headless=true...4단계 - OpenSearch 테스트
더 진행하기 전에 설치가 제대로 작동하는지 확인해 보겠습니다. 다음 명령을 실행하여 OpenSearch가 의도한 대로 실행되고 있는지 확인합니다.
$ curl -X GET https://localhost:9200 -u 'admin:' --insecure 비슷한 출력을 얻어야 합니다.
{
"name" : "opensearch",
"cluster_name" : "opensearch",
"cluster_uuid" : "3oFvYn96St2MOpDP3Sf29g",
"version" : {
"distribution" : "opensearch",
"number" : "2.12.0",
"build_type" : "deb",
"build_hash" : "2c355ce1a427e4a528778d4054436b5c4b756221",
"build_date" : "2024-02-20T02:18:31.541484890Z",
"build_snapshot" : false,
"lucene_version" : "9.9.2",
"minimum_wire_compatibility_version" : "7.10.0",
"minimum_index_compatibility_version" : "7.0.0"
},
"tagline" : "The OpenSearch Project: https://opensearch.org/"
}OpenSearch 플러그인 엔드포인트를 쿼리하여 사용 가능한 플러그인 목록을 확인합니다.
$ curl -X GET https://localhost:9200/_cat/plugins?v -u 'admin:' --insecure 다음 명령을 사용하여 동일한 작업을 수행할 수도 있습니다.
$ /usr/share/opensearch/bin/opensearch-plugin list비슷한 출력을 얻어야 합니다.
이름 구성 요소 버전
opensearch opensearch-alerting 2.12.0.0
opensearch opensearch-anomaly-detection 2.12.0.0
opensearch opensearch-asynchronous-search 2.12.0.0
opensearch opensearch-cross-cluster-replication 2.12.0.0
opensearch opensearch-custom-codecs 2.12.0.0
opensearch opensearch-flow-framework 2.12.0.0
opensearch opensearch-geospatial 2.12.0.0
opensearch opensearch-index-management 2.12.0.0
opensearch opensearch-job-scheduler 2.12.0.0
opensearch opensearch-knn 2.12.0.0
opensearch opensearch-ml 2.12.0.0
opensearch opensearch-neural-search 2.12.0.0
opensearch opensearch-notifications 2.12.0.0
opensearch opensearch-notifications-core 2.12.0.0
opensearch opensearch-observability 2.12.0.0
opensearch opensearch-performance-analyzer 2.12.0.0
opensearch opensearch-reports-scheduler 2.12.0.0
opensearch opensearch-security 2.12.0.0
opensearch opensearch-security-analytics 2.12.0.0
opensearch opensearch-skills 2.12.0.0
opensearch opensearch-sql 2.12.0.0다음 명령을 사용하여 추가 플러그인을 설치할 수 있습니다.
$ /usr/share/opensearch/bin/opensearch-plugin install 사용 가능한 OpenSearch 플러그인 목록은 공식 웹사이트에서 확인할 수 있습니다.
5단계 - OpenSearch 구성
OpenSearch의 기본 설정은 프로덕션 환경에 적합하지 않습니다. 기본적으로 OpenSearch는 네트워크 인터페이스에 바인딩되지 않으며 외부에서 접근할 수 없습니다. 또한 기본 사용자 이름과 비밀번호가 사용되고 있어 프로덕션 환경에서 직접 사용하면 보안 문제가 발생할 수 있습니다.
OpenSearch는 /etc/opensearch/opensearch.yml 파일에 구성을 저장합니다. 편집을 위해 엽니다.
$ sudo nano /etc/opensearch/opensearch.yml#network.host: 192.168.0.1 행을 찾아 해시(#)를 제거하여 주석을 해제하고 값을 다음과 같이 변경합니다. 이는 OpenSearch를 모든 사용 가능한 인터페이스에 바인딩합니다. 특정 인터페이스에 바인딩하려면 특정 IP를 입력할 수도 있습니다.
# 특정 IP(IPv4 또는 IPv6)에 바인딩 주소를 설정합니다:
#
network.host: 0.0.0.0파일 하단에 다음 행을 추가합니다.
# 클러스터를 이미 구성하지 않았다면,
# discovery.type을 single-node로 설정해야 합니다. 그렇지 않으면 서비스 시작 시 부트스트랩 검사가 실패합니다.
discovery.type: single-node
# 이전에 opensearch.yml에서 보안 플러그인을 비활성화한 경우,
# 반드시 다시 활성화해야 합니다. 그렇지 않으면 이 설정을 건너뛸 수 있습니다.
plugins.security.disabled: false단일 서버에 설치하고 있으므로 discovery.type을 single-node로 설정했습니다. plugins.security.disabled를 false로 설정하면 OpenSearch 보안 플러그인이 활성화됩니다.
파일을 저장하려면 Ctrl + X를 누르고 프롬프트가 나타나면 Y를 입력합니다.
초기 및 최대 JVM(자바 가상 메모리) 힙 크기를 지정해야 합니다. 이 설정은 서버의 RAM 크기에 따라 다릅니다. 예를 들어, 4GB RAM을 사용하는 서버를 사용하고 있으므로 힙 크기를 3GB로 설정합니다.
/etc/opensearch/jvm.options.d 디렉토리에 heapsize.options 파일을 생성하고 편집을 위해 엽니다. 이는 /etc/opensearch/jvm.options 파일에 설정된 기본 값을 덮어씁니다.
$ sudo nano /etc/opensearch/jvm.options.d/heapsize.options다음 행을 추가합니다.
-Xms3g
-Xmx3g파일을 저장하려면 Ctrl + X를 누르고 프롬프트가 나타나면 Y를 입력합니다.
변경 사항을 적용하기 위해 OpenSearch 서비스를 재시작합니다.
$ sudo systemctl restart opensearch다음 명령을 사용하여 현재 힙 크기와 최대 메모리를 확인할 수 있습니다.
