通过Kibana连接集群_检索分析服务 Elasticsearch版(ES)-阿里云帮助中心

Kibana是阿里云Elasticsearch（ES）的核心组件之一，能够让用户通过直观的图形化方式探索、分析和展示存储在 ES 中的数据。Kibana已内置在ES控制台中，成功登录Kibana后，表示集群连接成功，即可进行数据探索。

通过公网地址登录Kibana（适用于V3部署架构）

通过公网地址登录Kibana，需要配置或获取以下信息：

公网地址：Kibana公网地址默认开启，从ES控制台 -> Kibana配置页面获取。
公网访问白名单：公网访问白名单默认禁止所有IP通过公网访问Kibana，需要您将待访问设备的IP地址加入白名单。
访问鉴权方式：默认通过阿里云账号和ES实例访问密码双重鉴权方式，即先登录阿里云账号，再使用ES实例访问信息（用户名：固定为elastic；用户名对应的密码）进行登录鉴权。
端口号：固定为443。

登录阿里云Elasticsearch控制台，进入目标实例基本信息页面。
在左侧导航栏单击可视化控制，在Kibana区域进入修改配置。

在访问配置模块，修改Kibana公网访问白名单、Kibana公网访问鉴权方式。

获取待访问设备IP

您可以参照以下场景，获取待访问设备的IP地址。

场景	需获取的IP地址	获取方式
在本地设备中通过公网地址访问Kibana。	本地设备公网IP。说明如果您的本地设备处在家庭网络或公司局域网中，需要添加局域网的公网出口IP地址。	通过`curl ipinfo.io/ip`查询本地设备公网IP。
在ECS实例中通过公网地址访问Kibana。	当ECS与ES在不同专有网络中时，可通过ECS公网地址访问Kibana，此时需获取ECS的公网IP并添加到ES公网白名单中。	登录ECS控制台，在实例列表查看实例的公网IP地址。

添加公网白名单

找到Kibana私网访问白名单，单击修改。

单击default分组右侧的配置，在弹出的对话框中添加IP白名单。

如有需要，也可以单击新增IP白名单分组，自定义分组名称。
分组仅用于IP地址管理，不会影响实际访问权限。

配置类别

格式和示例值

重要注意事项

IPv4地址格式

单个IP：192.168.0.1
网段：192.168.0.0/24，建议将零散的IP合并为IP段

单个集群最多可配置300个IP或者IP网段，多个IP或者IP网段之间用英文逗号隔开，且逗号前后不能有空格。

公网默认地址：127.0.0.1，表示禁止所有IPv4地址访问。
0.0.0.0/0：允许所有IPv4访问。
重要
- 强烈建议不要配置 0.0.0.0/0，存在高危风险。
- 部分集群和地域不支持 0.0.0.0/0，请以界面或者报错提示为准。

IPv6地址格式

(仅杭州地域支持)

单个IP：2401:XXXX:1000:24::5
网段：2401:XXXX:1000::/48

单个集群最多可配置300个IP或者IP网段，多个IP或者IP网段之间用英文逗号隔开，且逗号前后不能有空格。

::1：禁止所有IPv6地址访问
::/0：允许所有IPv6访问
重要
- 强烈建议不要配置 ::/0，存在高危风险。
- 部分集群版本不支持 ::/0，请以控制台界面或者报错提示为准。

配置完成后，单击确认。

配置公网登录鉴权方式

默认通过阿里云账号+ES实例访问密码双重鉴权方式，即先登录阿里云账号，再使用ES实例访问信息（用户名：固定为elastic；用户名对应的密码）进行登录鉴权。

重要

支持修改为仅通过ES实例访问密码（用户名：固定为elastic；用户名对应的密码）进行访问，此种方式降低集群安全性，不推荐使用。

单击公网入口，在Kibana登录页面，输入用户名和密码，成功登录即可进入Kibana控制台进行ES数据探索。
- 用户名：固定为elastic。
  支持通过Kibana中的插件Elasticsearch X-Pack创建角色实现用户权限精细化管理。
- 密码：创建ES集群时设置的密码，如遗忘可重置密码。

