A documentação do CoreOS indica que deve-se usar $public_ipv4 em vez de $private_ipv4 na configuração ectd addre peer-addrse nenhuma rede privada estiver disponível para o cluster. Isso faz todo o sentido, mas não estou claro quais são as implicações dessa escolha. Presumivelmente, a comunicação entre os nós ainda pode ser protegida adequadamente em um endereço público? Dado que um endereço privado limita apenas a adição de nós na mesma rede privada no futuro, que vantagem tem o uso do endereço privado? Isso difere em termos de segurança da conexão ou apenas problemas de desempenho/velocidade?
Por padrão, o etcd está completamente aberto. As chaves podem ser lidas/escritas por qualquer pessoa.
A segurança pode ser melhorada por meio de firewall, ou seja, permitindo apenas os servidores que você define acessarem seu cluster etcd ou, no EC2, você pode usar grupos de segurança. Isso é melhor, mas não impede que alguém bisbilhote seu tráfego e leia sua configuração.
Se você deseja ocultar o etcd completamente de olhares indiscretos e também fornecer um nível de autenticação por meio de certificados de cliente, isso é compatível, consulte Segurança de transporte com HTTPS