详细记录etcd服务启动的各个参数
etcd_1">1、etcd成员相关的配置项
--name 'default' 为该成员指定一个易读的名称。--data-dir '${name}.etcd' 数据存储目录的路径。--wal-dir '' 用于存放专用WAL(Write-Ahead Log)的目录路径。--snapshot-count '100000' 触发快照到磁盘的已提交事务数量。--heartbeat-interval '100' 心跳间隔时间(毫秒)。--election-timeout '1000' 选举超时时间(毫秒)。详见调优文档。--initial-election-tick-advance 'true' 是否在启动时加速初始选举计时,从而加快选举速度。--listen-peer-urls 'http://localhost:2380' 用于监听对等节点流量的URL列表。--listen-client-urls 'http://localhost:2379' 用于监听客户端 gRPC 和 HTTP 流量的 URL 列表(当未指定 --listen-client-http-urls 时生效)。--listen-client-http-urls '' 仅用于 HTTP 客户端流量的 URL 列表。启用此标志会将 HTTP 服务从 --listen-client-urls 中移除。--max-snapshots '5' 保留的最大快照文件数量(0表示不限制)。--max-wals '5' 保留的最大WAL文件数量(0表示不限制)。--quota-backend-bytes '0' 当后端大小超过给定配额时触发警报(0表示使用默认低空间配额)。--backend-bbolt-freelist-type 'map' 指定Boltdb后端使用的freelist类型(支持 array 和 map 类型)。--backend-batch-interval '' 提交后端事务前的最大时间间隔。--backend-batch-limit '0' 提交后端事务前的最大操作数。--max-txn-ops '128' 每个事务允许的最大操作数。--max-request-bytes '1572864' 服务器可接受的客户端请求的最大字节数。--grpc-keepalive-min-time '5s' 客户端在发送ping请求前应等待的最短时间间隔。--grpc-keepalive-interval '2h' 服务器向客户端发送ping以检查连接是否存活的频率(0表示禁用)。--grpc-keepalive-timeout '20s' 在关闭无响应连接前的额外等待时间(0表示禁用)。--socket-reuse-port 'false' 启用后允许监听器设置SO_REUSEPORT选项,支持对已使用端口的重新绑定。--socket-reuse-address 'false' 启用后允许监听器设置SO_REUSEADDR选项,支持绑定处于TIME_WAIT状态的地址。2、Etcd集群引导和发现配置参数
--initial-advertise-peer-urls 'http://localhost:2380' 向集群中其他成员宣传的该节点的对等节点URL列表。--initial-cluster 'default=http://localhost:2380' 引导时的初始集群配置。--initial-cluster-state 'new' 初始集群状态('new'表示新集群,'existing'表示已有集群)。--initial-cluster-token 'etcd-cluster' 引导期间用于etcd集群的初始集群令牌。 指定该令牌可防止在运行多个集群时出现意外的跨集群交互。--advertise-client-urls 'http://localhost:2379' 向外部公开宣传的该节点的客户端URL列表。 这些URL应可供与etcd集群通信的机器访问,etcd客户端库会解析这些URL以连接到集群。--discovery '' 用于集群引导的发现URL。--discovery-fallback 'proxy' 当发现服务失败时的预期行为('exit'或'proxy')。 'proxy'仅支持v2 API。--discovery-proxy '' 访问发现服务时使用的HTTP代理。--discovery-srv '' 用于引导集群的DNS SRV域。--discovery-srv-name '' 引导时查询的DNS SRV名称后缀。--strict-reconfig-check 'true' 拒绝可能导致法定人数丧失的重新配置请求。--pre-vote 'true' 启用Raft预投票算法,以防止隔离的节点重新加入集群时引发中断。--auto-compaction-retention '0' 自动压缩的保留时长。0表示禁用自动压缩。--auto-compaction-mode 'periodic' 解释'auto-compaction-retention'的模式,可选'periodic'或'revision'。 