« 安装 Elasticsearch 在 Windows 上使用 .zip 安装 Elasticsearch »
Elastic 文档 Elasticsearch 指南 [8.14] 设置 Elasticsearch 安装 Elasticsearch

从存档在 Linux 或 MacOS 上安装 Elasticsearch

编辑

从存档在 Linux 或 MacOS 上安装 Elasticsearch编辑

Elasticsearch 可作为 .tar.gz 存档用于 Linux 和 MacOS。

此软件包包含免费和订阅功能。 开始 30 天试用 以尝试所有功能。

可以在 下载 Elasticsearch 页面上找到 Elasticsearch 的最新稳定版本。其他版本可以在 过去版本页面 上找到。

Elasticsearch 包含来自 JDK 维护者 (GPLv2+CE) 的 OpenJDK 的捆绑版本。要使用您自己的 Java 版本,请参阅 JVM 版本要求

下载并安装 Linux 的存档编辑

可以按如下方式下载和安装 Elasticsearch v8.14.2 的 Linux 存档

wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-8.14.2-linux-x86_64.tar.gz
wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-8.14.2-linux-x86_64.tar.gz.sha512
shasum -a 512 -c elasticsearch-8.14.2-linux-x86_64.tar.gz.sha512 
tar -xzf elasticsearch-8.14.2-linux-x86_64.tar.gz
cd elasticsearch-8.14.2/

比较下载的 .tar.gz 存档的 SHA 和发布的校验和,这应该输出 elasticsearch-{version}-linux-x86_64.tar.gz: OK

此目录称为 $ES_HOME

下载并安装 MacOS 的存档编辑

可以按如下方式下载和安装 Elasticsearch v8.14.2 的 MacOS 存档

curl -O https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-8.14.2-darwin-x86_64.tar.gz
curl https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-8.14.2-darwin-x86_64.tar.gz.sha512 | shasum -a 512 -c - 
tar -xzf elasticsearch-8.14.2-darwin-x86_64.tar.gz
cd elasticsearch-8.14.2/

比较下载的 .tar.gz 存档的 SHA 和发布的校验和,这应该输出 elasticsearch-{version}-darwin-x86_64.tar.gz: OK

此目录称为 $ES_HOME

启用系统索引的自动创建编辑

一些商业功能会在 Elasticsearch 中自动创建索引。默认情况下,Elasticsearch 配置为允许自动索引创建,不需要任何额外步骤。但是,如果您在 Elasticsearch 中禁用了自动索引创建,则必须在 elasticsearch.yml 中配置 action.auto_create_index 以允许商业功能创建以下索引

action.auto_create_index: .monitoring*,.watches,.triggered_watches,.watcher-history*,.ml*

如果您使用的是 LogstashBeats,那么您很可能需要在 action.auto_create_index 设置中添加其他索引名称,确切的值将取决于您的本地配置。如果您不确定环境的正确值,可以考虑将值设置为 *,这将允许自动创建所有索引。

从命令行运行 Elasticsearch编辑

运行以下命令从命令行启动 Elasticsearch

./bin/elasticsearch

首次启动 Elasticsearch 时,安全功能默认情况下处于启用状态并已配置。以下安全配置会自动执行

  • 身份验证和授权已启用,并且为 elastic 内置超级用户生成了密码。
  • 为传输层和 HTTP 层生成了 TLS 证书和密钥,并且 TLS 已启用并使用这些密钥和证书进行配置。
  • 为 Kibana 生成了一个有效期为 30 分钟的注册令牌。

elastic 用户的密码和 Kibana 的注册令牌将输出到您的终端。

建议将 elastic 密码存储为 shell 中的环境变量。示例

export ELASTIC_PASSWORD="your_password"

如果您已对 Elasticsearch 密钥库进行密码保护,系统将提示您输入密钥库的密码。有关更多详细信息,请参阅 安全设置

默认情况下,Elasticsearch 将其日志打印到控制台 (stdout) 和 日志目录 中的 <集群名称>.log 文件。Elasticsearch 在启动时会记录一些信息,但在完成初始化后,它将继续在前台运行,并且在发生值得记录的事情之前不会再记录任何内容。在 Elasticsearch 运行时,您可以通过其 HTTP 接口与之交互,该接口默认情况下位于端口 9200 上。

要停止 Elasticsearch,请按 Ctrl-C

与 Elasticsearch 打包的所有脚本都需要支持数组的 Bash 版本,并假设 Bash 在 /bin/bash 处可用。因此,Bash 应该直接或通过符号链接在此路径处可用。

