CookieCutter-Django 项目中的 Heroku Redis TLS 连接问题解析

背景介绍

在 Django 项目部署到 Heroku 平台时，Redis 作为缓存和 Celery 消息队列的后端服务被广泛使用。近期 Heroku 对其 Redis 服务进行了安全升级，默认启用了 TLS 加密连接，这导致了许多基于 CookieCutter-Django 模板创建的项目出现了连接问题。

问题本质

Heroku 的 Redis 服务升级后，连接协议从原来的 redis:// 变为了 rediss://（注意多了一个 s），这表示要求使用 SSL/TLS 加密连接。而 CookieCutter-Django 项目模板中的默认配置并未针对这一变化进行适配，导致以下问题：

1. Celery 无法连接到 Redis 作为消息代理
2. Django 的 Redis 缓存后端连接失败
3. 即使添加了 SSL 相关配置，仍可能遇到证书验证错误

解决方案

经过社区讨论和验证，以下是完整的解决方案，适用于 Django 项目在 Heroku 上使用 Redis 服务：

1. 基础配置修改

首先需要将 Redis 连接 URL 从环境变量中读取，并明确使用 TLS 版本：

REDIS_URL = env("REDIS_TLS_URL", default="redis://localhost:6379/0")

2. Celery 配置调整

对于 Celery 的消息代理和后端连接，需要添加 SSL 相关配置：

CELERY_REDIS_BACKEND_USE_SSL = {"ssl_cert_reqs": ssl.CERT_NONE}
CELERY_BROKER_USE_SSL = {"ssl_cert_reqs": ssl.CERT_NONE}
CELERY_BROKER_CONNECTION_RETRY_ON_STARTUP = True

这里使用 ssl.CERT_NONE 表示不验证服务器证书，这是为了兼容 Heroku 的 Redis 服务证书。

3. Django 缓存配置

对于 Django 内置的 Redis 缓存后端，也需要进行相应调整：

CACHES = {
    "default": {
        "BACKEND": "django.core.cache.backends.redis.RedisCache",
        "LOCATION": REDIS_URL,
        "OPTIONS": {"ssl_cert_reqs": None},
    }
}

技术细节解析

1. TLS 连接必要性：Heroku 强制使用 TLS 是为了提高数据传输安全性，防止中间人攻击。

2. 证书验证处理：在生产环境中，理想情况下应该验证服务器证书。但 Heroku 的 Redis 服务使用自签名证书，因此需要禁用证书验证。

3. 连接重试机制：CELERY_BROKER_CONNECTION_RETRY_ON_STARTUP 设置为 True 可以确保 Celery 在启动时如果遇到连接问题会自动重试。

最佳实践建议

1. 环境区分：在开发环境中可以使用非 TLS 连接，而在生产环境强制使用 TLS。

2. 配置管理：建议通过环境变量控制是否启用 SSL，增加配置灵活性。

3. 监控告警：即使配置了自动重试，也应该设置监控来及时发现连接问题。

总结

Heroku 对 Redis 服务的 TLS 要求变更反映了云服务安全性的不断提升。作为开发者，我们需要及时调整应用配置以适应这些变化。本文提供的解决方案已在生产环境中验证有效，可以帮助开发者快速解决类似问题，确保 Django 应用在 Heroku 上的稳定运行。