Search Guard番外篇-变化的配置

Search Guard1.3 Uploading Configuration file

这个其实就是在Search Guard 插件中使用sgadmin.sh命令command line tool。在上面三个章节中都用到了

• Search Guard1.0

• Search Guard1.1

• Search Guard 1.2

1.配置文件概述

• sg_config.yml – 身份验证和权限设置

• sg_roles.yml – Search Guard 角色定义索引、文档、字段的访问权限。

• sg_action_groups.yml – 预定义权限设置比如读、写、删除用于定义角色权限

• sg_internal_users.yml – 用户保存在Search Guard 内部用户数据库

• sg_roles_mapping.yml – 定义怎样分配用户给Search Guard角色

• sg_blocks.yml – 定义全局级别的访问控制规则，比如黑名单IP或者IP范围

• sg_tenants.yml – 定义可用的租户对于Kibana mlti-tenancy

当然，你可以使用sgadmin去改变上传所有的配置文件或者单个文件。

注释

根据你所提供，在集群中sgadmin将会替换当前的配置。推荐你首先去**备份**在你应用这些变化之前。这可以确保你不会意外的覆盖你存在的配置。

2.上传单个配置文件

命令规则如下

./sgadmin.sh \
​    -f /path/to/configfile.yaml  \
​    -cacert /path/to/root-ca.pem \
​    -cert /path/to/admin-certificate.pem \
​    -key /path/to/admin-certificate-key.pem    

例子：

./sgadmin.sh \
​    -f ../sgconfig/sg_internal_users.yml  \
​    -cacert ../../../root-ca.pem \
​    -cert ../../../kirk.pem \
​    -key ../../../kirk.key.pem  

注释

• -f – 单个文件(不能和*-cd*一起使用)

3.上传多个文件

直接上命令格式

./sgadmin.sh \
​    -cd /path/to/configdirectory/  \
​    -cacert /path/to/root-ca.pem \
​    -cert /path/to/admin-certificate.pem \
​    -key /path/to/admin-certificate-key.pem  

例子如下:

./sgadmin.sh \
​    -cd ../sgconfig/  \
​    -cacert ../../../root-ca.pem \
​    -cert ../../../kirk.pem \
​    -key ../../../kirk.key.pem  

注释

• -cd – 这个要进入的目录，包含多个Search Guard配置文件

4. 环境变量替换

某些配置文件可能包含敏感信息。你可以在配置文件中使用占位符,在你更新这些配置到Elasticsearch集群之前sgadmin可以替换这些环境变量。当然这些环境变量必须配置在你运行sgadmin的服务器(系统)中。

注释

• -rev – 用占位符在配置文件中替换

5. 验证配置文件

在你上传新的配置到你集群之前，你可以验证它们,格式如下：

./sgadmin.sh \
​    -cd /path/to/configdirectory/  \
​    -vc <6|7>
​    -cacert /path/to/root-ca.pem \
​    -cert /path/to/admin-certificate.pem \
​    -key /path/to/admin-certificate-key.pem

例子如下：

./sgadmin.sh \
​    -cd ../sgconfig/ \
​    -vc 7 \
​    -cacert ../../../root-ca.pem \
​    -cert ../../../kirk.pem \
​    -key ../../../kirk.key.pem   

注释

• -vc/-validate-config – 通过*-cd或者-t*的开关指定验证配置文件。版本必须是Search Guard6 和 Search Guard 7

6.备份和恢复

根据以下命令，你可以下载所有的当前配置文件。格式如下

./sgadmin.sh \
​    -backup /path/to/configdirectory/  \
​    -cacert /path/to/root-ca.pem \
​    -cert /path/to/admin-certificate.pem \
​    -key /path/to/admin-certificate-key.pem 

这将会把激活的Search Guard配置从集群转储到指定文件夹的各个文件中。你可以再次上传这个配置文件到相同或者不同的集群。对于移动一个PoC到生产是一个有用的例子。

上传这些转储的文件到另外的集群，例子如下：

./sgadmin.sh \
​    -cd /path/to/configdirectory/  \
​    -cacert /path/to/root-ca.pem \
​    -cert /path/to/admin-certificate.pem \
​    -key /path/to/admin-certificate-key.pem 

注释

• -backup – 从正在运行的集群中检索当前的Search Guard配置文件，且转储到指定的文件。这个有亿点像MYSQL的转储，同样是在运行中。