在本地部署 Fleet Server 并在云端部署 Elasticsearch
编辑在本地部署 Fleet Server 并在云端部署 Elasticsearch编辑
要使用 Fleet 进行集中管理,Fleet Server 必须正在运行并且您的主机可以访问它。
另一种方法是在本地部署 Fleet Server 集群,并将它们连接回 Elastic Cloud,以便访问 Elasticsearch 和 Kibana。在这种 部署模型 中,您需要负责 Fleet Server 的高可用性、容错和生命周期管理。
如果您希望限制从数据中心流出的控制平面流量,则此方法可能适合您。例如,如果您是托管服务提供商或将网络隔离的大型企业,则可以采用此方法。
如果您不想管理环境中用于驻留 Fleet Server 的额外计算资源的生命周期,则此方法可能*不*适合您。
要部署自管的本地 Fleet Server 以使用托管 Elasticsearch Service,您需要
- 满足所有 兼容性要求 和 先决条件
- 创建 Fleet Server 策略
- 添加 Fleet Server,方法是安装 Elastic Agent 并将其注册到包含 Fleet Server 集成的代理策略中
兼容性编辑
Fleet Server 与以下 Elastic 产品兼容
-
Elastic Stack 7.13 或更高版本
- 版本兼容性:Elasticsearch >= Fleet Server >= Elastic Agent(错误修复版本除外)
- Kibana 应与 Elasticsearch 处于相同的次要版本
-
Elastic Cloud Enterprise 2.9 或更高版本 - 允许您在 Elastic Cloud 上使用托管 Fleet Server。
- 需要额外的通配符域和证书(通常只涵盖
*.cname,不涵盖*.*.cname)。这使我们能够为 Fleet Server 提供https://.fleet.的 URL。 - 部署模板必须包含 Integrations Server 节点。
有关在 Elastic Cloud Enterprise 上托管 Fleet Server 的更多信息,请参阅 管理您的 Integrations Server。
- 需要额外的通配符域和证书(通常只涵盖
先决条件编辑
部署之前,您需要
- 获取或生成证书颁发机构 (CA) 证书。
- 确保组件可以访问通信所需的默认端口。
CA 证书编辑
使用此方法设置 Fleet Server 之前,您需要一个 CA 证书来配置传输层安全性 (TLS),以便加密 Fleet Server 与 Elastic Stack 之间的流量。
如果您的组织已经在使用 Elastic Stack,则您可能已经有 CA 证书。如果您没有 CA 证书,则可以在 为自管 Fleet Server 配置 SSL/TLS 中详细了解如何生成证书。
使用 快速入门 选项进行测试和迭代时不需要这样做,但应始终用于生产部署。
默认端口分配编辑
部署 Elasticsearch 或 Fleet Server 时,组件通过定义明确的预分配端口进行通信。您可能需要允许访问这些端口。有关默认端口分配,请参见下表
| 组件通信 | 默认端口 |
|---|---|
Elastic Agent → Fleet Server |
8220 |
Elastic Agent → Elasticsearch |
443 |
Elastic Agent → Logstash |
5044 |
Elastic Agent → Fleet |
443 |
Fleet Server → Fleet |
443 |
Fleet Server → Elasticsearch |
443 |
如果您没有将 Elasticsearch 的端口指定为 443,则 Elastic Agent 默认使用 9200。
创建 Fleet Server 策略编辑
首先,创建一个 Fleet Server 策略。Fleet Server 策略管理和配置在 Fleet Server 主机上运行的 Elastic Agent,以启动 Fleet Server 进程。
要创建 Fleet Server 策略,请执行以下操作
- 在 Fleet 中,打开 代理策略 选项卡。
-
点击 创建代理策略 按钮,然后
- 为该策略提供一个有意义的名称,以帮助您将来识别此 Fleet Server(或集群)。
- 确保选择*收集系统日志和指标*,以便可以监控托管此 Fleet Server 的计算系统。(这不是必需的,但强烈建议这样做。)
- 创建 Fleet Server 策略后,导航到策略本身,然后点击 添加集成。
- 搜索并选择 Fleet Server 集成。
- 然后点击 添加 Fleet Server。
-
配置 Fleet Server
- 展开 更改默认值。因为您要在本地部署此 Fleet Server,所以需要输入*主机*地址和*端口*号,
8220。(在我们的示例中,Fleet Server 将安装在主机10.128.0.46上。) - 建议您还输入打算为此 Fleet Server 支持的*最大代理*数。这也可以在以后修改。这将允许 Fleet Server 处理发送到代理的更新的负载和频率,并确保在突发环境中平稳运行。
- 展开 更改默认值。因为您要在本地部署此 Fleet Server,所以需要输入*主机*地址和*端口*号,
添加 Fleet Server编辑
现在策略已存在,您可以添加 Fleet Server。
Fleet Server 是注册到 Fleet Server 策略的 Elastic Agent。该策略将代理配置为以特殊模式运行,以充当部署中的 Fleet Server。
要添加 Fleet Server,请执行以下操作
- 在 Fleet 中,打开 代理 选项卡。
- 点击 添加 Fleet Server。
-
这将打开产品内说明,介绍如何使用以下两种选项之一添加 Fleet Server。选择 高级。
-
按照产品内说明添加 Fleet Server。
- 选择您为此部署创建的代理策略。
-
选择 生产 作为您的部署模式。
生产模式是完全安全的模式,其中 TLS 证书可确保 Fleet Server 与 Elasticsearch 之间的安全通信。
- 打开 Fleet Server 主机 下拉菜单,然后选择 添加新的 Fleet Server 主机。指定您的 Elastic Agent 将用于连接到 Fleet Server 的一个或多个主机 URL。例如,
https://192.0.2.1:8220,其中192.0.2.1是您将安装 Fleet Server 的主机 IP。 - 需要 服务令牌,以便 Fleet Server 可以将数据写入连接的 Elasticsearch 实例。点击 生成服务令牌 并复制生成的令牌。
- 复制 Kibana 中提供的安装说明,其中包括一些已知的部署参数。
- 将
--certificate-authorities参数的值替换为您的 CA 证书。
- 如果安装成功,则确认消息表明 Fleet Server 已设置并连接。
在 Fleet Server 安装并注册到 Fleet 后,将应用新创建的 Fleet Server 策略。您可以在 Fleet Server 策略页面上看到这一点。
Fleet Server 代理还将显示在 Fleet 主页上,作为另一个可以管理其生命周期的代理(如部署中的其他代理)。
您可以随时在 Kibana 中更新您的 Fleet Server 配置,方法是:管理 → Fleet → 设置。您可以从中
- 更新 Fleet Server 主机 URL。
- 配置代理将向其发送数据的其他输出。
- 指定代理将从中下载二进制文件的位置。
- 指定用于 Fleet Server 或 Elastic Agent 输出的代理 URL。
后续步骤编辑
现在,您已准备好将 Elastic Agent 添加到您的主机系统。要了解如何操作,请参阅 安装 Fleet 管理的 Elastic Agent。
对于本地部署,您可以将策略专用于网络边界中的所有代理,并将该策略配置为包含特定的 Fleet Server(或 Fleet Server 集群)。
在 将 Fleet Server 添加到策略 中了解更多信息。