Ошибка обнаружения Elasticsearch EC2 из-за неверных учетных данных

Я пытаюсь создать кластер Elasticsearch на EC2 и получаю сообщения об ошибках, связанных с неверными учетными данными, но это те же самые учетные данные, которые я использовал при создании экземпляров через jclouds.

Пример журнала ошибок, который я вижу в Elasticsearch:

[2014-03-03 21:32:26,109][INFO ][node                     ] [Baron Blood] version[1.0.1], pid[6832], build[5c03844/2014-02-25T15:52:53Z]
[2014-03-03 21:32:26,110][INFO ][node                     ] [Baron Blood] initializing ...
[2014-03-03 21:32:26,127][INFO ][plugins                  ] [Baron Blood] loaded [cloud-aws], sites []
[2014-03-03 21:32:30,736][INFO ][node                     ] [Baron Blood] initialized
[2014-03-03 21:32:30,736][INFO ][node                     ] [Baron Blood] starting ...
[2014-03-03 21:32:30,932][INFO ][transport                ] [Baron Blood] bound_address {inet[/0:0:0:0:0:0:0:0:9300]}, publish_address {inet[/10.154.175.62:9300]}
[2014-03-03 21:32:31,228][WARN ][org.apache.http.impl.client.DefaultHttpClient] Authentication error: Unable to respond to any of these challenges: {}
[2014-03-03 21:32:31,388][INFO ][discovery.ec2            ] [Baron Blood] Exception while retrieving instance list from AWS API: AWS was not able to validate the provided access credentials
[2014-03-03 21:32:46,415][WARN ][org.apache.http.impl.client.DefaultHttpClient] Authentication error: Unable to respond to any of these challenges: {}
[2014-03-03 21:32:46,425][INFO ][discovery.ec2            ] [Baron Blood] Exception while retrieving instance list from AWS API: AWS was not able to validate the provided access credentials
[2014-03-03 21:33:00,939][WARN ][discovery                ] [Baron Blood] waited for 30s and no initial state was set by the discovery
[2014-03-03 21:33:00,939][INFO ][discovery                ] [Baron Blood] adstage-es-log/KolEM00zT9mYvYn3mDkrow
[2014-03-03 21:33:00,946][INFO ][http                     ] [Baron Blood] bound_address {inet[/0:0:0:0:0:0:0:0:9200]}, publish_address {inet[/10.154.175.62:9200]}
[2014-03-03 21:33:00,998][INFO ][node                     ] [Baron Blood] started
[2014-03-03 21:33:01,454][WARN ][org.apache.http.impl.client.DefaultHttpClient] Authentication error: Unable to respond to any of these challenges: {}
[2014-03-03 21:33:01,463][INFO ][discovery.ec2            ] [Baron Blood] Exception while retrieving instance list from AWS API: AWS was not able to validate the provided access credentials
[2014-03-03 21:33:01,466][INFO ][cluster.service          ] [Baron Blood] new_master [Baron Blood][KolEM00zT9mYvYn3mDkrow][ip-10-154-175-62][inet[/10.154.175.62:9300]], reason: zen-disco-join (elected_as_master)
[2014-03-03 21:33:01,516][INFO ][gateway                  ] [Baron Blood] recovered [0] indices into cluster_state

Судя по документации, мой файл elasticsearch.yml кажется правильным:

cluster.name: adstage-es-log
cloud.aws.access_key: MY_ACCESS_KEY
cloud.aws.secret_key: MY_SECRET_TOKEN
cloud.aws.region: us-east
discovery.type: ec2
discovery.ec2.ping_timeout: 30s

Кроме того, потому что кто-то спросит, группа безопасности широко открыта на этих ящиках. Использование Elasticsearch 1.0.1 и плагина ec2 2.0.0.RC1.

Пока я не нашел ничего, указывающего на то, что может быть причиной этого. Любые идеи о том, как решить эту проблему?


amazon-ec2 elasticsearch elasticsearch-plugin
person G Gordon Worley III    schedule 03.03.2014    source источник

Ответы (3)


arrow_upward
7
arrow_downward

Это как политика, готовая для копирования и вставки:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt1404060922000",
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeInstances",
        "ec2:DescribeRegions",
        "ec2:DescribeSecurityGroups",
        "ec2:DescribeTags"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}
person Anton Babenko    schedule 29.06.2014

arrow_upward
6
arrow_downward

Оказывается, проблема заключалась в том, что для моей учетной записи AWS были установлены неправильные разрешения, поскольку мы используем IAM. Мне удалось обойти эту проблему, убедившись, что у моей учетной записи есть следующие разрешения:

  • ec2:Описать зоны доступности
  • ec2:Описать экземпляры
  • ec2:Описать регионы
  • ec2:Описать группы безопасности
  • ec2:DescribeTags
person G Gordon Worley III    schedule 04.03.2014

arrow_upward
1
arrow_downward

Чтобы добавить конкретный пример к полезному ответу Гордона, вот рабочая политика разрешений IAM:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ec2:Describe*",
      "Resource": "*"
    }
  ]
}
person Jay Taylor    schedule 04.06.2014