NodeRedis连接Azure Redis企业集群时的TLS证书验证问题解析

在使用NodeRedis客户端连接Azure Redis企业版集群时，开发人员可能会遇到一个常见的TLS证书验证问题。本文将深入分析该问题的根源，并提供多种解决方案。

问题现象

当尝试通过私有端点连接到Azure Redis企业集群时，NodeRedis客户端会抛出ERR_TLS_CERT_ALTNAME_INVALID错误。错误信息表明客户端IP地址不在证书的备用名称列表中，证书仅包含类似*.westus3.redisenterprise.cache.azure.net这样的DNS名称。

根本原因分析

这个问题的产生源于几个技术层面的因素：

1. 证书验证机制：TLS证书验证要求客户端连接时使用的主机名必须与证书中的Subject Alternative Name (SAN)匹配。Azure Redis企业版证书仅配置了DNS名称，不包含IP地址。

2. 集群发现机制：NodeRedis客户端通过CLUSTER SLOTS命令发现集群拓扑时，返回的是节点IP地址而非主机名。当客户端尝试使用IP地址连接这些节点时，就会触发证书验证失败。

3. Azure Redis企业版特性：与开源Redis集群不同，Azure Redis企业版使用固定端口10000作为入口点，内部节点端口则是动态分配的85xx范围端口。

解决方案

方案一：使用nodeAddressMap映射

最推荐的解决方案是利用NodeRedis提供的nodeAddressMap功能，将发现的IP地址映射回有效的主机名：

createCluster({
  rootNodes: [{
    url: 'my-redis.westus3.redisenterprise.cache.azure.net:10000'
  }],
  nodeAddressMap(address) {
    const [hostAddress, port] = address.split(":");
    const host = net.isIP(hostAddress) !== 0 ? 'my-redis.westus3.redisenterprise.cache.azure.net' : hostAddress;
    return { host, port: Number(port) };
  }
});

这种方法既保持了TLS验证的安全性，又解决了证书不匹配的问题。

方案二：配置多个根节点

如果知道集群中多个节点的地址，可以显式配置多个根节点：

createCluster({
  rootNodes: [
    { socket: { host: 'host1', port: 10000, servername: 'my-redis.westus3.redisenterprise.cache.azure.net' }},
    { socket: { host: 'host2', port: 10000, servername: 'my-redis.westus3.redisenterprise.cache.azure.net' }},
    { socket: { host: 'host3', port: 10000, servername: 'my-redis.westus3.redisenterprise.cache.azure.net' }}
  ]
});

方案三：临时解决方案（不推荐）

作为临时解决方案，可以禁用证书验证：

createCluster({
  socket: {
    tls: true,
    rejectUnauthorized: false
  }
});

但这种方法会降低安全性，不建议在生产环境中使用。

最佳实践建议

1. 云服务适配：在使用云服务提供的Redis集群时，应优先查阅该云服务的特定文档，了解其集群发现机制和TLS配置要求。

2. 证书管理：理想情况下，云服务提供商应在证书中包含IP地址的SAN条目，或者允许配置oss_cluster_api_preferred_endpoint_type参数为hostname。

3. 客户端配置：对于生产环境，建议使用nodeAddressMap方案，它既保持了安全性，又能适应云服务的特定架构。

总结

NodeRedis客户端与Azure Redis企业版的集成需要特别注意TLS证书验证的特殊性。通过理解云服务的架构特点和合理配置客户端，可以构建既安全又可靠的Redis集群连接方案。对于云服务用户来说，掌握这些配置技巧对于构建稳定的分布式系统至关重要。