6
여러 데이터 센터에서 etcd를 사용하는 것이 안전합니까? etcd 포트를 공개 인터넷에 노출하면. 이 경우 클라이언트 인증서를 사용해야합니까, 아니면 etcd에 일종의 인증이 있습니까?여러 데이터 센터에서 etcd를 사용하는 것이 안전합니까?
A
답변
11
네,하지만 당신이 해결해야 할 두 가지 큰 문제가 있습니다
보안. 이것은 모두 당신이 etcd에 저장하고있는 정보의 타입에 달려있다. 포인트 투 포인트 VPN을 사용하는 것이 전체 클러스터를 인터넷에 노출시키는 것보다 선호됩니다. 클라이언트 인증서도 사용할 수 있습니다.
튜닝. etcd는 aliveness와 consensus의 두 가지를 위해 기계 간의 복제에 의존합니다. 성공적인 쓰기가 성공하기 전에 대다수의 클러스터에 커밋되어야하므로 머신 간의 거리가 멀어 질수록 쓰기 성능이 떨어집니다. Aliveness는 기계 간의주기적인 하트 비트로 측정됩니다. 기본적으로 etcd는 로컬 네트워크에서 실행중인 베어 메탈 서버에 최적화 된 상당히 공격적인 50ms 하트 비트 타임 아웃을 가지고 있습니다. 이 시간 종료 값을 조정하지 않으면 클러스터는 회원이 사라 졌다고 자주 생각하고 잦은 선거를 실시합니다. 두 환경이 가변 네트워크 에 더하여 디스크 쓰기 (이중 whammy)를 통과하는 클라우드 공급자에 있으면 더 심각해집니다. etcd 조정에
상세 정보 : https://coreos.com/docs/cluster-management/debugging/etcd-tuning/