Splunk Journey (02) - 建立 Splunk 運作環境



前言

前一篇文章中,大致了解 Splunk 基礎架構和運作元件後,接著就是建立 Splunk 測試環境了,你可以有各種方式建立 Splunk 測試環境,例如,安裝在實體伺服器、安裝在 VM 虛擬主機、安裝在 Container 當中……等,下列為 Splunk Enterprise 運作架構示意圖:



詳細安裝資訊請參考下列官方文件:


舉例來說,倘若管理人員希望將 Splunk Enterprise 運作環境,部署在 VMware vSphere 虛擬化環境,甚至是 VMware vSAN 超融合運作環境時,請遵照 Splunk 官方文件的相關建議,並且開通相關防火牆連接埠 (如下圖所示),以確保 Splunk Enterprise 運作環境順暢無誤。本文,則會採用 Splunk Enterprise on Azure 來建立測試環境。








Splunk Enterprise on Azure

登入 Azure Portal 之後,只要點選「Create a resource」然後鍵入關鍵字「Splunk Enterprise」,即可找到 Azure Marketplace 中的 Splunk Enterprise,然後按下「Create」即可進入 Splunk Enterprise on Azure 工作流程。



在「1、Basics」建立流程中,請依序鍵入選擇 VM 虛擬主機名稱、管理密碼、Azure 訂閱、資源群組、資料中心…等,下列為本文實作環境:
  • VM 虛擬主機名稱: splunk-hol
  • VM 虛擬主機密碼: Weithenn$1688
  • 資源群組: RG-EastAsia-SplunkHOL
  • Azure 資料中心: East Asia



在「2、Network Settings」建立流程中,請規劃 Splunk 運作環境的虛擬網路和網段,下列為本文實作環境:
  • 虛擬網路名稱: splunkVnet
  • 虛擬網路位址空間: 10.0.0.0/16
  • Search Head 子網路名稱: shsubnet
  • Search Head 位址空間: 10.0.0.0/24
  • Index 子網路名稱: idxsubnet
  • Index 位址空間: 10.0.1.0/24




在「3、Nodes Settings」建立流程中,請選擇 Splunk 的部署模式,在 Splunk Enterprise on Azure 環境中支援二種部署模式,分別是「Single Node」或「Cluster」差異如下:
  • Single Node: 部署單台 VM 虛擬主機,並採用「Single-Instance Deployment」,將所有角色安裝於同一台 VM 虛擬主機中。
  • Cluster:  將會部署「Indexer Peers x 3、Cluster Master x1、Cluster Search Head x1」,並且每個 Indexer 將會配置「1 TB (Standard) x8」並建立 RAID-0,以便提供 3,000 IOPS 的儲存效能。這樣的部署模式可以處理「100GB per day」的資料量,並保留 7 個月的歷史資料 (如下圖所示)。



由於本文只是建立 Splunk Enterprise 的測試環境,所以選擇「Single Node」的部署模式,至於 VM Size 方面預設採用「Standard D5 v2」,請依需求自行選擇適合的 Azure Linux VM Size



在「4、Solution Access」建立流程中,選擇 Splunk 運作環境的 Public IP、Domain Name、Splunk Web Administrator 管理密碼……等,下列為本文實作環境:
  • Splunk Public IP名稱: splunkIP
  • 公開網域名稱:weithenn-splunk.eastasia.cloudapp.azure.com
  •  Splunk Web Administrator 管理密碼: Weithenn@1688
  • IP Range to SSH from: 0.0.0.0/0
  • IP Range to receive data from: 0.0.0.0/0



在「5、Summary 和 6、Buy」建立流程中,再次檢視相關組態設定值,確認無誤後便準備部署 Splunk Enterprise 運作環境。




在本文實作環境中,花費「5 分 42 秒」即建立完成 Splunk Enterprise (Single Node) 運作環境。



建立完成的 Splunk Enterprise 運作環境,首先看看 NSG 預設允許的防火牆規則為「Port 22、443、8000、8088、8089、9997」。



在 vDisk 虛擬硬碟方面,建立「1 TB (Standard HDD) x8」。



現在,可以開啟瀏覽器鍵入剛才設定的「https://weithenn-splunk.eastasia.cloudapp.azure.com」網址,即可看到 Splunk Web Administrator 管理畫面,並採用預設的管理者帳號「admin」,以便剛才建立流程中所設定的密碼即可登入。




最後,由於這個 Splunk Enterprise 是測試用途,所以我為這台 VM 虛擬主機設定自動關機時間為「下午 7 點」,避免下班後還在燒錢。






參考資源







Splunk 筆記系列文章