一、配置文件
文件 | 描述 |
elasticsearch.yml | 配置Elasticsearch的yml |
jvm.options | 配置Elasticsearch JVM设置的选项 |
log4j2.properties | 配置Elasticsearch日志记录的属性 |
二、配置参数
(一)重要配置
path:
data: /var/data/elasticsearch #数据路径
logs: /var/log/elasticsearch #日志路径
cluster.name: logging-prod #集群名称
node.name: prod-data-2 #节点名称
network.host: 192.168.1.10 #环回地址,单节点配置为本机地址,集群环境配置成0.0.0.0
discovery.seed_hosts: #集群中其他节点
- 192.168.1.10:9300 #可配置ip:prot
- 192.168.1.11 #端口是可选的,默认为9300
- seeds.mydomain.com #可配置域名,如果主机名解析为多个IP地址,则节点将尝试在所有解析地址上发现其他节点
- [0:0:0:0:0:ffff:c0a8:10c]:9301 #IPv6地址必须用方括号括起来
cluster.initial_master_nodes: #参与选举为主节点的节点列表
- master-node-a
- master-node-b
- master-node-c
(二)审计安全配置
您可以使用审核日志记录来记录与安全相关的事件,例如身份验证失败、拒绝连接和数据访问事件。此外,还记录通过API对安全配置的更改,例如创建、更新和删除本机和内置用户、角色、角色映射和API密钥
#(静态)是否启用审计,默认为false。
xpack.security.audit.enabled
#(动态)指定要在审核输出中打印的事件的类型。_all可用于彻底审核所有事件,但通常不鼓励这样做,因为它会变得非常冗长。默认列表值包含:access_denied, access_granted, anonymous_access_denied, authentication_failed,connection_denied, tampered_request, run_as_denied, run_as_granted,security_config_change。
xpack.security.audit.logfile.events.include
#(动态)从包含列表中排除指定类型的事件。
xpack.security.audit.logfile.events.exclude
#(动态)是否将来自REST请求的完整请求正文作为某种审核事件的属性包含在内,此设置可用于审核搜索查询,默认为false。
xpack.security.audit.logfile.events.emit_request_body
#(动态)指定是否将节点名称作为字段包含在每个审核事件中。默认值为false。
xpack.security.audit.logfile.emit_node_name
#(动态)指定是否将节点的IP地址作为字段包含在每个审核事件中。默认值为false。
xpack.security.audit.logfile.emit_node_host_address
#(动态)指定是否将节点的主机名作为字段包含在每个审核事件中。默认值为false。
xpack.security.audit.logfile.emit_node_host_name
#(动态)指定是否将节点id作为字段包含在每个审核事件中。与节点名不同,如果管理员更改配置文件中的设置,节点名的值可能会更改,节点id将在群集重新启动期间保持不变,管理员无法更改它。默认值为true。
xpack.security.audit.logfile.emit_node_id
#(动态)用户名或通配符的列表。指定的策略不会为匹配这些值的用户打印审核事件。
xpack.security.audit.logfile.events.ignore_filters.<policy_name>.users
#(动态)身份验证领域名称或通配符的列表。指定的策略不会为这些域中的用户打印审核事件。
xpack.security.audit.logfile.events.ignore_filters.<policy_name>.realms
#(动态)操作名称或通配符的列表。可以在审核事件的操作字段中找到操作名称。指定的策略不会打印与这些值匹配的操作的审核事件。
xpack.security.audit.logfile.events.ignore_filters.<policy_name>.actions
#(动态)角色名称或通配符的列表。指定的策略不会为具有这些角色的用户打印审核事件。如果用户有多个角色,其中一些角色未包含在策略中,则策略将不包含此事件。
xpack.security.audit.logfile.events.ignore_filters.<policy_name>.roles
#(动态)索引名称或通配符的列表。当事件中的所有索引都与这些值匹配时,指定的策略将不会打印审核事件。如果该事件涉及多个指数,其中一些指数不在保单范围内,保单将不涵盖该事件。
xpack.security.audit.logfile.events.ignore_filters.<policy_name>.indices
