elasticsearch-keystore 命令解釋
命令用途
ES的大部分配置參數是通過明文存儲在配置文件中,一般通過文件系統的所屬用戶、所屬組和讀寫權限(rwx機制)提供基本的保護。但是有一些比較敏感的ES配置參數僅僅通過文件系統的權限保護是不夠的,ES推出了keystore來做進一步的加密保護。
命令用法
-
新建
高版本ES可以通過 -p 選項指定keystore存儲的加密密碼
# keystore的存儲文件放在elasticsearch.yml的同級目錄 # 如:/elasticsearch-7.2.0/config/elasticsearch.keystore ./elasticsearch-keystore create -
添加配置參數
./elasticsearch-keystore add s3.client.default.secret_key -
刪除配置參數
./elasticsearch-keystore remove s3.client.default.secret_key -
列出配置參數
./elasticsearch-keystore list
哪些參數可以添加到keystore
Elasticseach官方文檔中,如果某個參數配置說明添加了Secure 字樣備注,就可以用elasticsearch-keystore add 添加到keystore中,如:
s3.client.default.secret_key(Secure,reloadable)
如何使keystore中的參數生效
-
重啟Elasticsearch
-
對於可以reloadable的參數使用reload API:
POST _nodes/reload_secure_settings
注意事項
使用keystore添加參數時,keystore沒對添加的參數做校驗,對於不合法的(沒有被某個plugin或者es本身用到的參數)會導致Elasticsearch啟動失敗。