在本地部署 Fleet Server,在云端部署 Elasticsearch
编辑在本地部署 Fleet Server,在云端部署 Elasticsearch
编辑要使用 Fleet 进行集中管理,必须运行一个 Fleet Server,并且您的主机可以访问它。
另一种方法是在本地部署 Fleet Server 集群,并将它们连接回 Elastic Cloud,以便访问 Elasticsearch 和 Kibana。在这种部署模型中,您负责 Fleet Server 的高可用性、容错和生命周期管理。
如果您想限制数据中心的控制平面流量,此方法可能适合您。例如,如果您是托管服务提供商或分隔网络的大型企业,您可能会采用这种方法。
如果您不想管理环境中额外的计算资源的生命周期以供 Fleet Server 驻留,则此方法可能不适合您。
要在本地部署自管理的 Fleet Server 以与托管的 Elasticsearch 服务一起使用,您需要:
- 满足所有兼容性要求和先决条件
- 创建Fleet Server 策略
- 添加 Fleet Server,方法是安装 Elastic Agent 并将其注册到包含 Fleet Server 集成的代理策略中
兼容性
编辑Fleet Server 与以下 Elastic 产品兼容:
-
Elastic Stack 7.13 或更高版本
- 对于版本兼容性: Elasticsearch >= Fleet Server >= Elastic Agent(错误修复版本除外)
- Kibana 应该与 Elasticsearch 处于相同的次版本
-
Elastic Cloud Enterprise 2.9 或更高版本 - 允许您在 Elastic Cloud 上使用托管的 Fleet Server。
- 需要额外的通配符域名和证书(通常只覆盖
*.cname,而不是*.*.cname)。这使我们能够为 Fleet Server 提供 URLhttps://.fleet.。 - 部署模板必须包含 Integrations Server 节点。
有关在 Elastic Cloud Enterprise 上托管 Fleet Server 的更多信息,请参阅管理您的 Integrations Server。
- 需要额外的通配符域名和证书(通常只覆盖
先决条件
编辑在部署之前,您需要:
- 获取或生成证书颁发机构 (CA) 证书。
- 确保组件可以访问通信所需的默认端口。
CA 证书
编辑在使用此方法设置 Fleet Server 之前,您需要一个 CA 证书来配置传输层安全 (TLS),以加密 Fleet Server 和 Elastic Stack 之间的流量。
如果您的组织已经使用 Elastic Stack,您可能已经有一个 CA 证书。如果您没有 CA 证书,您可以在为自管理 Fleet Server 配置 SSL/TLS中阅读有关生成证书的更多信息。
在使用快速入门选项进行测试和迭代时,这不是必需的,但应始终用于生产部署。
默认端口分配
编辑部署 Elasticsearch 或 Fleet Server 时,组件通过定义完善的预分配端口进行通信。您可能需要允许访问这些端口。请参阅下表了解默认端口分配:
| 组件通信 | 默认端口 |
|---|---|
Elastic Agent → Fleet Server |
8220 |
Elastic Agent → Elasticsearch |
443 |
Elastic Agent → Logstash |
5044 |
Elastic Agent → Kibana (Fleet) |
443 |
Fleet Server → Kibana (Fleet) |
443 |
Fleet Server → Elasticsearch |
443 |
如果您没有将 Elasticsearch 的端口指定为 443,则 Elastic Agent 默认为 9200。
创建 Fleet Server 策略
编辑首先,创建 Fleet Server 策略。Fleet Server 策略管理和配置在 Fleet Server 主机上运行的 Elastic Agent,以启动 Fleet Server 进程。
要创建 Fleet Server 策略:
- 在 Fleet 中,打开代理策略选项卡。
-
单击创建代理策略按钮,然后
- 为策略提供一个有意义的名称,这将有助于您将来识别此 Fleet Server(或集群)。
- 确保选择收集系统日志和指标,以便可以监控托管此 Fleet Server 的计算系统。(这不是必需的,但强烈建议这样做。)
- 创建 Fleet Server 策略后,导航到策略本身,然后单击添加集成。
- 搜索并选择Fleet Server集成。
- 然后单击添加 Fleet Server。
-
配置 Fleet Server
- 展开更改默认值。因为您是在本地部署此 Fleet Server,所以您需要输入主机地址和端口号,
8220。(在我们的示例中,Fleet Server 将安装在主机10.128.0.46上。) - 建议您也输入您打算使用此 Fleet Server 支持的最大代理数。这也可以在稍后阶段进行修改。这将允许 Fleet Server 处理发送给代理的负载和更新频率,并确保在突发环境中平稳运行。
- 展开更改默认值。因为您是在本地部署此 Fleet Server,所以您需要输入主机地址和端口号,
添加 Fleet Server
编辑现在策略已存在,您可以添加 Fleet Server。
Fleet Server 是注册到 Fleet Server 策略中的 Elastic Agent。该策略配置代理以特殊模式运行,以在您的部署中充当 Fleet Server。
要添加 Fleet Server:
- 在 Fleet 中,打开代理选项卡。
- 单击添加 Fleet Server。
-
这将打开产品内说明,以使用两个选项之一添加 Fleet Server。选择高级。
-
按照产品内说明添加 Fleet Server。
- 选择您为此部署创建的代理策略。
-
选择生产作为您的部署模式。
生产模式是完全安全模式,其中 TLS 证书确保 Fleet Server 和 Elasticsearch 之间的安全通信。
- 打开Fleet Server 主机下拉列表,然后选择添加新的 Fleet Server 主机。指定一个或多个 Elastic Agent 将用于连接到 Fleet Server 的主机 URL。例如,
https://192.0.2.1:8220,其中192.0.2.1是您将安装 Fleet Server 的主机 IP。 - 需要服务令牌,以便 Fleet Server 可以将数据写入连接的 Elasticsearch 实例。单击生成服务令牌并复制生成的令牌。
- 复制 Kibana 中提供的安装说明,其中包括一些已知的部署参数。
- 将
--certificate-authorities参数的值替换为您的CA 证书。
- 如果安装成功,则确认指示已设置并连接 Fleet Server。
安装 Fleet Server 并注册到 Fleet 后,将应用新创建的 Fleet Server 策略。您可以在 Fleet Server 策略页面上看到这一点。
Fleet Server 代理也会在主 Fleet 页面上显示为另一个代理,可以管理其生命周期(就像部署中的其他代理一样)。
您可以随时通过转到:管理 → Fleet → 设置来更新 Kibana 中的 Fleet Server 配置。从那里您可以:
- 更新 Fleet Server 主机 URL。
- 配置代理将发送数据的其他输出。
- 指定代理将从中下载二进制文件的位置。
- 指定用于 Fleet Server 或 Elastic Agent 输出的代理 URL。
后续步骤
编辑现在您可以将 Elastic Agent 添加到您的主机系统了。要了解如何操作,请参阅安装 Fleet 管理的 Elastic Agent。
对于本地部署,您可以为网络边界中的所有代理分配一个策略,并将该策略配置为包含特定的 Fleet Server(或 Fleet Server 集群)。
在将 Fleet Server 添加到策略中阅读更多内容。