(三)断路器设置
Elasticsearch包含多个断路器,用于防止操作导致OutOfMemoryError。每个断路器都指定了它可以使用多少内存的限制。此外,还有一个父级断路器,它指定可以跨所有断路器使用的内存总量。
#(静态)确定父断路器是应考虑实际内存使用情况(true)还是仅考虑子断路器保留的内存量(false)。默认为true。
indices.breaker.total.use_real_memory
#(动态)父断路器启动限制。如果indices.breaker.total.use_real_memory设置为false,则默认值为JVM堆内存的70%,如果indices.breaker.total.use_real_memory设置为true,则默认值为JVM堆内存的95%。
indices.breaker.total.limit
#(动态)fielddata断路器的限制。默认为JVM堆内存的40%。
indices.breaker.fielddata.limit
#(动态)与所有字段数据估计值相乘以确定最终估计值的常数。默认为1.03。
indices.breaker.fielddata.overhead
#(动态)请求断路器的限制,默认为JVM堆内存的60%。
indices.breaker.request.limit
#(动态)所有请求估计值都将与该常数相乘以确定最终估计值。默认为1。
indices.breaker.request.overhead
#(动态)运行中请求断路器的限制,默认为JVM堆的100%。这意味着它受到为主断路器配置的限制的约束。
network.breaker.inflight_requests.limit
#(动态)一个常数,所有进行中请求估计值都将与该常数相乘以确定最终估计值。默认为2。
network.breaker.inflight_requests.overhead
#(动态)记帐断路器的限制,默认为JVM堆的100%。这意味着它受到为主断路器配置的限制的约束。
indices.breaker.accounting.limit
#(动态)与所有计费估计值相乘以确定最终估计值的常数。默认为1。
indices.breaker.accounting.overhead
#(动态)限制在特定间隔内允许编译的唯一动态脚本的数量。默认为150/5m,即每5分钟150次。
script.max_compilations_rate
#(静态)在脚本中启用regex,默认值为limited。编写不好的正则表达式会降低集群的稳定性和性能。
script.painless.regex.enabled
#(静态)限制脚本中正则表达式可以考虑的字符数。Elasticsearch通过将设置值乘以脚本输入的字符长度来计算此限制。
script.painless.regex.limit-factor
(四)碎片分配和路由配置
碎片分配是将碎片分配给节点的过程。这可能发生在初始恢复、副本分配、重新平衡期间,或者在添加或删除节点时。主服务器的主要角色之一是决定将哪些碎片分配给哪些节点,以及何时在节点之间移动碎片以重新平衡集群。
#(动态)设置来控制碎片分配和恢复。重新启动节点时,此设置不会影响本地主碎片的恢复。具有未分配主碎片副本的重新启动节点将立即恢复该主碎片,前提是其分配id与集群状态中的活动分配id之一匹配。
#all-(默认)允许为所有类型的碎片分配碎片。
#primaries-仅允许为主碎片分配碎片。
#new_primaries-仅允许为新索引的主碎片分配碎片。
#none-任何索引都不允许任何类型的碎片分配。
cluster.routing.allocation.enable
#(动态)一个节点上允许进行多少并发传入碎片恢复。传入恢复是在节点上分配目标碎片(很可能是副本,除非碎片正在重新定位)的恢复。默认为2。
cluster.routing.allocation.node_concurrent_incoming_recoveries
#(动态)一个节点上允许进行多少并发传出碎片恢复。传出恢复是在节点上分配源碎片(除非碎片正在重新定位,否则很可能是主碎片)的恢复。默认为2。
cluster.routing.allocation.node_concurrent_outgoing_recoveries
#(动态)设置cluster.routing.allocation.node_concurrent_incoming_recoveries和cluster.routing.allocation.node_concurrent_outgoing_recoveries的快捷方式,也就是会把上面两个参数设置为一样的
cluster.routing.allocation.node_concurrent_recoveries
#(动态)当通过网络恢复副本时,在节点重新启动后恢复未分配的主节点使用本地磁盘中的数据。这些恢复应该很快,以便可以在同一节点上并行执行更多初始主恢复。默认为4。
cluster.routing.allocation.node_initial_primaries_recoveries
#(动态)如果为true,则禁止将碎片的多个副本分配给同一主机上的不同节点,即具有相同网络地址的节点。默认值为false,这意味着有时可以将碎片的副本分配给同一主机上的节点。只有在每个主机上运行多个节点时,此设置才相关。
