SecretFlow中的通信端口与协议配置详解

核心概念解析

SecretFlow作为隐私计算框架，其网络通信机制是系统稳定运行的基础。在P2P组网模式下，通信端口与协议的配置尤为关键。

通信协议配置

SecretFlow通过-P参数控制Kuscia部署时使用的协议类型，该参数直接影响以下端口的通信方式：

• -g参数指定的KusciaAPI端口
• -k参数指定的节点对外网关端口
• -p参数指定的主通信端口

协议类型与端口的对应关系如下：

• NOTLS：对应HTTP协议
• TLS/MTLS：对应HTTPS协议

PSI任务通信机制

在隐私求交(PSI)任务执行过程中，不同服务器节点的POD通过主通信端口（默认1080）进行通信。无论是ECDH、KKRT还是RR22等PSI协议，都复用该端口进行数据传输。

网络配置建议

1. 端口开放要求：

   • 必须开放主通信端口（-p参数指定）
   • 其他端口（如-k、-g、-s）通常用于内网通信或与SecretPad交互

2. IP变更处理：

   • 中心化模式：需要重新建立合作节点
   • P2P模式：可通过界面直接修改节点IP配置，约需2-3分钟生效

3. 域名访问：

   • 支持通过域名访问系统
   • 协议类型由代理配置或Kuscia Protocol决定

系统时间要求

SecretFlow对系统时间有严格要求：

• 部署后不应随意修改系统时间
• 节点间时间不同步可能导致PSI等任务失败
• 建议使用NTP服务保持时间同步

防火墙配置

在实际部署中，防火墙应至少放行主通信端口。对于企业级部署，建议：

1. 仅开放必要的通信端口
2. 根据业务需求设置精细的访问控制规则
3. 定期审计网络访问日志

通过合理配置通信端口和协议，可以确保SecretFlow在保障数据隐私的同时，提供稳定高效的隐私计算服务。