通过私网地址登录Kibana（适用于V3部署架构）

通过私网地址登录Kibana，需要配置或获取以下信息：

私网地址：默认关闭，需要通过阿里云私网连接PrivateLink帮助您在专有网络VPC中通过私网地址访问Kibana，需要为Kibana关联一个独立的终端节点。PrivateLink终端节点产生的费用有阿里云ES承担。
重要
Kibana节点规格为2核4G及以上配置时，可开启私网地址。
私网访问鉴权方式：默认通过阿里云账号和ES实例访问密码双重鉴权方式，即先登录阿里云账号，再使用ES实例访问信息（用户名：固定为elastic；用户名对应的密码）进行登录鉴权。
端口号：固定为5601。

配置私网登录地址

在访问配置页面，打开Kibana私网访问开关。

按照页面提示配置终端节点信息。

参数	描述
终端节点名称	终端节点名称自动生成，支持修改。
专有网络	与ES所属专有网络一致，可在实例基本信息页面查看实例的专有网络。
可用区	可在实例的基本信息页面中查看可用区。
交换机	与ES所属交换机一致，可在实例基本信息页面查看实例的虚拟交换机ID。
安全组	通过安全组规则实现私网访问Kibana的网络策略控制。选择已创建的安全组。重要安全组配置中访问目的端口范围需要包含Kibana私网端口5601，访问来源需包含带访问设备的IP。修改安全组规则，请前往ECS安全组控制台修改安全组规则。安全组的类型包括企业级安全组和普通安全组。通过私网访问Kibana修改安全组时，仅支持选择相同类型的安全组。例如，开启Kibana私网访问时选择了普通安全组，则仅支持在修改安全组时选择普通安全组。快速新建安全组：单击安全组文本框下面的快速创建。输入安全组名称。安全组名称自动生成，允许修改。输入授权IP地址。 IP地址为待授权设备的私网IP地址。例如通过ECS私网访问Kibana服务，需要输入ECS实例的私网IP地址。登录ECS控制台，在实例列表查看实例的私网IP地址。
私网访问鉴权方式	默认通过阿里云账号+ES实例访问密码双重鉴权方式，即需先登录阿里云账号，再使用ES实例访问信息（用户名：固定为elastic；用户名对应的密码）进行访问。重要支持修改为仅通过ES实例访问密码（用户名：固定为elastic；用户名对应的密码）进行访问，此种方式降低集群安全性，不推荐使用。

确认后，需等待一段时间，终端节点连接状态为已连接时，表示Kibana私网访问地址配置成功。

终端节点创建后仅支持修改终端节点名称，查询和管理安全组，请前往ECS控制台修改。
关闭Kibana私网访问后，终端节点资源将自动释放。若再次开启Kibana私网访问，需重新创建终端节点资源，但Kibana访问地址不会发生变化。

连接示例

以下示例为使用VNC远程连接ECS（操作系统为Windows），然后通过Kibana私网地址连接Kibana。
输入用户名和密码，单击登录：
- 用户名：固定为elastic。
  支持通过Kibana中的插件Elasticsearch X-Pack创建角色实现用户权限精细化管理。
- 密码：创建ES集群时设置的密码，如已遗忘可重置密码。
以下示例为使用Workbench远程连接ECS，然后执行以下命令通过Kibana私网地址连接Kibana：
```
curl.exe -u elastic:passdord! -k -I "https://es-cn-xxxxxxxxxxxxxxxxx-kibana.internal.elasticsearch.aliyuncs.com:5601/"
```
连接成功返回以下信息：

通过公网地址登录Kibana（适用于V2部署架构）

通过公网地址登录Kibana，需要配置或获取以下信息：

公网地址：Kibana公网地址默认开启，从ES控制台 -> Kibana配置页面获取。
公网访问白名单：公网访问白名单默认禁止所有IP通过公网访问Kibana，需要您将待访问设备的IP地址加入白名单。
访问鉴权方式：通过ES用户名和密码进行登录鉴权（用户名：固定为elastic；用户名对应的密码）。
端口号：固定为5601。

登录阿里云Elasticsearch控制台，进入目标实例基本信息页面。
在左侧导航栏单击可视化控制，在Kibana区域进入修改配置。

在访问配置模块，修改Kibana公网访问白名单。

获取待访问设备IP

您可以参照以下场景，获取待访问设备的IP地址。

场景	需获取的IP地址	获取方式
在本地设备中通过公网地址访问Kibana。	本地设备公网IP。说明如果您的本地设备处在家庭网络或公司局域网中，需要添加局域网的公网出口IP地址。	通过`curl ipinfo.io/ip`查询本地设备公网IP。
在ECS实例中通过公网地址访问Kibana。	当ECS与ES在不同专有网络中时，可通过ECS公网地址访问Kibana，此时需获取ECS的公网IP并添加到ES公网白名单中。	登录ECS控制台，在实例列表查看实例的公网IP地址。

