跨多个数据中心使用etcd是否安全?因为它将etcd端口暴露给公共互联网.在这种情况下我是否必须使用客户端证书或者etcd有某种授权?
Rob*_*Rob 15
是的,但是您需要解决两个大问题:
安全.这一切都取决于您在etcd中存储的信息类型.使用点对点VPN可能比将整个群集暴露给互联网更受欢迎.也可以使用客户端证书.
调整.etcd依赖于机器之间的复制,有两件事,活力和共识.由于成功写入必须在成功返回之前提交给大多数群集,因此随着计算机之间距离的增加,写入性能将下降.通过机器之间的周期性心跳来测量活动度.默认情况下,etcd具有相当激进的50ms心跳超时,该超时针对在本地网络上运行的裸机服务器进行了优化.如果不调整此超时值,您的群集将不断认为成员已经消失并触发频繁的主选举.如果您的两个环境都在具有可变网络的云提供商以及遍历网络的磁盘写入,这会变得更糟,这是一个双重打击.
关于etcd调优的更多信息:https://coreos.com/docs/cluster-management/debugging/etcd-tuning/
| 归档时间: |
|
| 查看次数: |
4100 次 |
| 最近记录: |