$ curl -sS "https://localhost:9200/_cat/nodes?h=heap*&v" -u 'admin:' --insecure 다음과 같은 출력을 얻어야 합니다.
heap.current heap.percent heap.max
345.5mb 11 3gb6단계 - OpenSearch에 대한 TLS 구성
여기에서는 OpenSearch를 보호하기 위해 인증서를 생성합니다. TLS 인증서는 클라이언트가 호스트의 신원을 확인하고 클라이언트와 호스트 간의 트래픽을 암호화하여 보안을 제공합니다. 다음 인증서를 생성합니다.
- 루트 CA 인증서 - 모든 다른 인증서에 서명하는 기본 인증서입니다.
- 관리자 인증서 - 보안 플러그인과 관련된 관리 작업을 수행하기 위해 권한을 얻는 데 사용되는 인증서입니다.
- 노드 인증서 - 노드와 클라이언트 간의 통신에 사용되는 인증서입니다.
모든 OpenSearch 인증서는 /etc/opensearch 디렉토리에 저장됩니다. 첫 번째 단계는 OpenSearch 설치 중에 설정된 기본 인증서를 제거하는 것입니다.
OpenSearch 디렉토리로 이동합니다.
$ cd /etc/opensearch기본 인증서를 제거합니다.
$ sudo rm -f *.pemOpenSearch 구성 파일을 편집하기 위해 엽니다.
$ sudo nano opensearch.ymlOpenSearch 보안 데모 구성 섹션의 하단에 있는 다음 코드를 주석 처리합니다. 각 행 앞에 해시를 추가합니다.
######## OpenSearch 보안 데모 구성 시작 ########
# 경고: 프로덕션에 들어가기 전에 아래 모든 행을 검토하십시오.
#plugins.security.ssl.transport.pemcert_filepath: esnode.pem
#plugins.security.ssl.transport.pemkey_filepath: esnode-key.pem
#plugins.security.ssl.transport.pemtrustedcas_filepath: root-ca.pem
#plugins.security.ssl.transport.enforce_hostname_verification: false
#plugins.security.ssl.http.enabled: true
#plugins.security.ssl.http.pemcert_filepath: esnode.pem
#plugins.security.ssl.http.pemkey_filepath: esnode-key.pem
#plugins.security.ssl.http.pemtrustedcas_filepath: root-ca.pem
#plugins.security.allow_unsafe_democertificates: true
#plugins.security.allow_default_init_securityindex: true
#plugins.security.authcz.admin_dn: ['CN=kirk,OU=client,O=client,L=test,C=de']
#plugins.security.audit.type: internal_opensearch
#plugins.security.enable_snapshot_restore_privilege: true
#plugins.security.check_snapshot_restore_write_privileges: true
#plugins.security.restapi.roles_enabled: [all_access, security_rest_api_access]
#plugins.security.system_indices.enabled: true
#plugins.security.system_indices.indices: [.plugins-ml-config, .plugins-ml-connector,
# .plugins-ml-model-group, .plugins-ml-model, .plugins-ml-task, .plugins-ml-conversation-meta,
# .plugins-ml-conversation-interactions, .plugins-ml-memory-meta, .plugins-ml-memory-message,
# .opendistro-alerting-config, .opendistro-alerting-alert*, .opendistro-anomaly-results*,
# .opendistro-anomaly-detector*, .opendistro-anomaly-checkpoints, .opendistro-anomaly-detection-state,
# .opendistro-reports-*, .opensearch-notifications-*, .opensearch-notebooks, .opensearch-observability,
# .ql-datasources, .opendistro-asynchronous-search-response*, .replication-metadata-store,
# .opensearch-knn-models, .geospatial-ip2geo-data*, .plugins-flow-framework-config,
# .plugins-flow-framework-templates, .plugins-flow-framework-state]
#node.max_local_storage_nodes: 3
######## OpenSearch 보안 데모 구성 종료 ########파일을 저장하려면 Ctrl + X를 누르고 프롬프트가 나타나면 Y를 입력합니다.
다음으로 /etc/opensearch 디렉토리에 인증서를 저장할 디렉토리를 생성합니다.
$ sudo mkdir /etc/opensearch/certs인증서를 생성할 때 sudo를 사용하지 않도록 현재 로그인한 사용자에게 디렉토리의 권한을 변경합니다.
$ sudo chown $USER:$USER /etc/opensearch/certs -R인증서 디렉토리로 이동합니다.
$ cd /etc/opensearch/certs루트 인증서 생성
루트 인증서의 개인 키를 생성합니다.
$ openssl genrsa -out root-ca-key.pem 2048자체 서명된 루트 CA 인증서를 생성합니다. -subj 매개변수를 사용하여 인증서에 포함된 정보를 제공합니다. -subj 플래그를 사용하지 않으면 모든 정보를 요청받게 됩니다.
$ openssl req -new -x509 -sha256 -key root-ca-key.pem -subj "/C=CA/ST=ONTARIO/L=TORONTO/O=ORG/OU=UNIT/CN=ROOT" -out root-ca.pem -days 730정보를 특정 호스트에 맞게 변경할 수 있습니다.
-subj 매개변수의 변수는 다음을 의미합니다.
C = 국가 이름(2자리 코드), ST = 주 또는 지방 이름(전체 이름), L = 지역 이름(예: 도시), O = 조직 이름, OU = 조직 단위 이름(예: 섹션), CN = 일반 이름(예: 서버 FQDN)
이제 루트 인증서가 생성되었습니다.
관리자 인증서 생성
다음 명령을 사용하여 관리자 인증서의 개인 키를 생성합니다.
$ openssl genrsa -out admin-key-temp.pem 2048개인 키를 PKCS#8 형식으로 변환하여 Java에서 사용합니다. PKCS#12 호환 알고리즘(3DES)을 사용합니다.
