Redis におけるバインドの本当の役割は何ですか

私は常々、redis 設定ファイルのバインドの役割は、redis サーバーがどのサーバー (IP アドレス) からの redis 接続リクエストを受信するかを制限することであり、指定された IP アドレスのみであると考えていました。バインド中 コンピューターのみがこの Redis サーバーにアクセスできます。

事実は、上記の結論が完全に間違っていることを証明しています。

今日 Redis サービス クラスターを構築していたときに、Redis のバインドに関する誤解を発見しました。

例:

bind 127.0.0.1 は、ローカル コンピューターのみが Redis サービス接続に接続できるように制限するために使用されます。

bind 0.0.0.0 は、任意の接続を許可するために使用されます。 Redis サービス接続に接続するコンピューター。

注: 上記の理解はすべて間違っています。それらはたまたま特殊なケースであり、私たちに対して幻想を生み出します。

信じられない場合は、次のことを試してください: (試してみるのが最善です)

bind 10.0.0.1 (または 127.0.0.1 と 0.0.0.0 を除く任意の IP アドレス) )

次に、redis を再起動すると、起動できないことがわかります。

なぜ起動できないかというと、バインドの本当の意味を知れば起動できない理由がわかると思います。

Redis におけるバインドの正しい理解は次のとおりです:

bind: はローカル マシンにバインドされた IP アドレスです (正確には、ローカル ネットワーク カード、各ネットワーク カードすべてに対応する IP アドレス) Redis が他のコンピューターからの IP アドレスを許可するのではなく、IP アドレスを持っています）。

bind が指定されている場合は、指定されたネットワーク カードからの Redis リクエストのみが許可されることを意味します。指定しない場合、任意のネットワーク カードからの Redis リクエストが受け入れられることを意味します。

例: Redis サーバー (ローカル マシン) に 2 つのネットワーク カードがある場合、各ネットワーク カードは IP1 や IP2 などの IP アドレスに対応します。 (IP1 と IP2 は両方ともこのマシンの IP アドレスであることに注意してください)。

設定ファイル: IP1 をバインドします。 IP1 経由で Redis サーバーにアクセスする場合のみ、Redis サーバーへの接続が許可され、IP2 経由で Redis サーバーにアクセスする場合は、Redis サーバーに接続できません。

ローカル ネットワーク カードに対応する IP アドレスを確認します。ifconfig コマンドを使用します。

(学習ビデオ共有: redis ビデオ チュートリアル)

上記のことから、2 つのネットワーク カードがあることがわかります。つまり、使用できるのは 127.0.0.1 と 172.18.235.206 だけです。これが最適なバインド アドレスです。そうでない場合、redis は起動しません。

これは、対応するネットワーク カードの IP アドレスがないために上記の例 (バインド 10.0.0.1) を開始できない理由を説明しています。これは、bind が、redis でサーバー要求を受け入れることができる IP アドレスを指定していないことを示しています。

代わりに、bind を使用して、ローカル ネットワーク カードに対応する IP アドレスを指定します。

注:

バインド 127.0.0.1 の説明: (このマシンだけが接続でき、他のマシンは接続できない理由)

ifconfig: lo ネットワーク カードから確認できます (対応する127.0.0.1 IP アドレスまで): これはループバック アドレス (ローカル ループバック) です。つまり、ローカル コンピューターのみがこのループバック アドレスにアクセスでき、他のコンピューターは自分のループバック アドレスのみにアクセスできます。

このネットワーク カードのコンピュータにはこのコンピュータしか存在しないため、このコンピュータのみがアクセスできますが、他のコンピュータはアクセスできません。

bind 172.18.235.206、Redis リクエストがこのネットワーク カード アドレス (172.18.235.206) 経由で送信される限り、redis にアクセスできます。 Alibaba Cloud のサーバーを使用しています。別のサーバーで redis-cli Alibaba Cloud パブリック IP アドレスをリクエストすると、redis サーバーに接続されます。

パブリック ネットワーク アドレスに対するリクエストはすべて eth0 ネットワーク カード アドレス (172.18.235.206) を通過するため、この Redis リクエストを受け取ります。

ループバック アドレスを使用しない場合、基本的に外部コンピューターはローカル Redis サーバーにアクセスできます。

指定したホストのみが Redis に接続できるように制限したい場合は、ファイアウォール経由でのみ制御できますが、redis のバインド パラメーター経由では制御できません。

Alibaba Cloud のセキュリティ グループを使用して、指定したホストがポート 6379 に接続することを制限します。

redis の [保護モード] について:

redis 自体は [指定されたホストのみ] の redis への接続を制限できません。上で述べたように、バインド仕様はインターフェイス アドレスの設定 (インターフェース）。

1. バインドがバインド 127.0.0.1 に設定されている場合、このホストのみが Redis に接続できるため、非常に安全です。パスワードを設定していなくても、誰かがログインしない限り安全ですあなたへ。サーバー上で。

2.バインドがバインド 0.0.0.0 に設定されている場合、すべてのホストが Redis に接続できることを意味します。 (前提条件: サーバーが Redis ポートを開く必要があります)。この時点でパスワードを設定すると、追加の保護層が提供され、パスワードを知っている人だけがアクセスできるようになります。つまり、パスワードを知っているホストはすべて Redis にアクセスできます。

protected-mode は Redis 自体のセキュリティ層です。このセキュリティ層の機能は、[このマシン] だけが Redis にアクセスでき、他の人は Redis にアクセスできないことです。このセキュリティ層を有効にするには 3 つの条件を満たす必要があります。満たさない場合、セキュリティ層は閉じられます。

(1) プロテクト モード はい (オンになっています)

(2) バインド コマンドがありません。 。原文: サーバーは、「bind」ディレクティブを使用してアドレスのセットに明示的にバインドしていません。

(3) パスワードが設定されていません。原文: パスワードが設定されていません。

この時点で、Redis 保護メカニズムが有効になります。オンにすると、ローカル マシンのみが Redis にアクセスできるようになります。上記 3 つの条件のいずれかが満たされない場合、保護メカニズムは有効になりません。

関連する推奨事項: redis データベース チュートリアル

元のリンク: https://blog.csdn.net/cw_hello1/article/details/83444013

以上がRedis におけるバインドの本当の役割は何ですかの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。