我在 GKE 上使用 helm 管理多节点 opensearch 集群。问题是如何正确更改密码?
我找到了一些有关在internal_users.yaml中创建用户和禁用演示安全配置的信息。
如果这是关键,那么我是否必须在每个文件中执行此操作?我有对应不同节点类型的 data.yaml、master.yaml、client.yaml。
也许我可以给你一些关于如何前进的提示,因为我刚刚在开放搜索方面挣扎了相当长一段时间;正确设置的步骤确实很乏味且反模式,这就是为什么很难弄清楚该怎么做。
要更改管理员密码,您必须:
首先使用 opensearch 容器中名为 hash.sh 的工具对新密码进行哈希处理。它位于您的 securityconfig 文件夹中。
获得哈希密码后,您必须在配置中添加或修改自定义的internal_users.yaml。如果您还没有制作一个,您应该选择容器内的默认值,将其复制粘贴到您的values.yaml 中并使用您生成的新哈希修改管理部分
但这还没有结束,哈哈,由于数据丢失原因,配置不适用本身(此处简要解释https://opensearch.org/docs/latest/security-plugin/configuration/security-admin/ #注意事项)。正如文档所述,更新部署后,您必须进入主节点,并使用 securityadmin.sh 更新安全配置(阅读上面的链接以获取确切的命令)。
瞧,您更改了管理员密码。非常直观,对吧? ;) 希望我有帮助
P.S.:如果您想使用自己的证书、自己的配置等,则应该禁用安装演示配置。它不是为生产而设计的。
您还可以使用 Opensearch Dashboard(或 REST API)来创建/编辑用户和角色,这不需要使用 securityadmin.sh。 登录仪表板,然后选择“安全”->“内部用户” https://opensearch.org/docs/latest/security/access-control/users-roles/
这也是上述文档提到的推荐方式:
除非您需要创建新的保留或隐藏用户,否则我们强烈建议使用 OpenSearch Dashboards 或 REST API 来创建新用户、角色和角色映射。 .yml 文件用于初始设置,而不是持续使用。