CoreOS 文档指出,在设置 ectd 时addr,peer-addr如果集群没有可用的私有网络,则应使用 $public_ipv4 而不是 $private_ipv4。这完全说得通,但我不清楚这种选择的含义是什么。想必节点之间的通信仍然可以通过公共地址得到适当的保护?鉴于私有地址限制一个人将来只能在同一私有网络中添加节点,使用私有地址有什么优势?这在连接的安全性方面有所不同,还是仅仅是性能/速度问题?
答案1
默认情况下,etcd 是完全开放的。任何人都可以读取/写入密钥。
可以通过防火墙提高安全性,即只允许您定义的服务器访问您的 etcd 集群,或者在 EC2 中您可以使用安全组。这更好,但不能阻止某人窥探您的流量和读取您的配置。
如果你想完全隐藏 etcd 以防止窥探,并通过客户端证书提供一定程度的身份验证,那么这是支持的,请参阅使用 HTTPS 进行传输安全