kubernetes集群的重要数据都存在etcd集群中,比如token,secret,config等;etcd集群如果被攻破,可瞬间造成容器集群瘫痪,企业应该如何最大限度的保障etcd集群的安全?
收起部署 etcd 集群的各个节点应该被授予最小的访问权限,同时还要尽量避免这些节点被用作其他用途。另外etcd 对数据的读写要求很高,这里磁盘最好是 SSD 类型。
etcd 集群要配置双向TLS认证(mTLS),用于Etcd 各个节点之间的通信。同时 APIServer 对 etcd 集群的访问最好也要基于mTLS。通过 Kubeadm 搭建出来的集群,默认已经采取这种配置方式。