本地部署和自管理
编辑本地部署和自管理
编辑要使用 Fleet 进行集中管理,必须运行一个 Fleet Server,并且您的主机可以访问它。
您可以在本地部署 Fleet Server 并自行管理。在这种部署模型中,您负责 Fleet Server 的高可用性、容错和生命周期管理。
如果您想限制数据中心控制平面的流量,或者对完全气隙操作有要求,则此方法可能适合您。例如,如果您需要满足数据治理要求,或者您希望代理只能访问私有分段网络,则可以采用此方法。
如果您不想管理 Elastic 环境的生命周期,而是希望由 Elastic 处理,那么这种方法可能不适合您。
使用此方法时,建议您配置 Fleet Server 的多个实例,并使用负载均衡器来更好地扩展部署。您还可以选择使用您组织的证书来建立从 Fleet Server 到 Elasticsearch 的安全连接。
要部署自管理的 Fleet Server,您需要
- 满足所有兼容性要求和先决条件。
- 添加 Fleet Server,方法是安装 Elastic Agent 并将其注册到包含 Fleet Server 集成的代理策略中。
您在每台主机上只能安装一个 Elastic Agent,这意味着除非您部署容器化的 Fleet Server,否则您不能在同一台主机上运行 Fleet Server 和另一个 Elastic Agent。
兼容性
编辑Fleet Server 与以下 Elastic 产品兼容
-
Elastic Stack 7.13 或更高版本。
- 对于版本兼容性:Elasticsearch >= Fleet Server >= Elastic Agent(错误修复版本除外)
- Kibana 应与 Elasticsearch 处于相同的次要版本。
-
Elastic Cloud Enterprise 2.9 或更高版本
- 需要额外的通配符域和证书(通常仅覆盖
*.cname,而不是*.*.cname)。这使我们能够为 Fleet Server 提供https://.fleet.的 URL。 - 部署模板必须包含 Integrations Server 节点。
有关在 Elastic Cloud Enterprise 上托管 Fleet Server 的更多信息,请参阅管理您的 Integrations Server。
- 需要额外的通配符域和证书(通常仅覆盖
先决条件
编辑在部署之前,您需要
- 获取或生成证书颁发机构 (CA) 证书。
- 确保组件可以访问通信所需的端口。
CA 证书
编辑在使用此方法设置 Fleet Server 之前,您需要一个 CA 证书来配置传输层安全 (TLS),以加密 Fleet Server 和 Elastic Stack 之间的流量。
如果您的组织已经使用 Elastic Stack,您可能已经拥有 CA 证书。如果您没有 CA 证书,您可以在为自管理 Fleet Server 配置 SSL/TLS中阅读有关生成证书的更多信息。
使用快速入门选项进行测试和迭代时,这不是必需的,但应始终用于生产部署。
默认端口分配
编辑部署 Elasticsearch 或 Fleet Server 时,组件通过定义良好的预分配端口进行通信。您可能需要允许访问这些端口。有关默认端口分配,请参阅下表
| 组件通信 | 默认端口 |
|---|---|
Elastic Agent → Fleet Server |
8220 |
Elastic Agent → Elasticsearch |
9200 |
Elastic Agent → Logstash |
5044 |
Elastic Agent → Kibana (Fleet) |
5601 |
Fleet Server → Kibana (Fleet) |
5601 |
Fleet Server → Elasticsearch |
9200 |
添加 Fleet Server
编辑Fleet Server 是一个注册到 Fleet Server 策略中的 Elastic Agent。该策略配置代理以特殊模式运行,以在您的部署中充当 Fleet Server。
要添加 Fleet Server
- 在 Fleet 中,打开代理选项卡。
- 单击添加 Fleet Server。
-
这将打开产品内说明,以使用以下两个选项之一添加 Fleet Server:快速入门或高级。
-
如果您希望 Fleet 为您生成 Fleet Server 策略和注册令牌,请使用快速入门。Fleet Server 策略将包括 Fleet Server 集成以及用于监视 Elastic Agent 的系统集成。此选项会生成自签名证书,并且不建议用于生产用例。
-
如果您想
- 使用您自己的 Fleet Server 策略。Fleet Server 策略管理和配置在 Fleet Server 主机上运行的 Elastic Agent,以启动 Fleet Server 进程。您可以创建一个新的 Fleet Server 策略或选择一个现有的策略。或者,您可以在不使用 UI 的情况下创建 Fleet Server 策略,然后在此处选择该策略。
-
使用您自己的 TLS 证书。TLS 证书加密 Elastic Agent 和 Fleet Server 之间的流量。要了解如何生成证书,请参阅为自管理 Fleet Server 配置 SSL/TLS。
如果您提供自己的证书
- 在运行
install命令之前,请确保替换尖括号中的值。 - 请注意,
--url指定的 URL 必须与用于生成--fleet-server-cert指定的证书的 DNS 名称匹配。
- 在运行
-
-
按照产品内的说明逐步配置并安装 Fleet Server。
- 如果主机已经在 Fleet 外部配置,则用于配置 Fleet Server 主机的字段不可用。有关更多信息,请参阅Kibana 中的 Fleet 设置。
- 使用高级选项时,建议为每个 Fleet Server 生成一个唯一的服务令牌。有关生成服务令牌的其他方法,请参阅
elasticsearch-service-tokens。 - 如果您在 Fleet Server 集成中为 Fleet Server 配置了非默认端口,则需要在
elastic-agent install命令中包含--fleet-server-host和--fleet-server-port选项。有关详细信息,请参阅install 命令文档。
在将 Fleet Server 安装到集中式主机步骤中,
elastic-agent install命令将 Elastic Agent 安装为托管服务并将其注册到 Fleet Server 策略中。有关更多 Fleet Server 命令,请参阅Elastic Agent 命令参考。 - 如果安装成功,则会显示确认信息,指示 Fleet Server 已设置并连接。
在 Fleet Server 安装并注册到 Fleet 后,将应用新创建的 Fleet Server 策略。您可以在 Fleet Server 策略页面上看到这一点。
Fleet Server 代理也会在主 Fleet 页面上显示为另一个代理,其生命周期可以像部署中的其他代理一样进行管理。
您可以随时通过以下方式在 Kibana 中更新 Fleet Server 配置:管理→Fleet→设置。您可以在此处执行以下操作
- 更新 Fleet Server 主机 URL。
- 配置代理应将数据发送到的其他输出。
- 指定代理应从中下载二进制文件的位置。
- 指定用于 Fleet Server 或 Elastic Agent 输出的代理 URL。
故障排除
编辑如果您无法添加 Fleet 管理的代理,请单击代理选项卡,并确认运行 Fleet Server 的代理运行状况良好。
后续步骤
编辑现在,您已准备好将 Elastic Agent 添加到主机系统。要了解如何操作,请参阅安装 Fleet 管理的 Elastic Agent。
对于本地部署,您可以为网络边界中的所有代理分配一个策略,并将该策略配置为包含特定的 Fleet Server(或 Fleet Server 集群)。
在将 Fleet Server 添加到策略中阅读更多信息。