Kibana是Elasticsearch(ES)的核心組件之一,能夠讓使用者通過直觀的圖形化方式探索、分析和展示儲存在 ES 中的資料。Kibana已內建在ES控制台中,成功登入Kibana後,表示叢集串連成功,即可進行資料探索。
通過公網地址登入Kibana(適用於V3部署架構)
通過公網地址登入Kibana,需要配置或擷取以下資訊:
公網地址:Kibana公網地址預設開啟,從ES控制台 -> Kibana配置頁面擷取。
公網訪問白名單:公網訪問白名單預設禁止所有IP通過公網訪問Kibana,需要您將待訪問裝置的IP地址加入白名單。
訪問鑒權方式:預設通過阿里雲帳號和ES執行個體訪問密碼雙重鑒權方式,即先登入阿里雲帳號,再使用ES執行個體訪問資訊(使用者名稱:固定為elastic;使用者名稱對應的密碼)進行登入鑒權。
連接埠號碼:固定為443。
登入Elasticsearch控制台,進入目標執行個體基本資料頁面。
在左側導覽列單擊可視化控制,在Kibana地區進入修改配置。
在訪問配置模組,修改Kibana公網訪問白名單、Kibana公網訪問鑒權方式。
擷取待訪問裝置IP
您可以參照以下情境,擷取待訪問裝置的IP地址。
情境
需擷取的IP地址
擷取方式
在本地裝置中通過公網地址訪問Kibana。
本地裝置公網IP。
說明如果您的本地裝置處在家用網路或公司區域網路中,需要添加區域網路的公網出口IP地址。
通過
curl ipinfo.io/ip查詢本地裝置公網IP。在ECS執行個體中通過公網地址訪問Kibana。
當ECS與ES在不同專用網路中時,可通過ECS公網地址訪問Kibana,此時需擷取ECS的公網IP並添加到ES公網白名單中。
登入ECS控制台,在執行個體列表查看執行個體的公網IP地址。
添加公網白名單
找到Kibana公網訪問白名單,單擊修改。
單擊default分組右側的配置,在彈出的對話方塊中添加IP白名單。,在彈出的對話方塊中添加IP白名單。
如有需要,也可以單擊新增IP白名單分組,自訂分組名稱。
分組僅用於IP地址管理,不會影響實際存取權限。
配置類別
格式和樣本值
重要注意事項
IPv4地址格式
單個IP:
192.168.0.1網段:
192.168.0.0/24,建議將零散的IP合并為IP段
單個叢集最多可配置300個IP或者IP網段,多個IP或者IP網段之間用英文逗號隔開,且逗號前後不能有空格。
公網預設地址:
127.0.0.1,表示禁止所有IPv4地址訪問。0.0.0.0/0:允許所有IPv4訪問。重要強烈建議不要配置
0.0.0.0/0,存在高危風險。部分叢集和地區不支援
0.0.0.0/0,請以介面或者報錯提示為準。
配置完成後,單擊確認。
配置公網登入鑒權方式
預設通過阿里雲帳號+ES執行個體訪問密碼雙重鑒權方式,即先登入阿里雲帳號,再使用ES執行個體訪問資訊(使用者名稱:固定為elastic;使用者名稱對應的密碼)進行登入鑒權。
重要支援修改為僅通過ES執行個體訪問密碼(使用者名稱:固定為elastic;使用者名稱對應的密碼)進行訪問,此種方式降低叢集安全性,不推薦使用。
單擊公網入口,在Kibana登入頁面,輸入使用者名稱和密碼,成功登入即可進入Kibana控制台進行ES資料探索。
使用者名稱:固定為elastic。
支援通過Kibana中的外掛程式Elasticsearch X-Pack建立角色實現使用者權限精細化管理。
密碼:建立ES叢集時設定的密碼,如遺忘可重設密碼。
通過私網地址登入Kibana(適用於V3部署架構)
通過私網地址登入Kibana,需要配置或擷取以下資訊:
私網地址:預設關閉,需要通過阿里雲私網串連PrivateLink協助您在Virtual Private Cloud中通過私網地址訪問Kibana,需要為Kibana關聯一個獨立的終端節點,PrivateLink終端節點產生的費用由阿里雲ES承擔。
重要Kibana節點規格為2核4G及以上配置時,可開啟私網地址。
私網訪問鑒權方式:預設通過阿里雲帳號和ES執行個體訪問密碼雙重鑒權方式,即先登入阿里雲帳號,再使用ES執行個體訪問資訊(使用者名稱:固定為elastic;使用者名稱對應的密碼)進行登入鑒權。
連接埠號碼:固定為5601。
配置私網登入地址
在訪問配置頁面,開啟Kibana私網訪問開關。
