在 8.0 中，我們很高興為所有用戶帶來簡化的安全功能， 從 7.1 開始，我們向所有人免費提供了確保 Elastic Stack 安全所需的所有功能，

然而，我們知道設定安全性并不好玩，你需要專注于你的專案目標， 好訊息給你！ 從 8.0 開始，自管理集群默認啟用 Elastic Stack 安全性，配置作業幾乎為零， 只需啟動新的 Elasticsearch 和 Kibana 版本并繼續充分利用 Elastic Stack，我們將為你提供支持！ 如果你使用的是 Elastic Cloud，請不要擔心——我們已經為你解決了安全問題，

輕松獲得所需的所有安全性

簡化的安全性包括以下功能，這些功能跨越多個層和產品，默認啟用：

• 用戶認證
• 具有基于角色的訪問控制的用戶授權
• Kibana Spaces 多租戶
• 使用 TLS 的加密節點到節點通信
• 使用 HTTPS 與 Elasticsearch API 進行加密通信

	根據他們的角色，輕松控制訪問你資源的人員及其訪問級別
	使用空間（Spaces）輕松保護組織團隊或客戶的功能和資源
	通過節點身份驗證和加密通信，輕松安全地將節點添加到集群
	與 Elasticsearch 的通信是安全的， 通過 UI 一步輕松安全地連接 Kibana

Stack Security 團隊對我們來說最重要的是，我們的用戶在安裝和運行 Elastic Stack 時可以從盡可能多的安全性中受益 — 同時消除任何摩擦，因此，我們設定了一個雄心勃勃的目標：以精簡、輕松和透明的方式提供所有之前列出的安全功能，我們認為你不應該將時間花在繁瑣的配置上，同時，你不應該在安全性上妥協，

此外，簡化的安全性不使用跨不同實體的通用默認值，當功能在技術上啟用但基于已知的“秘密”時，這會給人一種錯誤的安全感，相反，在引導程序中，每個新部署都會創建并使用唯一的憑證、證書和加密密鑰，

今天，我們很高興為你帶來這項雄心勃勃的計劃的成果，

如果你使用 Elastic 的托管云服務或編排產品、Elastic Cloud Enterprise (ECE) 和 Elastic Cloud on Kubernetes (ECK)，你不會有任何變化——堆疊安全性已默認配置，

要開始使用，只需啟動 Elasticsearch 和 Kibana，使用新的 Web UI 將它們連接起來，它們就可以安全地協同作業，開箱即用，當然，你可以自定義任何你需要的內容，以滿足你組織的安全要求，

分兩步安全啟動新部署

首次下載并運行 Elasticsearch 時，你將收到一個注冊令牌和 elastic 超級用戶的憑據， 這實際上是你啟動 Elastic Stack 并使用我們之前描述的安全功能運行所需的所有資訊，因此請妥善保管，你可以在官方的地址找到詳細的描述，當我們首次運行 Elasticsearch 時：

bin/elasticsearch

當 Elasticsearch 啟動后，你需要像后滾動你的螢屏，并看到如下所示的內容：

如上所示，我們看到超級用戶 elastic 的密碼及 Kibana 的 enrollment token （注冊 token），我們需要拷貝它們供以后使用，如果這個時候，我們在 Chrome 下去訪問 Elasticsearch 的地址 https://localhost:9200，我們會得到如下的資訊：

顯然這是因為它是一個自簽名的證書而導致的，我們在這個螢屏上打入 thisisunsafe：

在上面的界面輸入之前生成的密碼：

如果你使用的是 Safari 瀏覽器：

最終，我們輸入用戶名及密碼：

我們接下來啟動 Kibana：

bin/kibana

如上所示，它讓我們去上面的鏈接去配置 Kibana：

我們把之前的 Elasticsearch 運行輸出的 enrollment token 拷貝進來， 點擊上面的 Configure Elastic，Kibana 將設定所有內容，無需進行任何配置，并將通過 TLS 連接到 Elasticsearch，

設定完成后，你就可以開始了， 使用 Elasticsearch 步驟中提供的憑據以超級用戶身份登錄，然后開始使用新的安全部署，

我們拷貝之前在 Elasticsearch 中輸出的密碼，并輸入到上市的 Password 輸入框中，點擊 Log in：

這樣我們就進入到 Kibana 的界面中了， 請注意在上面的 Kibana 中，它的訪問地址不是 https 形式的，而是 http 的，所以你可以通過 http://localhost:9200 來進行訪問，

如果你需要向集群添加更多節點，請通過運行：

bin/elasticsearch-create-enrollment-token -s node

獲取 Elasticsearch 注冊 token，

請記住，自動配置程序僅在第一次啟動新集群時執行， 如果已經設定了明確的安全配置，或者集群已經從以前的版本升級，則不會進行任何更改， 升級助手將指導用戶完成從 7.17 升級所需的步驟，

