深入解析 Redis "Connection reset by peer" 错误：根源在于安全模式

目录#

1. 理解错误："Connection reset by peer" 是什么？
2. Redis 的安全模式与配置
   • 2.1. bind 配置项
   • 2.2. protected-mode 配置项
   • 2.3. requirepass 配置项
3. 场景复现：安全配置如何触发错误
   • 场景一：错误的 bind 配置
   • 场景二：启用了 protected-mode 但未设置密码
   • 场景三：连接未正确提供密码
4. 解决方案与最佳实践
   • 步骤 1：诊断问题
   • 步骤 2：正确配置 Redis
   • 步骤 3：在客户端代码中正确连接
5. 示例代码
   • Redis 配置文件示例 (redis.conf)
   • 客户端连接示例 (Python, Node.js, Java)
6. 总结
7. 参考引用

理解错误："Connection reset by peer" 是什么？#

从 TCP/IP 协议层的角度来看，"Connection reset by peer"（对端重置连接）意味着你的客户端尝试通信的 Redis 服务器主动发送了一个 RST 包来终止当前的 TCP 连接。这不同于超时或网络中断，它是一种服务器端的明确拒绝。

在 Redis 的场景中，这通常意味着：

• 服务器在线：Redis 进程正在运行。
• 网络可达：客户端能够成功建立 TCP 连接到服务器的端口（如 6379）。
• 但连接被拒绝：在连接建立后的某个时刻（可能是认证阶段或命令执行阶段），Redis 服务器出于安全策略拒绝了该连接，并强行将其关闭。

这就引出了我们今天的核心：Redis 的安全策略。

Redis 的安全模式与配置#

Redis 本身被设计为“信任网络内部”的数据库，默认开箱即用的配置并不安全。为了弥补这一点，Redis 引入了几个关键配置项，共同构成了一种“安全模式”，旨在防止未经授权的访问。

2.1. bind 配置项#

• 作用：指定 Redis 服务器监听的网络接口（网卡）。它限制了哪些 IP 地址的客户端可以连接到 Redis。
• 默认值：bind 127.0.0.1 -::1（仅允许本地回环地址连接）。
• 风险配置：bind 0.0.0.0 表示监听所有可用网络接口，允许任何 IP 的客户端连接。这在生产环境中是危险的。

2.2. protected-mode 配置项#

• 作用：一种“安全网”机制。当以下两个条件同时满足时，Redis 将只接受来自本地回环地址（127.0.0.1 和 ::1）的连接：
  1. protected-mode 设置为 yes（默认值）。
  2. 没有通过 requirepass 设置密码。
  3. 没有显式地绑定到一组非回环地址（例如，如果你设置了 bind 0.0.0.0，但没设密码，保护模式依然会生效）。
• 默认值：yes。

2.3. requirepass 配置项#

• 作用：为 Redis 设置一个认证密码。客户端在发送任何命令之前，必须使用 AUTH <password> 命令进行认证。
• 默认值：注释掉（即没有密码）。

这三项配置共同工作，是导致 "Connection reset by peer" 错误的常见原因。

场景复现：安全配置如何触发错误#

场景一：错误的 bind 配置#

• 配置：bind 127.0.0.1（默认），但你尝试从另一台机器（例如 IP 为 192.168.1.100）连接。
• 现象：TCP 连接可能根本无法建立（Connection refused）。但如果网络环境复杂（如通过 Docker/NAT），有时可能会先建立连接，随后服务器发现连接来源 IP 不在 bind 列表中，于是发送 RST 包，导致 "Connection reset by peer"。

场景二：启用了 protected-mode 但未设置密码#

这是最常见的场景。

• 配置：protected-mode yes，requirepass 未设置，bind 可能被改为了 0.0.0.0。
• 现象：你从远程客户端（非 127.0.0.1）成功连接到 Redis 端口。但是，当你发送第一条命令（例如 PING）时，Redis 服务器检测到来自非回环地址的连接，且没有设置密码，触发了保护模式。服务器会立即断开连接，客户端报错 "Connection reset by peer"。你可能会在 Redis 服务端的日志中看到类似警告：WARNING: Protected mode set to 'on' ...

场景三：连接未正确提供密码#

• 配置：requirepass your_strong_password_here。
• 现象：客户端成功建立 TCP 连接，但在发送任何命令前，必须进行认证。如果客户端代码没有提供密码或提供了错误的密码，并直接发送如 SET key value 这样的命令，Redis 服务器会要求客户端先认证。在多次认证失败或协议不符后，服务器可能会断开连接，导致 "Connection reset by peer"。

解决方案与最佳实践#

遵循以下步骤可以系统地解决并预防该问题。

步骤 1：诊断问题#

1. 检查 Redis 服务器日志：这是最直接的方法。日志位置通常在 /var/log/redis/redis-server.log 或通过 redis.conf 中的 logfile 配置指定。查找连接断开时的 WARNING 或错误信息。
2. 使用 Redis CLI 测试：在服务器本地，使用 redis-cli 连接测试基本功能。然后尝试从远程客户端使用 redis-cli -h <redis_host> -p <redis_port> 连接。如果要求密码，使用 -a <password> 参数（注意：这会在历史记录中暴露密码，生产环境不建议）。

步骤 2：正确配置 Redis#

根据你的环境，选择合适的配置方案。永远不要使用默认配置在生产环境。

方案 A：开发环境（仅本地访问） 保持默认配置即可，bind 127.0.0.1 和 protected-mode yes 能保证安全。

方案 B：生产环境（需要远程访问） 这是需要重点配置的场景。最佳实践是：密码 + 绑定限制。

1. 设置强密码：在 redis.conf 中取消 requirepass 的注释并设置一个强密码。

   requirepass your_very_strong_and_long_password_123!
   

