某些設置是敏感的,如果僅僅使用文件系統的權限去保護這些敏感設置的數據是不夠的,為解決這些問題,Elasticsearch提供了一個密鑰庫(keystore),並且使用elasticsearch-keystore工具來管理這些配置數據。
**只有一些參數需要在秘鑰庫裡讀取。然而密鑰庫(keystore)不會驗證當中的設置是否合法,如果將非法設置添加到密鑰庫會導致Elasticsearch無法啟動。如果您想查看密鑰庫支持哪些設置,請查閱設置參考中的安全部分。
對密鑰庫(keystore)中的任何修改,只有重啟Elasticsearch後才會生效。
**Elasticsearch 秘鑰庫目前只提供混淆操作功能,未來的版本中將會添加密碼保護功能。
這些設置與elasticsearch.yml文件的常規設置一樣,需要在集群的每個節點上設置。目前所有安全參數都需要指定節點,且每個節點的參數都需要相同。
可重載安全配置
就像elasticsearch.yml中的設置值一樣,對密鑰庫內容的更改不會自動應用於正在運行的Elasticsearch節點。重新讀取設置需要重新啟動節點。 但是,某些安全設置被標記為可重新加載。 可以重新讀取此類設置並將其應用到正在運行的節點上。
所有安全設置(無論是否會自動加載)的值在所有集群節點上必須相同,進行設置更改後,使用 bin/elasticsearch-keystore add 命令之後再調用:
<code>POST _nodes/reload_secure_settings/<code>
該API在每個群集節點上解密並重新讀取整個密鑰庫,但僅應用可重載的安全設置。 直到下一次重新啟動,對其他設置的更改才會生效。 調用返回後,重新加載已完成,這意味著依賴於這些設置的所有內部數據結構均已更改,所有設置看起來都應該具有新值。
更改多個可重載的安全設置時,請在每個群集節點上修改所有這些設置,然後調用reload_secure_settings,而不是在每次修改後重新加載。
閱讀更多 瑜豆IT 的文章