cluster.routing.allocation.same_shard.host
#(动态)启用或禁用特定类型碎片的重新平衡:
#all-(默认)允许对所有类型的碎片进行碎片平衡。
#primaries-仅允许对主碎片进行碎片平衡。
#replications—仅允许对副本碎片进行碎片平衡。
#none-任何索引都不允许任何类型的碎片平衡。
cluster.routing.rebalance.enable
#(动态)指定何时允许碎片重新平衡:
#always-始终允许重新平衡。
#indices_primaries_active-仅当集群中的所有主映像都已分配时。
#indices_all_active-(默认)仅当集群中的所有碎片(主碎片和副本)都已分配时。
cluster.routing.allocation.allow_rebalance
#(动态)允许控制集群范围内允许多少并发碎片重新平衡。默认值为2。请注意,此设置仅控制由于集群中的不平衡而导致的并发碎片重定位数。此设置不限制由于分配筛选或强制感知而导致的碎片重定位。
cluster.routing.allocation.cluster_concurrent_rebalance
#(动态)定义节点上分配的碎片总数的权重因子(浮点)。默认为0.45f。提高这一级别会使集群中所有节点的碎片数量趋于均衡。
cluster.routing.allocation.balance.shard
#(动态)定义在特定节点上分配的每个索引的碎片数的权重因子(float)。默认为0.55f。提高这一级别会增加在集群中所有节点上均衡每个索引的碎片数的趋势。
cluster.routing.allocation.balance.index
#(动态)应执行的操作的最小优化值(非负浮点)。默认为1.0f。提高此值将导致集群在优化碎片平衡方面不那么积极。
cluster.routing.allocation.balance.threshold
#(动态)默认为true。设置为false可禁用磁盘分配决策器。禁用后,它还将删除任何现有的index.blocks.read_only_allow_delete索引块。
cluster.routing.allocation.disk.threshold_enabled
#(动态)控制磁盘使用的低水位线。默认为85%,这意味着Elasticsearch不会将碎片分配给磁盘使用率超过85%的节点。也可以将其设置为比率值,例如0.85。也可以将它设置为绝对字节值(如500mb),以防止Elasticsearch在可用空间少于指定数量时分配碎片。此设置不会影响新创建索引的主碎片,但会阻止分配其副本。
cluster.routing.allocation.disk.watermark.low
#(动态)控制高水位线。默认为90%,这意味着Elasticsearch将尝试将碎片从磁盘使用率高于90%的节点移出。也可以将其设置为比率值,例如0.9。如果碎片的可用空间小于指定的数量,也可以将它设置为绝对字节值(类似于低水位线),以将碎片从节点移开。此设置影响所有碎片的分配,无论以前是否分配。
cluster.routing.allocation.disk.watermark.high
#(静态)在早期版本中,默认行为是在做出分配决策时忽略单个数据节点集群的磁盘水印。自7.14以来,这是不推荐使用的行为,已在8.0中删除。此设置的唯一有效值现在为true。该设置将在未来版本中删除
cluster.routing.allocation.disk.watermark.enable_for_single_data_node
#(动态)控制洪水水位线,默认为95%。Elasticsearch对节点上分配了一个或多个碎片且至少有一个磁盘超过泛洪阶段的每个索引强制执行只读索引块(index.blocks.read_only_allow_delete)。此设置是防止节点耗尽磁盘空间的最后手段。当磁盘利用率低于高水位线时,索引块将自动释放。与低水位线值和高水位线值类似,也可以将其设置为比率值,例如0.95或绝对字节值。
cluster.routing.allocation.disk.watermark.flood_stage
#(动态)控制专用冻结节点的洪水水位线,默认为95%
cluster.routing.allocation.disk.watermark.flood_stage.frozen
#(动态)控制专用冻结节点的洪水水位线的最大净空。当cluster.routing.allocation.disk.watermark.flood_stage时,默认为20GB。未显式设置冻结。这将限制专用冻结节点上所需的可用空间量。
cluster.routing.allocation.disk.watermark.flood_stage.frozen.max_headroom
#(动态)Elasticsearch应该多久检查集群中每个节点的磁盘使用情况。默认为30秒。
cluster.info.update.interval
#(动态)将碎片分配给{attribute}至少有一个逗号分隔值的节点。
cluster.routing.allocation.include.{attribute}
#(动态)只将碎片分配给{attribute}包含所有逗号分隔值的节点。