按照頁面提示配置終端節點資訊。
參數
描述
終端節點名稱
終端節點名稱自動產生,支援修改。
專用網路
與ES所屬專用網路一致,可在執行個體基本資料頁面查看執行個體的專用網路。
可用區
可在執行個體的基本資料頁面中查看可用區。
交換器
與ES所屬交換器一致,可在執行個體基本資料頁面查看執行個體的虛擬交換器ID。
安全性群組
通過安全性群組規則實現私網訪問Kibana的網路原則控制,可選擇已有安全性群組或者快速建立安全性群組。需前往ECS控制台修改安全性群組規則:
目的連接埠範圍必須包含 Kibana私網連接埠5601。
訪問來源需包含 訪問裝置的IP地址。
修改私網訪問Kibana的安全性群組時,必須選擇與開啟時相同類型的安全性群組:
若初始選擇普通安全性群組,則僅能修改為其他普通安全性群組。
若初始選擇企業級安全性群組,則僅能修改為企業級安全性群組。
快速建立安全性群組:
單擊安全性群組文字框下面的快速建立。
輸入安全性群組名稱。
安全性群組名稱自動產生,允許修改。
輸入授權IP地址。
IP地址為待授權裝置的私網IP地址。例如通過ECS私網訪問Kibana服務,需要輸入ECS執行個體的私網IP地址。登入ECS控制台,在執行個體列表查看執行個體的私網IP地址。
私網訪問鑒權方式
預設通過阿里雲帳號+ES執行個體訪問密碼雙重鑒權方式,即需先登入阿里雲帳號,再使用ES執行個體訪問資訊(使用者名稱:固定為elastic;使用者名稱對應的密碼)進行訪問。
重要支援修改為僅通過ES執行個體訪問密碼(使用者名稱:固定為elastic;使用者名稱對應的密碼)進行訪問,此種方式降低叢集安全性,不推薦使用。
確認後,需等待一段時間,終端節點串連狀態為已串連時,表示Kibana私網訪問地址配置成功。
終端節點建立後僅支援修改終端節點名稱,查詢和管理安全性群組,請前往ECS控制台修改。
關閉Kibana私網訪問後,終端節點資源將自動釋放。若再次開啟Kibana私網訪問,需重新建立終端節點資源,但Kibana訪問地址不會發生變化。
串連樣本
以下樣本為使用VNC遠端連線ECS(作業系統為Windows),然後通過Kibana私網地址串連Kibana。
輸入使用者名稱和密碼,單擊登入:
使用者名稱:固定為elastic。
支援通過Kibana中的外掛程式Elasticsearch X-Pack建立角色實現使用者權限精細化管理。
密碼:建立ES叢集時設定的密碼,如已遺忘可重設密碼。
以下樣本為使用Workbench遠端連線ECS,然後執行以下命令通過Kibana私網地址串連Kibana:
curl.exe -u elastic:passdord! -k -I "https://es-cn-xxxxxxxxxxxxxxxxx-kibana.internal.elasticsearch.aliyuncs.com:5601/"串連成功返回以下資訊:
通過公網地址登入Kibana(適用於V2部署架構)
通過公網地址登入Kibana,需要配置或擷取以下資訊:
公網地址:Kibana公網地址預設開啟,從ES控制台 -> Kibana配置頁面擷取。
公網訪問白名單:公網訪問白名單預設禁止所有IP通過公網訪問Kibana,需要您將待訪問裝置的IP地址加入白名單。
訪問鑒權方式:通過ES使用者名稱和密碼進行登入鑒權(使用者名稱:固定為elastic;使用者名稱對應的密碼)。
連接埠號碼:固定為5601。
登入Elasticsearch控制台,進入目標執行個體基本資料頁面。
在左側導覽列單擊可視化控制,在Kibana地區單擊修改配置。
在訪問配置模組,修改Kibana公網訪問白名單。
擷取待訪問裝置IP
您可以參照以下情境,擷取待訪問裝置的IP地址。
情境
需擷取的IP地址
擷取方式
在本地裝置中通過公網地址訪問Kibana。
本地裝置公網IP。
說明如果您的本地裝置處在家用網路或公司區域網路中,需要添加區域網路的公網出口IP地址。
通過
curl ipinfo.io/ip查詢本地裝置公網IP。在ECS執行個體中通過公網地址訪問Kibana。
當ECS與ES在不同專用網路中時,可通過ECS公網地址訪問Kibana,此時需擷取ECS的公網IP並添加到ES公網白名單中。
登入ECS控制台,在執行個體列表查看執行個體的公網IP地址。
添加公網白名單
找到Kibana私網訪問白名單,單擊修改。
