某些设置是敏感的,如果仅仅使用文件系统的权限去保护这些敏感设置的数据是不够的,为解决这些问题,Elasticsearch提供了一个密钥库(keystore),并且使用elasticsearch-keystore工具来管理这些配置数据。
**只有一些参数需要在秘钥库里读取。然而密钥库(keystore)不会验证当中的设置是否合法,如果将非法设置添加到密钥库会导致Elasticsearch无法启动。如果您想查看密钥库支持哪些设置,请查阅设置参考中的安全部分。
对密钥库(keystore)中的任何修改,只有重启Elasticsearch后才会生效。
**Elasticsearch 秘钥库目前只提供混淆操作功能,未来的版本中将会添加密码保护功能。
这些设置与elasticsearch.yml文件的常规设置一样,需要在集群的每个节点上设置。目前所有安全参数都需要指定节点,且每个节点的参数都需要相同。
可重载安全配置
就像elasticsearch.yml中的设置值一样,对密钥库内容的更改不会自动应用于正在运行的Elasticsearch节点。重新读取设置需要重新启动节点。 但是,某些安全设置被标记为可重新加载。 可以重新读取此类设置并将其应用到正在运行的节点上。
所有安全设置(无论是否会自动加载)的值在所有集群节点上必须相同,进行设置更改后,使用 bin/elasticsearch-keystore add 命令之后再调用:
<code>POST _nodes/reload_secure_settings/<code>
该API在每个群集节点上解密并重新读取整个密钥库,但仅应用可重载的安全设置。 直到下一次重新启动,对其他设置的更改才会生效。 调用返回后,重新加载已完成,这意味着依赖于这些设置的所有内部数据结构均已更改,所有设置看起来都应该具有新值。
更改多个可重载的安全设置时,请在每个群集节点上修改所有这些设置,然后调用reload_secure_settings,而不是在每次修改后重新加载。
閱讀更多 瑜豆IT 的文章