cluster.routing.allocation.require.{attribute}
#(动态)不要将碎片分配给{attribute}具有任何逗号分隔值的节点。
cluster.routing.allocation.exclude.{attribute}
(五)索引管理配置
#(动态)如果索引尚不存在,则自动创建索引,并应用任何配置的索引模板。默认为true。
action.auto_create_index
#(动态)设置为true时,必须指定索引名称才能删除索引。不能使用_all或通配符删除所有索引。默认为true。
action.destructive_requires_name
#(动态)允许在Elasticsearch中关闭打开的索引。如果为false,则无法关闭打开的索引。默认为true。
cluster.indices.close.enable
#(静态)指定可以从远程重新索引的主机。应为主机:端口字符串的YAML数组。由逗号分隔的主机:端口条目列表组成。默认为[“\*.io:*”,“\*.com:*”]。
reindex.remote.whitelist
#(动态)如果为true,则启用内置索引和组件模板。Elastic Agent使用这些模板创建数据流。如果为false,则Elasticsearch将禁用这些索引和组件模板。默认为true。
stack.templates.enabled
(六)索引恢复配置
#限制每个节点的总入站和出站恢复流量。适用于对等恢复和快照恢复(即从快照恢复)。除非节点是专用的冷节点或冻结节点,否则默认值为40mb,在这种情况下,默认值与节点可用的总内存有关。
indices.recovery.max_bytes_per_sec
#(动态,专家)每次恢复并行发送的文件块数。默认为2。当单个碎片的恢复未达到indices.recovery.max_bytes_per_sec设置的流量限制时,可以将此设置的值增加到最多8。
indices.recovery.max_concurrent_file_chunks
#(动态,专家)每次恢复并行发送的操作数。默认为1。恢复期间并发重播操作可能会占用大量资源,可能会干扰集群中的索引、搜索和其他活动。在未仔细验证集群是否有可用资源来处理将导致的额外负载之前,请不要增加此设置。
indices.recovery.max_concurrent_operations
#(动态,专家)支持基于快照的对等恢复。Elasticsearch使用对等恢复过程恢复副本并重新定位主碎片,这涉及在目标节点上构建碎片的新副本。当指示恢复时。use_snapshots为false,Elasticsearch将通过从当前主目录传输索引数据来构建此新副本。如果此设置为true,则Elasticsearch将首先尝试从最近的快照中复制索引数据,如果无法识别合适的快照,则仅从主快照中复制数据。默认为true。
indices.recovery.use_snapshots
#(动态,专家级)每次恢复并行发送到目标节点的快照文件下载请求数。默认为5。在未仔细验证集群是否有可用资源来处理将导致的额外负载之前,请不要增加此设置。
indices.recovery.max_concurrent_snapshot_file_downloads
#(动态,专家级)在目标节点中为所有恢复并行执行的快照文件下载请求数。默认为25。在未仔细验证集群是否有可用资源来处理将导致的额外负载之前,请不要增加此设置。
indices.recovery.max_concurrent_snapshot_file_downloads_per_node
#节点上类似恢复的工作负载的绝对最大磁盘读取速度。如果已设置,则为node.bandwidth.recovery.disk。写入并节点.bandwidth.recovery。还必须设置网络。
node.bandwidth.recovery.disk.read
(七)监控配置
#是否开启监控。
xpack.monitoring.enabled
#是否开启监控数据的收集。
xpack.monitoring.collection.enabled
#控制采集数据样本的频率。默认为10秒。
xpack.monitoring.collection.interval
#控制是否应收集有关Elasticsearch群集的统计信息。默认为true。
xpack.monitoring.elasticsearch.collection.enabled
#收集群集统计信息的超时时间(以时间单位为单位)。默认为10秒。
xpack.monitoring.collection.cluster.stats.timeout
#收集节点统计信息的超时时间(以时间单位为单位)。默认为10秒。
xpack.monitoring.collection.node.stats.timeout
#控制监视功能从中收集数据的索引。默认为所有索引。将索引名称指定为逗号分隔的列表,例如test1、test2、test3。名称可以包含通配符,例如test*。可以通过在前面加上-来明确排除索引。例如,test*、-test3将监视以test开头的所有索引,test3除外。像.security*或.kibana*这样的系统索引总是以.开头,通常应该进行监视。考虑在索引列表中添加.*,以确保对系统索引进行监控。例如:.*、test*、-test3。
xpack.monitoring.collection.indices
