tikv知道哪些端口需要全开放,哪些可以限制ip
我看到了这个,但不知道哪些需要对外通信,哪些就我部署的ip之间进行通信就行
如果要远程,TiDB默认4000对外就可以,其余都不用对外。如果不远程连接,就都不需要。
保险一点是前面加个负载,外网访问负载,负载连接具体tidb。这样就不用暴露集群ip和端口了。
1 个赞
我写数据主要是tikv,tidb只是tikv有一个apiversion2需要用到tidb
我理解在rawkv模式下,pd要开放2379,tikv要开放20160给你的应用使用。
但这两个端口最好不要开给外网,原因很简单——rawkv模式没有用户鉴权。其他人只要用对了客户端很容易通过端口访问你的tikv集群。如果在里面乱读乱改,那就乱套了。
最好是只在内网开给你们应用所在的网段就行了。
你的应用能访问外网就行了。
另外,我找 @Billmay表妹 确认了一下rawkv模式现在社区比较难支持。如果目前面临的技术难题多,最好慎重考虑一下。不应该硬着头皮上的。
当然如果你能趟过这些难关,我也希望你能写文章分享一下,是社区急需的方案和智慧。
1 个赞
虽然没有用户鉴权,但不是有证书的嘛
1 个赞
对,这确实是一种保护。
对外主要tikv 端口
对外访问的,主要tidb 对外连接的端口,pd dashboard监控访问端口,grafana监控访问端口。主要这三个。其它大部分都是tidb分布式数据库集群内部之间的通信端口。
最好将所有需要外部访问的ip清单也梳理出来,统一限制访问,这样更安全。
此话题已在最后回复的 7 天后被自动关闭。不再允许新回复。