Документация CoreOS указывает, что при настройке ectd следует использовать $ public_ipv4 вместо $ private_ipv4 addr и peer-addr если для кластера нет частной сети. Это имеет смысл, но я не понимаю, каковы последствия этого выбора. Предположительно связь между узлами все еще может быть надежно защищена через публичный адрес? Учитывая, что частный адрес ограничивает добавление узлов в одну и ту же частную сеть в будущем, какие преимущества дает использование частного адреса? Отличается ли это с точки зрения безопасности соединения или просто проблемами производительности / скорости?
По умолчанию etcd полностью открыт. Ключи может читать / записывать кто угодно.
Безопасность можно повысить с помощью брандмауэра, то есть разрешить доступ к кластеру etcd только тем серверам, которым вы определяете, или в EC2 вы можете использовать группы безопасности. Это лучше, но это не мешает кому-либо отслеживать ваш трафик и читать вашу конфигурацию.
Если вы хотите полностью скрыть etcd от посторонних глаз, а также обеспечить уровень аутентификации с помощью клиентских сертификатов, это поддерживается, см. Транспортная безопасность с HTTPS