$ openssl pkcs8 -inform PEM -outform PEM -in admin-key-temp.pem -topk8 -nocrypt -v1 PBE-SHA1-3DES -out admin-key.pem개인 키에서 관리자 CSR(인증서 서명 요청)을 생성합니다. 이 인증서는 호스트에 묶이지 않고 상승된 액세스를 인증하는 데 사용되므로 일반 이름(CN)에 A 값을 사용합니다.
$ openssl req -new -key admin-key.pem -subj "/C=CA/ST=ONTARIO/L=TORONTO/O=ORG/OU=UNIT/CN=A" -out admin.csr루트 인증서와 개인 키로 관리자 CSR에 서명합니다.
$ openssl x509 -req -in admin.csr -CA root-ca.pem -CAkey root-ca-key.pem -CAcreateserial -sha256 -out admin.pem -days 730
인증서 요청 자체 서명 확인 완료
주체=C = CA, ST = ONTARIO, L = TORONTO, O = ORG, OU = UNIT, CN = A노드 인증서 생성
노드 인증서의 개인 키를 생성합니다.
$ openssl genrsa -out node1-key-temp.pem 2048노드 개인 키를 PKCS#8 형식으로 변환합니다.
$ openssl pkcs8 -inform PEM -outform PEM -in node1-key-temp.pem -topk8 -nocrypt -v1 PBE-SHA1-3DES -out node1-key.pem개인 키에서 노드 인증서에 대한 새로운 CSR을 생성합니다. CN 변수의 값을 노드의 호스트 이름으로 변경해야 합니다. 이 인증서는 호스트에 묶여 있으며 노드의 호스트 이름 또는 IP 주소와 일치해야 합니다.
$ openssl req -new -key node1-key.pem -subj "/C=CA/ST=ONTARIO/L=TORONTO/O=ORG/OU=UNIT/CN=opensearch.example.com" -out node1.csr노드 호스트 이름 또는 FQDN 또는 IP 주소를 포함하는 SAN(주체 대체 이름) 확장 파일을 생성합니다.
$ sh -c 'echo subjectAltName=DNS:opensearch.example.com > node1.ext'루트 인증서와 개인 키로 노드 인증서 CSR에 서명합니다.
$ openssl x509 -req -in node1.csr -CA root-ca.pem -CAkey root-ca-key.pem -CAcreateserial -sha256 -out node1.pem -days 730 -extfile node1.ext
인증서 요청 자체 서명 확인 완료
주체=C = CA, ST = ONTARIO, L = TORONTO, O = ORG, OU = UNIT, CN = opensearch.example.com설치를 위한 인증서 준비
임시 인증서, CSR 및 SAN 확장 파일을 제거합니다.
$ rm -f *temp.pem *csr *ext다음으로 루트 CA 인증서를 서버에 설치합니다. 이를 위해 루트 CA 인증서를 .crt 형식으로 변환합니다.
$ openssl x509 -outform der -in root-ca.pem -out root-ca.crtroot-ca.crt 파일을 /usr/local/share/ca-certificates/ 디렉토리로 복사합니다.
$ sudo cp root-ca.crt /usr/local/share/ca-certificates/다음 명령을 사용하여 Debian 서버에 루트 CA 인증서를 추가합니다.
$ sudo update-ca-certificates다음과 같은 출력(1 added)이 표시되어 루트 CA 인증서가 시스템에 추가되었음을 확인합니다.
/etc/ssl/certs에서 인증서 업데이트...
rehash: 경고: ca-certificates.crt를 건너뜁니다. 정확히 하나의 인증서 또는 CRL을 포함하지 않습니다.
rehash: 경고: root-ca.pem을 건너뜁니다. 정확히 하나의 인증서 또는 CRL을 포함하지 않습니다.
1 추가됨, 0 제거됨; 완료.
/etc/ca-certificates/update.d에서 후크 실행...
완료.디렉토리의 소유권을 다시 opensearch 사용자에게 변경합니다.
$ sudo chown opensearch:opensearch /etc/opensearch/certs -R디렉토리의 권한을 0700으로 변경합니다.
$ sudo chmod 0700 /etc/opensearch/certs인증서의 권한을 0600으로 변경합니다.
$ sudo chmod 0600 /etc/opensearch/certs/{admin-key,admin,node1-key,node1,root-ca-key,root-ca}.pem
$ sudo chmod 0600 /etc/opensearch/certs/root-ca.crt7단계 - OpenSearch에 TLS 설치
모든 인증서가 생성되고 설정되었으므로 이제 인증서를 OpenSearch 설치에 추가할 차례입니다.
첫 번째 단계는 생성된 모든 인증서와 TLS 보안 플러그인 설정을 OpenSearch 구성 파일(/etc/opensearch/opensearch.yml)에 추가하는 bash 스크립트를 만드는 것입니다.
add-opensearch-tls.sh라는 파일을 생성하고 편집을 위해 엽니다.
$ cd ~
$ nano add-opensearch-tls.sh다음 코드를 붙여넣습니다.
