一聚教程网:一个值得你收藏的教程网站

最新下载

热门教程

Keepalived 集群节点间如何配置加密通信

时间:2026-07-14 09:12:52 编辑:袖梨 来源:一聚教程网

Keepalived 不支持加密通信,VRRP 报文始终明文传输,auth_pass 仅作简单校验且明文暴露;提升安全需依赖外部手段:限制组播/单播范围、启用单播、隔离心跳网络、强化防火墙与基础配置。

Keepalived 本身不提供加密通信能力,VRRP 协议报文始终以明文方式传输,包括认证字段(如 auth_pass)也仅做简单校验,不加密。所谓“加密通信”在 Keepalived 中并不存在官方实现,它不支持 TLS、IPsec 加密隧道或任何链路层/网络层加密机制

实际能做的,是通过外部手段增强通信安全性,而非在 Keepalived 配置内开启加密开关。

Keepalived 认证 ≠ 加密通信

  • authentication { auth_type PASS; auth_pass ... } 仅用于防止非法节点伪造 VRRP 报文加入集群,属于身份校验机制
  • 密码明文写在配置中,8 字符内有效,超出被截断,且在网络中以明文形式出现在 VRRP 报文的认证字段里;
  • 官方明确说明:PASS 认证不加密通信,HA(IPSEC-AH)方式已基本弃用,且需底层内核和网络设备支持,生产环境不可靠。

提升通信安全的实际做法

  • 限制组播/单播报文可达范围

    • 在交换机侧 ACL 限制 224.0.0.18 组播流量仅在集群节点间转发;
    • 或在主机防火墙(如 iptables / nftables)放行且仅允许集群节点 IP 互访 VRRP 端口(协议号 112)。
  • 改用单播替代默认组播
    避免广播域内任意设备嗅探 VRRP 流量:

    unicast_src_ip 192.168.10.10unicast_peer {    192.168.10.11    192.168.10.12}

    配合防火墙规则,只允许列表内 IP 发送/接收 VRRP 报文。

  • 隔离心跳网络
    使用专用物理网卡(如 ens33)承载 VRRP 通信,与业务、管理网络分离,减少暴露面。

  • 强化基础防护

    • 关闭非必要接口的 VRRP 响应(确保 interface 指向正确网卡);
    • 禁用 vrrp_strict 模式时注意风险(该模式会拒绝非标准 VRRP 包,但可能影响兼容性);
    • 定期轮换 auth_pass,避免长期使用弱口令(如 1111password)。

不复杂但容易忽略

热门栏目