Keepalived 不支持加密通信,VRRP 报文始终明文传输,auth_pass 仅作简单校验且明文暴露;提升安全需依赖外部手段:限制组播/单播范围、启用单播、隔离心跳网络、强化防火墙与基础配置。
Keepalived 本身不提供加密通信能力,VRRP 协议报文始终以明文方式传输,包括认证字段(如 auth_pass)也仅做简单校验,不加密。所谓“加密通信”在 Keepalived 中并不存在官方实现,它不支持 TLS、IPsec 加密隧道或任何链路层/网络层加密机制。
实际能做的,是通过外部手段增强通信安全性,而非在 Keepalived 配置内开启加密开关。
authentication { auth_type PASS; auth_pass ... } 仅用于防止非法节点伪造 VRRP 报文加入集群,属于身份校验机制;限制组播/单播报文可达范围
224.0.0.18 组播流量仅在集群节点间转发; iptables / nftables)放行且仅允许集群节点 IP 互访 VRRP 端口(协议号 112)。改用单播替代默认组播
避免广播域内任意设备嗅探 VRRP 流量:
unicast_src_ip 192.168.10.10unicast_peer { 192.168.10.11 192.168.10.12}
配合防火墙规则,只允许列表内 IP 发送/接收 VRRP 报文。
隔离心跳网络
使用专用物理网卡(如 ens33)承载 VRRP 通信,与业务、管理网络分离,减少暴露面。
强化基础防护
interface 指向正确网卡); vrrp_strict 模式时注意风险(该模式会拒绝非标准 VRRP 包,但可能影响兼容性); auth_pass,避免长期使用弱口令(如 1111、password)。不复杂但容易忽略