X-Pack 启动检查

除了 Elasticsearch 启动检查 之外，还有一些针对 X-Pack 功能的检查。

加密敏感数据检查编辑

如果您使用 Watcher 并选择加密敏感数据（通过将 xpack.watcher.encrypt_sensitive_data 设置为 true），您还必须将密钥放置在安全设置存储中。

要通过此启动检查，您必须在集群中的每个节点上设置 xpack.watcher.encryption_key。有关更多信息，请参阅 在 Watcher 中加密敏感数据。

PKI 领域检查编辑

如果您使用 Elasticsearch 安全功能和公钥基础设施 (PKI) 领域，您必须在集群上配置传输层安全 (TLS) 并在网络层（传输或 http）上启用客户端身份验证。有关更多信息，请参阅 PKI 用户身份验证 和 设置基本安全性和 HTTPS。

要通过此启动检查，如果启用了 PKI 领域，您必须在至少一个网络通信层上配置 TLS 并启用客户端身份验证。

角色映射检查编辑

如果您使用除 native 或 file 领域之外的领域来验证用户，则必须创建角色映射。这些角色映射定义分配给每个用户的角色。

如果您使用文件来管理角色映射，则必须配置一个 YAML 文件并将其复制到集群中的每个节点。默认情况下，角色映射存储在 ES_PATH_CONF/role_mapping.yml 中。或者，您可以为每种类型的领域指定不同的角色映射文件，并在 elasticsearch.yml 文件中指定其位置。有关更多信息，请参阅 使用角色映射文件。

要通过此启动检查，角色映射文件必须存在且必须有效。角色映射文件中列出的可分辨名称 (DN) 也必须有效。

SSL/TLS 检查编辑

如果您启用 Elasticsearch 安全功能，除非您拥有试用版许可证，否则您必须为节点间通信配置 SSL/TLS。

要通过此启动检查，您必须 在集群中设置 SSL/TLS。

令牌 SSL 检查编辑

如果您使用 Elasticsearch 安全功能并启用了内置令牌服务，则必须将集群配置为对 HTTP 接口使用 SSL/TLS。为了使用令牌服务，HTTPS 是必需的。

特别是，如果在 elasticsearch.yml 文件中将 xpack.security.authc.token.enabled 设置为 true，则您还必须将 xpack.security.http.ssl.enabled 设置为 true。有关这些设置的更多信息，请参阅 安全设置 和 高级 HTTP 设置。

要通过此启动检查，您必须启用 HTTPS 或禁用内置令牌服务。