跨多个数据中心使用etcd安全吗？

Question

跨多个数据中心使用etcd安全吗？因为它将etcd端口公开到公共互联网上。在这种情况下，我必须使用客户端证书还是etcd具有某种身份验证？

Answer 1

是的，但有两大问题你需要解决：

1. 安全系统。这都取决于您在etcd中存储的信息类型。使用点到点VPN可能比将整个集群暴露给internet更可取。也可以使用客户端证书。
2. 调音。etcd依赖于机器之间的复制来实现两件事，即活跃性和一致性。由于成功的写必须提交到集群的大部分，才能返回成功，您的写性能将随着机器之间的距离的增加而下降。活跃度用机器之间的周期性心跳来测量。默认情况下，etcd具有相当激进的50 is心跳超时，这是针对本地网络上运行的裸金属服务器进行优化的。如果不调优这个超时值，您的集群将不断认为成员已经消失，并触发频繁的主选举。如果您的两个环境都位于具有可变网络的云提供商上，再加上遍历网络的磁盘写入，则情况会变得更糟，这是一种双重打击。

有关etcd调优的更多信息：https://etcd.io/docs/latest/tuning/