パブリック/プライベートネットワーク経由で Kibana にアクセス - ES

Kibana は Alibaba Cloud Elasticsearch (ES) コンソールに組み込まれており、クラスターのデータを視覚的に探索・分析するためのインターフェイスを提供します。Kibana への正常なログインは、クラスターへの接続が確立されていることを確認する手段です。

本トピックでは、Kibana へのアクセスにサポートされるすべての方法について説明します。

アクセス方法	アーキテクチャ	ネットワーク	ポート
インターネット経由のパブリックアクセス (V3)	クラウドネイティブ制御 (V3)	インターネット	443
プライベートネットワーク経由のアクセス (V3)	クラウドネイティブ制御 (V3)	PrivateLink 経由の VPC	5601
インターネット経由のパブリックアクセス (V2)	ベーシック制御 (V2)	インターネット	5601
プライベートネットワーク経由のアクセス (V2)	ベーシック制御 (V2)	VPC	5601
Nginx リバースプロキシ	V3（例）	インターネットまたは VPC	80

デプロイモード（V2 または V3）を特定するには、「よくある質問」セクションをご参照ください。

インターネット経由で Kibana にログインする (V3)

前提条件

開始する前に、以下の点を確認してください。

Kibana のパブリックエンドポイントはデフォルトで有効化されています。ES コンソール内の Kibana 構成ページから取得できます。
ポートは固定で 443 です。
パブリックアクセスホワイトリストはデフォルトですべての IP アドレスを拒否します。ログイン前に、ご利用のデバイスの IP アドレスを追加してください。
デフォルトの認証方式は 二要素認証 です：まず Alibaba Cloud アカウントにログインし、その後、ES インスタンスの認証情報（ユーザー名：elastic、および対応するパスワード）で認証を行います。

パブリックホワイトリストへの IP アドレスの追加

ホワイトリストに登録する IP アドレスは、Kibana へのアクセス方法によって異なります。

シナリオ	登録する IP アドレス	取得方法
オンプレミスデバイスからのアクセス	デバイスのパブリック IP アドレス。デバイスが家庭用ネットワークまたは企業 LAN 上にある場合は、LAN のパブリック出口 IP を登録してください。	`curl ipinfo.io/ip`
異なる VPC 内の ECS インスタンスからのアクセス	ECS インスタンスのパブリック IP アドレス	ECS コンソール (https://ecs.console.alibabacloud.com/server/region/cn-hangzhou#/) にログインし、インスタンス一覧からパブリック IP を確認します。

Alibaba Cloud Elasticsearch コンソールにログインし、ターゲットインスタンスの 基本情報 ページに移動します。
左側のナビゲーションウィンドウで データ可視化 をクリックします。Kibana エリアで 構成の変更 をクリックします。
ネットワークアクセス構成 セクションで、パブリック IP アドレスホワイトリスト を見つけ、編集をクリックします。

デフォルトグループの右側にある構成をクリックします。表示されるダイアログボックスで、許可する IP アドレスを追加します。

カスタムグループ名を使用する場合は、新しい IP ホワイトリストグループの追加 をクリックします。グループは IP アドレス管理専用であり、アクセス権限には影響しません。

IP アドレスの形式

構成タイプ	形式と例	備考
IPv4 アドレス	単一 IP：`192.168.0.1`<br>CIDR ブロック：`192.168.0.0/24`（可能な限り散在する IP を CIDR ブロックに統合）<br>クラスターあたり最大 300 エントリ。複数のエントリはカンマで区切り（スペースなし）	デフォルト値 `127.0.0.1` はすべての IPv4 アドレスを拒否します。<br>`0.0.0.0/0` はすべての IPv4 アドレスを許可しますが、セキュリティリスクが非常に高いため推奨されません。一部のクラスターおよびリージョンでは `0.0.0.0/0` がサポートされておらず、コンソールまたはエラーメッセージに可用性が表示されます。