#! /bin/bash
# 이 스크립트를 실행하기 전에,
# 노드의 고유 이름에서 CN을 실제 DNS A 레코드로 바꾸는 것을 잊지 마십시오.
echo "plugins.security.ssl.transport.pemcert_filepath: /etc/opensearch/certs/node1.pem" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.ssl.transport.pemkey_filepath: /etc/opensearch/certs/node1-key.pem" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.ssl.transport.pemtrustedcas_filepath: /etc/opensearch/certs/root-ca.pem" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.ssl.http.enabled: true" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.ssl.http.pemcert_filepath: /etc/opensearch/certs/node1.pem" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.ssl.http.pemkey_filepath: /etc/opensearch/certs/node1-key.pem" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.ssl.http.pemtrustedcas_filepath: /etc/opensearch/certs/root-ca.pem" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.allow_default_init_securityindex: true" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.authcz.admin_dn:" | sudo tee -a /etc/opensearch/opensearch.yml
echo " - 'CN=A,OU=UNIT,O=ORG,L=TORONTO,ST=ONTARIO,C=CA'" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.nodes_dn:" | sudo tee -a /etc/opensearch/opensearch.yml
echo " - 'CN=opensearch.example.com,OU=UNIT,O=ORG,L=TORONTO,ST=ONTARIO,C=CA'" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.audit.type: internal_opensearch" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.enable_snapshot_restore_privilege: true" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.check_snapshot_restore_write_privileges: true" | sudo tee -a /etc/opensearch/opensearch.yml
echo "plugins.security.restapi.roles_enabled: [\"all_access\", \"security_rest_api_access\"]" | sudo tee -a /etc/opensearch/opensearch.yml파일을 저장하려면 Ctrl + X를 누르고 프롬프트가 나타나면 Y를 입력합니다.
파일을 실행 가능하게 만듭니다.
$ chmod +x add-opensearch-tls.sh스크립트를 실행합니다.
$ ./add-opensearch-tls.sh다음과 같은 출력을 얻어야 합니다.
plugins.security.ssl.transport.pemcert_filepath: /etc/opensearch/certs/node1.pem
plugins.security.ssl.transport.pemkey_filepath: /etc/opensearch/certs/node1-key.pem
plugins.security.ssl.transport.pemtrustedcas_filepath: /etc/opensearch/certs/root-ca.pem
plugins.security.ssl.http.enabled: true
plugins.security.ssl.http.pemcert_filepath: /etc/opensearch/certs/node1.pem
plugins.security.ssl.http.pemkey_filepath: /etc/opensearch/certs/node1-key.pem
plugins.security.ssl.http.pemtrustedcas_filepath: /etc/opensearch/certs/root-ca.pem
plugins.security.allow_default_init_securityindex: true
plugins.security.authcz.admin_dn:
- 'CN=A,OU=UNIT,O=ORG,L=TORONTO,ST=ONTARIO,C=CA'
plugins.security.nodes_dn:
- 'CN=opensearch.example.com,OU=UNIT,O=ORG,L=TORONTO,ST=ONTARIO,C=CA'
plugins.security.audit.type: internal_opensearch
plugins.security.enable_snapshot_restore_privilege: true
plugins.security.check_snapshot_restore_write_privileges: true
plugins.security.restapi.roles_enabled: ["all_access", "security_rest_api_access"]/etc/opensearch/opensearch.yml 파일을 열어 설정이 적용되었는지 확인합니다.
$ sudo nano /etc/opensearch/opensearch.yml파일 하단으로 스크롤하여 다음과 같은 내용을 확인합니다.
# 이전에 opensearch.yml에서 보안 플러그인을 비활성화한 경우,
# 반드시 다시 활성화해야 합니다. 그렇지 않으면 이 설정을 건너뛸 수 있습니다.
plugins.security.disabled: false
....
plugins.security.ssl.transport.pemcert_filepath: /etc/opensearch/certs/node1.pem
plugins.security.ssl.transport.pemkey_filepath: /etc/opensearch/certs/node1-key.pem
plugins.security.ssl.transport.pemtrustedcas_filepath: /etc/opensearch/certs/root-ca.pem
plugins.security.ssl.http.enabled: true
plugins.security.ssl.http.pemcert_filepath: /etc/opensearch/certs/node1.pem
plugins.security.ssl.http.pemkey_filepath: /etc/opensearch/certs/node1-key.pem
plugins.security.ssl.http.pemtrustedcas_filepath: /etc/opensearch/certs/root-ca.pem
plugins.security.allow_default_init_securityindex: true
plugins.security.authcz.admin_dn:
- 'CN=A,OU=UNIT,O=ORG,L=TORONTO,ST=ONTARIO,C=CA'
plugins.security.nodes_dn:
- 'CN=opensearch.example.com,OU=UNIT,O=ORG,L=TORONTO,ST=ONTARIO,C=CA'
plugins.security.audit.type: internal_opensearch
plugins.security.enable_snapshot_restore_privilege: true
plugins.security.check_snapshot_restore_write_privileges: true
plugins.security.restapi.roles_enabled: ["all_access", "security_rest_api_access"]만족스러우면 Ctrl + X를 눌러 파일을 저장합니다.
8단계 - OpenSearch 사용자 생성
이 단계에서는 admin 사용자를 제외한 모든 데모 사용자를 제거하고 스크립트를 사용하여 기본 admin 비밀번호를 교체합니다.
OpenSearch 보안 플러그인 도구 디렉토리로 이동합니다.
$ cd /usr/share/opensearch/plugins/opensearch-security/tools새 비밀번호를 생성하기 위해 hash.sh 스크립트를 실행합니다.
$ ./hashJava 실행 파일(JDK)의 경로가 정의되지 않았기 때문에 스크립트가 실패하고 다음과 같은 오류가 발생합니다.
************************************************************************
이 도구는 OpenSearch의 다음 주요 릴리스에서 더 이상 지원되지 않습니다
https://github.com/opensearch-project/security/issues/1755
**********************************************************************
경고: OPENSEARCH_JAVA_HOME 또는 JAVA_HOME이 설정되지 않았습니다. 사용할 것입니다.
./hash.sh: line 35: java: command not found다시 명령을 실행하되 OPENSEARCH_JAVA_HOME 환경 변수를 JDK의 위치로 선언합니다.
$ OPENSEARCH_JAVA_HOME=/usr/share/opensearch/jdk ./hash.sh비슷한 출력을 얻어야 합니다.
