インターネットまたは VPC 経由での Kibana へのアクセスの設定 -

インターネットまたは VPC 経由で Kibana サービスにアクセスする前に、お使いのデバイスの IP アドレスを Kibana のパブリックまたはプライベート IP アドレスホワイトリストに追加する必要があります。

前提条件

Elasticsearch クラスターが正常な状態であること。

Kibana のパブリック IP アドレスホワイトリストを設定する

Kibana のホワイトリストで IP アドレスを直接管理することで、インターネット経由での Kibana へのアクセスを制御できます。

Alibaba Cloud Elasticsearch コンソールにログインします。
左側のナビゲーションウィンドウで、[Elasticsearch クラスター] をクリックします。
目的のクラスターに移動します。
1. 上部のナビゲーションバーで、クラスターが属するリソースグループとクラスターが存在するリージョンを選択します。
2. [Elasticsearch クラスター] ページで、クラスターを見つけてその ID をクリックします。
表示されたページの左側のナビゲーションウィンドウで、[設定と管理] > [データ可視化] を選択します。
表示されたページの [Kibana] セクションで、[設定の変更] をクリックします。
表示されたページの [ネットワークアクセス設定] セクションで、[パブリック IP アドレスホワイトリスト] の右側にある [変更] をクリックします。
説明
[パブリックネットワークアクセス] スイッチがオフになっている場合は、まずスイッチをオンにする必要があります。
[パブリック IP アドレスホワイトリストの変更] パネルで、[IP アドレスホワイトリストの追加] をクリックするか、目的のホワイトリスト名の右側にある [設定] をクリックします。
説明
IP ホワイトリストグループを作成した後は、その名前を変更することはできません。

表示されたダイアログボックスで、お使いのデバイスの IP アドレスをホワイトリストに追加します。

次の表に記載されている手順に基づいて、お使いのデバイスの IP アドレスを取得することをお勧めします。

シナリオ

取得する IP アドレス

IP アドレスの取得方法

オンプレミスのマシンから Kibana にアクセス

オンプレミスマシンのパブリック IP アドレス

説明

オンプレミスのマシンがホームネットワークまたはオフィスの LAN に接続されている場合は、インターネット出口の IP アドレスをホワイトリストに追加する必要があります。

オンプレミスのマシンでブラウザを使用して www.cip.cc にアクセスするか、マシンで curl cip.cc コマンドを実行します。

クライアントから Kibana にアクセス

クライアントのパブリック IP アドレス

たとえば、Kibana とは異なる VPC にある Elastic Compute Service (ECS) インスタンスを使用してインターネット経由で Kibana にアクセスする場合、ECS インスタンスのパブリック IP アドレスを取得する必要があります。

次の操作は、ECS インスタンスのパブリック IP アドレスを取得する方法の例を示しています。

ECS コンソールにログインします。
左側のナビゲーションウィンドウで、[インスタンス] をクリックします。
上部のナビゲーションバーで、ECS インスタンスが存在するリージョンを選択します。
[インスタンス] ページで ECS インスタンスを見つけ、ECS インスタンスのプライベートまたはパブリック IP アドレスを表示します。

IP アドレスホワイトリストを設定する際は、次のルールに従う必要があります。

ホワイトリストには、192.168.0.1 や 192.168.0.0/24 などの IP アドレスまたは CIDR ブロックを指定できます。
ホワイトリストには最大 300 個の IP アドレスまたは CIDR ブロックを指定できます。複数の IP アドレスまたは CIDR ブロックはコンマ (,) で区切ります。
127.0.0.1 は、すべての IPv4 アドレスからのアクセスを拒否します。0.0.0.0/0 は、すべての IPv4 アドレスからのアクセスを許可します。セキュリティ上の理由から、すべての IPv4 アドレスからのアクセスを許可するようにホワイトリストを設定しないでください。
パブリック IPv6 アドレスからのアクセスは、中国 (杭州) リージョンでのみサポートされており、このリージョンでパブリック IPv6 アドレスホワイトリストを設定できます。たとえば、ホワイトリストに 2401:XXXX:1000:24::5 または 2401:XXXX:1000::/48 を指定できます。
説明
- ホワイトリストでは、::1 を指定してすべての IPv6 アドレスからのリクエストを拒否したり、::/0 を指定してすべての IPv6 アドレスからのリクエストを許可したりできます。セキュリティ上の理由から、::/0 を指定しないことをお勧めします。
- 一部のバージョンのクラスターでは、ホワイトリストに ::/0 を指定することはできません。この設定を実行できるかどうかは、コンソールで確認できます。