OK をクリックします。

認証方式の構成

デフォルトの認証方式は二要素認証です：まず Alibaba Cloud アカウントにログインし、その後、ES インスタンスの認証情報（ユーザー名：elastic、および対応するパスワード）で認証を行います。

重要

ES インスタンスの認証情報のみ（ユーザー名：elastic、および対応するパスワード）での認証に切り替えることもできますが、クラスターのセキュリティが低下するため、推奨されません。

Kibana へのログイン

インターネット経由のアクセス をクリックし、Kibana のログインページで認証情報を入力します。

ユーザー名：elastic（固定）
パスワード: ES クラスターを作成する際に設定したパスワードです。リセットするには、「パスワードのリセット」をご参照ください。

きめ細かなアクセス制御のためのロールを作成するには、Kibana 内の Elasticsearch X-Pack プラグインを使用します。

プライベートネットワーク経由で Kibana にログインする (V3)

前提条件

プライベートネットワークアクセスを有効化する前に、以下の点を確認してください。

Kibana ノードスペック：2 コア 4 GB 以上。それより小さいノードスペックでは、プライベートネットワークアクセスを有効化できません。
技術：Alibaba Cloud PrivateLink。Alibaba Cloud ES が PrivateLink エンドポイントのコストを負担します。
プライベートエンドポイントは デフォルトで無効化 されています。ログイン前に、これを有効化し、PrivateLink エンドポイントを構成してください。
ポートは固定で 5601 です。
デフォルトの認証方式は 二要素認証 です：まず Alibaba Cloud アカウントにログインし、その後、ES インスタンスの認証情報で認証を行います。

プライベートエンドポイントの構成

ネットワークアクセス構成 ページで、プライベートネットワークアクセス スイッチをオンにします。

エンドポイントのパラメーターを構成します。

パラメーター	説明
エンドポイント名	自動生成されます。変更可能です。
VPC	ES インスタンスと同じ VPC を選択します。基本情報ページで VPC ID を確認してください。
ゾーン	基本情報ページでゾーンを確認してください。
vSwitch	ES インスタンスと同じ vSwitch を選択します。vSwitch ID は基本情報ページで確認できます。
セキュリティグループ	Kibana へのプライベートネットワークアクセスを制御します。既存のセキュリティグループを選択するか、新しいものを作成します。セキュリティグループルールはECS コンソールで管理します。宛先ポート範囲には`5601`を含める必要があり、ソースにはアクセスデバイスの IP アドレスを含める必要があります。セキュリティグループを変更する場合、タイプは同じでなければなりません（基本から基本、エンタープライズからエンタープライズ）。セキュリティグループを迅速に作成するには、[セキュリティグループ]フィールドの下にある[作成]をクリックし、名前を入力して、承認するデバイスのプライベート IP アドレスを入力します。
プライベートネットワークアクセスの認証方式	デフォルト：二要素認証（Alibaba Cloud アカウント＋ ES インスタンスの認証情報）。ES インスタンスの認証情報のみに切り替えるとセキュリティが低下するため、推奨されません。

OK をクリックします。構成は直ちに開始されます。エンドポイントの接続ステータスが 接続済み になった時点で、利用可能になります。

エンドポイントが作成された後:

エンドポイント名のみ変更可能です。セキュリティグループの管理は ECS コンソールで行ってください。
プライベートネットワークアクセス をオフにすると、関連付けられた PrivateLink エンドポイントのリソースが自動的に解放されます。再度有効化するには、新しいエンドポイントリソースを作成する必要があります。Kibana のアクセスアドレスは変更されません。

接続の確認

VNC 接続（Windows ECS インスタンス）

ECS インスタンスに VNC 接続し、ブラウザを開いてプライベート Kibana エンドポイントの URL を入力します。その後、認証情報を入力してログインします。

ユーザー名：elastic（固定）
パスワード: ES クラスターを作成したときに設定したパスワードです。リセットするには、「パスワードのリセット」をご参照ください。

ワークベンチ（コマンドライン）

ワークベンチ経由で ECS インスタンスに接続し、以下のコマンドを実行します。

curl.exe -u elastic:<password> -k -I "https://es-cn-xxxxxxxxxxxxxxxxx-kibana.internal.elasticsearch.aliyuncs.com:5601/"