'periodic'表示基于时间的保留,默认单位为小时(如'5m'表示5分钟)。 'revision'表示基于修订号的保留。--enable-v2 'false' 接受etcd V2客户端请求。已被弃用,并将在v3.6中移除。--v2-deprecation 'not-yet' v2存储的弃用阶段。允许选择更高的兼容模式。支持的值: 'not-yet' // 如果v2存储有有效内容,发出警告(v3.5默认值)。 'write-only' // 不允许自定义v2状态(计划在v3.6中默认启用)。 'write-only-drop-data' // 自定义的v2状态将被删除! 'gone' // v2存储不再维护(计划在v3.7中成为默认值)。3、Etcd安全和TLS配置
--cert-file '' 客户端服务器TLS证书文件的路径。--key-file '' 客户端服务器TLS密钥文件的路径。--client-cert-auth 'false' 启用客户端证书认证。 建议启用客户端证书认证,以防止未经认证的客户端攻击(例如CVE-2023-44487),特别是在将etcd作为公共服务运行时。--client-crl-file '' 客户端证书吊销列表文件的路径。--client-cert-allowed-hostname '' 客户端证书认证允许的TLS主机名。--trusted-ca-file '' 客户端服务器TLS受信任的CA证书文件路径。 设置此参数时,无论`--client-cert-auth`的值如何,都会自动启用客户端证书认证。--auto-tls 'false' 使用自动生成的证书进行客户端TLS认证。--peer-cert-file '' 对等节点服务器TLS证书文件的路径。--peer-key-file '' 对等节点服务器TLS密钥文件的路径。--peer-client-cert-auth 'false' 启用对等节点客户端证书认证。 建议启用对等节点证书认证,以防止未经认证的伪造对等节点攻击(例如CVE-2023-44487)。--peer-trusted-ca-file '' 对等节点服务器TLS受信任的CA文件路径。--peer-cert-allowed-cn '' 连接到对等端点时,客户端证书所需的CN(通用名称)。--peer-cert-allowed-hostname '' 对等认证中允许的TLS主机名。--peer-auto-tls 'false' 如果未提供`--peer-key-file`和`--peer-cert-file`,则使用自生成证书进行对等TLS认证。--self-signed-cert-validity '1' 自动生成的客户端和对等节点证书的有效期,单位为年,默认值为1。--peer-crl-file '' 对等节点证书吊销列表文件的路径。--cipher-suites '' 支持的TLS密码套件列表,客户端/服务器和对等节点之间使用(空值将由Go自动填充)。--cors '*' CORS(跨域资源共享)允许的源列表,逗号分隔(空值或`*`表示允许所有源)。--host-whitelist '*' 如果服务器不安全,HTTP客户端请求中可接受的主机名(空值或`*`表示允许所有主机)。--tls-min-version 'TLS1.2' etcd支持的最低TLS版本。--tls-max-version '' etcd支持的最高TLS版本(空值将由Go自动填充)。etcd_208">4、etcd认证相关参数
--auth-token 'simple' 指定v3认证的令牌类型及特定选项,特别适用于JWT。格式为"type,var1=val1,var2=val2,..."。 可选类型:'simple'或'jwt'。 可用变量: - `sign-method`: 指定JWT的签名方法,可选值为 'ES256'、'ES384'、'ES512'、'HS256'、'HS384'、'HS512'、'RS256'、'RS384'、'RS512'、'PS256'、'PS384' 或 'PS512'。 - `pub-key`: 指定用于验证JWT的公钥路径。 - `priv-key`: 指定用于签署JWT的私钥路径。 - `ttl`: 指定JWT令牌的生存时间(TTL)。--bcrypt-cost 10 指定用于哈希认证密码的bcrypt算法的成本/强度。有效值为4到31之间的整数,值越高,计算成本越高,安全性越强。--auth-token-ttl 300 认证令牌的生存时间(TTL),单位为秒。etcd_227">5、etcd性能监控与指标
--enable-pprof 'false' 是否启用通过HTTP服务器提供的运行时性能分析数据。 地址为客户端URL加上"/debug/pprof/"。--metrics 'basic' 设置导出指标的详细程度。 可选值: - `basic`: 导出基本指标。 - `extensive`: 包括服务器端gRPC直方图指标在内的详细指标。--listen-metrics-urls '' 用于监听指标和健康检查端点的URL列表。