#收集索引统计信息的超时,以时间单位表示。默认为10秒。
xpack.monitoring.collection.index.stats.timeout
#控制是否收集所有回收。设置为true以仅收集活动恢复。默认为false。
xpack.monitoring.collection.index.recovery.active_only
#收集恢复信息的超时,以时间单位表示。默认为10秒。
xpack.monitoring.collection.index.recovery.timeout
#以时间单位表示的保留时间,超过该时间后,监控导出器创建的索引将自动删除。默认为7d(7天)。此设置的最小值为1d(1天),以确保正在监视某些内容,并且不能将其禁用。
xpack.monitoring.history.duration
#支持带有版本的协议。有效协议:SSLv2Hello、SSLv3、TLSv1、TLSv1.1、TLSV2.2、TLSv1.3。如果JVM的SSL提供程序支持TLSv1.3,则默认值为TLSv13、TLSv 1.2、TLSv-1.1。否则,默认值为TSSv1.2、TLSv1.1。
xpack.monitoring.exporters.$NAME.ssl.supported_protocols
#控制证书的验证,默认值为full。
#full-它验证所提供的证书是否由可信机构(CA)签名,并验证服务器的主机名(或IP地址)是否与证书中标识的名称匹配。
#certificate-它验证所提供的证书是否由可信机构(CA)签名,但不执行任何主机名验证。
#none-它不执行服务器证书的验证。此模式禁用了SSL/TLS的许多安全优势,只有在仔细考虑后才能使用。它主要用作尝试解决TLS错误时的临时诊断机制;强烈反对将其用于生产集群。
xpack.monitoring.exporters.$NAME.ssl.verification_mode
#支持的密码套件因您使用的Java版本而异。
xpack.monitoring.exporters.$NAME.ssl.cipher_suites
##使用PEM编码的文件时,请使用以下设置。
#包含私钥的PEM编码文件的路径。如果需要HTTP客户端身份验证,则使用此文件。不能同时使用此设置和ssl.keystore.path。
xpack.monitoring.exporters.$NAME.ssl.key
#用于解密私钥的密码短语。由于密钥可能未加密,因此此值是可选的。不能同时使用此设置和ssl.secure_key_passphrase。
xpack.monitoring.exporters.$NAME.ssl.key_passphrase
#用于解密私钥的密码短语。由于密钥可能未加密,因此此值是可选的。
xpack.monitoring.exporters.$NAME.ssl.secure_key_passphrase
#指定与密钥关联的PEM编码证书(或证书链)的路径。仅当ssl时才能使用此设置。键已设置。
xpack.monitoring.exporters.$NAME.ssl.certificate
#应信任的PEM编码证书文件的路径列表。不能同时使用此设置和ssl.truststore.path。
xpack.monitoring.exporters.$NAME.ssl.certificate_authorities
##使用Java密钥库文件(JKS)时,其中包含应信任的私钥、证书和证书,请使用以下设置。
#包含私钥和证书的密钥库文件的路径。它必须是Java密钥库(jks)或PKCS#12文件。不能使用此设置和ssl.key。
xpack.monitoring.exporters.$NAME.ssl.keystore.path
#密钥库的密码。
xpack.monitoring.exporters.$NAME.ssl.keystore.password
#密钥库的密码。
xpack.monitoring.exporters.$NAME.ssl.keystore.secure_password
#密钥库中密钥的密码。默认值为密钥库密码。不能使用此设置和ssl.certificate_authorities。
xpack.monitoring.exporters.$NAME.ssl.keystore.key_password
#信任库的密码。不能使用此设置和ssl.truststore.secure_password。
xpack.monitoring.exporters.$NAME.ssl.truststore.password
#信任库的密码。
xpack.monitoring.exporters.$NAME.ssl.truststore.secure_password
##Elasticsearch可以配置为使用PKCS#12容器文件(.p12或.pfx文件),这些文件包含应该信任的私钥、证书和证书。PKCS#12文件的配置方式与Java密钥库文件相同。
#包含私钥和证书的密钥库文件的路径。它必须是Java密钥库(jks)或PKCS#12文件。不能使用此设置和ssl.key。
xpack.monitoring.exporters.$NAME.ssl.keystore.path
#密钥库文件的格式。它必须是jks或PKCS12。如果密钥库路径以“.p12”、“.pfx”或“.PKCS12”结尾,则此设置默认为PKCS12,否则默认为jks。
