前言
在前一篇文章中,大致了解 Splunk 基礎架構和運作元件後,接著就是建立 Splunk 測試環境了,你可以有各種方式建立 Splunk 測試環境,例如,安裝在實體伺服器、安裝在 VM 虛擬主機、安裝在 Container 當中……等,下列為 Splunk Enterprise 運作架構示意圖:詳細安裝資訊請參考下列官方文件:
- System requirements for use of Splunk Enterprise on-premises - Splunk Documentation
- Reference hardware - Splunk Documentation
- Transparent huge memory pages and Splunk performance - Splunk Documentation
- Install on Windows using the command line - Splunk Documentation
- Secure Splunk Web with your own certificate - Splunk Documentation
- I get errors about ulimit in splunkd.log - Splunk Documentation
舉例來說,倘若管理人員希望將 Splunk Enterprise 運作環境,部署在 VMware vSphere 虛擬化環境,甚至是 VMware vSAN 超融合運作環境時,請遵照 Splunk 官方文件的相關建議,並且開通相關防火牆連接埠 (如下圖所示),以確保 Splunk Enterprise 運作環境順暢無誤。本文,則會採用 Splunk Enterprise on Azure 來建立測試環境。
圖片來源: Installation and configuration overview for the Splunk Add-on for VMware - Splunk Documentation
Splunk Enterprise on Azure
登入 Azure Portal 之後,只要點選「Create a resource」然後鍵入關鍵字「Splunk Enterprise」,即可找到 Azure Marketplace 中的 Splunk Enterprise,然後按下「Create」即可進入 Splunk Enterprise on Azure 工作流程。在「1、Basics」建立流程中,請依序鍵入選擇 VM 虛擬主機名稱、管理密碼、Azure 訂閱、資源群組、資料中心…等,下列為本文實作環境:
- VM 虛擬主機名稱: splunk-hol
- VM 虛擬主機密碼: Weithenn$1688
- 資源群組: RG-EastAsia-SplunkHOL
- Azure 資料中心: East Asia
在「2、Network Settings」建立流程中,請規劃 Splunk 運作環境的虛擬網路和網段,下列為本文實作環境:
- 虛擬網路名稱: splunkVnet
- 虛擬網路位址空間: 10.0.0.0/16
- Search Head 子網路名稱: shsubnet
- Search Head 位址空間: 10.0.0.0/24
- Index 子網路名稱: idxsubnet
- Index 位址空間: 10.0.1.0/24
在「3、Nodes Settings」建立流程中,請選擇 Splunk 的部署模式,在 Splunk Enterprise on Azure 環境中支援二種部署模式,分別是「Single Node」或「Cluster」差異如下:
- Single Node: 部署單台 VM 虛擬主機,並採用「Single-Instance Deployment」,將所有角色安裝於同一台 VM 虛擬主機中。
- Cluster: 將會部署「Indexer Peers x 3、Cluster Master x1、Cluster Search Head x1」,並且每個 Indexer 將會配置「1 TB (Standard) x8」並建立 RAID-0,以便提供 3,000 IOPS 的儲存效能。這樣的部署模式可以處理「100GB per day」的資料量,並保留 7 個月的歷史資料 (如下圖所示)。
由於本文只是建立 Splunk Enterprise 的測試環境,所以選擇「Single Node」的部署模式,至於 VM Size 方面預設採用「Standard D5 v2」,請依需求自行選擇適合的 Azure Linux VM Size。
在「4、Solution Access」建立流程中,選擇 Splunk 運作環境的 Public IP、Domain Name、Splunk Web Administrator 管理密碼……等,下列為本文實作環境:
- Splunk Public IP名稱: splunkIP
- 公開網域名稱:weithenn-splunk.eastasia.cloudapp.azure.com
- Splunk Web Administrator 管理密碼: Weithenn@1688
- IP Range to SSH from: 0.0.0.0/0
- IP Range to receive data from: 0.0.0.0/0
在「5、Summary 和 6、Buy」建立流程中,再次檢視相關組態設定值,確認無誤後便準備部署 Splunk Enterprise 運作環境。
在本文實作環境中,花費「5 分 42 秒」即建立完成 Splunk Enterprise (Single Node) 運作環境。
建立完成的 Splunk Enterprise 運作環境,首先看看 NSG 預設允許的防火牆規則為「Port 22、443、8000、8088、8089、9997」。
在 vDisk 虛擬硬碟方面,建立「1 TB (Standard HDD) x8」。
現在,可以開啟瀏覽器鍵入剛才設定的「https://weithenn-splunk.eastasia.cloudapp.azure.com」網址,即可看到 Splunk Web Administrator 管理畫面,並採用預設的管理者帳號「admin」,以便剛才建立流程中所設定的密碼即可登入。
最後,由於這個 Splunk Enterprise 是測試用途,所以我為這台 VM 虛擬主機設定自動關機時間為「下午 7 點」,避免下班後還在燒錢。
參考資源
- Announcing Splunk Enterprise on Azure Marketplace | 部落格 | Microsoft Azure
- Announcing Splunk Enterprise in Microsoft Azure Marketplace
Splunk 筆記系列文章
- Splunk 攻略
- Splunk Journey (01) - 基礎架構和運作元件
- (本文) Splunk Journey (02) - 建立 Splunk 運作環境
- Splunk Journey (03) - Data Pipeline
- Splunk Journey (04) - Indexes