Pigsty项目中启用etcd v3 HTTP网关访问的配置方法

背景介绍

在分布式系统架构中，etcd作为高可用的键值存储系统，通常使用gRPC协议进行通信。但在开发测试场景下，开发者有时需要通过HTTP协议直接访问etcd v3接口。Pigsty项目默认配置的etcd集群使用v3协议和TLS加密，这给开发调试带来了一定复杂度。

核心问题分析

当尝试通过etcd grpc-proxy建立HTTP网关时，常见的"server preface: remote error: tls: certificate required"错误表明TLS认证未通过。这是因为：

1. Pigsty默认配置的etcd集群启用了双向TLS认证
2. 客户端请求必须提供有效的证书
3. 证书必须由etcd集群信任的CA签发

解决方案详解

方法一：修改etcd配置模板

Pigsty通过Jinja2模板管理etcd配置，位于项目中的etcd.conf.j2文件。可以调整以下参数：

1. 将ETCD_LISTEN_CLIENT_URLS增加HTTP协议支持
2. 调整ETCD_ADVERTISE_CLIENT_URLS对应地址
3. 注意保持TLS相关配置的一致性

方法二：使用grpc-proxy网关

正确的grpc-proxy启动命令应包含完整的证书链：

etcd grpc-proxy start \
  --endpoints=https://192.168.10.11:2379 \
  --listen-addr=0.0.0.0:12379 \
  --cert-file=/etc/etcd/server.crt \
  --key-file=/etc/etcd/server.key \
  --trusted-ca-file=/etc/etcd/ca.crt \
  --client-cert-auth

关键点说明：

1. --client-cert-auth参数确保启用客户端证书验证
2. 证书文件路径需与实际部署位置一致
3. 生产环境建议保持TLS加密

证书管理建议

Pigsty默认使用自签名证书，开发时可采取以下简化方案：

1. 复用基础设施证书：使用/etc/pki/infra.key和/etc/pki/infra.crt作为客户端证书
2. 通过cert.yml playbook签发专用测试证书
3. 测试环境可临时关闭TLS验证（不推荐生产环境）

最佳实践

对于开发测试环境，建议采用以下配置组合：

1. 保持etcd集群的TLS配置不变
2. 为开发机签发专用客户端证书
3. 通过grpc-proxy暴露HTTP接口
4. 严格限制网关访问IP范围

注意事项

1. 生产环境必须保持TLS加密
2. HTTP网关性能低于原生gRPC连接
3. 网关节点应部署在与etcd集群相同的安全域内
4. 监控网关的连接数和请求延迟

通过以上方法，可以在保证安全性的前提下，为Pigsty环境中的etcd集群提供便捷的HTTP访问能力，显著提升开发测试效率。