********************************************************************** 이 도구는 OpenSearch의 다음 주요 릴리스에서 더 이상 지원되지 않습니다 https://github.com/opensearch-project/security/issues/1755 ********************************************************************** [비밀번호:] $2y$12$4NL0LqEnN4FXaUdQQC.gOupeCQT2IuMo9gN0b5d3nxdMVbLX088f2
위에서 생성한 비밀번호 해시가 생성됩니다.
/etc/opensearch/opensearch-security/internal_users.yml 파일을 열어 편집합니다.
$ sudo nano /etc/opensearch/opensearch-security/internal_users.yml모든 데모 사용자 앞에 해시를 추가하여 주석 처리합니다.
---
# 내부 사용자 데이터베이스입니다.
# 해시 값은 bcrypt 해시이며 plugin/tools/hash.sh로 생성할 수 있습니다.
_meta:
type: "internalusers"
config_version: 2
# 내부 사용자를 정의하십시오.
## 데모 사용자
#admin:
# hash: "$2y$12$Twy84uxOX0SQ1QMQ68og8O/i1MvqWItt/phZX3DiJMjpBoT9u9KX6"
# reserved: true
# backend_roles:
# - "admin"
# description: "데모 관리자 사용자"
#anomalyadmin:위에서 생성한 해시를 사용하여 관리자 사용자를 추가합니다.
---
# 내부 사용자 데이터베이스입니다.
# 해시 값은 bcrypt 해시이며 plugin/tools/hash.sh로 생성할 수 있습니다.
_meta:
type: "internalusers"
config_version: 2
# 내부 사용자를 정의하십시오.
admin:
hash: "$2y$12$4NL0LqEnN4FXaUdQQC.gOupeCQT2IuMo9gN0b5d3nxdMVbLX088f2"
reserved: true
backend_roles:
- "admin"
description: "관리자 사용자"
## 데모 사용자
#admin:작업이 완료되면 Ctrl + X를 눌러 파일을 저장하고 Y를 입력합니다.
이제 TLS 인증서가 설치되고 데모 사용자가 제거되거나 새 비밀번호가 할당되었으므로 구성 변경 사항을 적용할 차례입니다. 변경 사항을 적용하기 위해 /usr/share/opensearch/plugins/opensearch-security/tools 디렉토리 내의 securityadmin.sh 스크립트를 호출합니다. 이 스크립트는 OpenSearch 서비스가 실행 중이어야 합니다.
OpenSearch 서비스를 재시작합니다.
$ sudo systemctl restart opensearch/usr/share/opensearch/plugins/opensearch-security/tools 디렉토리로 이동합니다.
$ cd /usr/share/opensearch/plugins/opensearch-security/tools다음 명령을 사용하여 스크립트를 실행합니다.
$ sudo OPENSEARCH_JAVA_HOME=/usr/share/opensearch/jdk ./securityadmin.sh -h opensearch.nspeaks.com -p 9200 -cd /etc/opensearch/opensearch-security/ -cacert /etc/opensearch/certs/root-ca.pem -cert /etc/opensearch/certs/admin.pem -key /etc/opensearch/certs/admin-key.pem -icl -nhnv보안 플러그인은 사용자, 권한, 역할 및 백엔드 설정을 포함한 구성을 OpenSearch 클러스터의 시스템 인덱스에 저장합니다. 이러한 설정을 클러스터에 저장하면 클러스터를 재시작하지 않고도 설정을 변경할 수 있으며 모든 노드에서 구성 파일을 편집할 필요가 없습니다. 이는 securityadmin.sh 스크립트를 실행하여 수행됩니다.
-cd옵션은 보안 플러그인 구성 파일이 위치한 경로를 지정합니다.-icl(--ignore-clustername) 옵션은 보안 플러그인에게 클러스터 이름에 관계없이 구성을 업로드하도록 지시합니다.-cn(--clustername) 옵션 대신 클러스터 이름을 지정할 수도 있습니다.- 인증서가 자체 서명된 경우
-nhnv(--disable-host-name-verification) 옵션을 사용합니다. --cacert,--cert, 및--key옵션은 루트 인증서, 관리자 인증서 및 관리자 인증서의 개인 키의 위치를 정의합니다. 개인 키에 비밀번호가 있는 경우-keypass옵션을 사용하여 정의할 수 있습니다.
OpenSearch 문서에서 보안 플러그인 구성에 대해 자세히 알아볼 수 있습니다.
위 명령을 실행하면 다음과 유사한 출력을 얻어야 합니다.
********************************************************************** 이 도구는 OpenSearch의 다음 주요 릴리스에서 더 이상 지원되지 않습니다 https://github.com/opensearch-project/security/issues/1755 ************************************************************************ Security Admin v7 Will connect to opensearch:9200 ... done Connected as "CN=A,OU=UNIT,O=ORG,L=TORONTO,ST=ONTARIO,C=CA" OpenSearch Version: 2.12.0 Contacting opensearch cluster 'opensearch' and wait for YELLOW clusterstate ... Clustername: opensearch Clusterstate: GREEN Number of nodes: 1 Number of data nodes: 1 .opendistro_security index already exists, so we do not need to create one. Populate config from /etc/opensearch/opensearch-security/ Will update '/config' with /etc/opensearch/opensearch-security/config.yml SUCC: Configuration for 'config' created or updated Will update '/roles' with /etc/opensearch/opensearch-security/roles.yml SUCC: Configuration for 'roles' created or updated Will update '/rolesmapping' with /etc/opensearch/opensearch-security/roles_mapping.yml SUCC: Configuration for 'rolesmapping' created or updated Will update '/internalusers' with /etc/opensearch/opensearch-security/internal_users.yml SUCC: Configuration for 'internalusers' created or updated Will update '/actiongroups' with /etc/opensearch/opensearch-security/action_groups.yml SUCC: Configuration for 'actiongroups' created or updated Will update '/tenants' with /etc/opensearch/opensearch-security/tenants.yml SUCC: Configuration for 'tenants' created or updated Will update '/nodesdn' with /etc/opensearch/opensearch-security/nodes_dn.yml SUCC: Configuration for 'nodesdn' created or updated Will update '/whitelist' with /etc/opensearch/opensearch-security/whitelist.yml SUCC: Configuration for 'whitelist' created or updated Will update '/audit' with /etc/opensearch/opensearch-security/audit.yml SUCC: Configuration for 'audit' created or updated Will update '/allowlist' with /etc/opensearch/opensearch-security/allowlist.yml SUCC: Configuration for 'allowlist' created or updated SUCC: Expected 10 config types for node {"updated_config_types":["allowlist","tenants","rolesmapping","nodesdn","audit","roles","whitelist","internalusers","actiongroups","config"],"updated_config_size":10,"message":null} is 10 (["allowlist","tenants","rolesmapping","nodesdn","audit","roles","whitelist","internalusers","actiongroups","config"]) due to: null Done with success
새 자격 증명을 사용하여 다음 명령으로 확인합니다.