将节点注册到现有集群编辑

当 Elasticsearch 首次启动时,安全自动配置过程将 HTTP 层绑定到 0.0.0.0,但仅将传输层绑定到 localhost。这种预期行为确保您可以使用默认情况下启用的安全性启动单节点集群,而无需任何其他配置。

在注册新节点之前,通常需要在生产集群中执行其他操作,例如绑定到除 localhost 之外的地址或满足引导检查。在此期间,自动生成的注册令牌可能会过期,这就是为什么不会自动生成注册令牌的原因。

此外,只有同一主机上的节点可以在没有其他配置的情况下加入集群。如果您希望来自另一主机的节点加入您的集群,则需要将 transport.host 设置为 支持的值(例如取消对 0.0.0.0 的建议值的注释),或绑定到其他主机可以访问的接口的 IP 地址。有关更多信息,请参阅 传输设置

要将新节点注册到您的集群,请使用集群中任何现有节点上的 elasticsearch-create-enrollment-token 工具创建一个注册令牌。然后,您可以使用 --enrollment-token 参数启动新节点,以便它加入现有集群。

  1. 在与 Elasticsearch 运行的终端不同的终端中,导航到您安装 Elasticsearch 的目录,并运行 elasticsearch-create-enrollment-token 工具以生成新节点的注册令牌。

    bin/elasticsearch-create-enrollment-token -s node

    复制注册令牌,您将使用它来将新节点注册到您的 Elasticsearch 集群。

  2. 从新节点的安装目录启动 Elasticsearch,并使用 --enrollment-token 参数传递注册令牌。

    bin/elasticsearch --enrollment-token <enrollment-token>

    Elasticsearch 会在以下目录中自动生成证书和密钥

    config/certs
  3. 对要注册的任何新节点重复上一步。

检查 Elasticsearch 是否正在运行编辑

您可以通过向 localhost 上的端口 9200 发送 HTTPS 请求来测试您的 Elasticsearch 节点是否正在运行

curl --cacert $ES_HOME/config/certs/http_ca.crt -u elastic:$ELASTIC_PASSWORD https://127.0.0.1:9200

确保在您的调用中使用 https,否则请求将失败。

--cacert
HTTP 层生成的 http_ca.crt 证书的路径。

该调用将返回类似于以下内容的响应

{
  "name" : "Cp8oag6",
  "cluster_name" : "elasticsearch",
  "cluster_uuid" : "AT69_T_DTp-1qgIJlatQqA",
  "version" : {
    "number" : "8.14.2",
    "build_type" : "tar",
    "build_hash" : "f27399d",
    "build_flavor" : "default",
    "build_date" : "2016-03-30T09:51:41.449Z",
    "build_snapshot" : false,
    "lucene_version" : "9.10.0",
    "minimum_wire_compatibility_version" : "1.2.3",
    "minimum_index_compatibility_version" : "1.2.3"
  },
  "tagline" : "You Know, for Search"
}

可以使用命令行上的 -q--quiet 选项禁用将日志打印到 stdout

作为守护进程运行编辑

要将 Elasticsearch 作为守护进程运行,请在命令行上指定 -d,并使用 -p 选项将进程 ID 记录到文件中

./bin/elasticsearch -d -p pid

如果您已对 Elasticsearch 密钥库进行密码保护,系统将提示您输入密钥库的密码。有关更多详细信息,请参阅 安全设置

日志消息可以在 $ES_HOME/logs/ 目录中找到。

要关闭 Elasticsearch,请终止记录在 pid 文件中的进程 ID

pkill -F pid

Elasticsearch .tar.gz 软件包不包含 systemd 模块。要将 Elasticsearch 作为服务管理,请改用 DebianRPM 软件包。

在命令行上配置 Elasticsearch编辑

Elasticsearch 默认情况下从 $ES_HOME/config/elasticsearch.yml 文件加载其配置。此配置文件的格式在 配置 Elasticsearch 中进行了说明。

可以在配置文件中指定的任何设置也可以在命令行上指定,使用 -E 语法,如下所示

./bin/elasticsearch -d -Ecluster.name=my_cluster -Enode.name=node_1

通常,任何集群范围的设置(如 cluster.name)都应添加到 elasticsearch.yml 配置文件中,而任何节点特定的设置(如 node.name)都可以在命令行上指定。