[OK] をクリックします。
任意: パネルの右上隅にあるアイコンをクリックして [Kibana 設定] ページに戻ります。[アクセス設定] セクションで、Kibana パブリックアクセスホワイトリストを表示できます。
指定した IP アドレスの一部が表示されない場合は、表示されている IP アドレスの上にポインターを移動すると、指定したすべての IP アドレスを表示できます。指定した IP アドレスがホワイトリストに表示されていれば、ホワイトリストの設定は成功です。

インターネット経由での Kibana へのアクセスの認証方式を設定する

Alibaba Cloud Elasticsearch コンソールにログインします。
左側のナビゲーションウィンドウで、[Elasticsearch クラスター] をクリックします。
目的のクラスターに移動します。
1. 上部のナビゲーションバーで、クラスターが属するリソースグループとクラスターが存在するリージョンを選択します。
2. [Elasticsearch クラスター] ページで、クラスターを見つけてその ID をクリックします。
表示されたページの左側のナビゲーションウィンドウで、[設定と管理] > [データ可視化] を選択します。
表示されたページの [Kibana] セクションで、[設定の変更] をクリックします。
表示されたページの [ネットワークアクセス設定] セクションで、[パブリックネットワークアクセスの認証方式] の右側にある [変更] をクリックします。
[パブリックネットワークアクセスの認証方式の変更] パネルで、必要に応じて [Alibaba Cloud アカウント認証 + Elasticsearch クラスターパスワード] または [Elasticsearch クラスターパスワード] を選択します。
説明
[Alibaba Cloud アカウント認証 + Elasticsearch クラスターパスワード] 認証方式を選択した場合、インターネット経由で Kibana にアクセスする際には、まず Alibaba Cloud アカウントにログインする必要があります。その後、Elasticsearch クラスターへのアクセスに使用するパスワードを指定します。
[OK] をクリックします。

Kibana のプライベート IP アドレスホワイトリストを設定する

デフォルトでは、プライベートネットワークアクセスはオフになっています。プライベート IP アドレスホワイトリストを設定する前に、プライベートネットワークアクセスをオンにする必要があります。

VPC 経由での Kibana へのアクセスに使用されるポート 5601

プライベートネットワークアクセスをオンにした後、「Kibana のパブリック IP アドレスホワイトリストを設定する」の操作を参照して、Kibana のプライベート IP アドレスホワイトリストを設定できます。

説明

ECS インスタンスなどのクライアントを使用して VPC 経由で Kibana にアクセスする場合は、クライアントのプライベート IP アドレスを Kibana のプライベート IP アドレスホワイトリストに追加する必要があります。

VPC 経由での Kibana へのアクセスに使用されるポート 443

プライベートネットワークアクセスをオンにすると、PrivateLink を使用して VPC と Kibana の間にプライベート接続を確立できます。セキュリティグループルールで指定された IP アドレスを管理することで、VPC 経由での Kibana へのアクセスを制御できます。

説明

現在、Alibaba Cloud ES は PrivateLink エンドポイントの料金をカバーしています。

Alibaba Cloud Elasticsearch コンソールにログインします。
左側のナビゲーションウィンドウで、[Elasticsearch クラスター] をクリックします。
目的のクラスターに移動します。
1. 上部のナビゲーションバーで、クラスターが属するリソースグループとクラスターが存在するリージョンを選択します。
2. [Elasticsearch クラスター] ページで、クラスターを見つけてその ID をクリックします。
表示されたページの左側のナビゲーションウィンドウで、[設定と管理] > [データ可視化] を選択します。
表示されたページの [Kibana] セクションで、[設定の変更] をクリックします。
表示されたページの [ネットワークアクセス設定] セクションで、[プライベートネットワークアクセス] をオンにします。

[Kibana のプライベートネットワークアクセスを有効にする] パネルで、パラメーターを設定し、[OK] をクリックします。

PrivateLink を使用して、VPC 経由での Kibana へのアクセスを実装できます。各 Kibana ノードは、独立したエンドポイントに関連付ける必要があります。

説明

PrivateLink を使用してプライベートネットワーク経由で Kibana にアクセスするには、サービスリンクロールが必要です。必要なサービスリンクロールを作成していない場合、システムが自動的に作成します。