正常な接続の場合、以下のようなレスポンスが返されます。

インターネット経由で Kibana にログインする (V2)

前提条件

開始する前に、以下の点を確認してください。

Kibana のパブリックエンドポイントはデフォルトで有効化されています。ES コンソール内の Kibana 構成ページから取得できます。
ポートは固定で 5601 です。
パブリックアクセスホワイトリストはデフォルトですべての IP アドレスを拒否します。ログイン前に、ご利用のデバイスの IP アドレスを追加してください。
認証方式は ES インスタンスの認証情報（ユーザー名：elastic、および対応するパスワード）です。

パブリックホワイトリストへの IP アドレスの追加

ホワイトリストに登録する IP アドレスは、Kibana へのアクセス方法によって異なります。

シナリオ	登録する IP アドレス	取得方法
オンプレミスデバイスからのアクセス	デバイスのパブリック IP アドレス。デバイスが家庭用ネットワークまたは企業 LAN 上にある場合は、LAN のパブリック出口 IP を登録してください。	`curl ipinfo.io/ip`
異なる VPC 内の ECS インスタンスからのアクセス	ECS インスタンスのパブリック IP アドレス	ECS コンソールにログインし、インスタンスリストでパブリック IP を確認します。

Alibaba Cloud Elasticsearch コンソールにログインし、ターゲットインスタンスの 基本情報 ページに移動します。
左側のナビゲーションウィンドウで データ可視化 をクリックします。Kibana エリアで 構成の変更 をクリックします。
ネットワークアクセス構成 セクションで、パブリック IP アドレスホワイトリストを見つけ、変更をクリックします。

デフォルトグループの右側にある構成をクリックします。表示されるダイアログボックスで、許可する IP アドレスを追加します。

カスタムグループ名を使用する場合は、新しい IP ホワイトリストグループの追加 をクリックします。グループは IP アドレス管理専用であり、アクセス権限には影響しません。

IP アドレスの形式

構成タイプ	形式と例	備考
IPv4 アドレス	単一 IP：`192.168.0.1`<br>CIDR ブロック：`192.168.0.0/24`（可能な限り散在する IP を CIDR ブロックに統合）<br>クラスターあたり最大 300 エントリ。複数のエントリはカンマで区切り（スペースなし）	デフォルト値 `127.0.0.1` はすべての IPv4 アドレスを拒否します。<br>`0.0.0.0/0` はすべての IPv4 アドレスを許可しますが、セキュリティリスクが非常に高いため推奨されません。一部のクラスターおよびリージョンでは `0.0.0.0/0` がサポートされておらず、コンソールまたはエラーメッセージに可用性が表示されます。
IPv6 アドレス（杭州リージョンのみ）	単一 IP：`2401:XXXX:1000:24::5`<br>CIDR ブロック：`2401:XXXX:1000::/48`<br>クラスターあたり最大 300 エントリ。複数のエントリはカンマで区切り（スペースなし）	`::1` はすべての IPv6 アドレスを拒否します。<br>`::/0` はすべての IPv6 アドレスを許可しますが、セキュリティリスクが非常に高いため推奨されません。一部のクラスターバージョンでは `::/0` がサポートされておらず、コンソールまたはエラーメッセージに可用性が表示されます。

OK をクリックします。

Kibana へのログイン

インターネット経由のアクセス をクリックし、Kibana のログインページで認証情報を入力します。

ユーザー名：elastic（固定）
パスワード: ES クラスターを作成する際に設定したパスワードです。リセットするには、「パスワードのリセット」をご参照ください。

きめ細かなアクセス制御のためのロールを作成するには、Kibana 内の Elasticsearch X-Pack プラグインを使用します。

プライベートネットワーク経由で Kibana にログインする (V2)

