согласен, исключения есть всегда
но, даже у нас, когда не было кластера а два сервака "открыто" висели в сети,
то мы просили провайдера закрывать мускульный порт для всех входящих соединений за исключения нашего сервака.
Хотя это можно сделать на уровне iptables