單擊default分組右側的配置,在彈出的對話方塊中添加IP白名單。
如有需要,也可以單擊新增IP白名單分組,自訂分組名稱。
分組僅用於IP地址管理,不會影響實際存取權限。
配置類別
格式和樣本值
重要注意事項
IPv4地址格式
單個IP:
192.168.0.1網段:
192.168.0.0/24,建議將零散的IP合并為IP段
單個叢集最多可配置300個IP或者IP網段,多個IP或者IP網段之間用英文逗號隔開,且逗號前後不能有空格。
公網預設地址:
127.0.0.1,表示禁止所有IPv4地址訪問。0.0.0.0/0:允許所有IPv4訪問。重要強烈建議不要配置
0.0.0.0/0,存在高危風險。部分叢集和地區不支援
0.0.0.0/0,請以介面或者報錯提示為準。
IPv6地址格式
(僅杭州地區支援)
單個IP:
2401:XXXX:1000:24::5網段:
2401:XXXX:1000::/48
單個叢集最多可配置300個IP或者IP網段,多個IP或者IP網段之間用英文逗號隔開,且逗號前後不能有空格。
::1:禁止所有IPv6地址訪問::/0:允許所有IPv6訪問重要強烈建議不要配置
::/0,存在高危風險。部分叢集版本不支援
::/0,請以控制台介面或者報錯提示為準。
配置完成後,單擊確認。
單擊公網入口,在Kibana登入頁面,輸入使用者名稱和密碼,成功登入即可進入Kibana控制台進行ES資料探索。
使用者名稱:固定為elastic。
支援通過Kibana中的外掛程式Elasticsearch X-Pack建立角色實現使用者權限精細化管理。
密碼:建立ES叢集時設定的密碼,如遺忘可重設密碼。
通過私網地址登入Kibana(適用於V2部署架構)
通過私網地址登入Kibana,需要配置或擷取以下資訊:
私網地址:預設關閉,從控制台開啟。
重要Kibana節點規格為2核4G及以上配置時,可開啟私網地址。
私網訪問白名單:私網訪問白名單預設禁止所有IP通過私網訪問Kibana,需要您將待訪問裝置的IP地址加入白名單。
私網訪問鑒權方式:通過ES使用者名稱和密碼登入(使用者名稱固定為elastic、使用者名稱對應的密碼)。
連接埠號碼:固定為5601。
在左側導覽列單擊可視化控制,在Kibana地區進入修改配置。
在訪問配置模組,開啟Kibana私網訪問開關並配置訪問白名單。
擷取待訪問裝置IP
您可以參照以下情境,擷取待訪問裝置的IP地址。
情境
需擷取的IP地址
擷取方式
在ECS執行個體中通過私網地址訪問Kibana。
ECS與ES在同一專用網路中,通過該ECS私網串連ES叢集時,需擷取ECS的私網IP。
登入ECS控制台,在執行個體列表查看執行個體的公網IP地址。
添加私網白名單
找到Kibana私網訪問白名單,單擊修改。
單擊default分組右側的配置,在彈出的對話方塊中添加IP白名單。
如有需要,也可以單擊新增IP白名單分組,自訂分組名稱。
分組僅用於IP地址管理,不會影響實際存取權限。
配置類別
格式和樣本值
重要注意事項
IPv4地址格式
單個IP:
192.168.0.1網段:
192.168.0.0/24,建議將零散的IP合并為IP段
單個叢集最多可配置300個IP或者IP網段,多個IP或者IP網段之間用英文逗號隔開,且逗號前後不能有空格。
公網預設地址:
127.0.0.1,表示禁止所有IPv4地址訪問。0.0.0.0/0:允許所有IPv4訪問。重要強烈建議不要配置
0.0.0.0/0,存在高危風險。部分叢集和地區不支援
0.0.0.0/0,請以介面或者報錯提示為準。
配置完成後,單擊確認。
串連樣本
以下樣本為使用Workbench遠端連線ECS,然後執行以下命令通過Kibana私網地址串連Kibana:
curl.exe -u elastic:password! -k -I "https://es-xx-xxxxxxxxxxxxxxxxx-kibana.internal.elasticsearch.aliyuncs.com:5601/"串連成功返回以下資訊:
通過Nginx代理訪問Kibana(以V3部署架構為例)
通過Nginx代理訪問Kibana時,需要配置或擷取以下資訊:
Kibana串連地址:
私網訪問地址以及鑒權方式:請參照通過私網地址登入Kibana(適用於V3部署架構)配置私網訪問地址,通過Nginx代理訪問Kibana時僅支援使用ES執行個體訪問密碼作為訪問鑒權方式。
