今天在搭建Redis服务集群的时候,发现自己一直以来对Redis中bind的理解的一个误区。
在今天以前,我一直认为Redis中的配置文件中的bind的作用是:用来限制Redis服务器用来接收来自哪些服务器(IP地址)的Redis连接请求。即:只有在bind指定的IP地址的计算机才可以访问这个Redis服务器。(直到今天我才知道以上的理解都是错误)
例如:
bind 127.0.0.1 就是用来限制只有本机可以连接redis服务连接
bind 0.0.0.0 就是用来允许任意计算机都可以连接redis服务连接。
注意:以上的理解都是错误的。他们正好是特例,对我们产生了一种错觉。
不信的的话你们可以试一试:(最好试一试)
bind 10.0.0.1(或者除了127.0.0.1和0.0.0.0之外的任何IP地址)
然后重启redis,就会发现启动不起来。
对于为什么启动不起来,你们知道了bind的真正意思之后,就会明白启动不起来的原因。
对于Redis中bind的正确的理解是:
bind:是绑定本机的IP地址,(准确的是:本机的网卡对应的IP地址,每一个网卡都有一个IP地址),而不是redis允许来自其他计算机的IP地址。
如果指定了bind,则说明只允许来自指定网卡的Redis请求。如果没有指定,就说明可以接受来自任意一个网卡的Redis请求。
举个例子:如果redis服务器(本机)上有两个网卡,每一个网卡对应一个IP地址,例如IP1和IP2。(注意这个IP1和IP2都是本机的IP地址)。
我们的配置文件:bind IP1。 只有我们通过IP1来访问redis服务器,才允许连接Redis服务器,如果我们通过IP2来访问Redis服务器,就会连不上Redis。
查看本地的网卡对应的IP地址:使用ifconfig命令。
从上面看出我们有两个网卡,也就是我们只能使用:127.0.0.1和172.18.235.206最为bind的地址,不然redis启动不起来。
这就说明了上面例子(bind 10.0.0.1)为什么启动不起来,因为我们没有对应的网卡IP地址。这就说明了bind并不是指定redis中可以接受来自哪些服务器请求的IP地址。
而是:bind用于指定本机网卡对应的IP地址。
附注:
bind 127.0.0.1的解释:(为什么只有本机可以连接,而其他不可以连接)
我们从ifconfig可以看出:lo网卡(对应127.0.0.1IP地址):是一个回环地址(Local Loopback),也就是只有本地才能访问到这个回环地址,而其他的计算机也只能访问他们自己的回环地址。
那么来自这个lo网卡的计算机只有本机,所以只有本机可以访问,而其他计算机不能访问。
bind 172.18.235.206的话,只要通过这个网卡地址(172.18.235.206)来的Redis请求,都可以访问redis。我使用的阿里云的服务器。我在另一个服务器上去请求 redis-cli 阿里云公网IP地址 就会连接到redis服务器。
因为公网地址的请求:都是经过这个eth0的网卡地址(172.18.235.206),从而接收到这个redis请求。
当你们不使用那个回环地址,基本上外部的计算机都可以访问本机的Redis服务器。
如果我们想限制只有指定的主机可以连接到redis中,我们只能通过防火墙来控制,而不能通过redis中的bind参数来限制。
使用阿里云的安全组,来限制指定的主机连接6379端口。
redis中的【protected-mode】的理解:
redis本身无法限制【只有指定主机】连接到redis中,就像我上面说的一样,bind指定只是用来设置接口地址(interfaces)。
1.如果你的bind设置为:bind 127.0.0.1,这是非常安全的,因为只有本台主机可以连接到redis,就算不设置密码,也是安全的,除非有人登入到你的服务器上。
2.如果你的bind设置为:bind 0.0.0.0,表示所有主机都可以连接到redis。(前提:你的服务器必须开放redis的端口)。这时设置密码,就会多一层保护,只有知道密码的才可以访问。也就是任何知道密码的主机都可以访问到你的redis。
protected-mode是redis本身的一个安全层,这个安全层的作用:就是只有【本机】可以访问redis,其他任何都不可以访问redis。这个安全层开启必须满足三个条件,不然安全层处于关闭状态:
(1)protected-mode yes(处于开启)
(2)没有bind指令。原文:The server is not binding explicitly to a set of addresses using the “bind” directive.
(3)没有设置密码。原文:No password is configured。
这时redis的保护机制就会开启。开启之后,只有本机才可以访问redis。 如果上面三个条件任何一个不满足,就不会开启保护机制。
更多精彩内容:请关注公众号:
发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/232131.html原文链接:https://javaforall.net
