跨多个数据中心使用etcd是否安全?

时间:2014-09-27 14:31:16

标签: coreos etcd

跨多个数据中心使用etcd是否安全?因为它将etcd端口暴露给公共互联网。 在这种情况下我是否必须使用客户端证书,或者etcd有某种身份验证?

1 个答案:

答案 0 :(得分:13)

是的,但您需要解决两个大问题:

  1. 安全。这一切都取决于您在etcd中存储的信息类型。使用点对点VPN可能比将整个群集暴露给互联网更受欢迎。也可以使用客户端证书。

  2. 调整。 etcd依赖于机器之间的复制,有两件事,活力和共识。由于成功写入必须在成功返回之前提交给大多数群集,因此随着计算机之间距离的增加,写入性能将下降。通过机器之间的周期性心跳来测量活动度。默认情况下,etcd具有相当激进的50ms心跳超时,该超时针对在本地网络上运行的裸机服务器进行了优化。如果不调整此超时值,您的群集将不断认为成员已经消失并触发频繁的主选举。如果您的两个环境都位于具有可变网络 plus 磁盘写入遍历网络的云提供商上,则会变得更糟,这是一个双重打击。

    3. 有关etcd调整的更多信息:https://coreos.com/docs/cluster-management/debugging/etcd-tuning/

相关问题
最新问题