내용은 Step7에서 이어진다. 따라서 Step5~7의 구성을 실행해보지 않은 사용자는 직접 해본 후 Step8로 넘어오는 것을 추천한다.
1. Remove Cluster Member
1) 클러스터 멤버로 재사용이 될 경우의 제거
soft way는 해당 클러스터의 멤버를 클러스터 멤버로 재사용한다는 것을 가정으로 진행된다.
클러스터에서 제거하기
- 현재 클러스터 상태 확인하기
./splunk show shcluster-status -auth munang:PW
- Search Head Cluster에서 멤버 제거
제거 명령어는 제거 하려는 서버에서 아래와 같이 커맨드를 입력하면 된다.
./splunk remove shcluster-member
이후에 splunk 인스턴스를 중지시킨다.
./splunk stop 이후 클러스터 상태를 확인한다.
./splunk show shcluster-status -auth munang:PW
제거가 완료되었다.
2) 클러스터 멤버로 재사용되지 않을 경우 제거
클러스터 정보 비활성화 & 멤버에서 제거하기
제거하려는 서버에서 아래의 명령어를 실행해준다.
./splunk remove shcluster-member
./splunk disable shcluster-config
이후는 kvstore를 별도로 삭제해줘야한다. (자동삭제 안됨)
./splunk stop
./splunk clean kvstore --cluster
되돌릴 수 없다는 말이 나오고 삭제 여부를 다시 묻는다. 그만큼 kvstore를 삭제하는 것은 실제 현업에서는 관련 부서와 충분한 상의를 한 후에 삭제해야한다.
이후 클러스터 상태를 확인한다.
./splunk show shcluster-status -auth munang:PW
제거가 완료되었다.
2. Readd Splunk Search Head Cluster
1) 클러스터 멤버에서 "비활성화와 제거된" 된 멤버 다시 추가하기
위에서 클러스터 정보를 모두 제거하고, 클러스터 구성원에서 제거된 멤버를 다시 add하게 될 경우 진행하는 방법이다.
- Splunk clean
./splunk clean all
- Splunk 인스턴스 재시작
./splunk start- Splunk Cluster에 정보 초기화 및 readd 해주기
./splunk init shcluster-config -auth munang:PW -mgmt_uri https://13.58.192.71:8089 -replication_port 9000 -replication_factor 3 -conf_deploy_fetch_url https://18.217.21.64:8089 -secret pass4Symmkey -shcluster_label shcluster1
./splunk add shcluster-member -current_member_uri https://3.14.65.198:8089-current_member_uri <URI>:<management_port> : 새 구성원이 가입하려는 SH 클러스터링의 관리 URI와 포트이다. 즉 기존 구성원 중 특정 SH의 URI 주소와 포트를 기재하면 된다. 나는 캡틴의 정보를 입력해줬다.
위의 커맨드를 입력하면 아래와 같이 권한이 없다고 나오게 된다. splunk 정보를 모두 clean 시켰기 때문에 유저가 없다고 나오는 것 이다. 따로 유저를 만들어줘야한다.
- Splunk 사용자(admin) 추가
cd ../etc/system/local
vi user-seed.conf
내용은 다음과 같이 기재한다.
[user_info]
USERNAME = admin
PASSWORD = <your password>이후 Splunk 인스턴스를 재시작해준다.
cd ../../../bin
./splunk restart- 사용자 추가 후 Splunk 클러스터 정보 초기화 & 클러스터에 add 하기 & 재시작 하기
./splunk init shcluster-config -auth munang:PW -mgmt_uri https://13.58.192.71:8089 -replication_port 9000 -replication_factor 3 -conf_deploy_fetch_url https://18.217.21.64:8089 -secret pass4Symmkey -shcluster_label shcluster1
./splunk add shcluster-member -current_member_uri https://3.14.65.198:8089
./splunk restart해당 명령어가 정상실행된 후 클러스터를 확인하여 재추가된 멤버를 확인한다.
./splunk show shcluster-status -auth munang:PW
추가가 완료되었다.
2) 클러스터 멤버에서 "제거만" 된 멤버 다시 추가하기
클러스터 멤버에서 제거만 되고, cluster 정보는 남아있는 멤버를 추가하는 방법이다.
- Splunk clean
./splunk clean all
- Splunk 인스턴스 재시작
./splunk start- Splunk Cluster에 readd 해주기
./splunk add shcluster-member -current_member_uri https://3.14.65.198:8089-current_member_uri <URI>:<management_port> : 새 구성원이 가입하려는 SH 클러스터링의 관리 URI와 포트이다. 즉 기존 구성원 중 특정 SH의 URI 주소와 포트를 기재하면 된다. 나는 캡틴의 정보를 입력해줬다.
해당 명령어가 정상실행된 후 클러스터를 확인하여 재추가된 멤버를 확인한다.
./splunk show shcluster-status -auth munang:PW
추가가 완료되었다.
3. (참고)서버 상태로 인해 Down되어 제거된 경우
- Down된 Splunk 인스턴스를 재시작해준다.
./splunk start- sh 클러스터 정보를 동기화 한다.
./splunk resync shcluster-replicated-config 