xpack.monitoring.exporters.$NAME.ssl.keystore.type
#密钥库的密码。
xpack.monitoring.exporters.$NAME.ssl.keystore.password
#密钥库的密码。
xpack.monitoring.exporters.$NAME.ssl.keystore.secure_password
#密钥库中密钥的密码。默认值为密钥库密码。不能使用此设置和ssl.certificate_authorities。
xpack.monitoring.exporters.$NAME.ssl.keystore.key_password
#将其设置为PKCS12,以指示信任库是PKCS#12文件。
xpack.monitoring.exporters.$NAME.ssl.truststore.type
#信任库的密码。不能使用此设置和ssl.truststore.secure_password。
xpack.monitoring.exporters.$NAME.ssl.truststore.password
#信任库的密码。
xpack.monitoring.exporters.$NAME.ssl.truststore.secure_password
(八)快照和还原配置
#并发快照操作的最大数目。默认为1000。此限制总共适用于所有正在进行的快照创建、克隆和删除操作。Elasticsearch将拒绝任何超过此限制的操作。
snapshot.max_concurrent_operations
#控制SLM是否将作为SLM策略一部分采取的操作的历史记录记录到SLM history-*索引中。默认为true。
slm.history_index_enabled
#控制保留任务的运行时间。可以是定期时间表或绝对时间表。支持cron调度程序支持的所有值。默认为每天凌晨1:30 UTC:0 30 1**?。
slm.retention_schedule
#限制SLM删除旧快照的时间。默认为1小时:1小时。
slm.retention_duration
#自上次成功快照以来,指示健康api中的策略存在问题的失败调用数。在五次重复失败后默认为健康api警告:5L。
slm.health.failed_snapshot_warn_threshold
#指定可以从中还原快照的只读URL存储库。
repositories.url.allowed_urls
(九)安全配置
##HTTP TLS/SSL settings
#用于启用或禁用HTTP网络层上的TLS/SSL,Elasticsearch使用该层与其他客户端通信。默认值为false。
xpack.security.http.ssl.enabled
#版本支持的协议。有效协议:SSLv2Hello、SSLv3、TLSv1、TLSv1.1、TLSV2.2、TLSv1.3。如果JVM的SSL提供程序支持TLSv1.3,则默认值为TLSv13、TLSv 1.2、TLSv-1.1。否则,默认值为TSSv1.2、TLSv1.1。
xpack.security.http.ssl.supported_protocols
#控制服务器从客户端连接请求证书的行为。有效值为必填、可选和无。required强制客户端提供证书,而optional请求客户端证书,但客户端不需要提供证书。默认为无。
xpack.security.http.ssl.client_authentication
#支持的密码套件因您使用的Java版本而异。
xpack.security.http.ssl.cipher_suites
###以下设置用于指定通过SSL/TLS连接进行通信时应使用的私钥、证书和可信证书。
##使用PEM编码的文件时,请使用以下设置。
#包含私钥的PEM编码文件的路径。不能同时使用此配置和ssl.keystore.path。
xpack.security.http.ssl.key
#用于解密私钥的密码短语。由于密钥可能未加密,因此此值是可选的。不能同时使用此配置和ssl.secure_key_passphrase。
xpack.security.http.ssl.key_passphrase
#用于解密私钥的密码短语。由于密钥可能未加密,因此此值是可选的。
xpack.security.http.ssl.secure_key_passphrase
#指定与密钥关联的PEM编码证书(或证书链)的路径。只有设置了ssl.key才能使用此配置。
xpack.security.http.ssl.certificate
#应信任的PEM编码证书文件的路径列表。不能同时使用此配置和ssl.truststore.path。
xpack.security.http.ssl.certificate_authorities
##使用Java密钥库文件(JKS)时,其中包含应信任的私钥、证书和证书,请使用以下设置:
#包含私钥和证书的密钥库文件的路径。它必须是Java密钥库(jks)或PKCS#12文件。不能同时使用此配置和ssl.key。
xpack.security.http.ssl.keystore.path
#密钥库的密码。
xpack.security.http.ssl.keystore.password
#密钥库的密码。
xpack.security.http.ssl.keystore.secure_password
