Security

Pigsty依赖的工作假设是，部署位于内网工作环境。

如果您在带有公网IP网卡的机器上安装部署Pigsty，需要特别注意网络防火墙相关配置。

通常建议您开启外网网卡上的防火墙进行端口过滤，只允许 80 端口的Web服务入站流量，请尽可能避免直接通过公网端口使用数据库。

依赖内网网络安全，辅以Pigsty默认的权限模型，通常足以满足一般安全要求。

通常不建议您自行折腾CA，SSL，除非您真的知道自己在做什么。

网络安全

• 确保生产网段与开发、公网隔离
• 确保元节带有合理的访问控制机制（严格限制仅DBA可登录）

数据库安全

• 使用Pigsty自带的角色体系
• 使用Pigsty自带的权限模型
• 使用Pigsty自带的访问控制
• 为PostgreSQL启用SSL
• 为Patroni启用证书认证

元数据安全

• 限制Consul UI界面访问权限
• 限制ETCD访问
• 为Consul启用SSL
• 为ETCD启用SSL