Como Instalar OpenSearch no Ubuntu 24.04

OpenSearch é um projeto orientado pela comunidade da Amazon e um fork do Elasticsearch e Kibana. É um mecanismo de busca e suíte de análise totalmente open-source com recursos ricos e funcionalidades inovadoras. Os principais componentes do projeto OpenSearch são o OpenSearch (um fork do Elasticsearch) e os OpenSearch Dashboards (um fork do Kibana). Ambos os componentes fornecem recursos como segurança empresarial, alertas, aprendizado de máquina, SQL, gerenciamento de estado de índice e muito mais.

Este guia mostrará como instalar o OpenSearch e o OpenSearch Dashboard no servidor Ubuntu 24.04. Você também irá proteger o OpenSearch com certificados TLS e habilitar a autenticação com nome de usuário e senha.

Pré-requisitos

Antes de começar, certifique-se de ter o seguinte:

• Um servidor Ubuntu 24.04 com pelo menos 8GB de RAM
• Um usuário não-root com privilégios de administrador

Adicionando o repositório OpenSearch

Para começar, você precisa adicionar os repositórios do OpenSearch e do OpenSearch Dashboard ao seu sistema. Neste exemplo, usaremos a versão estável mais recente do OpenSearch.

Primeiro, execute o comando abaixo para instalar pacotes básicos no seu sistema Ubuntu.

sudo apt install lsb-release ca-certificates curl gnupg2 -y

Baixe a chave GPG para o repositório OpenSearch com o seguinte comando.

curl -o- https://artifacts.opensearch.org/publickeys/opensearch.pgp | sudo gpg --dearmor --batch --yes -o /usr/share/keyrings/opensearch-keyring

Adicione os repositórios do OpenSearch e do OpenSearch Dashboard ao seu sistema com o comando abaixo. Neste exemplo, você usará a versão estável OpenSearch 2.x.

echo "deb [signed-by=/usr/share/keyrings/opensearch-keyring] https://artifacts.opensearch.org/releases/bundle/opensearch/2.x/apt stable main" | sudo tee /etc/apt/sources.list.d/opensearch-2.x.list  

echo "deb [signed-by=/usr/share/keyrings/opensearch-keyring] https://artifacts.opensearch.org/releases/bundle/opensearch-dashboards/2.x/apt stable main" | sudo tee /etc/apt/sources.list.d/opensearch-dashboards-2.x.list

Por último, execute o comando ‘ apt ‘ abaixo para atualizar seu índice de pacotes e recuperar novas informações sobre o pacote OpenSearch.

sudo apt update

Instalando OpenSearch e OpenSearch Dashboard

Após adicionar o repositório OpenSearch, você instalará o OpenSearch e o OpenSearch Dashboard através do gerenciador de pacotes APT. Em seguida, você iniciará ambos os serviços através da ferramenta ‘ systemctl ‘.

Antes de instalar o OpenSearch, execute o comando abaixo para gerar uma senha aleatória para a instalação do OpenSearch. Certifique-se de copiar a saída e incluir letras maiúsculas, números e símbolos.

sudo openssl rand -hex 16

Agora execute o comando abaixo para instalar os pacotes ‘ opensearch ‘ e ‘ opensearch-dashboard ‘. Certifique-se de alterar a ‘ OPENSEARCH_INITIAL_ADMIN_PASSWORD ‘ e digite ‘ Y ‘ para confirmar a instalação.

sudo env OPENSEARCH_INITIAL_ADMIN_PASSWORD=B07e_af7e9f8fe12e@85ab797ddc1f174Dapt-get install opensearch opensearch-dashboard

Após a instalação ser concluída, execute o comando ‘ systemctl ‘ abaixo para recarregar o gerenciador systemd e aplicar os novos arquivos de serviço.

sudo systemctl daemon-reload

Agora você pode iniciar, habilitar e verificar o OpenSearch com o comando abaixo.

sudo systemctl enable --now opensearch  
sudo systemctl status opensearch

Você pode ver abaixo que o OpenSearch está em execução.

Por último, você pode agora iniciar, habilitar e verificar o serviço OpenSearch Dashboard usando o seguinte comando.

sudo systemctl enable --now opensearch-dashboards  
sudo systemctl status opensearch-dashboards

Na saída a seguir, você pode ver que o serviço ‘ opensearch-dashboards ‘ está em execução.