2. 谨慎设置 bind：不要简单地使用 bind 0.0.0.0。应该绑定到特定的、内部的网络接口 IP。例如，如果你的应用服务器和 Redis 服务器在同一个私有网络（如 10.0.1.x），可以绑定到该内网 IP。

   bind 127.0.0.1 10.0.1.100
   

3. 理解 protected-mode：只要你设置了强密码，即使 protected-mode 为 yes 且 bind 到 0.0.0.0，保护模式也不会阻止已认证的连接。但最佳实践是同时做好网络层（bind）和应用层（requirepass）的安全。
4. 配置防火墙：使用 iptables、firewalld 或云服务商的安全组，只允许特定的应用服务器 IP 访问 Redis 端口（默认为 6379）。

步骤 3：在客户端代码中正确连接#

确保你的客户端代码在建立连接时提供了正确的密码。

示例代码#

Redis 配置文件示例 (redis.conf)#

一个适用于内网生产环境的安全配置片段：

# 只监听本地回环和内部网络IP
bind 127.0.0.1 192.168.10.50
 
# 保护模式开启是安全的，因为我们设置了密码
protected-mode yes
 
# 设置一个非常强的密码
requirepass "G&2hF!9q$Lm*eP@5dR#vS%8"
 
# 可选：重命名危险命令，增加一层安全
rename-command FLUSHDB ""
rename-command FLUSHALL ""
rename-command CONFIG ""
 
# 设置日志文件以便排查问题
logfile /var/log/redis/redis-server.log

客户端连接示例 (Python, Node.js, Java)#

Python (使用 redis-py)

import redis
 
# 创建连接池或直接连接
r = redis.Redis(
    host='your_redis_host',
    port=6379,
    password='your_very_strong_password', # 关键参数！
    decode_responses=True
)
 
try:
    # 测试连接
    print(r.ping())
    # 执行命令
    r.set('foo', 'bar')
    value = r.get('foo')
    print(value)
except redis.ConnectionError as e:
    print(f"连接错误: {e}")
except redis.AuthenticationError as e:
    print(f"认证失败: {e}")

Node.js (使用 ioredis)

const Redis = require("ioredis");
 
const redis = new Redis({
  host: "your_redis_host",
  port: 6379,
  password: "your_very_strong_password", // 关键参数！
});
 
redis.ping()
  .then(result => console.log("PONG:", result))
  .catch(err => console.error("Redis Error:", err));
 
// 使用 async/await
(async () => {
  try {
    await redis.set("key", "value");
    const value = await redis.get("key");
    console.log(value);
  } catch (err) {
    console.error(err);
  }
})();

Java (使用 Jedis)

import redis.clients.jedis.Jedis;
import redis.clients.jedis.JedisPool;
import redis.clients.jedis.JedisPoolConfig;
 
public class RedisExample {
    public static void main(String[] args) {
        JedisPoolConfig poolConfig = new JedisPoolConfig();
        // 使用连接池
        JedisPool jedisPool = new JedisPool(poolConfig, "your_redis_host", 6379, 2000, "your_very_strong_password");
 
        try (Jedis jedis = jedisPool.getResource()) {
            // 认证由连接池自动处理
            String pong = jedis.ping();
            System.out.println(pong);
 
            jedis.set("hello", "world");
            String value = jedis.get("hello");
            System.out.println(value);
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            jedisPool.close();
        }
    }
}

总结#

"Error: Connection reset by peer" 这个 Redis 连接错误，很大程度上是 Redis 安全机制正常工作的表现，而非一个简单的网络故障。其核心原因通常围绕 bind、protected-mode 和 requirepass 这三个配置项的误解或错误配置。

核心要点：

• 理解默认配置：Redis 默认只允许本地无密码访问，这是为了安全。
• 远程访问必须配置密码：只要需要远程连接，设置 requirepass 是首要任务。
• protected-mode 是朋友：它是一个重要的安全网，不要轻易关闭它。正确的做法是通过设置密码和精确的 bind 地址来满足它的安全要求。
• 客户端代码需配套：服务器端配置了密码，客户端连接时必须提供。

通过遵循本文的诊断步骤和最佳实践，你不仅可以快速解决 "Connection reset by peer" 的错误，更能显著提升你的 Redis 实例的安全性。

参考引用#

1. Redis 官方文档 - Security
2. Redis 官方文档 - Configuration
3. Redis 官方文档 - AUTH command
4. Redis redis.conf 模板文件中的注释