配置 TLS 协议

Redis 企业软件

您可以更改 TLS 协议以提高 Redis Enterprise 集群和数据库的安全性。默认设置符合行业最佳实践,但您可以自定义它们以匹配组织的安全策略。

配置 TLS 协议

您可以修改 TLS 协议的通信包括:

  • Control plane (控制平面) - 用于集群管理的 TLS 配置。
  • 数据层面 - 用于应用程序和数据库之间通信的 TLS 配置。
  • 发现服务 (Sentinel) - 发现服务的 TLS 配置。

您可以使用 Cluster Manager UI 配置 TLS 协议,rladminREST API 的 API 进行验证。

警告:

  • 设置最低 TLS 版本后,Redis Enterprise Software 不接受使用早于指定版本的 TLS 版本的通信。

  • 如果您将 TLS 1.3 设置为最低 TLS 版本,则客户端必须支持 TLS 1.3 才能连接到 Redis Enterprise。

TLS 支持取决于作系统。您无法启用对运行 Redis Enterprise Software 的作系统不支持的协议或版本的支持。此外,对作系统或 Redis Enterprise Software 的更新可能会影响协议和版本支持。

如果您在启用特定版本的 TLS 时遇到问题,请验证您的作系统是否支持这些版本,以及它们是否已正确配置。

注意:
通常建议使用 TLSv1.2 作为加密通信的最低 TLS 版本。请与您的安全团队联系,以确认哪些 TLS 协议符合您组织的策略。

在 UI 中编辑 TLS 设置

要使用集群管理器 UI 配置最低 TLS 版本:

  1. 转到 Cluster > Security(集群安全性),然后选择 TLS 选项卡。

  2. 单击 Edit(编辑)。

  3. 选择集群连接、数据库连接和发现服务的最低 TLS 版本:

    集群管理器 UI 中编辑模式下的集群>安全性> TLS 设置。

  4. 选择发现服务的 TLS 模式:

    • 允许 - 允许 TLS 和非 TLS 连接
    • 必需 - 仅允许 TLS 连接
    • Disabled - 仅允许非 TLS 连接

  5. 单击 Save (保存)。

控制平面 TLS

要使用 control plane 设置最低 TLS 协议rladmin:

  • 默认最低 TLS 协议:TLSv1.2
  • 语法:rladmin cluster config min_control_TLS_version <TLS_Version>
  • 可用的 TLS 版本:
    • 对于 TLSv1.2 - 1.2
    • 对于 TLSv1.3 - 1.3

例如:

rladmin cluster config min_control_TLS_version 1.2

Data plane TLS

To set the minimum TLS protocol for the data path using rladmin:

  • Default minimum TLS protocol: TLSv1.2
  • Syntax: rladmin cluster config min_data_TLS_version <TLS_Version>
  • TLS versions available:
    • For TLSv1.2 - 1.2
    • For TLSv1.3 - 1.3

For example:

rladmin cluster config min_data_TLS_version 1.2

Discovery service TLS

To enable TLS for the discovery service using rladmin:

  • Default: Allows both TLS and non-TLS connections
  • Syntax: rladmin cluster config sentinel_tls_mode <ssl_policy>
  • ssl_policy values available:
    • allowed - Allows both TLS and non-TLS connections
    • required - Allows only TLS connections
    • disabled - Allows only non-TLS connections

To set the minimum TLS protocol for the discovery service using rladmin:

  • Default minimum TLS protocol: TLSv1.2
  • Syntax: rladmin cluster config min_sentinel_TLS_version <TLS_Version>
  • TLS versions available:
    • For TLSv1.2 - 1.2
    • For TLSv1.3 - 1.3

To enforce a minimum TLS version for the discovery service, run the following commands:

  1. Allow only TLS connections:

    rladmin cluster config sentinel_tls_mode required

  2. Set the minimal TLS version:

    rladmin cluster config min_sentinel_TLS_version 1.2

  3. Restart the discovery service on all cluster nodes to apply your changes:

    supervisorctl restart sentinel_service
RATE THIS PAGE
Back to top ↑