Configurando OpenSearch

Com o OpenSearch instalado, você configurará a instalação através do arquivo ‘ /etc/opensearch/opensearch.yml ‘. Você também aumentará o tamanho máximo padrão da JVM (Java Virtual Memory) para o OpenSearch conforme necessário.

Abra a configuração padrão do OpenSearch ‘ /etc/opensearch/opensearch.yml ‘ com o editor ‘ nano ‘.

sudo nano /etc/opensearch/opensearch.yml

Altere as seguintes configurações do OpenSearch:

• • Altere a opção ‘ network.host ‘ com seu endereço IP local
• • Adicione o ‘ discovery.type ‘ como ‘ single-node ‘ para executar o OpenSearch em modo único
• • Defina ‘ plugins.security.disabled ‘ como ‘ false ‘

# Bind OpenSearch to the correct network interface. Use 0.0.0.0  
# to include all available interfaces or specify an IP address  
# assigned to a specific interface.  
network.host: 192.168.10.60  
  
# Unless you have already configured a cluster, you should set  
# discovery.type to single-node, or the bootstrap checks will  
# fail when you try to start the service.  
discovery.type: single-node  
  
# If you previously disabled the security plugin in opensearch.yml,  
# be sure to re-enable it. Otherwise you can skip this setting.  
plugins.security.disabled: false

Salve o arquivo e saia do editor quando terminar.

Em seguida, abra a configuração da JVM (Java Virtual Machine) ‘ /etc/opensearch/jvm.options ‘ com o editor ‘ nano ‘.

sudo nano /etc/opensearch/jvm.options

Aumente a memória máxima padrão para o OpenSearch conforme necessário. O valor padrão é ‘ 1GB ‘.

-Xms2g  
-Xmx2g

Salve e saia do arquivo.

Por último, execute o seguinte comando ‘ systemctl ‘ para reiniciar o ‘ opensearch ‘ e aplicar suas alterações. Com isso, o OpenSearch estará em execução em um endereço IP local em modo único.

sudo systemctl restart opensearch

Protegendo o OpenSearch com certificados TLS/SSL

Agora que você configurou o OpenSearch, precisará configurar a segurança do OpenSearch através de certificados SSL/TLS. Nesta seção, você desativará os certificados de demonstração e, em seguida, gerará certificados raiz, certificados de administrador e certificados de host/servidor.

Antes de gerar certificados SSL, exclua os certificados de demonstração do OpenSearch usando o comando abaixo.

rm -f /opt/opensearch/{esnode-key.pem,esnode.pem,kirk-key.pem,kirk.pem,root-ca.pem}

Edite a configuração do OpenSearch ‘ /etc/opensearch/opensearch.yml ‘ com o editor ‘ nano ‘.

sudo nano /etc/opensearch/opensearch.yml

Comente a configuração de segurança ‘ demo ‘ para o OpenSearch como a seguinte.

Salve o arquivo e saia do editor.

Agora crie um novo diretório ‘ /etc/opensearch/certs ‘ e entre nele. Este diretório será usado para armazenar novos certificados para o OpenSearch.

mkdir -p /etc/opensearch/certs; cd /etc/opensearch/certs

Gerando certificados raiz

Primeiro, execute o comando abaixo para gerar certificados raiz que serão usados para assinar seus outros certificados, como certificados de servidor e cliente.

openssl genrsa -out root-ca-key.pem 2048

Agora execute o seguinte comando para gerar um certificado raiz a partir de sua chave privada. Certifique-se de alterar a opção ‘ -subj ‘ com os detalhes do seu servidor.

openssl req -new -x509 -sha256 -key root-ca-key.pem -subj "/C=CA/ST=ONTARIO/L=TORONTO/O=ORG/OU=UNIT/CN=ROOT" -out root-ca.pem -days 730

Gerando certificados de administrador

Crie uma nova chave privada para seu certificado de administrador com o seguinte.

openssl genrsa -out admin-key-temp.pem 2048

Converta sua chave de administrador para o formato PKCS8 usando o comando abaixo.

