本地部署和自管理
编辑本地部署和自管理编辑
要使用 Fleet 进行集中管理,必须运行并访问您的主机上的 Fleet Server。
您可以本地部署 Fleet Server 并自行管理。在此 部署模型 中,您负责 Fleet Server 的高可用性、容错性和生命周期管理。
如果您希望限制数据中心外的控制平面流量或对完全隔离的操作有要求,这种方法可能适合您。例如,如果您需要满足数据治理要求或希望代理仅访问私有分段网络,则可以采用这种方法。
如果您不想管理 Elastic 环境的生命周期,而是希望由 Elastic 处理,则这种方法可能不适合您。
使用这种方法时,建议您配置多个 Fleet Server 实例,并使用负载均衡器来更好地扩展部署。您还可以选择使用组织的证书来建立从 Fleet Server 到 Elasticsearch 的安全连接。
要部署自管理的 Fleet Server,您需要
- 满足所有 兼容性要求 和 先决条件。
- 添加 Fleet Server,方法是安装 Elastic Agent 并将其注册到包含 Fleet Server 集成的代理策略中。
您只能在每个主机上安装一个 Elastic Agent,这意味着您不能在同一主机上运行 Fleet Server 和另一个 Elastic Agent,除非您部署容器化的 Fleet Server。
兼容性编辑
Fleet Server 与以下 Elastic 产品兼容
-
Elastic Stack 7.13 或更高版本。
- 有关版本兼容性:Elasticsearch >= Fleet Server >= Elastic Agent(除错误修复版本外)
- Kibana 应与 Elasticsearch 处于相同的次要版本。
-
Elastic Cloud Enterprise 2.9 或更高版本
- 需要额外的通配符域名和证书(通常只覆盖
*.cname,不覆盖*.*.cname)。这使我们能够提供 Fleet Server 的 URL,即https://.fleet.。 - 部署模板必须包含一个 Integrations Server 节点。
有关在 Elastic Cloud Enterprise 上托管 Fleet Server 的更多信息,请参阅 管理您的 Integrations Server。
- 需要额外的通配符域名和证书(通常只覆盖
先决条件编辑
在部署之前,您需要
- 获取或生成证书颁发机构 (CA) 证书。
- 确保组件可以访问通信所需的端口。
CA 证书编辑
在使用这种方法设置 Fleet Server 之前,您将需要一个 CA 证书来配置传输层安全 (TLS) 以加密 Fleet Server 和 Elastic Stack 之间的流量。
如果您的组织已经使用 Elastic Stack,您可能已经拥有 CA 证书。如果您没有 CA 证书,您可以在 为自管理的 Fleet Server 配置 SSL/TLS 中阅读有关生成 CA 证书的更多信息。
在使用 快速入门 选项进行测试和迭代时,这不是必需的,但应始终用于生产部署。
默认端口分配编辑
当 Elasticsearch 或 Fleet Server 部署时,组件通过定义明确的预分配端口进行通信。您可能需要允许访问这些端口。请参阅下表以了解默认端口分配
| 组件通信 | 默认端口 |
|---|---|
Elastic Agent → Fleet Server |
8220 |
Elastic Agent → Elasticsearch |
9200 |
Elastic Agent → Logstash |
5044 |
Elastic Agent → Fleet |
5601 |
Fleet Server → Fleet |
5601 |
Fleet Server → Elasticsearch |
9200 |
添加 Fleet Server编辑
Fleet Server 是一个 Elastic Agent,它注册到 Fleet Server 策略中。该策略配置代理以特殊模式运行,以在您的部署中充当 Fleet Server。
要添加 Fleet Server
- 在 Fleet 中,打开 代理 选项卡。
- 单击 添加 Fleet Server。
-
这将打开产品内说明,使用以下两种选项之一添加 Fleet Server:快速入门 或 高级。
-
如果您希望 Fleet 为您生成 Fleet Server 策略和注册令牌,请使用 快速入门。Fleet Server 策略将包含 Fleet Server 集成以及用于监控 Elastic Agent 的系统集成。此选项会生成自签名证书,不推荐用于生产用例。
-
如果您希望
- 使用您自己的 Fleet Server 策略。 Fleet Server 策略管理和配置运行在 Fleet Server 主机上的 Elastic Agent,以启动 Fleet Server 进程。您可以创建一个新的 Fleet Server 策略或选择一个现有的策略。或者,您可以 在不使用 UI 的情况下创建 Fleet Server 策略,然后在此处选择该策略。
-
使用您自己的 TLS 证书。 TLS 证书加密 Elastic Agent 和 Fleet Server 之间的流量。要了解如何生成证书,请参阅 为自管理的 Fleet Server 配置 SSL/TLS。
如果您提供自己的证书
- 在运行
install命令之前,请确保您替换了尖括号中的值。 - 请注意,由
--url指定的 URL 必须与用于生成由--fleet-server-cert指定的证书的 DNS 名称匹配。
- 在运行
-
-
逐步执行产品内说明以配置和安装 Fleet Server。
- 如果主机已在 Fleet 之外配置,则无法配置 Fleet Server 主机的字段。有关更多信息,请参阅 Kibana 中的 Fleet 设置。
- 使用 高级 选项时,建议为每个 Fleet Server 生成一个唯一的服务令牌。有关生成服务令牌的其他方法,请参阅
elasticsearch-service-tokens。 - 如果您在 Fleet Server 集成中为 Fleet Server 配置了非默认端口,则需要在
elastic-agent install命令中包含--fleet-server-host和--fleet-server-port选项。有关详细信息,请参阅 安装命令文档。
在 将 Fleet Server 安装到集中式主机 步骤中,
elastic-agent install命令将 Elastic Agent 安装为托管服务,并将其注册到 Fleet Server 策略中。有关更多 Fleet Server 命令,请参阅 Elastic Agent 命令参考。 - 如果安装成功,则确认消息表明 Fleet Server 已设置并已连接。
Fleet Server 安装并注册到 Fleet 后,将应用新创建的 Fleet Server 策略。您可以在 Fleet Server 策略页面上看到这一点。
Fleet Server 代理也会显示在 Fleet 主页上,作为另一个可以管理其生命周期的代理(与部署中的其他代理一样)。
您可以随时在 Kibana 中更新 Fleet Server 配置,方法是转到:管理 → Fleet → 设置。从那里您可以
- 更新 Fleet Server 主机 URL。
- 配置代理应发送数据的其他输出。
- 指定代理应从中下载二进制文件的路径。
- 指定 Fleet Server 或 Elastic Agent 输出要使用的代理 URL。
故障排除编辑
如果您无法添加 Fleet 管理的代理,请单击 代理 选项卡,并确认运行 Fleet Server 的代理是否正常。
下一步编辑
现在您已准备好将 Elastic Agent 添加到您的主机系统。要了解如何操作,请参阅 安装 Fleet 管理的 Elastic Agent。
对于本地部署,您可以将一个策略专门用于网络边界中的所有代理,并将该策略配置为包含特定 Fleet Server(或 Fleet Server 集群)。
在 将 Fleet Server 添加到策略 中阅读更多内容。