etcd 集群配置分析
etcd 集群配置分析
一、集群概览
| 项目 | 信息 |
|---|---|
| 运行环境 | Kubernetes |
| etcd 版本 | 3.5.6 |
| 集群规模 | 3 节点 |
| 认证方式 | 双向 TLS 证书认证 (mTLS) |
集群节点列表
| 节点名称 | 命名空间 | 状态 |
|---|---|---|
| etcd-node1 | kube-system | Running |
| etcd-node2 | kube-system | Running |
| etcd-node3 | kube-system | Running |
二、安全配置分析
2.1 证书认证配置
客户端证书认证(Client Auth):
| 参数 | 配置值 | 说明 |
|---|---|---|
--client-cert-auth | true | 启用���户端证书认证 |
--cert-file | /etc/kubernetes/pki/etcd/server.crt | 服务器证书路径 |
--key-file | /etc/kubernetes/pki/etcd/server.key | 服务器私钥路径 |
--trusted-ca-file | /etc/kubernetes/pki/etcd/ca.crt | CA 证书路径 |
节点间证书认证(Peer Auth):
| 参数 | 配置值 | 说明 |
|---|---|---|
--peer-client-cert-auth | true | 启用节点间证书认证 |
--peer-cert-file | /etc/kubernetes/pki/etcd/peer.crt | Peer 证书路径 |
--peer-key-file | /etc/kubernetes/pki/etcd/peer.key | Peer 私钥路径 |
--peer-trusted-ca-file | /etc/kubernetes/pki/etcd/ca.crt | CA 证书路径 |
2.2 TLS 加密套件
配置了以下高强度加密套件:
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_CHACHA20_POLY13052.3 通信协议
| 通信类型 | 协议 | 示例地址 |
|---|---|---|
| 客户端通信 | HTTPS | https://<NODE_IP>:2379 |
| 节点间通信 | HTTPS | https://<NODE_IP>:2380 |
| Metrics | HTTP | http://127.0.0.1:2381 |
三、完整启动参数
etcd\--advertise-client-urls=https://<NODE_IP>:2379\--auto-compaction-mode=periodic\--auto-compaction-retention=1h\--cert-file=/etc/kubernetes/pki/etcd/server.crt\--client-cert-auth=true\--data-dir=/opt/<DATA_DIR>/etcd\--election-timeout=5000\--enable-v2=false\--experimental-initial-corrupt-check=true\--heartbeat-interval=500\--initial-advertise-peer-urls=https://<NODE_IP>:2380\--initial-cluster=node1=https://<NODE1_IP>:2380,node2=https://<NODE2_IP>:2380,node3=https://<NODE3_IP>:2380\--key-file=/etc/kubernetes/pki/etcd/server.key\--listen-client-urls=https://127.0.0.1:2379,https://<NODE_IP>:2379\--listen-metrics-urls=http://127.0.0.1:2381\--listen-peer-urls=https://<NODE_IP>:2380\--name=node1\--peer-cert-file=/etc/kubernetes/pki/etcd/peer.crt\--peer-client-cert-auth=true\--peer-key-file=/etc/kubernetes/pki/etcd/peer.key\--peer-trusted-ca-file=/etc/kubernetes/pki/etcd/ca.crt\--quota-backend-bytes=8589934592\--snapshot-count=10000\--trusted-ca-file=/etc/kubernetes/pki/etcd/ca.crt四、存储与性能配置
| 参数 | 配置值 | 说明 |
|---|---|---|
--quota-backend-bytes | 8589934592 (8GB) | 数据库最大容量 |
--snapshot-count | 10000 | 快照触发阈值 |
--auto-compaction-mode | periodic | 自动压缩模式 |
--auto-compaction-retention | 1h | 压缩保留时间 |
--election-timeout | 5000ms | 选举超时时间 |
--heartbeat-interval | 500ms | 心跳间隔 |
五、健康检查配置
livenessProbe:httpGet:host:127.0.0.1path:/healthport:2381scheme:HTTPfailureThreshold:8initialDelaySeconds:10periodSeconds:10timeoutSeconds:15startupProbe:httpGet:host:127.0.0.1path:/healthport:2381failureThreshold:24六、认证方式说明
用户账号 vs 证书认证
| 检查项 | 状态 | 说明 |
|---|---|---|
etcdctl user list | 空 | 未配置用户账号 |
| 证书认证 (mTLS) | 已启用 | 通过客户端证书验证身份 |
结论
该 etcd 集群采用双向 TLS 证书认证 (mTLS)方式进行身份验证:
- 客户端访问:必须提供有效的客户端证书
- 节点间通信:使用 Peer 证书进行双向认证
- 数据传输:全程 HTTPS 加密
安全性评估:符合 Kubernetes 生产环境最佳实践,无需额外配置用户账号。
七、运维命令参考
使用证书访问 etcd 集群:
# 设置环境变量exportETCDCTL_CACERT=/etc/kubernetes/pki/etcd/ca.crtexportETCDCTL_CERT=/etc/kubernetes/pki/etcd/server.crtexportETCDCTL_KEY=/etc/kubernetes/pki/etcd/server.keyexportETCDCTL_ENDPOINTS=https://127.0.0.1:2379# 常用命令etcdctl endpoint status -w table etcdctl member list -w table etcdctl endpoint health或在 Kubernetes 中通过 kubectl 执行:
kubectlexec-n kube-system etcd-<NODE_NAME>--\etcdctl --cacert=/etc/kubernetes/pki/etcd/ca.crt\--cert=/etc/kubernetes/pki/etcd/server.crt\--key=/etc/kubernetes/pki/etcd/server.key\endpoint status -w table文档生成时间:2026-02-24