#密钥库中密钥的密码。默认值为密钥库密码。不能同时使用此配置和ssl.keystore.secure_password。
xpack.security.http.ssl.keystore.key_password
#密钥库中密钥的密码。默认值为密钥库密码。
xpack.security.http.ssl.keystore.secure_key_password
#包含要信任的证书的密钥库的路径。它必须是Java密钥库(jks)或PKCS#12文件。不能同时使用此配置和ssl.certificate_authorities。
xpack.security.http.ssl.truststore.path
#信任库的密码。不能同时使用此配置和ssl.truststore.secure_password。
xpack.security.http.ssl.truststore.password
#信任库的密码。
xpack.security.http.ssl.truststore.secure_password
##Elasticsearch可以配置为使用PKCS#12容器文件(.p12或.pfx文件),这些文件包含应该信任的私钥、证书和证书。
#包含私钥和证书的密钥库文件的路径。它必须是Java密钥库(jks)或PKCS#12文件。不能同时使用此配置和ssl.key。
xpack.security.http.ssl.keystore.path
#密钥库文件的格式。它必须是jks或PKCS12。如果密钥库路径以“.p12”、“.pfx”或“.PKCS12”结尾,则此设置默认为PKCS12,否则默认为jks。
xpack.security.http.ssl.keystore.type
#密钥库的密码。
xpack.security.http.ssl.keystore.password
#密钥库的密码。
xpack.security.http.ssl.keystore.secure_password
#密钥库中密钥的密码。默认值为密钥库密码。不能同时使用此配置和ssl.keystore.secure_password。
xpack.security.http.ssl.keystore.key_password
#密钥库中密钥的密码。默认值为密钥库密码。
xpack.security.http.ssl.keystore.secure_key_password
#包含要信任的证书的密钥库的路径。它必须是Java密钥库(jks)或PKCS#12文件。不能同时使用此配置和ssl.certificate_authorities。
xpack.security.http.ssl.truststore.path
#将其设置为PKCS12,以指示信任库是PKCS#12文件。
xpack.security.http.ssl.truststore.type
#信任库的密码。不能同时使用此配置和ssl.truststore.secure_password。
xpack.security.http.ssl.truststore.password
#信任库的密码。
xpack.security.http.ssl.truststore.secure_password
##Transport TLS/SSL settings
#用于启用或禁用传输网络层上的TLS/SSL,这些节点用于相互通信。默认值为false。
xpack.security.transport.ssl.enabled
#版本支持的协议。有效协议:SSLv2Hello、SSLv3、TLSv1、TLSv1.1、TLSV2.2、TLSv1.3。如果JVM的SSL提供程序支持TLSv1.3,则默认值为TLSv13、TLSv 1.2、TLSv-1.1。否则,默认值为TSSv1.2、TLSv1.1。
xpack.security.transport.ssl.supported_protocols
#控制服务器从客户端连接请求证书的行为。有效值为必填、可选和无。required强制客户端提供证书,而optional请求客户端证书,但客户端不需要提供证书。默认为必填。
xpack.security.transport.ssl.client_authentication
#控制证书的验证。默认值为full。
xpack.security.transport.ssl.verification_mode、
#支持的密码套件因您使用的Java版本而异。
xpack.security.transport.ssl.cipher_suites
###以下设置用于指定通过SSL/TLS连接进行通信时应使用的私钥、证书和可信证书。必须配置私钥和证书。
##使用PEM编码的文件时,请使用以下设置。
#包含私钥的PEM编码文件的路径。不能同时使用此设置和ssl.keystore.path。
xpack.security.transport.ssl.key
#用于解密私钥的密码短语。由于密钥可能未加密,因此此值是可选的。不能同时使用此配置和ssl.secure_key_passphrase。
xpack.security.transport.ssl.key_passphrase
#用于解密私钥的密码短语。由于密钥可能未加密,因此此值是可选的。
xpack.security.transport.ssl.secure_key_passphrase