前提条件

プライベートネットワークアクセスを有効化する前に、以下の点を確認してください。

Kibana ノードスペック：2 コア 4 GB 以上。それより小さいノードスペックでは、プライベートネットワークアクセスを有効化できません。
プライベートエンドポイントは デフォルトで無効化 されています。ログイン前に、これを有効化し、ホワイトリストを構成してください。
ポートは固定で 5601 です。
プライベートアクセスホワイトリストはデフォルトですべての IP アドレスを拒否します。
認証方式は ES インスタンスの認証情報（ユーザー名：elastic、および対応するパスワード）です。

プライベートアクセスの有効化とホワイトリストの構成

Kibana にアクセスするために使用する ECS インスタンスは、ES クラスターと同じ仮想プライベートクラウド（VPC）内にある必要があります。このインスタンスのプライベート IP アドレスをホワイトリストに追加します。

シナリオ	登録する IP アドレス	取得方法
同じ VPC 内の ECS インスタンスからのアクセス	ECS インスタンスのプライベート IP アドレス	ECS コンソール (https://ecs.console.alibabacloud.com/server/region/cn-hangzhou#/) にログインし、インスタンス一覧からプライベート IP を確認します。

左側のナビゲーションウィンドウで データ可視化 をクリックします。Kibana エリアで 構成の変更 をクリックします。
ネットワークアクセス構成 セクションで、プライベートネットワークアクセス スイッチをオンにします。
プライベート IP アドレスホワイトリスト を見つけ、変更をクリックします。

デフォルトグループの右側にある構成をクリックします。表示されるダイアログボックスで、許可するプライベート IP アドレスを追加します。

カスタムグループ名を使用する場合は、新しい IP ホワイトリストグループの追加 をクリックします。グループは IP アドレス管理専用であり、アクセス権限には影響しません。

IP アドレスの形式

構成タイプ	形式と例	備考
IPv4 アドレス	単一 IP：`192.168.0.1`<br>CIDR ブロック：`192.168.0.0/24`（可能な限り散在する IP を CIDR ブロックに統合）<br>クラスターあたり最大 300 エントリ。複数のエントリはカンマで区切り（スペースなし）	デフォルト値 `127.0.0.1` はすべての IPv4 アドレスを拒否します。<br>`0.0.0.0/0` はすべての IPv4 アドレスを許可しますが、セキュリティリスクが非常に高いため推奨されません。一部のクラスターおよびリージョンでは `0.0.0.0/0` がサポートされておらず、コンソールまたはエラーメッセージに可用性が表示されます。

OK をクリックします。

接続の確認

ワークベンチ経由で ECS インスタンスに接続し、以下のコマンドを実行します。

curl.exe -u elastic:<password> -k -I "https://es-xx-xxxxxxxxxxxxxxxxx-kibana.internal.elasticsearch.aliyuncs.com:5601/"

正常な接続の場合、以下のようなレスポンスが返されます。

Nginx リバースプロキシ経由で Kibana にアクセスする (V3 の例)

この手法を利用するタイミング

Kibana は JavaScript アプリケーションであり、リクエストは固定されたサーバー IP ではなく、ユーザーのブラウザから発生します。ユーザーが多数の異なる場所から Kibana にアクセスする場合、ユーザーごとの IP ホワイトリストを維持するのは現実的ではありません。Nginx リバースプロキシを使用すると、すべてのクライアントトラフィックを単一のサーバー IP に集約できるため、その 1 つの IP アドレスのみをホワイトリストに登録すれば済みます。

前提条件

開始する前に、以下の点を確認してください。

プロキシが接続する Kibana エンドポイントを構成します。
- プライベートエンドポイント：「プライベートネットワーク経由で Kibana にログインする (V3)」セクションに従って構成します。認証方式を ES インスタンスのアクセスパスワードのみ に設定します。
- パブリックエンドポイント：「インターネット経由で Kibana にログインする (V3)」セクションに従って構成します。認証方式を ES インスタンスのアクセスパスワードのみ に設定します。
パブリックアクセスポート：443、プライベートアクセスポート：5601。Nginx サーバーはポート 80 をリッスンします。
Nginx を実行する ECS インスタンスのセキュリティグループに、オンプレミスデバイスの IP アドレスとポート 80 を追加します。セキュリティグループルールの管理は ECS セキュリティグループコンソールで行います。ルールの構成詳細については、「セキュリティグループルールの変更」をご参照ください。

