Elasticsearch 索引删除保护：禁用索引删除的多种方法

1. 修改elasticsearch.yml主配置文件

在elasticsearch.yml中添加以下配置可以全局限制删除操作：

# 禁止使用通配符或_all删除索引
action.destructive_requires_name: true

# 禁止删除索引的API
xpack.security.authc.realms.native.order: 1
xpack.security.transport.ssl.enabled: true

2. 使用只读模式全局设置

在elasticsearch.yml中添加：

# 使整个集群只读(谨慎使用，会影响所有索引)
cluster.blocks.read_only: true

3. 通过JVM选项设置

在jvm.options文件中添加：

-Des.action.destructive_requires_name=true

4. 配置文件层级说明

Elasticsearch的配置优先级为：

1. 动态集群设置(通过API)
2. elasticsearch.yml
3. 默认配置

5. 生产环境推荐配置组合

# elasticsearch.yml中的推荐安全配置
action.destructive_requires_name: true
cluster.indices.close.enable: false

重要注意事项

1. 配置生效方式：

   • 需要重启节点才能使elasticsearch.yml的修改生效
   • 不是所有设置都支持通过配置文件修改

2. 替代方案建议：

   • 对于生产环境，更推荐使用动态集群设置(无需重启)：

     PUT /_cluster/settings
     {
       "persistent": {
         "action.destructive_requires_name": true
       }
     }
     

3. 权限控制优先：

   • 结合X-Pack/RBAC权限系统控制删除权限更安全
   • 在elasticsearch.yml中启用安全功能：

     xpack.security.enabled: true
     

4. 配置文件位置：

   • 通常位于/etc/elasticsearch/elasticsearch.yml(Linux)
   • 或ES_HOME/config/elasticsearch.yml

修改配置文件后，必须重启Elasticsearch服务才能使更改生效。对于生产环境，建议先在测试环境验证配置效果。