添加公网白名单

找到Kibana私网访问白名单，单击修改。

单击default分组右侧的配置，在弹出的对话框中添加IP白名单。

如有需要，也可以单击新增IP白名单分组，自定义分组名称。
分组仅用于IP地址管理，不会影响实际访问权限。

配置类别

格式和示例值

重要注意事项

IPv4地址格式

单个IP：192.168.0.1
网段：192.168.0.0/24，建议将零散的IP合并为IP段

单个集群最多可配置300个IP或者IP网段，多个IP或者IP网段之间用英文逗号隔开，且逗号前后不能有空格。

公网默认地址：127.0.0.1，表示禁止所有IPv4地址访问。
0.0.0.0/0：允许所有IPv4访问。
重要
- 强烈建议不要配置 0.0.0.0/0，存在高危风险。
- 部分集群和地域不支持 0.0.0.0/0，请以界面或者报错提示为准。

IPv6地址格式

(仅杭州地域支持)

单个IP：2401:XXXX:1000:24::5
网段：2401:XXXX:1000::/48

单个集群最多可配置300个IP或者IP网段，多个IP或者IP网段之间用英文逗号隔开，且逗号前后不能有空格。

::1：禁止所有IPv6地址访问
::/0：允许所有IPv6访问
重要
- 强烈建议不要配置 ::/0，存在高危风险。
- 部分集群版本不支持 ::/0，请以控制台界面或者报错提示为准。

配置完成后，单击确认。

单击公网入口，在Kibana登录页面，输入用户名和密码，成功登录即可进入Kibana控制台进行ES数据探索。
- 用户名：固定为elastic。
  支持通过Kibana中的插件Elasticsearch X-Pack创建角色实现用户权限精细化管理。
- 密码：创建ES集群时设置的密码，如遗忘可重置密码。

通过私网地址登录Kibana（适用于V2部署架构）

通过私网地址登录Kibana，需要配置或获取以下信息：

私网地址：默认关闭，从控制台开启。
重要
Kibana节点规格为2核4G及以上配置时，可开启私网地址。
私网访问白名单：私网访问白名单默认禁止所有IP通过私网访问Kibana，需要您将待访问设备的IP地址加入白名单。
私网访问鉴权方式：通过ES用户名和密码登录（用户名固定为elastic、用户名对应的密码）。
端口号：固定为5601。

在左侧导航栏单击可视化控制，在Kibana区域进入修改配置。

在访问配置模块，打开Kibana私网访问开关并配置访问白名单。

获取待访问设备IP

您可以参照以下场景，获取待访问设备的IP地址。

场景	需获取的IP地址	获取方式
在ECS实例中通过私网地址访问Kibana。	ECS与ES在同一专有网络中，通过该ECS私网连接ES集群时，需获取ECS的私网IP。	登录ECS控制台，在实例列表查看实例的公网IP地址。

添加私网白名单

找到Kibana私网访问白名单，单击修改。

单击default分组右侧的配置，在弹出的对话框中添加IP白名单。

如有需要，也可以单击新增IP白名单分组，自定义分组名称。
分组仅用于IP地址管理，不会影响实际访问权限。

配置类别

格式和示例值

重要注意事项

IPv4地址格式

单个IP：192.168.0.1
网段：192.168.0.0/24，建议将零散的IP合并为IP段

单个集群最多可配置300个IP或者IP网段，多个IP或者IP网段之间用英文逗号隔开，且逗号前后不能有空格。

公网默认地址：127.0.0.1，表示禁止所有IPv4地址访问。
0.0.0.0/0：允许所有IPv4访问。
重要
- 强烈建议不要配置 0.0.0.0/0，存在高危风险。
- 部分集群和地域不支持 0.0.0.0/0，请以界面或者报错提示为准。