#指定与密钥关联的PEM编码证书(或证书链)的路径。只有设置了ssl.key才能使用此配置。
xpack.security.transport.ssl.certificate
#应信任的PEM编码证书文件的路径列表。不能同时使用此设置和ssl.truststore.path。
xpack.security.transport.ssl.certificate_authorities
##使用Java密钥库文件(JKS)时,其中包含应信任的私钥、证书和证书,请使用以下设置。
#包含私钥和证书的密钥库文件的路径。它必须是Java密钥库(jks)或PKCS#12文件。不能同时使用此配置和ssl.key。
xpack.security.transport.ssl.keystore.path
#密钥库的密码。
xpack.security.transport.ssl.keystore.password
#密钥库的密码。
xpack.security.transport.ssl.keystore.secure_password
#密钥库中密钥的密码。默认值为密钥库密码。不能同时使用此配置和ssl.keystore.secure_password。
xpack.security.transport.ssl.keystore.key_password
#密钥库中密钥的密码。默认值为密钥库密码。
xpack.security.transport.ssl.keystore.secure_key_password
#包含要信任的证书的密钥库的路径。它必须是Java密钥库(jks)或PKCS#12文件。不能同时使用此配置和ssl.certificate_authorities。
xpack.security.transport.ssl.truststore.path
#信任库的密码。不能同时使用此配置和ssl.truststore.secure_password。
xpack.security.transport.ssl.truststore.password
#信任库的密码。
xpack.security.transport.ssl.truststore.secure_password
##Elasticsearch可以配置为使用PKCS#12容器文件(.p12或.pfx文件),这些文件包含应该信任的私钥、证书和证书。
#包含私钥和证书的密钥库文件的路径。它必须是Java密钥库(jks)或PKCS#12文件。不能同时使用此配置和ssl.key。
xpack.security.transport.ssl.keystore.path
#密钥库文件的格式。它必须是jks或PKCS12。如果密钥库路径以“.p12”、“.pfx”或“.PKCS12”结尾,则此设置默认为PKCS12,否则默认为jks。
xpack.security.transport.ssl.keystore.type
#密钥库的密码。
xpack.security.transport.ssl.keystore.password
#密钥库的密码。
xpack.security.transport.ssl.keystore.secure_password
#密钥库中密钥的密码。默认值为密钥库密码。不能同时使用此配置和ssl.keystore.secure_password。
xpack.security.transport.ssl.keystore.key_password
#密钥库中密钥的密码。默认值为密钥库密码。
xpack.security.transport.ssl.keystore.secure_key_password
#包含要信任的证书的密钥库的路径。它必须是Java密钥库(jks)或PKCS#12文件。不能同时使用此配置和ssl.certificate_authorities。
xpack.security.transport.ssl.truststore.path
#将其设置为PKCS12,以指示信任库是PKCS#12文件。
xpack.security.transport.ssl.truststore.type
#信任库的密码。不能同时使用此配置和ssl.truststore.secure_password。
xpack.security.transport.ssl.truststore.password
#信任库的密码。
xpack.security.transport.ssl.truststore.secure_password
##您可以为IP筛选配置以下设置。
#要允许的IP地址列表。
xpack.security.transport.filter.allow
#要拒绝的IP地址列表。
xpack.security.transport.filter.deny
#仅允许HTTP使用的IP地址列表。
xpack.security.http.filter.allow
#仅为HTTP拒绝的IP地址列表。
xpack.security.http.filter.deny
#允许此配置文件使用的IP地址列表。
transport.profiles.$PROFILE.xpack.security.filter.allow
#要拒绝此配置文件的IP地址列表。
transport.profiles.$PROFILE.xpack.security.filter.deny
(十)JVM配置
#最大堆内存
-Xmx4g
#初始化堆内存大小
-Xms4g