公網訪問地址、白名單以及鑒權方式:如何擷取和配置白名單,請參見通過公網地址登入Kibana(適用於V3部署架構),僅支援使用ES執行個體訪問密碼作為訪問鑒權方式。
連接埠號碼:公網為443,私網為5601。
安全性群組配置:如果您是從本地瀏覽器通過Nginx(如伺服器為ECS)代理訪問Kibana,需要將本地裝置IP以及連接埠號碼80添加到ECS執行個體所屬安全性群組中。
修改Nginx配置資訊,關鍵參數說明:
server_name:伺服器網域名稱,可替換為實際使用的伺服器網域名稱。
proxy_pass:將請求代理到後端Kibana服務,需替換為Kibana私網或者公網串連資訊(串連地址和連接埠號碼)。
server { listen 80; # 您可以將server_name替換為實際伺服器網域名稱 server_name _ ; # 安全設定 add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always; add_header X-Frame-Options DENY; add_header X-Content-Type-Options nosniff; location / { # 將請求代理到後端Kibana服務 proxy_pass https://es-xx-xxxxxxxxxxxxxxxxx-kibana.internal.elasticsearch.aliyuncs.com:5601; # 認證驗證(生產環境應使用有效認證) proxy_ssl_verify off; proxy_ssl_server_name on; # 頭部設定 proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; # WebSocket 支援 proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; proxy_cache_bypass $http_upgrade; # 逾時設定 proxy_connect_timeout 60s; proxy_send_timeout 60s; proxy_read_timeout 60s; } }
切換Kibana語言
Kibana支援中文和英文(預設)兩種語言,ES版本為6.7.0及以上時,支援切換Kibana語言。
登入Elasticsearch控制台,進入目標執行個體基本資料頁面。
在左側導覽列單擊可視化控制,在Kibana地區進入修改配置。
單擊修改配置切換Kibana語言。
常見問題
Q:如何區分部署架構是V2還是V3?
A:叢集有兩種管控部署模式,分別為雲原生新管控(v3)、基礎管控(v2)。
Q:開啟Kibana私網或公網訪問功能,會影響ES叢集嗎?
A:不會。開啟Kibana私網或公網訪問功能,僅會觸發與Kibana對接的Server Load Balancer端的變更。
說明首次開啟Kibana私網訪問會觸發Kibana節點重啟,但不會觸發ES叢集變更。
Q:添加了白名單,但Kibana還是無法訪問,該如何處理?
A:您可以根據以下內容依次進行排查:
ES執行個體需要處於健康狀態。
IP地址配置可能不正確:如果您通過本地裝置訪問Kibana服務,在瀏覽器中訪問www.cip.cc,檢查擷取的IP地址是否在Kibana公網訪問白名單中。
您添加的可能是ES執行個體的訪問白名單:登入kibana需要配置kibana公網訪問白名單或kibana私網訪問白名單,在ES執行個體的中修改Kibana白名單配置。
清理瀏覽器緩衝後重試。
重啟Kibana節點後重試。
Q:為什麼不支援在ES控制台修改安全性群組規則?
A:安全性群組規則調整將影響所有通過該安全性群組規則進行存取控制的情境,故不支援在ES控制台修改安全性群組規則。修改安全性群組規則,請前往ECS安全性群組控制台。
相關文檔
API文檔:
開啟或關閉Kibana公網或私網訪問的API文檔:TriggerNetwork
更新Kibana公網或私網訪問白名單的API文檔:ModifyWhiteIps
在登入或使用Kibana過程中遇到問題,請參見Kibana FAQ。