이전 테스트에서는 요청을 localhost로 보냈습니다. 이제 TLS 인증서가 설정되고 새 인증서가 호스트의 실제 DNS 레코드를 참조하므로 localhost로의 요청은 CN 검사를 통과하지 못하고 인증서가 유효하지 않은 것으로 간주됩니다. 따라서 아래 명령에서 실제 DNS 레코드를 추가하여 확인합니다.
$ curl https://your.host.address:9200 -u admin:yournewpassword -k다음과 같은 응답을 받아야 합니다.
{
"name" : "opensearch",
"cluster_name" : "opensearch",
"cluster_uuid" : "3oFvYn96St2MOpDP3Sf29g",
"version" : {
"distribution" : "opensearch",
"number" : "2.12.0",
"build_type" : "deb",
"build_hash" : "2c355ce1a427e4a528778d4054436b5c4b756221",
"build_date" : "2024-02-20T02:18:31.541484890Z",
"build_snapshot" : false,
"lucene_version" : "9.9.2",
"minimum_wire_compatibility_version" : "7.10.0",
"minimum_index_compatibility_version" : "7.0.0"
},
"tagline" : "The OpenSearch Project: https://opensearch.org/"
}9단계 - OpenSearch Dashboards 설치
OpenSearch를 이미 설치했으므로 OpenSearch GPG 키를 가져오는 단계를 건너뛸 수 있습니다.
OpenSearch 대시보드를 설치하려면 다음 명령을 실행하여 APT 리포지토리를 생성합니다.
$ echo "deb [signed-by=/usr/share/keyrings/opensearch-keyring] https://artifacts.opensearch.org/releases/bundle/opensearch-dashboards/2.x/apt stable main" | sudo tee /etc/apt/sources.list.d/opensearch-dashboards-2.x.list시스템 리포지토리 목록을 업데이트합니다.
$ sudo apt update사용 가능한 OpenSearch 대시보드의 모든 버전을 나열합니다.
$ sudo apt list -a opensearch-dashboards다음과 유사한 출력을 볼 수 있어야 합니다.
목록... 완료
opensearch-dashboards/stable 2.12.0 amd64
opensearch-dashboards/stable 2.11.1 amd64
opensearch-dashboards/stable 2.11.0 amd64
opensearch-dashboards/stable 2.10.0 amd64
opensearch-dashboards/stable 2.9.0 amd64
opensearch-dashboards/stable 2.8.0 amd64
opensearch-dashboards/stable 2.7.0 amd64
opensearch-dashboards/stable 2.6.0 amd64
opensearch-dashboards/stable 2.5.0 amd64최신 버전의 OpenSearch 대시보드를 설치합니다.
$ sudo apt install opensearch-dashboards또는 특정 버전의 OpenSearch 대시보드를 설치합니다.
$ sudo apt install opensearch-dashboards=2.12.0OpenSearch 대시보드와 OpenSearch의 버전이 동일해야 하며, 그렇지 않으면 여러 문제가 발생할 수 있습니다.
서비스 데몬을 다시 로드합니다.
$ sudo systemctl daemon-reloadOpenSearch 대시보드 서비스를 활성화합니다.
$ sudo systemctl enable opensearch-dashboardsOpenSearch 대시보드 서비스를 시작합니다.
$ sudo systemctl start opensearch-dashboardsOpenSearch 대시보드 서비스의 상태를 확인합니다.
$ sudo systemctl status opensearch-dashboards다음과 같은 출력을 얻어야 합니다.
? opensearch-dashboards.service - "OpenSearch Dashboards"
Loaded: loaded (/lib/systemd/system/opensearch-dashboards.service; enabled; preset: enabled)
Active: active (running) since Sat 2024-03-02 16:01:25 UTC; 4s ago
Main PID: 7098 (node)
Tasks: 11 (limit: 9484)
Memory: 175.4M
CPU: 5.389s
CGroup: /system.slice/opensearch-dashboards.service
??7098 /usr/share/opensearch-dashboards/node/bin/node /usr/share/opensearch-dashboards/src/cli/dist
Mar 02 16:01:25 opensearch systemd[1]: Started opensearch-dashboards.service - "OpenSearch Dashboards".10단계 - OpenSearch Dashboards 구성
OpenSearch Dashboards는 /etc/opensearch-dashboards/opensearch_dashboards.yml 파일에 구성을 저장합니다. 편집을 위해 엽니다.
$ sudo nano /etc/opensearch-dashboards/opensearch_dashboards.yml# server.host: "localhost" 행을 찾아 해시를 제거하여 주석을 해제하고 값을 다음과 같이 변경합니다.