配置完成后，单击确认。

连接示例

以下示例为使用Workbench远程连接ECS，然后执行以下命令通过Kibana私网地址连接Kibana：

curl.exe -u elastic:password! -k -I "https://es-xx-xxxxxxxxxxxxxxxxx-kibana.internal.elasticsearch.aliyuncs.com:5601/"

连接成功返回以下信息：

通过Nginx代理访问Kibana（以V3部署架构为例）

通过Nginx代理访问Kibana时，需要配置或获取以下信息：

Kibana连接地址：
- 私网访问地址以及鉴权方式：请参照通过私网地址登录Kibana（适用于V3部署架构）配置私网访问地址，通过Nginx代理访问Kibana时仅支持使用ES实例访问密码作为访问鉴权方式。
- 公网访问地址、白名单以及鉴权方式：如何获取和配置白名单，请参见通过公网地址登录Kibana（适用于V3部署架构），仅支持使用ES实例访问密码作为访问鉴权方式。
端口号：公网为443，私网为5601。
安全组配置：如果您是从本地浏览器通过Nginx（如服务器为ECS）代理访问Kibana，需要将本地设备IP以及端口号80添加到ECS实例所属安全组中。

修改Nginx配置信息，关键参数说明：

server_name：服务器域名，可替换为实际使用的服务器域名。

proxy_pass：将请求代理到后端Kibana服务，需替换为Kibana私网或者公网连接信息（连接地址和端口号）。

server
 {
    listen 80;
     # 您可以将server_name替换为实际服务器域名
    server_name _ ;
    # 安全设置
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always; add_header X-Frame-Options DENY; add_header X-Content-Type-Options nosniff;

    location / {
        # 将请求代理到后端Kibana服务
        proxy_pass https://es-xx-xxxxxxxxxxxxxxxxx-kibana.internal.elasticsearch.aliyuncs.com:5601;

        # 证书验证（生产环境应使用有效证书）
        proxy_ssl_verify off; proxy_ssl_server_name on;

        # 头部设置
        proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header
        X-Forwarded-Proto $scheme;

        # WebSocket 支持
        proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; proxy_cache_bypass $http_upgrade;

        # 超时设置
        proxy_connect_timeout 60s; proxy_send_timeout 60s; proxy_read_timeout 60s;
    }
}

常见问题

Q：如何区分部署架构是V2还是V3？
A：集群有两种管控部署模式，分别为云原生新管控（v3）、基础管控（v2）。
Q：开启Kibana私网或公网访问功能，会影响ES集群吗？
A：不会。开启Kibana私网或公网访问功能，仅会触发与Kibana对接的负载均衡SLB端的变更。
说明
首次开启Kibana私网访问会触发Kibana节点重启，但不会触发ES集群变更。
Q：添加了白名单，但Kibana还是无法访问，该如何处理？
A：您可以根据以下内容依次进行排查：
- ES实例需要处于健康状态。
- IP地址配置可能不正确：如果您通过本地设备访问Kibana服务，在浏览器中访问www.cip.cc，检查获取的IP地址是否在Kibana公网访问白名单中。
- 您添加的可能是ES实例的访问白名单：登录kibana需要配置kibana公网访问白名单或kibana私网访问白名单，在ES实例的配置与管理 > 可视化控制中修改Kibana白名单配置。
- 清理浏览器缓存后重试。
- 重启Kibana节点后重试。
Q：为什么不支持在ES控制台修改安全组规则？
A：安全组规则调整将影响所有通过该安全组规则进行访问控制的场景，故不支持在ES控制台修改安全组规则。修改安全组规则，请前往ECS安全组控制台。
我可以在Kibana控制台中，访问公网中的服务吗（例如百度地图、高德地图等）？
为什么7.16版本的Kibana私网域名解析出的IP地址不在我的VPC网络下？
通过Nginx代理访问Kibana不通如何解决？
自有域名通过CNAME无法访问Kibana如何解决？

通过公网地址登录Kibana（适用于V3部署架构）

获取待访问设备IP

添加公网白名单

配置公网登录鉴权方式

通过私网地址登录Kibana（适用于V3部署架构）

配置私网登录地址

连接示例

通过公网地址登录Kibana（适用于V2部署架构）

获取待访问设备IP

添加公网白名单

通过私网地址登录Kibana（适用于V2部署架构）

获取待访问设备IP

添加私网白名单

连接示例

通过Nginx代理访问Kibana（以V3部署架构为例）

常见问题

相关文档