パラメーター	説明
エンドポイント名	エンドポイント名は自動的に生成され、変更可能です。
VPC	Elasticsearch と同じ: インスタンスの [基本情報] ページで、その [Virtual Private Cloud (VPC)] を表示できます。カスタム: エンドポイントを作成する VPC を選択します。コンソールの案内に従って VPC を作成できます。
ゾーン	インスタンスの [基本情報] ページで [ゾーン] を表示できます。
vSwitch	Elasticsearch と同じ: インスタンスの [基本情報] ページで [仮想スイッチ ID] を表示できます。カスタム: エンドポイントを作成する vSwitch を選択します。コンソールの案内に従って vSwitch を作成できます。
セキュリティグループ	セキュリティグループルールを使用して、VPC 経由での Kibana へのアクセスを制御できます。既存のセキュリティグループを選択します。説明ポート 5601 は VPC 経由での Kibana へのアクセスに使用されるため、セキュリティグループのポート範囲に含める必要があります。セキュリティグループルールを変更するには、ECS コンソールのセキュリティグループページに移動します。セキュリティグループルールの変更方法の詳細については、「セキュリティグループルールを変更する」をご参照ください。セキュリティグループは、基本セキュリティグループと高度セキュリティグループに分類されます。Kibana へのアクセスを制御するために使用するセキュリティグループを変更する場合、元のセキュリティグループと同じタイプのセキュリティグループしか選択できません。たとえば、Kibana のプライベートネットワークアクセススイッチをオンにするときに基本セキュリティグループを選択した場合、Kibana へのアクセスを制御するために使用するセキュリティグループを変更するときも、基本セキュリティグループしか選択できません。新しいセキュリティグループを使用します。 [セキュリティグループ] フィールドの下にある [作成] をクリックします。表示されたダイアログボックスで、セキュリティグループの名前を入力します。セキュリティグループ名は自動的に生成され、変更可能です。 [承認された IP アドレス] フィールドに IP アドレスを入力します。 IP アドレスは、承認するデバイスのプライベート IP アドレスである必要があります。たとえば、ECS インスタンスを使用して VPC 経由で Kibana にアクセスする場合は、ECS インスタンスのプライベート IP アドレスを入力する必要があります。
プライベートネットワークアクセスの認証方式	必要に応じて [Alibaba Cloud アカウント認証 + ES インスタンスアクセスパスワード] または [ES インスタンスアクセスパスワード] を選択できます。説明 [Alibaba Cloud アカウント認証 + Elasticsearch クラスターパスワード] 認証方式を選択した場合、VPC 経由で Kibana にアクセスする際には、まず Alibaba Cloud アカウントにログインする必要があります。その後、Elasticsearch クラスターへのアクセスに使用するパスワードを指定します。

説明

[OK] をクリックした後、しばらく待ちます。[ネットワークアクセス設定] セクションの下部にエンドポイントリストが表示された場合、設定は成功です。
エンドポイントは統一されたフォーマットです。エンドポイントを作成した後は、エンドポイント名のみ変更できます。
Elasticsearch コンソールでは、セキュリティグループのみを変更できます。セキュリティグループをクエリおよび管理するには、ECS コンソールのセキュリティグループページに移動します。
[プライベートネットワークアクセス] をオフにすると、エンドポイントリソースは自動的にリリースされます。プライベートネットワークアクセスを再度オンにする場合は、新しいエンドポイントリソースを作成する必要があります。ただし、Kibana のアクセスアドレスは変更されません。

NGINX プロキシを使用した Kibana へのアクセス

NGINX プロキシを使用して Kibana にアクセスする場合は、必要に応じて Alibaba Cloud アカウント認証を無効にし、NGINX 設定ファイルを変更することをお勧めします。

Alibaba Cloud アカウント認証の無効化

Elasticsearch クラスターの詳細ページに移動します。
1. Alibaba Cloud Elasticsearch コンソールにログインします。
2. 左側のナビゲーションウィンドウで、[Elasticsearch クラスター] をクリックします。
1. 上部のナビゲーションバーで、目的のリソースグループとリージョンを選択します。クラスターリストで、目的のクラスターを見つけてその ID をクリックします。
Kibana 設定ページに移動します。
1. 左側のナビゲーションウィンドウで、[設定と管理] > [データ可視化] を選択します。
2. 表示されたページの [Kibana] セクションで、[設定の変更] をクリックします。
関連するネットワークタイプの認証方式を [Elasticsearch クラスターパスワード] に変更します。これは、Alibaba Cloud アカウント認証が無効になっていることを示します。次の図は、インターネット経由のアクセスの認証方式を変更する方法の例を示しています。

NGINX 設定ファイルの変更

必要に応じて NGINX 設定ファイルを変更できます。次のコードは例です。

server{
      charset utf-8;  # 文字コード形式。
      listen  8081;   # NGINX のリスニングポート。必要に応じてポートを指定します。
      server_name xxx.xxx.com;   # プロキシにバインドされたドメイン名。必要に応じてドメイン名を指定します。
      location  / {
           # Host はオプションです。設定する場合は、元の Kibana ドメイン名に設定する必要があります。
           # proxy_set_header Host es-cn-xxxxxxxx-kibana.internal.elasticsearch.aliyuncs.com;
           proxy_set_header X-Real-IP $remote_addr;  # クライアントの実際の IP アドレスを Kibana に渡します。
           proxy_set_header  X-Forwarded-For  $proxy_add_x_forwarded_for;  # リクエストが通過するプロキシサーバーリンクを記録します。このリンクはログ分析に使用されます。
           proxy_pass https://es-cn-xxxxxxxx-kibana.internal.elasticsearch.aliyuncs.com:5601;  # リクエストを Kibana アドレスに転送します。
      }
}

