安全考量

生产网段隔离 + Pigsty默认的权限模型通常足以满足一般安全要求

Pigsty依赖的工作假设是,部署位于内网工作环境。

如果您在带有公网IP网卡的机器上安装部署Pigsty,需要特别注意网络防火墙相关配置。

通常建议您开启外网网卡上的防火墙进行端口过滤,只允许 80 端口的Web服务入站流量,请尽可能避免直接通过公网端口使用数据库。

依赖内网网络安全,辅以Pigsty默认的权限模型,通常足以满足一般安全要求。

通常不建议您自行折腾CA,SSL,除非您真的知道自己在做什么。

网络安全

  • 确保生产网段与开发、公网隔离
  • 确保元节带有合理的访问控制机制(严格限制仅DBA可登录)

数据库安全

元数据安全

  • 限制Consul UI界面访问权限
  • 限制ETCD访问
  • 为Consul启用SSL
  • 为ETCD启用SSL

最后修改 2022-05-27: init commit (1e3e284)