Добавление новой data-ноды в кластер

111229 · November 12, 2019, 1:49pm

Коллеги, добрый день!
У нас кластер из 6 нод в SSL, хотим добавить еще 2 ноды.
Вопрос: как можно выпустить сертификаты только для двух новых серверов ?
Если я правильно понял, то если использовать elasticsearch-certgen то придется перевыпускать все сертификаты в том числе для старых нод?
Заранее спасибо!

Igor_Motov · November 12, 2019, 2:48pm

https://www.elastic.co/guide/en/elasticsearch/reference/7.4/encrypting-communications-hosts.html

111229 · November 12, 2019, 3:13pm

Спасибо.
При выполнении возникает ошибка.
В чем может быть засада?

[root@elk-data01 ]# /usr/share/elasticsearch/bin/elasticsearch-certutil \
> --ca /etc/elasticsearch/certs/ca.crt\
> --ip "xx.xx.xx.xx"\
> --dns "elk-data07"
Simplifies certificate creation for use with the Elastic Stack

Commands
--------
csr - generate certificate signing requests
cert - generate X.509 certificates and keys
ca - generate a new local certificate authority

Non-option arguments:
command

Option         Description
------         -----------
-h, --help     show help
-s, --silent   show minimal output
-v, --verbose  show verbose output
ERROR: ca is not a recognized option

Igor_Motov · November 12, 2019, 3:28pm

Засада в невнимательном чтении документации.

Нет команды. Вы cert после elasticsearch-certutil пропустили.

111229 · November 12, 2019, 3:51pm

Спасибо, огромное, действительно пропустил!
Заработало!!!
И последний вопрос, команда требуется ввода пароля для сертификата, а если я его не помню, то единственная возможность это пересоздавать все сертификаты для всех серверов?

Enter password for CA (/ca.crt--ip) :

Igor_Motov · November 12, 2019, 4:20pm

Было бы странно, если бы это было не так.

111229 · November 13, 2019, 1:06pm

Игорь, проконсультируйте, пожалуйста.
Похоже первый раз когда выпускали сертификаты их выпустили без опции --keep-ca-key и теперь мы не можем выпустить сертификаты для новых нод, используя текущий корневой сертификат ca.crt.
Вопрос. Если мы сейчас выпустим заново все сертификаты то:
Как только мы выпустим сертификаты командой

/usr/share/elasticsearch/bin/elasticsearch-certutil cert --in /home/instance.yml --out /home/cert.zip --pem --keep-ca-key

Не сломается ли кластер, где используются старые сертификаты?
Можно ли одновременно использовать старые и новые сертификаты. Скажем для уже работающих нод одни, а для новых уже другие?
Заранее спасибо!

Igor_Motov · November 13, 2019, 4:09pm

Можно использовать несколько CA одновременно. Но все они должны быть перечислены в xpack.security.transport.ssl.certificate_authorities на всех узлах.

Сама команда elasticsearch-certutil сломать ничего не должна, так как она только генерирует локальные сертификаты, и пока вы эти сертификаты не начнете использовать или переписывать - ничего изменится не должно.

system · December 11, 2019, 4:09pm

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.