本地部署和自行管理
编辑本地部署和自行管理编辑
要使用 Fleet 进行集中管理,Fleet Server 必须正在运行且您的主机可以访问。
您可以在本地部署 Fleet Server 并自行管理。在此 部署模型 中,您需要负责 Fleet Server 的高可用性、容错和生命周期管理。
如果您想限制从数据中心流出的控制平面流量,或者对完全隔离的操作有要求,那么这种方法可能适合您。例如,如果您需要满足数据治理要求,或者希望代理只能访问私有分段网络,则可以采用这种方法。
如果您不想管理 Elastic 环境的生命周期,而是希望由 Elastic 处理,那么这种方法可能不适合您。
使用此方法时,建议您配置多个 Fleet Server 实例,并使用负载均衡器来更好地扩展部署。您还可以选择使用组织的证书来建立从 Fleet Server 到 Elasticsearch 的安全连接。
要部署自管 Fleet Server,您需要
- 满足所有 兼容性要求 和 先决条件。
- 通过安装 Elastic Agent 并将其注册到包含 Fleet Server 集成的代理策略中来添加 Fleet Server。
您只能在每台主机上安装一个 Elastic Agent,这意味着您不能在同一台主机上运行 Fleet Server 和另一个 Elastic Agent,除非您部署了容器化的 Fleet Server。
兼容性编辑
Fleet Server 与以下 Elastic 产品兼容
-
Elastic Stack 7.13 或更高版本。
- 版本兼容性:Elasticsearch >= Fleet Server >= Elastic Agent(错误修复版本除外)
- Kibana 应与 Elasticsearch 处于相同的次要版本。
-
Elastic Cloud Enterprise 2.9 或更高版本
- 需要额外的通配符域和证书(通常只覆盖
*.cname,而不覆盖*.*.cname)。这使我们能够为https://.fleet.的 Fleet Server 提供 URL。 - 部署模板必须包含 Integrations Server 节点。
有关在 Elastic Cloud Enterprise 上托管 Fleet Server 的更多信息,请参阅管理 Integrations Server。
- 需要额外的通配符域和证书(通常只覆盖
先决条件编辑
部署之前,您需要
- 获取或生成证书颁发机构 (CA) 证书。
- 确保组件可以访问通信所需的端口。
CA 证书编辑
在使用此方法设置 Fleet Server 之前,您需要一个 CA 证书来配置传输层安全性 (TLS),以便对 Fleet Server 和 Elastic Stack 之间的流量进行加密。
如果您的组织已经在使用 Elastic Stack,则您可能已经拥有 CA 证书。如果您没有 CA 证书,可以在为自管 Fleet Server 配置 SSL/TLS中阅读有关生成证书的更多信息。
在使用 快速入门 选项进行测试和迭代时不需要这样做,但在生产部署中应始终使用。
默认端口分配编辑
部署 Elasticsearch 或 Fleet Server 时,组件通过定义明确的预分配端口进行通信。您可能需要允许访问这些端口。有关默认端口分配,请参阅下表
| 组件通信 | 默认端口 |
|---|---|
Elastic Agent → Fleet Server |
8220 |
Elastic Agent → Elasticsearch |
9200 |
Elastic Agent → Logstash |
5044 |
Elastic Agent → Fleet |
5601 |
Fleet Server → Fleet |
5601 |
Fleet Server → Elasticsearch |
9200 |
添加 Fleet Server编辑
Fleet Server 是一个注册到 Fleet Server 策略的 Elastic Agent。该策略将代理配置为以特殊模式运行,以充当您部署中的 Fleet Server。
要添加 Fleet Server,请执行以下操作
- 在 Fleet 中,打开 代理 选项卡。
- 单击 添加 Fleet Server。
-
这将打开产品内说明,以使用以下两种选项之一添加 Fleet Server:快速入门 或 高级。
-
如果您希望 Fleet 为您生成 Fleet Server 策略和注册令牌,请使用 快速入门。Fleet Server 策略将包括 Fleet Server 集成以及用于监控 Elastic Agent 的系统集成。此选项生成自签名证书,不建议用于生产用例。
-
如果您希望执行以下任一操作,请使用 高级:
- 使用您自己的 Fleet Server 策略。 Fleet Server 策略管理和配置在 Fleet Server 主机上运行的 Elastic Agent,以启动 Fleet Server 进程。您可以创建新的 Fleet Server 策略或选择现有的策略。或者,您可以在不使用 UI 的情况下创建 Fleet Server 策略,然后在此处选择该策略。
-
使用您自己的 TLS 证书。 TLS 证书对 Elastic Agent 和 Fleet Server 之间的流量进行加密。要了解如何生成证书,请参阅为自管 Fleet Server 配置 SSL/TLS。
如果您要提供自己的证书
- 在运行
install命令之前,请确保替换尖括号中的值。 - 请注意,
--url指定的 URL 必须与用于生成--fleet-server-cert指定的证书的 DNS 名称相匹配。
- 在运行
-
-
逐步执行产品内说明以配置和安装 Fleet Server。
- 如果已经在 Fleet 之外配置了主机,则用于配置 Fleet Server 主机的字段不可用。有关更多信息,请参阅Kibana 中的 Fleet 设置。
- 使用 高级 选项时,建议为每个 Fleet Server 生成唯一的服务令牌。有关生成服务令牌的其他方法,请参阅
elasticsearch-service-tokens。 - 如果您在 Fleet Server 集成中为 Fleet Server 配置了非默认端口,则需要在
elastic-agent install命令中包含--fleet-server-host和--fleet-server-port选项。有关详细信息,请参阅install 命令文档。 - 请注意,Fleet Server 将继续使用在安装时通过
--fleet-server-host提供的 Elasticsearch 主机。Fleet Server 集成将忽略关联策略中配置的 Elasticsearch 主机。我们强烈建议使用负载均衡器,以避免将 Fleet Server 与提供的 主机耦合。
在 将 Fleet Server 安装到集中式主机 步骤中,
elastic-agent install命令将安装 Elastic Agent 作为托管服务,并将其注册到 Fleet Server 策略中。有关更多 Fleet Server 命令,请参阅Elastic Agent 命令参考。 - 如果安装成功,则确认信息表明 Fleet Server 已设置并连接。
在安装 Fleet Server 并将其注册到 Fleet 后,将应用新创建的 Fleet Server 策略。您可以在 Fleet Server 策略页面上看到这一点。
Fleet Server 代理也会显示在 Fleet 主页上,作为另一个可以管理其生命周期的代理(类似于部署中的其他代理)。
您可以随时在 Kibana 中更新您的 Fleet Server 配置,方法是转到:管理 → Fleet → 设置。您可以从中
- 更新 Fleet Server 主机 URL。
- 配置代理应向其发送数据的其他输出。
- 指定代理应从中下载二进制文件的位置。
- 指定用于 Fleet Server 或 Elastic Agent 输出的代理 URL。
故障排除编辑
如果您无法添加 Fleet 托管的代理,请单击 代理 选项卡,并确认运行 Fleet Server 的代理是否正常。
后续步骤编辑
现在您可以将 Elastic Agent 添加到您的主机系统了。要了解如何操作,请参阅安装 Fleet 托管的 Elastic Agent。
对于本地部署,您可以将策略专用给网络边界内的所有代理,并将该策略配置为包含特定的 Fleet Server(或 Fleet Server 集群)。
在将 Fleet Server 添加到策略中阅读更多信息。