有同学咨询,在使用Elasticsearch时,出现WARN提示信息的,如何解决这个问题?如果不影响使用的话,是否可以隐藏掉这个警告信息呢?
警告信息如下:
[WARN][org.elasticsearch.entitlement.runtime.policy.PolicyManager.repository-s3.ALL-UNNAMED.software.amazon.awssdk.profiles] [localhost] Not entitled: component [repository-s3], module [ALL-UNNAMED], class [class software.amazon.awssdk.profiles.ProfileFileLocation], entitlement [file], operation [read], path /home/<acct>/.aws/credentials
org.elasticsearch.entitlement.runtime.api.NotEntitledException: component [repository-s3], module [ALL-UNNAMED], class [class software.amazon.awssdk.profiles.ProfileFileLocation], entitlement [file], operation [read], path /home/<acct>/.aws/credentials故障分析
经过丁老师分析,这个警告信息是Elasticsearch的权限管控(Entitlement)机制阻止了S3仓库插件读取亚马逊AWS凭证文件,原因是当ES检测到repository-s3组件后尝试读取 /home/<acct>/.aws/credentials 文件,但未授予文件读取权限,导致抛出NotEntitledException。由于Elasticsearch从8.x版本开始引入了Entitlement(权限授权) 机制,用于严格管控内置和第三方组件对系统资源的访问,目的是提升安全性。
问题解决
该故障有4种解决方式,具体如下:
解决方式一:通过ES配置放行S3凭证文件读取权限(推荐)
修改Elasticsearch的配置文件(elasticsearch.yml),授予repository-s3组件读取AWS凭证文件的权限:
# 1.放行repository-s3读取.aws/credentials文件的权限
entitlement:
repository-s3:
file:
read:
paths:
- "/home/<acct>/.aws/credentials" #替换为你的实际凭证文件路径
- "/home/<acct>/.aws/config" #可选:若用到 config 文件也放行
# 2.确保S3仓库插件已启用
plugin.mandatory: repository-s3修改后重启Elasticsearch即可。
解决方式二:将AWS凭证配置到ES的S3仓库中,绕过文件读取
如果不想修改ES权限配置,可在创建S3仓库时指定AWS 凭证,避开文件读取权限问题:
#通过ES API创建S3仓库(替换为你的实际信息)
PUT /_snapshot/my_s3_repository
{
"type": "s3",
"settings": {
"bucket": "your-s3-bucket-name", #你的S3桶名
"region": "us-east-1", # 你的S3区域
"access_key": "your-aws-access-key", #AWS AccessKey
"secret_key": "your-aws-secret-key", #AWS SecretKey
"base_path": "es-backups" #可选:S3中的备份路径
}
}注意:这种方式会将AWS凭证明文存储在ES配置中,生产环境需配合ES的加密功能,避免凭证泄露。
解决方式三:使用IAM角色,无凭证文件,适合云环境
如果ES部署在亚马逊AWS EC2/EKS等云环境中,可给ES的实例绑定IAM角色,这样repository-s3插件会自动通过IAM角色获取权限,无需读取~/.aws/credentials 文件,从根源避免权限问题
实现方式:
1.在AWS IAM中创建角色,添加S3访问权限;
2.将角色绑定到ES所在的EC2实例/EKS Pod;
3.创建S3仓库时不指定access_key/secret_key,ES会自动使用IAM角色:
PUT /_snapshot/my_s3_repository
{
"type": "s3",
"settings": {
"bucket": "your-s3-bucket-name",
"region": "us-east-1",
"base_path": "es-backups",
"role_arn": "arn:aws:iam::123456789012:role/ES-S3-Access-Role"# 你的IAM角色ARN
}
}解决方式四:彻底隐藏WARN信息
在modules/repository-s3/src/main/config/log4j2.properties中设置
logger.entitlements_repository_s3.name = org.elasticsearch.entitlement.runtime.policy.PolicyManager.repository-s3.ALL-UNNAMED
logger.entitlements_repository_s3.level = error就会隐藏该WARN信息,不影响基本功能的使用。
dedecms cookies泄漏导致SQL漏洞 inc_archives_functions.php 的解决方法
问题:在html中,如果checkbox为已选状态,进入下一个页面后再点后退时,该checkbox还是为已选中状态,但是依赖该checkbox选中后的事件却无法执行。解决:这种情况下,对checkbox的input设置autocompl...
TinyMCE编辑器,是一款轻量级的的网页内容编辑器,支持html,vue,react等前端架构。调用方法也非常简单,引入js文件,在textarea上设置id,然后调用方法即可:<scripttinymce.init({ sel...
pdf添加水印,可以使用专业的pdf工具,如Adobe Acrobat、福昕PDF阅读器等,支持文字和图片形式的添加水印,支持透明度设置、水印位置设置等。图片添加水印,可以使用photoshop软件,但是photoshop太大了,而且使...
CI框架是一款很小却又非常强大的PHP程序框架,非常适合用来搭建中小型网站以及扩展程序。有同学问到,在使用CI框架时,比如要对全站的标题、公司信息、电话等设置一个全局变量,不用每个页面都写死,该怎么办呢?丁老师来教你:1.打开页面的控制器文...
在使用uniapp开发的小程序内,打开图片,长按没有弹出菜单,无法扫码,此时只需在图片上加入show-menu-by-longpress即可完整代码:<image :src="picture" mode="...
在使用PHP框架CI时,有个很恶心的地方就是他的URL需要带上index.php,比如我要建一个user模块,想要实现www.xxx.com/user/的效果,但是在CI框架下必须要www.xxx.com/index.php/user这样才...
宝塔面板的phpmyadmin,默认数据库表导航树是每30个一页,非常的不直观,可以通过修改宝塔phpmyadmin配置文件的方式来禁止他分页。修改方法:1.进入服务器/www/server/phpmyadmin/phpmyadmin_随机...