openssl pkcs8 -inform PEM -outform PEM -in admin-key-temp.pem -topk8 -nocrypt -v1 PBE-SHA1-3DES -out admin-key.pem

Em seguida, crie um novo certificado de solicitação de assinatura (CSR) para o certificado de administrador com o comando abaixo.

openssl req -new -key admin-key.pem -subj "/C=CA/ST=ONTARIO/L=TORONTO/O=ORG/OU=UNIT/CN=A" -out admin.csr

Agora execute o seguinte comando para assinar seu novo certificado de solicitação de administrador (CSR) com o certificado raiz.

openssl x509 -req -in admin.csr -CA root-ca.pem -CAkey root-ca-key.pem -CAcreateserial -sha256 -out admin.pem -days 730

Gerando certificados de host ou servidor

Gere a chave privada para seus hosts/servidores OpenSearch e converta o certificado para o formato PKCS8.

openssl genrsa -out ubuntu24-key-temp.pem 2048  
openssl pkcs8 -inform PEM -outform PEM -in ubuntu24-key-temp.pem -topk8 -nocrypt -v1 PBE-SHA1-3DES -out ubuntu24-key.PEM

Agora execute o seguinte comando para gerar uma solicitação de certificado (CSR) para seu host. O CN ou Nome Comum deve corresponder ao fqdn do seu servidor host e não ao nome do host. Neste exemplo, o fqdn para o servidor é ‘ ubuntu24.howtoforge.local ‘.

openssl req -new -key ubuntu24-key.pem -subj "/C=CA/ST=ONTARIO/L=TORONTO/O=ORG/OU=UNIT/CN=ubuntu24.howtoforge.local" -out ubuntu24.csr

Em seguida, execute o comando abaixo para criar um novo arquivo de extensão que contém o DNS do seu host/servidor.

echo 'subjectAltName=DNS:ubuntu24.howtoforge.local' > ubuntu24.ext

Por último, execute o seguinte comando para assinar o certificado do host/servidor com o certificado raiz e incluir o arquivo de extensão que você criou anteriormente.

openssl x509 -req -in ubuntu24.csr -CA root-ca.pem -CAkey root-ca-key.pem -CAcreateserial -sha256 -out ubuntu24.pem -days 730 -extfile ubuntu24.ext

Configurando certificados

Exclua certificados temporários, CSR (solicitações de certificados) para o administrador e host, e o arquivo de extensão com o seguinte.

rm *temp.pem *csr *ext  
ls

Agora converta o certificado ‘ root-ca.pem ‘ para o arquivo ‘ root-ca.crt ‘ com o comando abaixo.

openssl x509 -outform der -in root-ca.pem -out root-ca.crt

Depois disso, copie o certificado ‘ root-ca.crt ‘ para o diretório ‘ /usr/local/share/ca-certificates ‘ e carregue seu certificado raiz no servidor.

sudo cp root-ca.crt /usr/local/share/ca-certificates  
sudo update-ca-certificates

Por último, execute o seguinte comando para configurar as permissões e a propriedade adequadas dos arquivos e diretórios de certificados.

sudo chown -R opensearch:opensearch /etc/opensearch/certs  
sudo chmod 0700 /etc/opensearch/certs

sudo chmod 0600 /etc/opensearch/certs/*.pem  
sudo chmod 0600 /etc/opensearch/certs/*.crt

Adicionando certificados ao OpenSearch

Após gerar certificados TLS para o OpenSearch, você precisa adicionar uma nova configuração ao arquivo ‘ opensearch.yml ‘. Neste caso, você adicionará uma nova configuração ao ‘opensearch.yml’ através do script bash.

Antes de adicionar certificados ao seu servidor OpenSearch, execute o comando abaixo para fazer backup do arquivo ‘ opensearch.yml ‘ e configurar seu servidor fqdn.

sudo cp /etc/opensearch/opensearch.yml /etc/opensearch/opensearch.yml.orig  
sudo hostnamectl set-hostname ubuntu24.howtoforge.local

Agora crie um novo arquivo ‘ add-cert.sh ‘ com o editor ‘ nano ‘.

nano add-cert.sh

Insira as seguintes configurações no arquivo. Com isso, você adicionará novas configurações ao arquivo de configuração do OpenSearch ‘ opensearch.yml ‘

