在Docker Swarm上使用Stunnel保护Redis

时间:2018-05-19 17:15:25

标签: docker redis docker-swarm stunnel

我已将stunnel添加到Redis容器和PHP-FPM容器中,以便在docker swarm集群上的服务之间安全地传输应用程序数据。我还没有找到任何其他类似的问题,所以我想知道我是否采取了错误的方法。

我在本地环境中工作,当我将它部署到群集中时失败了。

问题

当我尝试通过执行redis-cli -p 8001 ping

从客户端容器执行ping操作时

然后我收到以下错误:Error: Connection reset by peer

当我查看stunnel的日志时,我可以看到它接受了客户端上的连接,然后在尝试将其发送到redis服务器容器时失败,如下所示

2018.05.19 16:42:39 LOG5[ui]: Configuration successful
2018.05.19 16:45:19 LOG7[0]: Service [redis-client] started
2018.05.19 16:45:19 LOG5[0]: Service [redis-client] accepted connection from 127.0.0.1:41710
2018.05.19 16:45:19 LOG6[0]: s_connect: connecting 10.0.0.5:6379
2018.05.19 16:45:19 LOG7[0]: s_connect: s_poll_wait 10.0.0.5:6379: waiting 10 seconds
2018.05.19 16:45:19 LOG3[0]: s_connect: connect 10.0.0.5:6379: Connection refused (111)
2018.05.19 16:45:19 LOG5[0]: Connection reset: 0 byte(s) sent to SSL, 0 byte(s) sent to socket
2018.05.19 16:45:19 LOG7[0]: Local descriptor (FD=3) closed
2018.05.19 16:45:19 LOG7[0]: Service [redis-client] finished (0 left)

配置详细信息

这是Redis服务器上的stunnel配置

pid = /run/stunnel-redis.pid
output = /tmp/stunnel.log

[redis-server]
cert = /etc/stunnel/redis-server.crt
key = /etc/stunnel/redis-server.key
accept = redis_master:6379
connect = 127.0.0.1:6378

这是客户端的stunnel配置

pid = /run/stunnel-redis.pid
output = /tmp/stunnel.log

[redis-client]
client = yes
accept = 127.0.0.1:8001
connect = redis_master:6379
CAfile = /etc/stunnel/redis-server.crt
verify = 4
debug = 7

这就是我的docker-stack.yml文件对于这两个服务的看法

php_fpm:
    build:
        context: .
        dockerfile: fpm.Dockerfile
    image: registry.github.com/hidden
    ports:
        - "8001"

redis_master:
    build:
        context: .
        dockerfile: redis.Dockerfile
    image: registry.github.com/hidden
    ports:
        - "6378"
        - "6379"
    sysctls:
        - net.core.somaxconn=511
    volumes:
        - redis-data:/data

fpm客户端容器中netstat -plunt的输出

Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 127.0.0.1:8001          0.0.0.0:*               LISTEN      208/stunnel4
tcp        0      0 127.0.0.11:45281        0.0.0.0:*               LISTEN      -
tcp6       0      0 :::9000                 :::*                    LISTEN      52/php-fpm.conf)
udp        0      0 127.0.0.11:43781        0.0.0.0:*                           -

在redis服务器容器中输出netstat -plunt 

Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 127.0.0.11:39294        0.0.0.0:*               LISTEN      -
tcp        0      0 0.0.0.0:6378            0.0.0.0:*               LISTEN      8/redis-server *:63
tcp        0      0 10.0.0.14:6379          0.0.0.0:*               LISTEN      37/stunnel4
tcp6       0      0 :::6378                 :::*                    LISTEN      8/redis-server *:63
udp        0      0 127.0.0.11:44855        0.0.0.0:*                           -

我已确认主机上没有激活防火墙。这些服务目前位于同一主机上,但很快就会出现在不同的主机上,因此需要使用stunnel。

使用docker stack命令部署这些服务,以便自动创建覆盖网络并将其附加到这两种服务。

任何人都有任何关于为什么客户端向服务器的请求被拒绝的想法?

1 个答案:

答案 0 :(得分:0)

终于有了这个工作!我希望这有助于其他人。问题是redis-server上的stunnel配置,正确的配置如下:

[redis-server]
cert = /etc/stunnel/redis-server.crt
key = /etc/stunnel/redis-server.key
accept = 6379
connect = 6378

问题似乎是我在redis_master选项中使用了主机名accept,只将其切换到修复问题的端口。

相关问题
最新问题