よくある質問

Q: Kibana のプライベートネットワークアクセスまたはパブリックネットワークアクセス機能を有効にすると、Elasticsearch クラスターに影響はありますか？
A: いいえ、Elasticsearch クラスターに影響はありません。Kibana のプライベートネットワークアクセスまたはパブリックネットワークアクセス機能を有効にすると、システムは Kibana に接続されている Server Load Balancer (SLB) インスタンスの変更のみをトリガーします。
説明
Kibana のプライベートネットワークアクセス機能を初めて有効にすると、システムは Kibana ノードを再起動しますが、Elasticsearch クラスターの変更はトリガーしません。
Q: デバイスの IP アドレスを Kibana の IP アドレスホワイトリストに追加しても Kibana にアクセスできない場合はどうすればよいですか？
A: 次の手順に基づいて問題をトラブルシューティングしてください。
- Elasticsearch クラスターが異常な状態です。
- 追加した IP アドレスが間違っている可能性があります。オンプレミスのマシンから Kibana にアクセスする場合は、www.cip.cc にアクセスしてマシンの IP アドレスを取得し、取得した IP アドレスが Kibana のパブリック IP アドレスホワイトリストに追加されているかどうかを確認してください。
- デバイスの IP アドレスを Elasticsearch クラスターの IP アドレスホワイトリストに追加している可能性があります。クラスターの詳細ページに移動し、左側のナビゲーションウィンドウで [設定と管理] > [データ可視化] を選択し、Kibana セクションの [設定の変更] をクリックする必要があります。Kibana 設定ページで、デバイスの IP アドレスを Kibana のプライベートまたはパブリック IP アドレスホワイトリストに追加します。
- ブラウザのキャッシュをクリアして、もう一度試してください。
- Kibana ノードを再起動して、もう一度試してください。
Q: セキュリティグループを設定し、正しい IP アドレスをセキュリティグループルールに追加しても、Kibana にアクセスできないのはなぜですか？
A: ポート 5601 は VPC 経由での Kibana へのアクセスに使用されます。したがって、このポートをセキュリティグループルールのポート範囲に含める必要があります。セキュリティグループルールを変更するには、ECS コンソールのセキュリティグループページに移動します。詳細については、「セキュリティグループルールを変更する」をご参照ください。
Q: Elasticsearch コンソールでセキュリティグループルールを変更できないのはなぜですか？
A: セキュリティグループルールを変更すると、その変更はセキュリティグループルールによって制御されるすべてのアクセスシナリオに影響します。そのため、Elasticsearch コンソールでセキュリティグループルールを変更することはできません。セキュリティグループルールを変更するには、ECS コンソールのセキュリティグループページに移動します。
Q: Kibana ノードの仕様が 1 vCPU と 2 GiB のメモリなのですが、Kibana のプライベートネットワークアクセス機能を有効にできないのはなぜですか？
A: 1 vCPU と 2 GiB のメモリを持つ Kibana ノードはテスト目的で使用され、本番環境では推奨されません。VPC 経由で Kibana にアクセスする場合は、まず Kibana ノードの仕様を 2 vCPU と 4 GiB のメモリ以上にスペックアップすることをお勧めします。詳細については、「クラスターをスペックアップする」をご参照ください。
Kibana コンソールを使用して Baidu Maps や AMAP などのインターネットサービスにアクセスできますか？
Elasticsearch V7.16 クラスターの Kibana コンソールの内部ドメイン名に基づいて解決された IP アドレスが自分の VPC に属していないのはなぜですか？
NGINX プロキシ経由で Kibana コンソールにアクセスできない場合はどうすればよいですか？
CNAME レコードに基づいてカスタムドメイン名を使用して Kibana コンソールにアクセスできない場合はどうすればよいですか？

リファレンス

API リファレンス:
- インターネットまたは内部ネットワーク経由での Kibana へのアクセスの有効化または無効化のための API 操作: TriggerNetwork
- Kibana のパブリックまたはプライベート IP アドレスホワイトリストを更新するための API 操作: ModifyWhiteIps
Kibana コンソールにログインする
Kibana コンソールへのログイン時または使用時に問題が発生した場合は、「Kibana コンソールに関するよくある質問」をご参照ください。