#! /bin/bash  
  
# Before running this script, make sure to replace the CN in the  
# node's distinguished name with a real DNS A record.  
  
echo "plugins.security.ssl.transport.pemcert_filepath: /etc/opensearch/certs/ubuntu24.pem" | sudo tee -a /etc/opensearch/opensearch.yml  
echo "plugins.security.ssl.transport.pemkey_filepath: /etc/opensearch/certs/ubuntu24-key.pem" | sudo tee -a /etc/opensearch/opensearch.yml  
echo "plugins.security.ssl.transport.pemtrustedcas_filepath: /etc/opensearch/certs/root-ca.pem" | sudo tee -a /etc/opensearch/opensearch.yml  
echo "plugins.security.ssl.http.enabled: true" | sudo tee -a /etc/opensearch/opensearch.yml  
echo "plugins.security.ssl.http.pemcert_filepath: /etc/opensearch/certs/ubuntu24.pem" | sudo tee -a /etc/opensearch/opensearch.yml  
echo "plugins.security.ssl.http.pemkey_filepath: /etc/opensearch/certs/ubuntu24-key.pem" | sudo tee -a /etc/opensearch/opensearch.yml  
echo "plugins.security.ssl.http.pemtrustedcas_filepath: /etc/opensearch/certs/root-ca.pem" | sudo tee -a /etc/opensearch/opensearch.yml  
echo "plugins.security.allow_default_init_securityindex: true" | sudo tee -a /etc/opensearch/opensearch.yml  
echo "plugins.security.authcz.admin_dn:" | sudo tee -a /etc/opensearch/opensearch.yml  
echo " - 'CN=A,OU=UNIT,O=ORG,L=TORONTO,ST=ONTARIO,C=CA'" | sudo tee -a /etc/opensearch/opensearch.yml  
echo "plugins.security.nodes_dn:" | sudo tee -a /etc/opensearch/opensearch.yml  
echo " - 'CN=ubuntu24.hwdomain.lan,OU=UNIT,O=ORG,L=TORONTO,ST=ONTARIO,C=CA'" | sudo tee -a /etc/opensearch/opensearch.yml  
echo "plugins.security.audit.type: internal_opensearch" | sudo tee -a /etc/opensearch/opensearch.yml  
echo "plugins.security.enable_snapshot_restore_privilege: true" | sudo tee -a /etc/opensearch/opensearch.yml  
echo "plugins.security.check_snapshot_restore_write_privileges: true" | sudo tee -a /etc/opensearch/opensearch.yml  
echo "plugins.security.restapi.roles_enabled: [\"all_access\", \"security_rest_api_access\"]" | sudo tee -a /etc/opensearch/opensearch.yml

Salve o arquivo e saia do editor quando terminar.

Agora torne o arquivo ‘ add-cert.sh ‘ executável e execute-o com o seguinte comando. Novas configurações serão adicionadas ao arquivo ‘opensearch.yml’.

chmod +x add-cert.sh  
./add-cert.sh

Protegendo o OpenSearch com autenticação por senha

Neste ponto, você configurou o OpenSearch com certificados SSL/TLS, e no próximo passo, você configurará a autenticação por senha para o OpenSearch. Você estará configurando dois usuários que serão usados para fazer login no OpenSearch e integrar ao OpenSearch Dashboard.

Vá para o diretório ‘ /usr/share/opensearch/plugins/opensearch-security/tools ‘ e execute o script ‘ hash.sh ‘ para gerar uma nova senha para o OpenSearch. Execute o ‘ hash.sh ‘ duas vezes para gerar duas senhas para o OpenSearch e OpenSearch Dashboard. Além disso, certifique-se de copiar a senha gerada em suas anotações.

cd /usr/share/opensearch/plugins/opensearch-security/tools  
OPENSEARCH_JAVA_HOME=/usr/share/opensearch/jdk ./hash.sh

Agora abra o arquivo ‘ /etc/opensearch/opensearch-security/internal_users.yml ‘ com o seguinte editor ‘ nano ‘.

sudo nano /etc/opensearch/opensearch-security/internal_users.yml

Altere a senha hash para o usuário ‘ admin ‘ e ‘ kibanaserver ‘ com sua senha anterior. O usuário ‘ admin ‘ será usado para fazer login no OpenSearch Dashboard, o usuário ‘ kibanaserver ‘ será usado para conectar entre o OpenSearch e o OpenSearch Dashboard.

