CoreOS и т. Д. Более $public_ipv4 против $private_ipv4: производительность, различия в безопасности?
Документация CoreOS указывает, что при настройке ectd следует использовать $ public_ipv4 вместо $ private_ipv4 addr
а также peer-addr
если для кластера нет частной сети. Это имеет смысл, но мне не ясно, каковы последствия этого выбора. Предположительно, связь между узлами все еще может быть надлежащим образом защищена через публичный адрес? Учитывая, что частный адрес ограничивает один только добавлением узлов в той же частной сети в будущем, какое преимущество имеет использование частного адреса? Различается ли это с точки зрения безопасности соединения или только из-за проблем производительности / скорости?
1 ответ
По умолчанию etcd полностью открыт. Ключи могут быть прочитаны / написаны кем угодно.
Безопасность можно улучшить с помощью брандмауэра, т. Е. Разрешая доступ только тем серверам, которые вы определяете, к вашему кластеру etcd, или в EC2 вы можете использовать группы безопасности. Это лучше, но не мешает кому-то отслеживать ваш трафик и читать вашу конфигурацию.
Если вы хотите полностью скрыть etcd от посторонних глаз, а также обеспечить уровень аутентификации через клиентские сертификаты, то это поддерживается, см. Безопасность транспорта с HTTPS.