Ранее я уже готовил публикацию по установке Splunk, но в одиночном исполнении. Мне понадобился стенд со Splunk вместе с кластером индексаторов и поисковиков. Поэтому я подумал и решил, что установка и настройка Splunk в отказоустойчивой конфигурации обязательно должна быть оформления в виде небольшого опорного руководства. Потому что со временем какие-то отдельные нюансы настройки могут забыться. И тут очень к месту будет небольшая шпаргалка.
Примеры конфигураций могут быть не оптимальны для использования в продуктивном окружении. В любом случае, при настройке продукта в продуктивном контуре всегда необходимо обращаться к докуменатации от вендора.
Целевая архитектура
Целевая архитектура развертывания приведена на схеме ниже.
т.е. будет отдельный кластер индексаторов и кластер Search Head.
Используемое окружение для стенда
Гипервизор – Proxmox Virtual Environment 8.4.1.
Операционная система на хостах Splunk – Rocky Linux 9.5 (Cloud Image).
Операционная система для Windows SUF (Splunk Universal Forwarder) – Windows Server 2019.
Версия Splunk – Splunk 8.0.10.
Описание используемых виртуальных машин
| Название ВМ | Назначение | vCPU, шт. | ОЗУ, ГБ | Диск, ГБ | ОС |
| spl-lb01 | Search Head Cluster Load Balancer | 4 | 4 | 40 | Rocky Linux 9.5 |
| spl-mgr01 | License Server Cluster Manager Search Head DeployerDeployment Server Management Console | 4 | 4 | 60 | Rocky Linux 9.5 |
| spl-sh01 | Search Head Cluster node | 4 | 4 | 60 | Rocky Linux 9.5 |
| spl-sh02 | Search Head Cluster node | 4 | 4 | 60 | Rocky Linux 9.5 |
| spl-idx01 | Indexer Cluster node | 4 | 4 | 60 | Rocky Linux 9.5 |
| spl-idx02 | Indexer Cluster node | 4 | 4 | 60 | Rocky Linux 9.5 |
| spl-hf01 | Heavy Forwarder | 4 | 4 | 60 | Rocky Linux 9.5 |
| spl-hf02 | Heavy Forwarder | 4 | 4 | 60 | Rocky Linux 9.5 |
| spl-uf01 | Windows Splunk Universal Forwarder (SUF) | 4 | 4 | 40 | Windows Server 2019 |
| spl-uf02 | Linux Splunk Universal Forwarder (SUF) | 4 | 4 | 40 | Rocky Linux 9.5 |
Далее я продолжу выполнять настройку Splunk в отказоустойчивой конфигурации, но уже в виде отдельной публикации для каждого из компонентов.