文章/答案/技术大牛

发布

社区首页 >问答首页 >在码头群上用Stunnel保护Redis

问在码头群上用Stunnel保护Redis
EN

Stack Overflow用户

提问于 2018-05-19 17:15:25

回答 1查看 1.9K关注 0票数 2

我在Redis容器和PHP容器中添加了替身，以安全地在停靠群集群上的服务之间传输应用程序数据。我没有找到任何其他类似的问题，所以我想知道我在这里是否采取了错误的方法。

我已经在我的本地环境中工作，当我把它部署到群中时，它就失败了。

问题

当我试图通过执行redis-cli -p 8001 ping从客户端容器进行ping时

然后我得到以下错误：Error: Connection reset by peer

当我查看stunnel日志时，我可以看到它接受了客户机上的连接，然后尝试将它发送到redis服务器容器时失败了，如下所示

2018.05.19 16:42:39 LOG5[ui]: Configuration successful
2018.05.19 16:45:19 LOG7[0]: Service [redis-client] started
2018.05.19 16:45:19 LOG5[0]: Service [redis-client] accepted connection from 127.0.0.1:41710
2018.05.19 16:45:19 LOG6[0]: s_connect: connecting 10.0.0.5:6379
2018.05.19 16:45:19 LOG7[0]: s_connect: s_poll_wait 10.0.0.5:6379: waiting 10 seconds
2018.05.19 16:45:19 LOG3[0]: s_connect: connect 10.0.0.5:6379: Connection refused (111)
2018.05.19 16:45:19 LOG5[0]: Connection reset: 0 byte(s) sent to SSL, 0 byte(s) sent to socket
2018.05.19 16:45:19 LOG7[0]: Local descriptor (FD=3) closed
2018.05.19 16:45:19 LOG7[0]: Service [redis-client] finished (0 left)

配置细节

以下是Redis服务器上的特技配置

pid = /run/stunnel-redis.pid
output = /tmp/stunnel.log

[redis-server]
cert = /etc/stunnel/redis-server.crt
key = /etc/stunnel/redis-server.key
accept = redis_master:6379
connect = 127.0.0.1:6378

这是客户端的特技配置

pid = /run/stunnel-redis.pid
output = /tmp/stunnel.log

[redis-client]
client = yes
accept = 127.0.0.1:8001
connect = redis_master:6379
CAfile = /etc/stunnel/redis-server.crt
verify = 4
debug = 7

这就是我的docker-stack.yml文件用于这两个服务的样子。

php_fpm:
    build:
        context: .
        dockerfile: fpm.Dockerfile
    image: registry.github.com/hidden
    ports:
        - "8001"

redis_master:
    build:
        context: .
        dockerfile: redis.Dockerfile
    image: registry.github.com/hidden
    ports:
        - "6378"
        - "6379"
    sysctls:
        - net.core.somaxconn=511
    volumes:
        - redis-data:/data

netstat -plunt在fpm客户端容器中的输出

Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 127.0.0.1:8001          0.0.0.0:*               LISTEN      208/stunnel4
tcp        0      0 127.0.0.11:45281        0.0.0.0:*               LISTEN      -
tcp6       0      0 :::9000                 :::*                    LISTEN      52/php-fpm.conf)
udp        0      0 127.0.0.11:43781        0.0.0.0:*                           -

netstat -plunt在redis服务器容器中的输出

Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 127.0.0.11:39294        0.0.0.0:*               LISTEN      -
tcp        0      0 0.0.0.0:6378            0.0.0.0:*               LISTEN      8/redis-server *:63
tcp        0      0 10.0.0.14:6379          0.0.0.0:*               LISTEN      37/stunnel4
tcp6       0      0 :::6378                 :::*                    LISTEN      8/redis-server *:63
udp        0      0 127.0.0.11:44855        0.0.0.0:*                           -

我已经确认主机上没有防火墙。这些服务目前位于同一台主机上，但它们很快就会位于不同的主机上，因此需要特别注意。

这些服务是使用docker stack命令部署的，因此会自动创建覆盖网络并将其附加到这两个服务上。

有人对为什么拒绝客户端到服务器的请求有任何想法吗？

docker-swarm

stunnel

docker

redis

回答 1

Stack Overflow用户

发布于 2018-05-19 21:54:13

终于成功了！我希望这能帮到别人。问题是redis服务器上的阻碍配置，正确的配置如下：

[redis-server]
cert = /etc/stunnel/redis-server.crt
key = /etc/stunnel/redis-server.key
accept = 6379
connect = 6378

问题似乎是我在accept选项中使用了主机名accept，将其切换到只修复了问题的端口。

票数 2

页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持

原文链接：

https://stackoverflow.com/questions/50427725

复制

相似问题

问在码头群上用Stunnel保护Redis
EN

回答 1

Stack Overflow用户

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐

问在码头群上用Stunnel保护RedisEN

回答 1

Stack Overflow用户

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐

问在码头群上用Stunnel保护Redis
EN