# OpenSearch Dashboards 서버가 바인딩할 주소를 지정합니다. IP 주소와 호스트 이름 모두 유효한 값입니다.
# 기본값은 'localhost'이며, 이는 일반적으로 원격 머신이 연결할 수 없음을 의미합니다.
# 원격 사용자로부터의 연결을 허용하려면 이 매개변수를 비루프백 주소로 설정하십시오.
server.host: 0.0.0.0server.host의 값을 0.0.0.0으로 설정하면 OpenSearch 대시보드가 모든 외부 IP에 바인딩되어 월드 와이드 웹에서 접근할 수 있게 됩니다. SSL을 통해 대시보드를 제공하려면 이 값을 변경하지 마십시오.
다음 섹션을 찾기 위해 아래로 스크롤합니다.
opensearch.hosts: [https://localhost:9200]
opensearch.ssl.verificationMode: none
opensearch.username: kibanaserver
opensearch.password: kibanaserver
opensearch.requestHeadersWhitelist: [authorization, securitytenant]OpenSearch 설치에 맞게 값을 변경합니다.
opensearch.hosts: [https://opensearch:9200]
opensearch.ssl.verificationMode: none
opensearch.username: admin
opensearch.password:
opensearch.requestHeadersWhitelist: [authorization, securitytenant] 작업이 완료되면 Ctrl + X를 눌러 파일을 저장하고 프롬프트가 나타나면 Y를 입력합니다.
OpenDashboards 서비스를 재시작합니다.
$ sudo systemctl restart opensearch-dashboardsUFW 방화벽에서 5601 포트를 엽니다.
$ sudo ufw allow 5601URL http:// 또는 http://opensearch.example.com:5601을 열어 OpenSearch Dashboards 웹사이트를 시작합니다.
HTTP를 통해 OpenSearch Dashboards에 접근하고 URL에 포트 번호가 포함된 경우 여기서 멈출 수 있습니다. 그러나 대시보드를 SSL을 통해 제공하는 것이 좋습니다. 이를 위해 Nginx를 리버스 프록시로 설치하고 SSL을 제공할 것입니다.
11단계 - Nginx 설치
Debian 12는 이전 버전의 Nginx를 제공합니다. 최신 버전을 설치하려면 공식 Nginx 리포지토리를 다운로드해야 합니다.
Nginx의 서명 키를 가져옵니다.
$ curl https://nginx.org/keys/nginx_signing.key | gpg --dearmor \
| sudo tee /usr/share/keyrings/nginx-archive-keyring.gpg >/dev/nullNginx의 메인라인 버전 리포지토리를 추가합니다.
$ echo "deb [signed-by=/usr/share/keyrings/nginx-archive-keyring.gpg] \
http://nginx.org/packages/mainline/debian `lsb_release -cs` nginx" \
| sudo tee /etc/apt/sources.list.d/nginx.list시스템 리포지토리를 업데이트합니다.
$ sudo apt updateNginx를 설치합니다.
$ sudo apt install nginx설치를 확인합니다. Debian 시스템에서는 다음 명령이 sudo와 함께만 작동합니다.
$ sudo nginx -v
nginx version: nginx/1.25.4Nginx 서버를 시작합니다.
$ sudo systemctl start nginx서비스 상태를 확인합니다.
$ sudo systemctl status nginx
? nginx.service - nginx - 고성능 웹 서버
Loaded: loaded (/lib/systemd/system/nginx.service; enabled; preset: enabled)
Active: active (running) since Sat 2024-03-02 12:53:57 UTC; 4s ago
Docs: https://nginx.org/en/docs/
Process: 3976 ExecStart=/usr/sbin/nginx -c /etc/nginx/nginx.conf (code=exited, status=0/SUCCESS)
Main PID: 3977 (nginx)
Tasks: 3 (limit: 9484)
Memory: 2.7M
CPU: 9ms
CGroup: /system.slice/nginx.service
??3977 "nginx: master process /usr/sbin/nginx -c /etc/nginx/nginx.conf"
??3978 "nginx: worker process"
??3979 "nginx: worker process"
Mar 02 12:53:57 opensearch systemd[1]: Starting nginx.service - nginx - 고성능 웹 서버...
Mar 02 12:53:57 opensearch systemd[1]: Started nginx.service - nginx - 고성능 웹 서버.12단계 - SSL 설치
SSL 인증서를 생성하기 위해 Certbot을 설치해야 합니다. Debian의 리포지토리를 사용하여 Certbot을 설치하거나 Snapd 도구를 사용하여 최신 버전을 가져올 수 있습니다. 우리는 Snapd 버전을 사용할 것입니다.
Debian 12는 Snapd가 설치되어 있지 않습니다. Snapd 패키지를 설치합니다.
$ sudo apt install snapd다음 명령을 실행하여 Snapd의 버전이 최신인지 확인합니다.
$ sudo snap install core && sudo snap refresh coreCertbot을 설치합니다.
$ sudo snap install --classic certbot다음 명령을 사용하여 Certbot 명령이 /usr/bin 디렉토리에서 실행될 수 있도록 심볼릭 링크를 생성합니다.
$ sudo ln -s /snap/bin/certbot /usr/bin/certbotCertbot이 제대로 작동하는지 확인합니다.
$ certbot --version
certbot 2.9.0다음 명령을 실행하여 SSL 인증서를 생성합니다.
$ sudo certbot certonly --nginx --agree-tos --no-eff-email --staple-ocsp --preferred-challenges http -m [email protected] -d craftcms.example.com위 명령은 서버의 /etc/letsencrypt/live/craftcms.example.com 디렉토리에 인증서를 다운로드합니다.
Diffie-Hellman 그룹 인증서를 생성합니다.
$ sudo openssl dhparam -dsaparam -out /etc/ssl/certs/dhparam.pem 4096Certbot 갱신 스케줄러 서비스 확인합니다.
$ sudo systemctl list-timersapt-daily.timer와 함께 snap.certbot.renew.service가 스케줄된 서비스 중 하나로 표시됩니다.
