X-Pack 的引导检查

除了 Elasticsearch 引导检查之外，还有一些特定于 X-Pack 功能的检查。

如果您使用 Watcher 并选择加密敏感数据（通过将 xpack.watcher.encrypt_sensitive_data 设置为 true），您还必须将密钥放置在安全设置存储中。

要通过此引导检查，您必须在集群中的每个节点上设置 xpack.watcher.encryption_key。有关更多信息，请参阅 在 Watcher 中加密敏感数据。

如果您使用 Elasticsearch 安全功能和公钥基础设施 (PKI) 领域，您必须在集群上配置传输层安全 (TLS) 并在网络层（传输或 HTTP）上启用客户端身份验证。有关更多信息，请参阅 PKI 用户身份验证 和 设置基本安全性和 HTTPS。

要通过此引导检查，如果启用了 PKI 领域，则必须配置 TLS 并在至少一个网络通信层上启用客户端身份验证。

如果您使用除 native 或 file 领域之外的领域对用户进行身份验证，则必须创建角色映射。这些角色映射定义分配给每个用户的角色。

如果您使用文件来管理角色映射，则必须配置一个 YAML 文件并将其复制到集群中的每个节点。默认情况下，角色映射存储在 ES_PATH_CONF/role_mapping.yml 中。或者，您可以为每种类型的领域指定不同的角色映射文件，并在 elasticsearch.yml 文件中指定其位置。有关更多信息，请参阅 使用角色映射文件。

要通过此引导检查，角色映射文件必须存在且必须有效。角色映射文件中列出的专有名称 (DN) 也必须有效。

如果您启用 Elasticsearch 安全功能，除非您拥有试用许可证，否则您必须为节点间通信配置 SSL/TLS。

要通过此引导检查，您必须 在集群中设置 SSL/TLS。

如果您使用 Elasticsearch 安全功能并且启用了内置令牌服务，则必须配置集群以对 HTTP 接口使用 SSL/TLS。要使用令牌服务，必须使用 HTTPS。

特别是，如果在 elasticsearch.yml 文件中将 xpack.security.authc.token.enabled 设置为 true，则还必须将 xpack.security.http.ssl.enabled 设置为 true。有关这些设置的更多信息，请参阅 安全设置 和 高级 HTTP 设置。

要通过此引导检查，您必须启用 HTTPS 或禁用内置令牌服务。