Lettuce-core Redis哨兵连接认证问题解析与解决方案

问题背景

在使用Lettue-core客户端连接Redis哨兵(Sentinel)集群时，开发者经常会遇到"NOAUTH Authentication required"认证错误。这个问题通常发生在配置了Redis密码认证的环境中，特别是当使用Kubernetes等容器编排平台部署Redis哨兵集群时。

问题本质

这个问题的核心在于Redis哨兵模式下的双重认证机制。Redis哨兵环境实际上包含两种服务：

1. Redis主从节点服务（需要密码认证）
2. 哨兵监控服务（可能也需要独立认证）

当使用Lettuce客户端连接时，开发者往往只配置了主节点的密码，而忽略了哨兵服务本身的认证需求，导致连接被拒绝。

解决方案

完整认证配置

正确的做法是为哨兵连接也配置认证信息。在Spring Boot环境中，可以通过以下方式配置：

@Bean
public RedisConnectionFactory redisConnectionFactory() {
    RedisSentinelConfiguration sentinelConfig = new RedisSentinelConfiguration()
            .master(masterName);
    
    // 添加哨兵节点
    sentinelConfig.sentinel(host, port);
    
    // 设置主节点密码
    sentinelConfig.setPassword(RedisPassword.of(redisPassword));
    
    // 设置哨兵节点密码（关键步骤）
    sentinelConfig.setSentinelPassword(RedisPassword.of(sentinelPassword));
    
    LettuceClientConfiguration clientConfig = LettuceClientConfiguration.builder()
            .commandTimeout(Duration.ofMillis(redisConnectionTimeout))
            .readFrom(ReadFrom.REPLICA_PREFERRED)
            .clientOptions(ClientOptions.builder()
                    .protocolVersion(ProtocolVersion.RESP2)
                    .build())
            .build();
    
    return new LettuceConnectionFactory(sentinelConfig, clientConfig);
}

配置要点说明

1. 双重密码设置：

   • setPassword()：用于设置Redis主从节点的访问密码
   • setSentinelPassword()：用于设置哨兵节点的认证密码

2. Kubernetes环境特殊考虑：

   • 在K8s中使用Headless服务时，确保服务发现配置正确
   • 检查哨兵服务的网络策略，确保客户端Pod可以访问

3. 连接池优化：

   • 根据实际业务量调整连接超时时间
   • 考虑使用ReadFrom.REPLICA_PREFERRED实现读写分离

最佳实践建议

1. 统一密码管理：

   • 虽然技术上可以为主节点和哨节点设置不同密码，但建议生产环境使用统一密码简化管理

2. 健康检查配置：

   • 添加哨兵连接的健康检查机制
   • 配置合理的重试策略

3. 监控集成：

   • 集成Micrometer等监控工具跟踪连接状态
   • 设置合理的告警阈值

4. 版本兼容性：

   • 确认Lettuce版本与Redis服务器版本的兼容性
   • 新版本通常会修复已知的连接问题

总结

Redis哨兵模式下的认证问题是一个常见但容易忽视的配置细节。通过正确设置主节点和哨兵节点的双重认证，可以确保连接稳定可靠。在云原生环境下，还需要特别注意网络策略和服务发现的配置。掌握这些关键点后，开发者可以构建出更加健壮的Redis哨兵集群连接方案。