Redis集群节点间ping不通的首要原因是集群总线端口16379被防火墙或安全组拦截,导致心跳、故障检测等控制消息无法传输,表现为cluster nodes显示fail或noaddr;其次需检查protected-mode和bind配置是否正确,确保集群内部通信可达;再者应排查日志中的IOERR、timeout等线索,并在NAT或Docker环境下显式配置cluster-announce-ip等参数。
集群节点间 ping 不通:先确认总线端口是否被防火墙拦截
Redis 集群节点之间靠「集群总线(cluster bus)」通信,它默认在客户端端口(如 6379)基础上加 10000 偏移量,即使用 16379 端口(6379 + 10000)。这个端口不处理业务请求,只传心跳、故障检测、槽位迁移等控制消息——一旦被防火墙或安全组拦住,节点就“失联”,现象是 cluster nodes 显示 fail 或 noaddr,但客户端连得上单个节点。
实操建议:
- 在任一集群节点上执行:
redis-cli -p 6379 cluster nodes,找到疑似失联节点的 IP 和端口(比如192.168.5.20:6379),然后手动测试其总线端口:telnet 192.168.5.20 16379或Test-NetConnection 192.168.5.20 -Port 16379(Windows PowerShell) - Linux 上检查本机防火墙是否放行:
sudo iptables -L INPUT -n | grep 16379;若没结果,说明未放行,需添加:sudo iptables -I INPUT -p tcp --dport 16379 -j ACCEPT - 云环境(如阿里云、AWS)必须同步检查安全组规则——不能只开
6379,16379同样要放行,且方向为「入方向」,源地址应包含所有其他集群节点 IP
protected-mode 和 bind 配置干扰集群发现
即使总线端口通了,protected-mode yes 且 bind 未显式配置非回环地址时,Redis 会拒绝来自其他节点的集群握手请求(尤其是新加入节点或重启后重连),日志里常出现 Node not reachable 或反复重试 MEET 却无响应。
实操建议:
- 检查当前配置:
redis-cli -p 6379 config get protected-mode和redis-cli -p 6379 config get bind - 集群模式下必须设为:
protected-mode no(注意:这不是密码替代方案,集群内部通信本就不依赖密码) -
bind不能只写127.0.0.1,至少得加上内网 IP,例如:bind 127.0.0.1 192.168.5.10;若用0.0.0.0,务必配合防火墙限制源 IP 范围 - 改完记得
redis-cli -p 6379 config rewrite持久化,再redis-cli -p 6379 cluster forget <old-node-id>清旧状态,最后用redis-cli --cluster add-node重试
节点日志里藏着真实断连原因
光看 cluster nodes 输出容易误判——显示 connected 只代表 TCP 连接建立过,不代表持续可用。真正可靠的线索在 Redis 日志里,特别是 Warning 级别以上的记录,比如 Connection refused by peer、IOERR sending to node、Timed out waiting for cluster message,这些都直指总线层问题。
实操建议:
- 定位日志路径:
redis-cli -p 6379 config get logfile,常见为/var/log/redis/redis-server.log - 实时跟踪异常:
sudo tail -f /var/log/redis/redis-server.log | grep -i -E "(fail|timeout|ioerr|meet|ping)" - 重点留意时间戳对齐的多行日志:比如某节点 A 在 10:22:03 报
Unable to connect to node XXX,紧接着节点 B 在同一秒打出IOERR writing to node A,基本可锁定是 A 的16379端口不可达
cluster-announce-ip 导致跨网络集群“看见却连不上”
当 Redis 部署在 Docker、NAT 网络或混合云环境时,节点自动上报的 IP(通过 cluster-announce-ip 推导)可能是容器内网 IP 或私有地址,其他节点尝试连接这个地址自然失败——现象是 cluster nodes 里能看到节点,但状态始终是 fail,且 telnet 测试目标 IP:16379 返回 Connection refused。
实操建议:
- 强制指定对外可达的 IP:
redis-cli -p 6379 config set cluster-announce-ip 192.168.5.10(填该节点实际能被其他节点路由到的地址) - 同时设置端口和总线端口:
redis-cli -p 6379 config set cluster-announce-port 6379和redis-cli -p 6379 config set cluster-announce-bus-port 16379 - 必须搭配
config rewrite写入配置文件,否则重启后失效;若用 Docker,还需在启动命令中加--cluster-announce-ip参数,而非仅靠 config set
总线端口被拦是最隐蔽的断连原因——它不报错、不丢数据、不影响单点访问,只让集群“半身不遂”。很多人查完网络、配完 bind,最后卡在防火墙对 16379 的静默丢包上,连 tcpdump 都得抓这个端口才能看到 SYN 包根本没出去。
