查看原文

本文是 Kubernetes 关于如何运维 etcd 的文档。

• 生产环境建议使用五个节点，需要启动 etcd, 可以在外面套一层 load balancer
• 由于访问 etcd 数据相当于得到了 k8s 集群的所有核心数据，所以通讯层需要做 tls 加密：使用 peer.key / peer.cert 在节点成员通讯时加密，使用 client.key/ client.cert 在与客户端通讯时加密。
  • 可以通过 --trusted-ca-file / --client-cert-auth=true 限制只有 k8s api server 允许访问 etcd 数据。
• 节点失效可以通过 etcdctl member remove / etcdctl add memberN --peer-urls=... 在运行时替换进新的节点配置。调整完 cluster 后，在启动新的节点。
• 通过 etcdctl snapshot save 或者直接复制目录下的数据进行备份。