必须开,且默认就该是 yes;Redis 6.0+ 默认启用,老版本或手动配置常误设为 no,导致从库可写引发数据不一致;需 CONFIG SET replica-read-only yes 并持久化到 redis.conf。replica-read-only 配置到底开不开?开。必须开,且默认就该是 yes。Redis 6.0+ 默认已是 replica-read-only yes,但老版本或手动配置过 redis.conf 的实例常被改成 no,导致从库可写------这不是"功能",是安全隐患。从库可写最直接的后果:应用误连从库执行 SET、DEL 或 FLUSHDB,数据瞬间不一致,主从复制不报错,但业务读到脏数据或空值,排查时往往卡在"为什么从库有数据主库没有"。实操建议:检查当前值:redis-cli CONFIG GET replica-read-only,返回 1) "replica-read-only" 2) "no" 就得改运行时启用:redis-cli CONFIG SET replica-read-only yes(立即生效,无需重启)持久化配置:在 redis.conf 中确保有 replica-read-only yes,避免重启后回退注意:该配置只影响 Redis 自身命令写入,不阻止客户端用 EVAL 执行恶意 Lua 脚本绕过(见下一条)从库能执行 EVAL 吗?replica-read-only 拦不住replica-read-only yes 只禁用普通写命令(SET、HSET、LPUSH 等),但 EVAL 和 EVALSHA 默认仍可执行------只要脚本里没调用写命令,Redis 就不拦;而一旦脚本里含 redis.call('SET', ...),它会直接报错 ERR Write commands are not allowed on a read-only replica,但这个报错发生在脚本运行中,不是语法校验阶段。风险在于:攻击者或误操作的运维可能用 EVAL 读取键再拼接写逻辑,或依赖脚本原子性做非幂等操作,结果在从库上留下中间状态。实操建议:生产环境从库务必禁用 Lua 写能力:redis-cli CONFIG SET lua-replicate-commands no(Redis 3.2+)更彻底的做法:在 redis.conf 加 lua-replicate-commands no + replica-read-only yes 双保险注意:lua-replicate-commands no 不影响只读脚本(如 GET、EXISTS),但会拒绝任何含写操作的 EVAL,包括 redis.call('INCR')客户端连错从库还写了数据,怎么快速发现?没有自动告警。Redis 本身不记录"谁在从库上写了什么",MONITOR 开销大不能常开,SLOWLOG 也不区分主从上下文。真正能抓到问题的是日志和监控链路。 AI智研社 AI智研社是一个专注于人工智能领域的综合性平台
相关推荐
GBASE5 分钟前
G术时刻 |GBase 8s数据库事务并发控制之封锁技术介绍(下)ZhengEnCi6 小时前
P2M-Matplotlib折线图完全指南-从数据可视化到趋势分析的Python绘图利器ZhengEnCi7 小时前
P2L-Matplotlib饼图完全指南-从数据可视化到图表定制的Python绘图利器曲幽8 小时前
你的REST接口还在“过度投喂”数据吗?——FastAPI + GraphQL实战避坑指南用户8358086187919 小时前
基于 Self-RAG 与列表级重排序的进阶 RAG 系统设计与实现xiezhr10 小时前
逛GitHub发现了一款免费的带AI功能的数据库管理工具Warson_L1 天前
Python `Annotated` 与 LangGraph Reducer 学习笔记韩师傅1 天前
海天线算法的前世今生韩师傅1 天前
当你的甲方设备过烂,要如何快速出效果?Warson_L1 天前
LangGraph的MessageState and HumanMessage