今天在搭建Redis服務(wù)集群的時(shí)候，發(fā)現(xiàn)自己一直以來對(duì)Redis中bind的理解的一個(gè)誤區(qū)。

在今天以前，我一直認(rèn)為Redis中的配置文件中的bind的作用是：用來限制Redis服務(wù)器用來接收來自哪些服務(wù)器（IP地址）的Redis連接請(qǐng)求。即：只有在bind指定的IP地址的計(jì)算機(jī)才可以訪問這個(gè)Redis服務(wù)器。（直到今天我才知道以上的理解都是錯(cuò)誤）

例如：

• bind 127.0.0.1      就是用來限制只有本機(jī)可以連接redis服務(wù)連接
• bind 0.0.0.0         就是用來允許任意計(jì)算機(jī)都可以連接redis服務(wù)連接。

注意：以上的理解都是錯(cuò)誤的。他們正好是特例，對(duì)我們產(chǎn)生了一種錯(cuò)覺。

不信的的話你們可以試一試：（最好試一試）

bind 10.0.0.1（或者除了127.0.0.1和0.0.0.0之外的任何IP地址）

然后重啟redis，就會(huì)發(fā)現(xiàn)啟動(dòng)不起來。

對(duì)于為什么啟動(dòng)不起來，你們知道了bind的真正意思之后，就會(huì)明白啟動(dòng)不起來的原因。

 對(duì)于Redis中bind的正確的理解是：

bind：是綁定本機(jī)的IP地址，（準(zhǔn)確的是：本機(jī)的網(wǎng)卡對(duì)應(yīng)的IP地址，每一個(gè)網(wǎng)卡都有一個(gè)IP地址），而不是redis允許來自其他計(jì)算機(jī)的IP地址。

如果指定了bind，則說明只允許來自指定網(wǎng)卡的Redis請(qǐng)求。如果沒有指定，就說明可以接受來自任意一個(gè)網(wǎng)卡的Redis請(qǐng)求。

舉個(gè)例子：如果redis服務(wù)器（本機(jī)）上有兩個(gè)網(wǎng)卡，每一個(gè)網(wǎng)卡對(duì)應(yīng)一個(gè)IP地址，例如IP1和IP2。（注意這個(gè)IP1和IP2都是本機(jī)的IP地址）。

我們的配置文件：bind IP1。  只有我們通過IP1來訪問redis服務(wù)器，才允許連接Redis服務(wù)器，如果我們通過IP2來訪問Redis服務(wù)器，就會(huì)連不上Redis。

查看本地的網(wǎng)卡對(duì)應(yīng)的IP地址：使用ifconfig命令。

從上面看出我們有兩個(gè)網(wǎng)卡，也就是我們只能使用：127.0.0.1和172.18.235.206最為bind的地址，不然redis啟動(dòng)不起來。

這就說明了上面例子（bind 10.0.0.1）為什么啟動(dòng)不起來，因?yàn)槲覀儧]有對(duì)應(yīng)的網(wǎng)卡IP地址。這就說明了bind并不是指定redis中可以接受來自哪些服務(wù)器請(qǐng)求的IP地址。

而是：bind用于指定本機(jī)網(wǎng)卡對(duì)應(yīng)的IP地址。

附注：

bind 127.0.0.1的解釋：（為什么只有本機(jī)可以連接，而其他不可以連接）

我們從ifconfig可以看出：lo網(wǎng)卡（對(duì)應(yīng)127.0.0.1IP地址）：是一個(gè)回環(huán)地址（Local Loopback），也就是只有本地才能訪問到這個(gè)回環(huán)地址，而其他的計(jì)算機(jī)也只能訪問他們自己的回環(huán)地址。

那么來自這個(gè)lo網(wǎng)卡的計(jì)算機(jī)只有本機(jī)，所以只有本機(jī)可以訪問，而其他計(jì)算機(jī)不能訪問。

bind 172.18.235.206的話，只要通過這個(gè)網(wǎng)卡地址（172.18.235.206）來的Redis請(qǐng)求，都可以訪問redis。我使用的阿里云的服務(wù)器。我在另一個(gè)服務(wù)器上去請(qǐng)求 redis-cli 阿里云公網(wǎng)IP地址就會(huì)連接到redis服務(wù)器。

因?yàn)楣W(wǎng)地址的請(qǐng)求：都是經(jīng)過這個(gè)eth0的網(wǎng)卡地址（172.18.235.206），從而接收到這個(gè)redis請(qǐng)求。

當(dāng)你們不使用那個(gè)回環(huán)地址，基本上外部的計(jì)算機(jī)都可以訪問本機(jī)的Redis服務(wù)器。

如果我們想限制只有指定的主機(jī)可以連接到redis中，我們只能通過防火墻來控制，而不能通過redis中的bind參數(shù)來限制。

使用阿里云的安全組，來限制指定的主機(jī)連接6379端口。

redis中的【protected-mode】的理解：

redis本身無法限制【只有指定主機(jī)】連接到redis中，就像我上面說的一樣，bind指定只是用來設(shè)置接口地址（interfaces）。

1.如果你的bind設(shè)置為：bind 127.0.0.1，這是非常安全的，因?yàn)橹挥斜九_(tái)主機(jī)可以連接到redis，就算不設(shè)置密碼，也是安全的，除非有人登入到你的服務(wù)器上。

2.如果你的bind設(shè)置為：bind 0.0.0.0，表示所有主機(jī)都可以連接到redis。（前提：你的服務(wù)器必須開放redis的端口）。這時(shí)設(shè)置密碼，就會(huì)多一層保護(hù)，只有知道密碼的才可以訪問。也就是任何知道密碼的主機(jī)都可以訪問到你的redis。

protected-mode是redis本身的一個(gè)安全層，這個(gè)安全層的作用：就是只有【本機(jī)】可以訪問redis，其他任何都不可以訪問redis。這個(gè)安全層開啟必須滿足三個(gè)條件，不然安全層處于關(guān)閉狀態(tài)：

（1）protected-mode yes（處于開啟）

（2）沒有bind指令。原文：The server is not binding explicitly to a set of addresses using the "bind" directive.

（3）沒有設(shè)置密碼。原文：No password is configured。

這時(shí)redis的保護(hù)機(jī)制就會(huì)開啟。開啟之后，只有本機(jī)才可以訪問redis。 如果上面三個(gè)條件任何一個(gè)不滿足，就不會(huì)開啟保護(hù)機(jī)制。

到此這篇關(guān)于淺談Redis中bind的坑的文章就介紹到這了,更多相關(guān)Redis bind內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評(píng)論