NEXT LEFT LAST PASSED UNIT ACTIVATES ---------------------------------------------------------------------------------------------------------------------------------------
Sat 2024-03-02 16:25:00 UTC 3h 27min left - - snap.certbot.renew.timer snap.certbot.renew.service
Sat 2024-03-02 23:00:51 UTC 10h left Sat 2024-03-02 06:29:02 UTC 6h ago apt-daily.timer apt-daily.service
Sun 2024-03-03 00:00:00 UTC 11h left - - dpkg-db-backup.timer dpkg-db-backup.service
.....프로세스의 드라이런을 수행하여 SSL 갱신이 제대로 작동하는지 확인합니다.
$ sudo certbot renew --dry-run오류가 없으면 모든 준비가 완료된 것입니다. 인증서는 자동으로 갱신됩니다.
13단계 - Nginx 구성
/etc/nginx/nginx.conf 파일을 편집하기 위해 엽니다.
$ sudo nano /etc/nginx/nginx.confinclude /etc/nginx/conf.d/*.conf; 행 앞에 다음 행을 추가합니다.
server_names_hash_bucket_size 64;파일을 저장하려면 Ctrl + X를 누르고 프롬프트가 나타나면 Y를 입력합니다.
/etc/nginx/conf.d/opensearch.conf 파일을 생성하고 편집을 위해 엽니다.
$ sudo nano /etc/nginx/conf.d/opensearch.conf다음 코드를 붙여넣습니다. opensearch.example.com을 도메인 이름으로 바꿉니다.
server {
listen 443 ssl;
listen [::]:443 ssl;
http2 on;
http3 on;
quic_retry on;
server_name opensearch.example.com;
access_log /var/log/nginx/opensearch.access.log;
error_log /var/log/nginx/opensearch.error.log;
ssl_certificate /etc/letsencrypt/live/opensearch.example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/opensearch.example.com/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/opensearch.example.com/chain.pem;
ssl_session_timeout 5m;
ssl_session_cache shared:MozSSL:10m;
ssl_session_tickets off;
ssl_early_data on;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
ssl_ecdh_curve X25519:prime256v1:secp384r1:secp521r1;
ssl_stapling on;
ssl_stapling_verify on;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
location / {
proxy_pass http://localhost:5601;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
}
}
# HTTPS 강제 적용
server {
listen 80;
listen [::]:80;
server_name opensearch.example.com;
return 301 https://$host$request_uri;
}파일을 저장하려면 Ctrl + X를 누르고 프롬프트가 나타나면 Y를 입력합니다.
Nginx 구성을 확인합니다.
$ sudo nginx -tNginx 서버를 재시작합니다.
$ sudo systemctl restart nginx브라우저에서 https://opensearch.example.com을 방문하여 OpenSearch Dashboards를 시작합니다.
14단계 - OpenSearch Dashboards에 접근하고 사용하기
Nginx를 사용했다면 https://opensearch.example.com 또는 http://opensearch.example.com:5601 URL을 통해 대시보드에 접근할 수 있으며 로그인 페이지가 표시됩니다.
OpenSearch에 대해 구성한 사용자 정의 관리자 비밀번호와 함께 admin을 입력하고 로그인 버튼을 클릭하여 진행합니다.
데이터 추가 버튼을 클릭하여 데이터를 직접 추가하기 시작하거나 먼저 탐색하려면 내가 직접 탐색 링크를 클릭합니다. 먼저 탐색하면 OpenSearch Dashboards의 다크 모드에 대한 팝업이 표시됩니다.
해제 버튼을 클릭하여 진행합니다. 다음으로 테넌트를 선택하라는 메시지가 표시됩니다.
OpenSearch Dashboards의 테넌트는 인덱스 패턴, 시각화, 대시보드 및 기타 OpenSearch Dashboards 객체를 저장하기 위한 공간입니다. 각 사용자는 여러 용도로 여러 테넌트를 생성할 수 있습니다. 테넌트는 다른 OpenSearch Dashboards 사용자와 작업을 안전하게 공유하는 데 유용합니다. OpenSearch는 세 가지 옵션 중에서 선택할 수 있는 옵션을 제공합니다.
- 전역 - 이 테넌트는 모든 OpenSearch Dashboards 사용자 간에 공유됩니다.
- 개인 - 이 테넌트는 각 사용자에게 독점적이며 공유할 수 없습니다.
- 사용자 정의 - 관리자가 사용자 정의 테넌트를 생성하고 특정 역할에 할당할 수 있습니다. 생성된 후에는 이러한 테넌트를 사용하여 특정 사용자 집합에 공간을 제공할 수 있습니다.
지금은 기본 옵션인 개인 테넌트를 선택하겠습니다. 확인 버튼을 클릭하여 진행합니다. 다음 페이지가 표시됩니다.
다음으로 OpenSearch와 OpenSearch Dashboards 간의 연결을 확인합니다.
오른쪽 상단의 Dev Tools 버튼을 클릭하면 OpenSearch Dashboards의 콘솔 UI에 대한 미니 팝업이 표시됩니다.
해제 버튼을 클릭하고 콘솔 왼쪽에 GET / 쿼리를 입력한 다음 가운데의 작은 재생 버튼을 클릭합니다. 오른쪽에서 다음과 같은 출력을 볼 수 있어야 합니다.
이로써 OpenSearch Dashboards가 OpenSearch로부터 데이터를 수신하고 있으며 두 시스템이 잘 작동하고 있음을 확인합니다. 이제부터 데이터를 추가할 수 있습니다.
결론
이로써 Debian 12 서버에 OpenSearch를 설치하는 튜토리얼이 완료되었습니다. 질문이 있으시면 아래 댓글로 남겨주세요.
새 게시물을 받은 편지함에서 받기
스팸은 없습니다. 언제든지 구독 해지 가능합니다.