CoreOS文档指出,如果没有专用networking可用于群集,则应使用$ public_ipv4而不是$ private_ipv4来设置ectd addr和peer-addr 。 这很有道理,但我不清楚这个select的含义是什么。 据推测,节点之间的通信仍然可以通过公共地址进行适当的保护? 假设一个私有地址限制一个将来在同一个私有networking中只添加节点,使用这个私有地址有什么好处? 这是否在连接的安全性或性能/速度问题方面有所不同?
默认情况下,etcd是完全打开的。 钥匙可以被任何人读取/写入。
通过防火墙可以提高安全性,即只允许那些定义访问您的etcd集群的服务器,或者在EC2中可以使用安全组。 这样比较好,但是不会阻止某些人窥探你的stream量并阅读你的configuration。
如果您想要完全隐藏etcd,并通过客户端证书提供一定级别的身份validation,则可以使用此function,请参阅使用HTTPS的传输安全