Сеть и кластеры Managed Service for Redis
При создании кластера вы можете:
- задать сеть для самого кластера;
- задать подсети для каждого из хостов кластера;
- включить поддержку TLS, чтобы подключаться к кластеру извне Yandex Cloud.
Имя хоста и FQDN
Имя для каждого хоста в кластере Managed Service for Redis генерирует при его создании. Это имя будет являться доменным именем хоста (FQDN). Имя хоста и, соответственно, FQDN невозможно изменить.
О том, как получить FQDN хоста, см. инструкцию.
FQDN можно использовать для подключения к хосту из облачной сети или через интернет.
Публичный доступ к хостам кластера
Если кластер Managed Service for Redis создан с поддержкой TLS, подключиться в нему можно как с ВМ Yandex Cloud в той же облачной сети, так и из интернета.
Если кластер создан без поддержки TLS, подключиться к нему можно только с ВМ Yandex Cloud в той же облачной сети. Включить публичный доступ к хосту в таком кластере невозможно.
Любой хост в кластере с включенной поддержкой TLS может быть доступен извне Yandex Cloud, если вы запросили публичный доступ при создании или изменении хоста.
Изменить публичный IP-адрес после создания хоста невозможно, но вы можете заменить какой-либо из имеющихся хостов на новый хост с публичным IP-адресом.
При удалении хоста с публичным доступом соответствующий ему IP-адрес отзывается.
Использование FQDN вместо IP-адресов
Redis оперирует IP-адресами хостов, а не их FQDN. Если кластер Managed Service for Redis создан с поддержкой TLS, то такое поведение препятствует подключению к хостам Redis в следующих ситуациях:
-
Клиент Redis подключается к хосту по SSL и требует проверки соответствия FQDN хоста и сертификата.
Сертификат содержит FQDN хоста, а не его IP-адрес, поэтому такая проверка завершится неудачей.
-
Для хоста включен публичный доступ.
Redis возвращает внутренний IP-адрес хоста, даже если для хоста включен публичный доступ. Такой IP-адрес недоступен из интернета.
Включите настройку, разрешающую использование FQDN вместо IP-адресов, чтобы IP-адрес хоста подменялся на его FQDN. Эту настройку можно включить при создании или изменении любого кластера Managed Service for Redis, но обычно она используется в кластере с включенной поддержкой TLS для обхода упомянутых выше ограничений.
Примечание
Некоторые клиенты несовместимы с этой настройкой и не смогут подключиться к хостам кластера. Такие клиенты ожидают именно IP-адрес и некорректно обрабатывают ситуацию, когда IP-адрес подменяется на FQDN.
Пример действия опции
В нешардированных кластерах Managed Service for Redis часто используется Sentinel, который позволяет получить адрес хоста-мастера Redis. Поскольку Sentinel получает адрес от самого Redis, то, в зависимости от того, включена ли опция Использовать FQDN вместо IP-адресов, результат будет разный.
Пусть в кластере есть хост-мастер Redis с FQDN
rc1a-abcd********5678.mdb.yandexcloud.net
и внутренним IP-адресом10.0.0.222
. Тогда Sentinel вернет адрес хоста следующего вида:
- С выключенной опцией:
10.0.0.222:6379
.- С включенной опцией:
rc1a-abcd********5678.mdb.yandexcloud.net:6379
.
Группы безопасности
Для групп безопасности действует принцип «весь трафик, который не разрешен, запрещен». Для подключения к кластеру задайте правила в группе безопасности. Они разрешают трафик с определенных портов, IP-адресов или из других групп безопасности. Например, ВМ не сможет подключиться к кластеру, если:
- ВМ находится в подсети 10.128.0.0/16, а в правилах на входящий трафик указана только подсеть 10.133.0.0/24.
- ВМ находится в подсети 10.133.0.0/24, но обращается к порту, не указанному в правилах группы безопасности.
Подробнее о том, как настроить группы безопасности, читайте в разделе Настройка групп безопасности.
Совет
При подключении к кластеру из той же облачной сети, в которой он находится, настройте группы безопасности не только для кластера, но и для хоста, с которого выполняется подключение.
Особенности работы с группами безопасности:
-
Даже если кластер и хост находятся в одной группе безопасности, для подключения к кластеру с этого хоста потребуются правила, разрешающие прохождение трафика между ними. По умолчанию такие правила содержатся в группе безопасности, которая создается вместе с облачной сетью. Это правила
Self
, разрешающие неограниченное прохождение трафика внутри группы безопасности. -
Настройки групп безопасности влияют только на возможность подключения к кластеру. Они не влияют на функционирование кластеров: работу репликации, шардирования, возможность снятия резервных копий и другие возможности.
Подробнее см. в документации Virtual Private Cloud.