将客户端连接到 Elasticsearch编辑

首次启动 Elasticsearch 时,会为 HTTP 层自动配置 TLS。CA 证书已生成并存储在磁盘上的以下位置

$ES_HOME/config/certs/http_ca.crt

此证书的十六进制编码 SHA-256 指纹也会输出到终端。任何连接到 Elasticsearch 的客户端,例如 Elasticsearch 客户端、Beats、独立 Elastic 代理和 Logstash 必须验证它们是否信任 Elasticsearch 用于 HTTPS 的证书。Fleet Server 和 Fleet 管理的 Elastic 代理会自动配置为信任 CA 证书。其他客户端可以通过使用 CA 证书的指纹或 CA 证书本身来建立信任。

如果自动配置过程已完成,您仍然可以获取安全证书的指纹。您也可以将 CA 证书复制到您的机器上,并配置您的客户端以使用它。

使用 CA 指纹编辑

复制启动 Elasticsearch 时输出到终端的指纹值,并配置您的客户端以在连接到 Elasticsearch 时使用此指纹来建立信任。

如果自动配置过程已完成,您仍然可以通过运行以下命令来获取安全证书的指纹。该路径指向 HTTP 层的自动生成的 CA 证书。

openssl x509 -fingerprint -sha256 -in config/certs/http_ca.crt

该命令将返回安全证书,包括指纹。 issuer 应该是 Elasticsearch security auto-configuration HTTP CA

issuer= /CN=Elasticsearch security auto-configuration HTTP CA
SHA256 Fingerprint=<fingerprint>
使用 CA 证书编辑

如果您的库不支持验证指纹的方法,则会在每个 Elasticsearch 节点上的以下目录中创建自动生成的 CA 证书

$ES_HOME/config/certs/http_ca.crt

http_ca.crt 文件复制到您的机器上,并配置您的客户端使用此证书在连接到 Elasticsearch 时建立信任关系。

存档的目录布局编辑

存档分发版是完全自包含的。默认情况下,所有文件和目录都包含在 $ES_HOME 中,即解压缩存档时创建的目录。

这非常方便,因为您不必创建任何目录即可开始使用 Elasticsearch,并且卸载 Elasticsearch 就像删除 $ES_HOME 目录一样简单。但是,建议更改配置目录、数据目录和日志目录的默认位置,以便您以后不会删除重要数据。

类型 描述 默认位置 设置

home

Elasticsearch 主目录或 $ES_HOME

解压缩存档后创建的目录

bin

二进制脚本,包括用于启动节点的 elasticsearch 和用于安装插件的 elasticsearch-plugin

$ES_HOME/bin

conf

配置文件,包括 elasticsearch.yml

$ES_HOME/config

ES_PATH_CONF

conf

为传输层和 HTTP 层生成的 TLS 密钥和证书。

$ES_HOME/config/certs

data

在节点上分配的每个索引/分片的 data 文件的位置。

$ES_HOME/data

path.data

logs

日志文件位置。

$ES_HOME/logs

path.logs

plugins

插件文件位置。每个插件都将包含在一个子目录中。

$ES_HOME/plugins

repo

共享文件系统存储库位置。可以包含多个位置。文件系统存储库可以放置在指定目录的任何子目录中。

未配置

path.repo

安全证书和密钥编辑

安装 Elasticsearch 时,将在 Elasticsearch 配置目录中生成以下证书和密钥,用于将 Kibana 实例连接到您的安全 Elasticsearch 集群并加密节点间通信。这些文件在此列出以供参考。

http_ca.crt
用于签署此 Elasticsearch 集群 HTTP 层证书的 CA 证书。
http.p12
包含此节点 HTTP 层的密钥和证书的密钥库。
transport.p12
包含集群中所有节点的传输层的密钥和证书的密钥库。

http.p12transport.p12 是受密码保护的 PKCS#12 密钥库。Elasticsearch 将这些密钥库的密码存储为 安全设置。要检索密码以便检查或更改密钥库内容,请使用 bin/elasticsearch-keystore 工具。

使用以下命令检索 http.p12 的密码

bin/elasticsearch-keystore show xpack.security.http.ssl.keystore.secure_password

使用以下命令检索 transport.p12 的密码

bin/elasticsearch-keystore show xpack.security.transport.ssl.keystore.secure_password

下一步编辑

您现在已经设置了测试 Elasticsearch 环境。在开始正式开发或使用 Elasticsearch 进行生产之前,您必须进行一些额外的设置

« 安装 Elasticsearch 在 Windows 上使用 .zip 安装 Elasticsearch »