X-Pack 的启动检查

除了Elasticsearch 启动检查 之外，还有一些针对 X-Pack 功能的特定检查。

如果您使用 Watcher 并选择加密敏感数据（将xpack.watcher.encrypt_sensitive_data 设置为 true），则还必须将密钥放在安全设置存储中。

要通过此启动检查，必须在集群中的每个节点上设置xpack.watcher.encryption_key。更多信息，请参见加密 Watcher 中的敏感数据。

如果您使用 Elasticsearch 安全功能和公钥基础设施 (PKI) 领域，则必须在您的集群上配置传输层安全 (TLS)，并在网络层（传输层或 http）上启用客户端身份验证。更多信息，请参见PKI 用户身份验证 和设置基本安全功能以及安全的 HTTPS 通信。

要通过此启动检查，如果启用了 PKI 领域，则必须配置 TLS 并至少在一个网络通信层上启用客户端身份验证。

如果您使用除native 或file 领域之外的领域来验证用户，则必须创建角色映射。这些角色映射定义分配给每个用户的角色。

如果您使用文件管理角色映射，则必须配置一个 YAML 文件并将其复制到集群中的每个节点。默认情况下，角色映射存储在ES_PATH_CONF/role_mapping.yml中。或者，您可以为每种类型的领域指定不同的角色映射文件，并在elasticsearch.yml文件中指定其位置。更多信息，请参见使用角色映射文件。

要通过此启动检查，角色映射文件必须存在且必须有效。角色映射文件中列出的可分辨名称 (DN) 也必须有效。

如果您启用了 Elasticsearch 安全功能，除非您拥有试用许可证，否则必须为节点间通信配置 SSL/TLS。

要通过此启动检查，您必须在您的集群中设置 SSL/TLS。

如果您使用 Elasticsearch 安全功能并且启用了内置令牌服务，则必须将集群配置为对 HTTP 接口使用 SSL/TLS。使用令牌服务需要 HTTPS。

特别是，如果在elasticsearch.yml文件中将xpack.security.authc.token.enabled设置为true，则还必须将xpack.security.http.ssl.enabled设置为true。有关这些设置的更多信息，请参见安全设置 和高级 HTTP 设置。

要通过此启动检查，您必须启用 HTTPS 或禁用内置令牌服务。