運用 Metricbeat 收集指標

如果你對如何使用 Beats 還不是很熟的話，那么請閱讀我之前的教程：

• Beats：Beats 入門教程 （一）
• Beats：Beats 入門教程 （二）

在上面的配置中，由于 https 的使用，我們在配置 Beats 需要注意一些問題，我們再次打開 Elasticsearch 的安裝目錄：

$ pwd
/Users/liuxg/elastic/elasticsearch-8.0.0
$ ls config/certs/
http.p12      http_ca.crt   transport.p12

在 Elasticsearch 的 config 目錄中，我們可以看到一個叫做 http_ca.crt 的檔案，我們把這個檔案拷貝到一個目錄，或者直接到 Metricbeat 的安裝目錄下：

$ pwd
/Users/liuxg/elastic/metricbeat-8.0.0-darwin-x86_64
$ ls 
LICENSE.txt              http_ca.crt              metricbeat.yml
NOTICE.txt               kibana                   module
README.md                logs                     modules.d
data                     metricbeat
fields.yml               metricbeat.reference.yml

從上面，我們可以看到有一個叫做 http_ca.crt 的檔案，接下來我們來配置 metricbeat.yml 檔案：

metricbeat.yml

如上所示，我們已經對 output.elasticsearch 進行了配置，我們接下來運行如下的命令：

./metricbeat test config

$ ./metricbeat test config
Config OK

我們再接下來使用如下的命令來測驗輸出：

./metricbeat test output

$ ./metricbeat test output
elasticsearch: https://localhost:9200...
  parse url... OK
  connection...
    parse host... OK
    dns lookup... OK
    addresses: ::1, 127.0.0.1
    dial up... OK
  TLS...
    security... WARN server's certificate chain verification is disabled
    handshake... OK
    TLS version: TLSv1.3
    dial up... OK
  talk to server... OK
  version: 8.0.0

上面標明我們的 output 配置是正確的，我們接下來使用如下的命令來 setup：

./metricbeat setup

$ ./metricbeat setup
Overwriting ILM policy is disabled. Set `setup.ilm.overwrite: true` for enabling.

Index setup finished.
Loading dashboards (Kibana must be running and reachable)
Loaded dashboards

它表明我們的命令的運行是成功的，如果你對 setup 命令有什么疑問的話，請參閱我之前的文章 “Beats：解密 Filebeat 中的 setup 命令”，

我們接下來使用如下的命令來運行 Metricbeat：

./metricbeat -e

我們回到 Kibana 的 Dashboard 中進行查看：

這樣，我們就看到了當前 host 的指標資訊，

關于其它 Beats 的配置和 Metricbeat 的配置類似，這里就不再贅述了，

快速了解一下是如何作業的

當你第一次下載并運行 Elasticsearch 時，Elasticsearch 將透明地執行以下任務：

• 為 TLS 設定：它將生成證書頒發機構、傳輸和 HTTP 層證書，以及 TLS 舞蹈所需的所有相關“好東西”——當然包括私鑰、證書指紋等，它還將存盤密碼安全，
• 設定安全設定：這還包括用于傳輸和 HTTP 加密的設定：xpack.security.ssl.http.enabled 和 xpack.security.ssl.transport.enabled
• 準備傳入連接：它將生成一種特殊型別的令牌，即注冊令牌，它封裝了 Kibana 連接到 Elasticsearch 所需的所有資訊，并啟用其注冊 API，該 API 會監聽新連接，
• 為 elastic 內置超級用戶生成密碼，

所有這些任務對用戶都是透明的，

現在，當用戶第一次運行 Kibana 時，他們只需要在新的 Kibana 啟動 UI 中輸入注冊令牌，Kibana 就會解壓縮所需的所有資訊并連接到 Elasticsearch ，通過注冊請求，Elasticsearch 將為 kibana_system 用戶生成并設定密碼， Kibana 會將配置和憑據保存在 kibana.yml 和密鑰庫中，

請注意，Kibana 不會通過瀏覽器啟用 Web HTTP TLS，這是我們建議考慮的附加步驟，以進一步提高系統的安全性，

對 Elastic Stack、Elastic 解決方案和其他產品的影響

我們希望你確信安全性按預期作業，我們現在只允許加載我們的 Elasticsearch 安全模塊——不再可以用可以攔截和管理傳入 REST 請求的第三方插件替換它，

至于解決方案，Elastic Observability、Security 和 Enterprise Search 已經假設 Stack Security 已啟用，這里沒有任何變化，只是設定這些組件會更容易（因為默認情況下已經啟用了堆疊安全性），其他產品（如 Elastic Agent）會自動設定為安全連接 Elasticsearch，

立即開始使用 Elastic Stack 8.0

下載 Elasticsearch 和 Kibana 以創建安全的 Elastic Stack 部署，如果你想了解有關簡化安全性的更多資訊，請參閱我們的指南，否則，你可以在 Elasticsearch 服務上啟動安全且免費的云試用部署，開始你的搜索、觀察和保護之旅，

我們歡迎你的反饋，并且一如既往，你可以在 Twitter (@elastic) 和 Elastic 論壇上找到我們，