Secure settings

    某些设置是敏感的,依靠文件系统权限来保护其值是不够的。对于此用例,Elasticsearch提供了一个密钥库和elasticsearch-keystore工具来管理密钥库中的设置。

    这些设置与elasticsearch.yml配置文件中的常规设置一样,需要在集群中的每个节点上指定。目前,所有安全设置都是特定于节点的设置,每个节点上的值必须相同。

    创建密钥库 要创建elasticsearch.keystore,请使用create命令:

    1. bin/elasticsearch-keystore create

    列出密钥库中的设置 使用list命令可以获得密钥库中的设置列表:

    1. bin/elasticsearch-keystore list

    添加字符串设置 可以使用add命令添加敏感字符串设置,例如云插件的身份验证凭据:

    1. bin/elasticsearch-keystore add the.setting.name.to.set

    该工具将提示设置的值。要通过stdin传递值,请使用—stdin标志:

    1. cat /file/containing/setting/value | bin/elasticsearch-keystore add --stdin the.setting.name.to.set

    添加文件设置 您可以使用add-file命令添加敏感文件,例如云插件的身份验证密钥文件。确保在设置名称后包含文件路径作为参数。

    1. bin/elasticsearch-keystore add-file the.setting.name.to.set /path/example-file.json

    移除设置 要从密钥库中删除设置,请使用remove命令:

    1. bin/elasticsearch-keystore remove the.setting.name.to.remove

    重新安装安全设置 与elasticsearch.yml中的设置值一样,对密钥库内容的更改不会自动应用于正在运行的elasticsearch节点。重新读取设置需要重新启动节点。但是,某些安全设置被标记为可重新加载。可以重新读取这些设置并将其应用于正在运行的节点上。

    所有安全设置的值(可重新加载或不可加载)在所有群集节点上必须相同。在进行所需的安全设置更改后,使用bin / elasticsearch-keystore add命令,调用:

    1. POST _nodes/reload_secure_settings

    此API将在每个群集节点上解密并重新读取整个密钥库,但仅应用可重新加载的安全设置。对其他设置的更改将在下次重新启动后生效。一旦调用返回,重载就已完成,这意味着所有依赖于这些设置的内部数据结构都已更改。一切看起来好像设置从一开始就具有新值。

    更改多个可重新加载的安全设置时,请在每个群集节点上修改所有这些设置,然后发出reload_secure_settings调用,而不是在每次修改后重新加载。