admin:  
hash: "$2y$12$zPtsgbrpfmInPRuDEKvDKetuzhUzsQWyCpE9foT1uun5RTMW51p9K"  
reserved: true  
backend_roles:  
- "admin"  
description: "Usuário administrador"  
  
kibanaserver:  
hash: "$2y$12$zPtsgbrpfmInPRuDEKvDKetuzhUzsQWyCpE9foT1uun5RTMW51p9K"  
reserved: true  
description: "Usuário de demonstração do OpenSearch Dashboards"

Salve o arquivo e saia do editor quando terminar.

Agora execute o comando abaixo para reiniciar o serviço ‘ opensearch ‘ e aplicar suas alterações.

sudo systemctl restart opensearch

Uma vez que o OpenSearch reiniciou, execute o comando abaixo para aplicar seus certificados SSL ao OpenSearch.

cd /usr/share/opensearch/plugins/opensearch-security/tools  
OPENSEARCH_JAVA_HOME=/usr/share/opensearch/jdk ./securityadmin.sh -h 192.168.10.60 -p 9200 -cd /etc/opensearch/opensearch-security/ -cacert /etc/opensearch/certs/root-ca.pem -cert /etc/opensearch/certs/admin.pem -key /etc/opensearch/certs/admin-key.pem -icl -nhnv

Se tudo correr bem, você verá uma saída como esta:

Por último, execute o comando ‘ curl ‘ abaixo para verificar a autenticação no servidor OpenSearch.

curl https://192.168.10.60:9200 -u admin:password -k  
curl https://node-rock1:9200 -u kibanaserver:kibanapass -k

Quando bem-sucedido, você poderá acessar o OpenSearch com seu nome de usuário e senha através do protocolo HTTPS.

Configurando OpenSearch Dashboard

Após a autenticação por senha ser configurada, você configurará o OpenSearch Dashboard editando o arquivo ‘ opensearch-dashboard,yml ‘.

Abra a configuração para o OpenSearch Dashboard ‘ /etc/opensearch-dashboards/opensearch-dashboard.yml ‘ com o editor ‘ nano ‘.

sudo nano /etc/opensearch-dashboards/opensearch-dashboard.yml

Insira seu endereço IP local na opção ‘ server.host ‘ como a seguinte:

server.host: "192.168.10.60"

Certifique-se de alterar o host do OpenSearch, nome de usuário e senha com suas informações.

opensearch.hosts: ["https://192.168.10.60:9200"]  
opensearch.ssl.verificationMode: none  
opensearch.username: kibanaserver  
opensearch.password: kibanapass

Salve o arquivo e saia do editor.

Agora execute o comando ‘ systemctl ‘ abaixo para reiniciar o OpenSearch Dashboard e aplicar suas alterações. Com isso, o OpenSearch Dashboard deve estar conectado ao OpenSearch.

sudo systemctl restart opensearch-dashboards

Em seguida, abra seu navegador da web e visite http://192.168.10.60:5601. Se sua instalação for bem-sucedida, você verá a página de login do OpenSearch Dashboard.

Digite seu usuário administrador e senha, e clique em ‘ Entrar ‘.

Uma vez logado, selecione ‘ Adicionar dados ‘ para adicionar novos dados ou clique na opção ‘ Explorar por conta própria ‘.

Para garantir a conexão entre OpenSearch e OpenSearch Dashboard, você precisa verificar o status do OpenSearch a partir do painel.

Na seção ‘ Gerenciamento ‘, clique em ‘ Dev Tools ‘.

Dentro da seção do console, insira ‘ GET / ‘ e clique no botão de play. Se sua conexão com o OpenSearch e OpenSearch Dashboard for bem-sucedida, você verá a seguinte página.

Conclusão

Parabéns! Você instalou o OpenSearch e o OpenSearch Dashboard no servidor Ubuntu 24.04. O OpenSearch está em execução em modo único, e a instalação está protegida com HTTPS. Por último, você também configurou a autenticação para o OpenSearch e integrou o OpenSearch com o OpenSearch Dashboard.