Bitnami OpenSearch 镜像文档

1. 镜像概述和主要用途

OpenSearch 是一个可扩展的开源解决方案，用于搜索、分析和可观测性，支持全文查询、自然语言处理、自定义词典等功能。Bitnami 提供的 OpenSearch 镜像经过优化，便于快速部署和集成，适用于 Kubernetes 环境及容器化部署场景。

该镜像由 Bitnami 打包，旨在简化 OpenSearch 的配置与管理，提供安全的默认设置和灵活的定制选项，满足开发、测试及生产环境的需求（生产环境建议参考 Bitnami Secure Images 计划）。

2. 核心功能和特性

2.1 OpenSearch 核心功能

• 全文搜索：支持复杂的全文查询、模糊匹配及过滤。
• 分析能力：实时日志分析、指标聚合与可视化。
• 自然语言处理：集成 NLP 功能，支持语义理解和实体识别。
• 可扩展性：分布式架构，支持横向扩展节点以提升性能。
• 安全性：内置安全插件，支持认证、授权和加密通信。

2.2 Bitnami 镜像特性

• 易于部署：支持 Helm Chart 一键部署到 Kubernetes 集群。
• 安全优化：默认启用非 root 用户运行，减少攻击面。
• 灵活配置：支持自定义环境变量、配置文件及初始化脚本。
• 监控集成：可与 Prometheus 集成，暴露指标端点。
• 快照管理：支持配置快照仓库和策略，实现数据备份与恢复。
• 兼容性：适配主流 Kubernetes 版本及存储类。

3. 使用场景和适用范围

3.1 适用场景

• 开发与测试环境：快速搭建 OpenSearch 集群，验证搜索功能或日志分析流程。
• 中小型应用：作为应用内搜索引擎、日志聚合平台或监控数据存储。
• 可观测性平台：与 OpenSearch Dashboards、Logstash 等集成，构建日志/指标分析平台。

3.2 注意事项

• 生产环境：社区版镜像（docker.io/bitnami）仅提供基础功能，且将于 2025 年 8 月起逐步迁移至 bitnamilegacy 仓库并停止更新。生产环境建议采用 Bitnami Secure Images，包含硬化容器、CVE 透明度及长期支持。
• 资源要求：OpenSearch 对内核参数（如 vm.max_map_count）有特定要求，需提前配置主机环境。

4. 详细使用方法和配置说明

4.1 前提条件

• Kubernetes 集群版本 ≥ 1.23
• Helm 版本 ≥ 3.8.0
• 集群支持持久化存储（PV Provisioner）

4.2 使用 Helm 安装

4.2.1 快速安装

helm install my-release oci://registry-1.docker.io/bitnamicharts/opensearch

4.2.2 指定镜像仓库和标签

如需使用特定版本或私有仓库，替换 REGISTRY_NAME 和 REPOSITORY_NAME：

helm install my-release oci://REGISTRY_NAME/REPOSITORY_NAME/opensearch --set image.tag=2.11.0

4.3 关键配置说明

4.3.1 资源请求与限制

生产环境需根据负载调整资源配置，避免自动扩缩容异常：

# values.yaml 示例
master:
  resources:
    requests:
      cpu: 1000m
      memory: 2Gi
    limits:
      cpu: 2000m
      memory: 4Gi
data:
  resources:
    requests:
      cpu: 2000m
      memory: 4Gi
    limits:
      cpu: 4000m
      memory: 8Gi

4.3.2 内核参数配置

OpenSearch 要求主机内核参数 vm.max_map_count=262144 和 fs.file-max=65536。默认通过特权 initContainer 自动配置：

# 禁用自动配置（需手动在主机上设置内核参数）
sysctlImage:
  enabled: false

4.3.3 凭证管理

初始凭证在首次启动时生成，如需更新密码：

1. 参考 官方文档 更新用户密码。
2. 更新 Kubernetes Secret：

kubectl create secret generic SECRET_NAME \
  --from-literal=opensearch-password=NEW_PASSWORD \
  --from-literal=opensearch-dashboards-password=NEW_DASHBOARDS_PASSWORD \
  --dry-run -o yaml | kubectl apply -f -

4.3.4 Prometheus 监控集成

启用指标暴露并集成 Prometheus：

# values.yaml 示例
master:
  metrics:
    enabled: true  # 启用 master 节点指标
data:
  metrics:
    enabled: true  # 启用 data 节点指标
coordinating:
  metrics:
    enabled: true  # 启用 coordinating 节点指标

需确保集群中已部署 Prometheus 或 Prometheus Operator。

4.3.5 TLS 加密通信

启用 TLS 以加密节点间通信及客户端连接：

security:
  tls:
    enabled: true
    autoGenerated: true  # 自动生成证书（测试用）
    # 生产环境建议使用自定义证书
    # admin:
    #   existingSecret: admin-tls-secret
    #   certKey: tls.crt
    #   keyKey: tls.key

4.3.6 快照与恢复

配置文件系统快照仓库，实现数据备份：

snapshots:
  enabled: true
  persistence:
    enabled: true  # 使用持久卷存储快照
snapshotRepoPath: "/snapshots"  # 快照存储路径

4.4 Docker 部署示例（单节点）

除 Helm 外，可通过 docker run 快速启动单节点 OpenSearch（仅适用于开发环境）：

docker run -d \
  --name opensearch \
  -p 9200:9200 \
  -p 9300:9300 \
  -e "discovery.type=single-node" \
  -e "OPENSEARCH_PASSWORD=StrongPassword123" \
  bitnami/opensearch:latest

• discovery.type=single-node：禁用集群发现，以单节点模式运行。
• OPENSEARCH_PASSWORD：设置 admin 用户密码。

5. 配置参数说明

5.1 全局参数

5.2 通用参数

5.3 集群核心参数

6. 重要通知（2025年8月变更）

自 2025 年 8 月 28 日起，Bitnami 公共镜像仓库将逐步迁移至 Bitnami Secure Images 计划：

• 社区版变更：仅提供安全硬化的 latest 标签镜像，适用于开发环境；非硬化 Debian 镜像将逐步弃用。
• 镜像迁移：现有镜像（含历史版本标签，如 2.50.0）将迁移至 docker.io/bitnamilegacy 仓库，不再更新。
• 生产建议：生产环境需使用 Bitnami Secure Images，包含硬化容器、SBOM、CVE 透明度及企业支持。

详细信息见 官方公告。