Redis集群启用TLS加密,看似简单,实际踩进去才知道坑不少。核心要点只有一句话:所有节点必须统一开启TLS,版本、证书、配置一个都不能少——任何节点遗漏配置或混用明文端口,集群握手阶段都会直接失败,连个招呼都不打。

Redis 6+ 集群启用 TLS 的硬性前提
不是加上几行配置就能跑起来的。先确认三件事,缺一不可:
redis-server --version输出里必须带有TLS字样——如果没有,说明编译时未开启BUILD_TLS=yes,需要重新编译- OpenSSL 版本必须 ≥
1.1.1(用openssl version查看),1.0.2或更低版本会直接被拒绝连接 - 所有节点必须共用同一份
ca.crt,不能A节点使用自签CA、B节点使用另一套——cluster meet时证书校验会直接失败
redis.conf 中必须显式设置的 TLS 参数
下面这五项,少一个,节点间通信就会降级为明文,redis-cli -c --tls 连上去也会报 Connection reset by peer:
tls-cert-file:绝对路径,内容需包含完整证书链(server cert 与 intermediate CA 拼接在一起)tls-key-file:私钥文件,不能加密(生成时加了-nodes),否则 redis 启动会卡在密码输入环节tls-ca-cert-file:只放根 CA(ca.crt),别把中间 CA 再塞进去tls-cluster yes:关键!默认是no,不设置此项,节点间的 gossip 通信仍然走明文tls-replication yes:主从同步也走 TLS,否则 slave 拉取数据仍在裸奔
顺便提一句:port 0 和 tls-port 6379 要配套使用——禁用非 TLS 端口,避免运维误连明文端口。
客户端连 TLS 集群最容易踩的坑
不是加个 --tls 就万事大吉了。常见断连原因包括:
redis-cli -c --tls --cacert /path/to/ca.crt -h node1 -p 6379若缺少--cacert,会直接 SSL handshake failed- 集群发现阶段仍走明文:redis-cli 先连一个节点查 slots,如果该节点返回的跳转地址是
redis://(而非rediss://),后续连接不会自动升级 TLS;解决方法是配置cluster-announce-ip和cluster-announce-port显式指向 TLS 端口 - Lettuce 客户端必须显式加载同一个
ca.crt到SslConfiguration,否则会抛javax.net.ssl.SSLHandshakeException - PhpRedis 用
tls://host:port方式连接时,PHP 必须已启用openssl扩展(用php -m | grep openssl验证)
证书更新和滚动重启的实操要点
证书过期不是 reload 配置就能解决的,必须滚动重启:
- 新证书替换后,先逐个重启 slave 节点,再执行 failover 把旧 master 变为 slave,最后重启它
- 千万别所有节点同时 kill -9,否则
CLUSTERDOWN状态恢复很慢,而且可能触发 slot 不一致 - 验证方式:连接后执行
CLIENT LIST,查看tls字段是否为1;或者用openssl s_client -connect host:6379 -CAfile ca.crt直连测试握手
最容易被忽略的是:集群节点间通信与客户端连接是两套独立的 TLS 链路。tls-cluster yes 和 tls-replication yes 控制前者,--cacert 或客户端 SNI 设置控制后者——两边都必须对齐,才算真正实现全链路加密。
