ETCD 的运维

查看原文

本文是 Kubernetes 关于如何运维 etcd 的文档。

  • 生产环境建议使用五个节点,需要启动 etcd, 可以在外面套一层 load balancer
  • 由于访问 etcd 数据相当于得到了 k8s 集群的所有核心数据,所以通讯层需要做 tls 加密:使用 peer.key / peer.cert 在节点成员通讯时加密,使用 client.key/ client.cert 在与客户端通讯时加密。
    • 可以通过 --trusted-ca-file / --client-cert-auth=true 限制只有 k8s api server 允许访问 etcd 数据。
  • 节点失效可以通过 etcdctl member remove / etcdctl add memberN --peer-urls=... 在运行时替换进新的节点配置。调整完 cluster 后,在启动新的节点。
  • 通过 etcdctl snapshot save 或者直接复制目录下的数据进行备份。