elasticsearch-keystore 命令解释
命令用途
ES的大部分配置参数是通过明文存储在配置文件中,一般通过文件系统的所属用户、所属组和读写权限(rwx机制)提供基本的保护。但是有一些比较敏感的ES配置参数仅仅通过文件系统的权限保护是不够的,ES推出了keystore来做进一步的加密保护。
命令用法
-
新建
高版本ES可以通过 -p 选项指定keystore存储的加密密码
# keystore的存储文件放在elasticsearch.yml的同级目录 # 如:/elasticsearch-7.2.0/config/elasticsearch.keystore ./elasticsearch-keystore create -
添加配置参数
./elasticsearch-keystore add s3.client.default.secret_key -
删除配置参数
./elasticsearch-keystore remove s3.client.default.secret_key -
列出配置参数
./elasticsearch-keystore list
哪些参数可以添加到keystore
Elasticseach官方文档中,如果某个参数配置说明添加了Secure 字样备注,就可以用elasticsearch-keystore add 添加到keystore中,如:
s3.client.default.secret_key(Secure,reloadable)
如何使keystore中的参数生效
-
重启Elasticsearch
-
对于可以reloadable的参数使用reload API:
POST _nodes/reload_secure_settings
注意事项
使用keystore添加参数时,keystore没对添加的参数做校验,对于不合法的(没有被某个plugin或者es本身用到的参数)会导致Elasticsearch启动失败。