一个场景:目前越来越多的业务需要远程读写Redis,而Redis 本身不提供 SSL/TLS 的支持,在需要安全访问的环境下。
这时候就需要额外的手段进行加密认证,这里有两种手段:spiped 和 ngx stream proxy
现在服务端起一个监听在127 的 Redis server
1、使用spiped
[root@ ~]# wget http://www.tarsnap.com/spiped/spiped-1.6.0.tgz
[root@ ~]# tar xf spiped-1.6.0.tgz
[root@ ~]# cd spiped-1.6.0
[root@ ~]# tar xf spiped-1.6.0.tgz
[root@ ~]# cd spiped-1.6.0
[root@ spiped-1.6.0]# make && make install
[root@ spiped-1.6.0]# /usr/local/bin/spiped -h
spiped: illegal option -- -h
usage: spiped {-e | -d} -s <source socket> -t <target socket> -k <key file>
[-DFj] [-f | -g] [-n <max # connections>] [-o <connection timeout>]
[-p <pidfile>] [-r <rtime> | -R]
spiped -v
创建key,并将key分发到代理客户端
[root@ ~]# dd if=/dev/urandom bs=32 count=1 of=/var/spiped/redis_proxy.key
启动服务端和客户端代理:
#服务端:
[root@ ~]# /usr/local/bin/spiped -d -s '[0.0.0.0]:6010' -t '[127.0.0.1]:6379' -k /var/spiped/redis_proxy.key -p /var/spiped/redis_proxy_srv.pid
#客户端代理:
[root@ ~]# /usr/local/bin/spiped -e -s '[127.0.0.1]:6379' -t '[x.x.x.x]:6010' -k /var/spiped/redis_proxy.key -p /var/spiped/redis_proxy_cli.pid
客户端测试:
[root@ ~]# /usr/local/redis/bin/redis-cli -h 127.0.0.1 -p 6379 -a redis@passwd ping
PONG
参考:http://www.tarsnap.com/spiped.html
2、使用ngx stream proxy
配置自签证书,略。
证书和key可以同时给服务端代理和客户端代理使用
ngx_stream_ssl_module模块(1.9.0)为流代理服务器提供必要的支持,以使用SSL / TLS协议。 默认情况下不构建此模块,应使用--with-stream_ssl_module配置参数启用它。
编译nginx需要加入--with-stream --with-stream_ssl_module 选项
服务端代理配置:
upstream redis_server{
server 127.0.0.1:6379 max_fails=3 fail_timeout=10s;
}
server{
listen 6010 ssl;
ssl_certificate /data/ssl/stream_proxy/stream_proxy.crt; #服务端证书
ssl_certificate_key /data/ssl/stream_proxy/stream_proxy.key; #服务端key
ssl_verify_client on; #开启对客户端的认证
ssl_client_certificate /data/ssl/stream_proxy/cacert.pem; #用于认证客户端ca证书
ssl_session_timeout 10m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
proxy_connect_timeout 5s;
proxy_timeout 5s;
proxy_pass redis6001_server;
error_log /data/logs/redis_sslproxy_srv.log debug;
}
客户端代理配置:
upstream redis_server{
server x.x.x.x:6010 max_fails=3 fail_timeout=10s;
}
server{
listen 127.0.0.1:6379;
proxy_ssl_name stream_proxy; #与证书中的hostname一致,覆盖用于验证后端的hostname,并通过SNI在与后端建立连接时传递,默认proxy_pass地址的host部分会被使用。
proxy_ssl on;
proxy_ssl_certificate /data/ssl/stream_proxy/stream_proxy.crt; #客户端证书
proxy_ssl_certificate_key /data/ssl/stream_proxy/stream_proxy.key; #客户端key
proxy_ssl_verify on; #开启对服务端的认证
proxy_ssl_trusted_certificate /data/ssl/stream_proxy/cacert.pem; #用于认证服务端ca证书
ssl_session_timeout 10m;
proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
proxy_ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
proxy_connect_timeout 5s;
proxy_timeout 5s;
proxy_pass redis_server;
error_log /data/logs/redis_sslproxy_cli.log debug;
}
如果仅仅是实现ngx stream proxy加密不认证的话,只需要在服务端代理配置好证书,客户端代理配置proxy_ssl on即可
参考链接:
1、https://blog.lyz810.com/article/2016/06/ngx_stream_proxy_module_doc_zh-cn/
2、https://blog.lyz810.com/article/2016/06/ngx_stream_ssl_module_doc_zh-cn/
3、https://my.oschina.net/foreverich/blog/1517128?utm_medium=referral