etcd_243">6、etcd日志配置
--logger 'zap' 当前仅支持使用'Zap'进行结构化日志记录。--log-outputs 'default' 指定日志输出目标。 - 可以使用'stdout'或'stderr'来跳过`journald`日志(即使在`systemd`下运行)。 - 也可以提供逗号分隔的输出目标列表。--log-level 'info' 配置日志级别。支持的级别包括: - `debug`: 调试信息。 - `info`: 普通信息。 - `warn`: 警告信息。 - `error`: 错误信息。 - `panic`: 崩溃信息。 - `fatal`: 致命错误信息。--enable-log-rotation 'false' 是否启用日志轮转,仅适用于单个日志输出文件。--log-rotation-config-json '{"maxsize": 100, "maxage": 0, "maxbackups": 0, "localtime": false, "compress": false}' 配置日志轮转(启用时生效)。 - `maxsize`: 单个日志文件的最大大小(单位:MB)。 - `maxage`: 日志文件的最大保留天数(0表示不限制)。 - `maxbackups`: 最大备份数量(0表示不限制)。 - `localtime`: 是否使用本地时间。 - `compress`: 是否启用gzip压缩。Etcd 启动重要参数汇总表
| 分类 | 参数 | 作用 | 备注 |
|---|---|---|---|
| 节点配置 | --name | 设置节点名称,必须唯一。 | 确保集群中节点识别准确。 |
--data-dir | 指定数据存储目录。 | 用于持久化存储etcd数据。 | |
| 集群配置 | --initial-advertise-peer-urls | 设置对等节点的广告URL。 | 集群内节点间通信地址。 |
--listen-peer-urls | 设置对等节点的监听URL。 | 监听集群内部通信流量。 | |
--listen-client-urls | 设置客户端访问的监听URL。 | 客户端连接etcd的入口。 | |
--initial-cluster | 配置初始集群成员列表。 | 启动新集群时必需。 | |
--initial-cluster-state | 指定集群状态(new或existing)。 | 新建或加入已有集群时使用。 | |
--initial-cluster-token | 设置集群唯一标识符。 | 防止跨集群的意外交互。 | |
| 安全配置 | --cert-file / --key-file | 设置TLS证书和密钥文件。 | 启用加密通信。 |
--client-cert-auth | 启用客户端证书认证。 | 增强安全性,防止未经认证访问。 | |
--trusted-ca-file | 设置受信任的CA证书路径。 | 验证客户端和对等节点证书。 | |
--peer-client-cert-auth | 启用对等节点证书认证。 | 提高集群安全性。 | |
--peer-trusted-ca-file | 设置对等节点的CA证书路径。 | 对等通信的信任链验证。 | |
| 性能调优 | --heartbeat-interval | 设置心跳间隔时间(毫秒)。 | 影响集群同步速度和稳定性。 |
--election-timeout | 设置选举超时时间(毫秒)。 | 影响Raft选举速度。 | |
--snapshot-count | 设置触发快照的事务数。 | 控制快照频率,平衡性能与存储。 | |
--max-txn-ops | 设置每个事务允许的最大操作数。 | 防止事务过大影响性能。 | |
| 认证与访问控制 | --auth-token | 指定认证令牌类型。 | 支持simple和jwt类型。 |
--auth-token-ttl | 设置认证令牌的有效时间(秒)。 | 控制令牌过期时间。 | |
| 日志管理 | --logger | 设置日志记录方式。 | 当前仅支持zap。 |
--log-level | 设置日志级别。 | 支持debug、info、warn等。 | |
--log-outputs | 设置日志输出目标。 | 可指定stdout、stderr或文件路径。 | |
| 调试与监控 | --enable-pprof | 启用性能分析。 | 通过/debug/pprof/访问性能数据。 |
--metrics | 设置导出指标的详细程度。 | 支持basic和extensive。 |
说明:
- 节点与集群配置 是确保集群正常启动和运行的核心,尤其在多节点部署时尤为重要。
- 安全配置 则涉及到数据和通信的加密与认证,建议在生产环境中务必启用。
- 性能调优 参数影响etcd的资源使用与集群稳定性,需要根据具体需求进行调整。
- 日志与监控 有助于故障排查和性能优化。