Nginx の構成

プロキシサーバー上の Nginx 構成を更新します。主なパラメーターは以下のとおりです。

server_name：プロキシサーバーのドメイン名。実際のドメイン名に置き換えてください。
proxy_pass：バックエンドの Kibana エンドポイント（プライベートまたはパブリック）および対応するポート。

server {
    listen 80;
    # server_name を実際のサーバーのドメイン名に置き換えます
    server_name _;

    # セキュリティヘッダー
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
    add_header X-Frame-Options DENY;
    add_header X-Content-Type-Options nosniff;

    location / {
        # バックエンドの Kibana サービスへのリクエストをプロキシ
        proxy_pass https://es-xx-xxxxxxxxxxxxxxxxx-kibana.internal.elasticsearch.aliyuncs.com:5601;

        # 証明書検証（本番環境では有効な証明書を使用）
        proxy_ssl_verify off;
        proxy_ssl_server_name on;

        # ヘッダー設定
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;

        # WebSocket サポート
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
        proxy_cache_bypass $http_upgrade;

        # タイムアウト設定
        proxy_connect_timeout 60s;
        proxy_send_timeout 60s;
        proxy_read_timeout 60s;
    }
}

Kibana の言語切り替え

Kibana は中国語と英語をサポートしており、デフォルトは英語です。言語切り替えは、ES バージョン 6.7.0 以降で利用可能です。

Alibaba Cloud Elasticsearch コンソールにログインし、ターゲットインスタンスの 基本情報 ページに移動します。
左側のナビゲーションウィンドウで データ可視化 をクリックします。Kibana エリアで 構成の変更 をクリックします。
Kibana の言語を変更するには、構成の変更 をクリックします。

よくある質問

クラスターが V2 か V3 のアーキテクチャを使用しているかを確認するにはどうすればよいですか？

クラスターには、クラウドネイティブ制御（V3）とベーシック制御（V2）という 2 つの制御デプロイモードがあります。デプロイモードは、コンソール内のクラスター概要ページで確認できます。

パブリックまたはプライベートの Kibana アクセスを有効化すると、ES クラスターに影響がありますか？

いいえ。パブリックまたはプライベートの Kibana アクセスを有効化しても、Kibana に接続する Server Load Balancer (SLB) のみに影響があり、ES クラスター自体には影響しません。

Kibana のプライベートアクセスを初めて有効化すると、Kibana ノードが再起動します。ただし、ES クラスターには影響ありません。

IP アドレスをホワイトリストに追加しましたが、Kibana にアクセスできません。どうすればよいですか？

以下の点を確認してください。

ES インスタンスが健全な状態であることを確認します。
IP アドレスが正しいか確認します：ブラウザで www.cip.cc にアクセスし、現在のパブリック IP がホワイトリストに登録されているものと一致しているか確認します。
ES インスタンス自体にホワイトリストが構成されている場合、Kibana 専用のパブリックまたはプライベートアクセスホワイトリストも別途構成する必要があります。構成と管理 > データ可視化 から変更してください。
ブラウザのキャッシュをクリアして再試行します。
Kibana ノードを再起動して再試行します。

なぜ ES コンソールでセキュリティグループルールを変更できないのですか？

セキュリティグループルールは、アクセス制御に使用されるすべてのシナリオに影響します。セキュリティグループルールの変更は、ECS セキュリティグループコンソールで行ってください。

その他の Kibana よくある質問：

リファレンス

API オペレーション：
- Kibana のパブリック／プライベートアクセスの有効化または無効化：TriggerNetwork
- Kibana のパブリック／プライベートアクセスホワイトリストの更新：ModifyWhiteIps
Kibana のログインおよび使用に関する問題については、「Kibana よくある質問」をご参照ください。