在本地部署 Fleet Server 并在云上部署 Elasticsearch
编辑在本地部署 Fleet Server 并在云上部署 Elasticsearch
编辑要使用 Fleet 进行集中管理,必须运行 Fleet Server 并且您的主机能够访问它。
另一种方法是在本地部署一个 Fleet Server 集群,并将它们连接回 Elastic Cloud 以访问 Elasticsearch 和 Kibana。在这种 部署模型 中,您负责 Fleet Server 的高可用性、容错和生命周期管理。
如果您希望限制数据中心外部的控制平面流量,则此方法可能适合您。例如,如果您是托管服务提供商或将网络分隔的大型企业,则可能会采用这种方法。
如果您不想在您的环境中管理 Fleet Server 所在的额外计算资源的生命周期,则此方法可能不适合您。
要部署一个自管理的本地 Fleet Server 以与托管的 Elasticsearch 服务配合使用,您需要
- 满足所有 兼容性要求 和 先决条件
- 创建一个 Fleet Server 策略
- 添加 Fleet Server,方法是安装 Elastic Agent 并将其注册到包含 Fleet Server 集成的代理策略中
兼容性
编辑Fleet Server 与以下 Elastic 产品兼容
-
Elastic Stack 7.13 或更高版本
- 对于版本兼容性:Elasticsearch >= Fleet Server >= Elastic Agent(错误修复版本除外)
- Kibana 应与 Elasticsearch 处于相同的次要版本
-
Elastic Cloud Enterprise 2.9 或更高版本 - 允许您在 Elastic Cloud 上使用托管的 Fleet Server。
- 需要额外的通配符域名和证书(通常仅涵盖
*.cname,而不涵盖*.*.cname)。这使我们能够提供 Fleet Server 的 URL,即https://.fleet.。 - 部署模板必须包含一个 Integrations Server 节点。
有关在 Elastic Cloud Enterprise 上托管 Fleet Server 的更多信息,请参阅 管理您的 Integrations Server。
- 需要额外的通配符域名和证书(通常仅涵盖
先决条件
编辑在部署之前,您需要
- 获取或生成证书颁发机构 (CA) 证书。
- 确保组件能够访问通信所需的默认端口。
CA 证书
编辑在使用此方法设置 Fleet Server 之前,您将需要一个 CA 证书来配置传输层安全性 (TLS) 以加密 Fleet Server 和 Elastic Stack 之间的流量。
如果您的组织已使用 Elastic Stack,则您可能已经拥有 CA 证书。如果您没有 CA 证书,您可以阅读有关在 为自管理的 Fleet Server 配置 SSL/TLS 中生成证书的更多信息。
在使用 快速入门 选项进行测试和迭代时,这不是必需的,但应始终用于生产部署。
默认端口分配
编辑部署 Elasticsearch 或 Fleet Server 时,组件通过定义明确的预分配端口进行通信。您可能需要允许访问这些端口。有关默认端口分配,请参见下表
| 组件通信 | 默认端口 |
|---|---|
Elastic Agent → Fleet Server |
8220 |
Elastic Agent → Elasticsearch |
443 |
Elastic Agent → Logstash |
5044 |
Elastic Agent → Kibana (Fleet) |
443 |
Fleet Server → Kibana (Fleet) |
443 |
Fleet Server → Elasticsearch |
443 |
如果您未将 Elasticsearch 的端口指定为 443,则 Elastic Agent 默认使用 9200。
创建 Fleet Server 策略
编辑首先,创建一个 Fleet Server 策略。Fleet Server 策略管理和配置在 Fleet Server 主机上运行的 Elastic Agent 以启动 Fleet Server 进程。
要创建 Fleet Server 策略
- 在 Fleet 中,打开 代理策略 选项卡。
-
单击 创建代理策略 按钮,然后
- 为策略提供一个有意义的名称,以便将来帮助您识别此 Fleet Server(或集群)。
- 确保选择收集系统日志和指标,以便可以监控托管此 Fleet Server 的计算系统。(这不是必需的,但强烈建议这样做。)
- 创建 Fleet Server 策略后,导航到策略本身并单击 添加集成。
- 搜索并选择 Fleet Server 集成。
- 然后单击 添加 Fleet Server。
-
配置 Fleet Server
- 展开 更改默认值。因为您是在本地部署此 Fleet Server,所以您需要输入主机地址和端口号
8220。(在我们的示例中,Fleet Server 将安装在主机10.128.0.46上。) - 建议您还输入您打算使用此 Fleet Server 支持的最大代理数。这也可以在以后阶段修改。这将允许 Fleet Server 处理发送到代理的更新的负载和频率,并确保在突发环境中平稳运行。
- 展开 更改默认值。因为您是在本地部署此 Fleet Server,所以您需要输入主机地址和端口号
添加 Fleet Server
编辑现在策略已存在,您可以添加 Fleet Server 了。
Fleet Server 是注册到 Fleet Server 策略中的 Elastic Agent。该策略将代理配置为以特殊模式运行,以便在您的部署中充当 Fleet Server。
要添加 Fleet Server
- 在 Fleet 中,打开 代理 选项卡。
- 单击 添加 Fleet Server。
-
这将在产品中打开有关使用以下两个选项之一添加 Fleet Server 的说明。选择 高级。
-
按照产品中的说明添加 Fleet Server。
- 选择您为此部署创建的代理策略。
-
选择 生产 作为您的部署模式。
生产模式是完全安全的模式,其中 TLS 证书确保 Fleet Server 和 Elasticsearch 之间的安全通信。
- 打开 Fleet Server 主机 下拉菜单并选择 添加新的 Fleet Server 主机。指定 Elastic Agent 将用于连接到 Fleet Server 的一个或多个主机 URL。例如,
https://192.0.2.1:8220,其中192.0.2.1是您将在其中安装 Fleet Server 的主机 IP。 - 需要一个 服务令牌,以便 Fleet Server 可以将数据写入连接的 Elasticsearch 实例。单击 生成服务令牌 并复制生成的令牌。
- 复制 Kibana 中提供的安装说明,其中包括一些已知的部署参数。
- 将
--certificate-authorities参数的值替换为您 CA 证书。
- 如果安装成功,则确认信息表明 Fleet Server 已设置并已连接。
Fleet Server 安装并注册到 Fleet 后,将应用新创建的 Fleet Server 策略。您可以在 Fleet Server 策略页面上看到这一点。
Fleet Server 代理也会显示在 Fleet 主页上,作为另一个可以管理生命周期的代理(例如部署中的其他代理)。
您可以随时在 Kibana 中更新 Fleet Server 配置,方法是转到:管理 → Fleet → 设置。从那里您可以
- 更新 Fleet Server 主机 URL。
- 配置代理将发送数据的其他输出。
- 指定代理将从中下载二进制文件的地址。
- 指定 Fleet Server 或 Elastic Agent 输出要使用的代理 URL。
后续步骤
编辑现在您可以将 Elastic Agent 添加到您的主机系统了。要了解如何操作,请参阅 安装 Fleet 管理的 Elastic Agent。
对于本地部署,您可以将一个策略专门用于网络边界中的所有代理,并将该策略配置为包含特定的 Fleet Server(或 Fleet Server 集群)。
在 将 Fleet Server 添加到策略 中阅读更多内容。