如何安全部署Redis Sentinel?

问题描述 投票:0回答:1

我们希望实现 Redis Sentinel,但了解我们需要以 root 身份运行 Sentinel。 根据安全性,以 root 身份运行它不是一个好主意。还有一个问题,您是否有任何资源或建议如何通过最佳实践安全地实施 Redis Sentinel?感谢您的支持

我们希望安全地部署 Redis Sentinel。

security redis sentinel redis-sentinel
1个回答
0
投票

有些事情取决于您的场景和部署方式,例如,如果您使用 Docker 容器部署 Redis Sentinel,则应该考虑容器安全方面。但从一般角度来看,请考虑以下事项:

  • 启用数据持久化以避免数据丢失。使用Redis的RDB(快照)或AOF(仅附加文件)来实现数据持久性。在 Docker 中,您可以使用卷在容器重新启动时保留数据。
  • 不要对配置(包括密码)进行硬编码。相反,在运行时使用环境变量或配置文件传递它。
  • 通过启用密码身份验证和定期更改密码来保护您的 Redis 实例。

需要通过复杂密码

  • 考虑网络策略以仅允许必要的流量到达服务器。例如 iptables 规则(可能更限制于特定来源):

-A INPUT -p tcp -m state --state NEW -m tcp --dport 6379 -j ACCEPT -m comment --comment“Redis 到 Redis”

-A INPUT -p tcp -m state --state NEW -m tcp --dport 26379 -j ACCEPT -m comment --comment“哨兵到哨兵”

  • 利用Redis 6.0中引入的ACL(访问控制列表)来限制客户端可以执行的命令。 更多信息,例如:

ACL SETUSER newuser +get +set -@all

  • 禁用危险命令:禁用有潜在危险的命令,例如 FLUSHDB、FLUSHALL。例如:

重命名命令 FLUSHALL ""

我还发现这篇文章非常有用。 链接

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.