Redis集群内网IP配置：在redis.conf文件中设置bind指令，只绑定内网IP，比如bind 192.168.1.100 192.168.1.101，避免绑定0.0.0.0暴露公网；集群节点间用内网IP互相发现，例如cluster-config-file nodes-6379.conf中记录的node id和ip都是内网地址。内网通信原理是节点通过TCP端口（如6379和16379）直接连内网IP gossip协议交换信息，心跳检测用内网确保低延迟。安全实践：防火墙只开内网端口到集群节点，禁用外网访问；用ACL控制命令和key；开启TLS加密内网流量；定期更新补丁，避免默认密码。

配置内网IP的实际步骤

在每个Redis节点上编辑redis.conf：注释掉或修改bind 127.0.0.1为bind你的内网IP如bind 10.0.0.1。然后在cluster节点配置中，启动时指定--cluster-config-file nodes.conf --cluster-node-timeout 5000。创建集群时用redis-cli --cluster create 10.0.0.1:6379 10.0.0.2:6379等内网地址，确保所有节点在内网VPC。测试：用redis-cli -c -h 内网IP -p 6379 cluster nodes，看到所有节点IP都是内网的。

内网通信的详细原理解释

Redis集群内网通信基于Gossip协议，每个节点维护集群状态，通过内网IP和端口（如6379数据，16379总线端口）互相发送PING/PONG消息。原理是随机选节点发UDP/TCP包，包含节点列表、槽信息，超时重发。内网低延迟保证心跳每秒几次，避免公网丢包。故障时多数派节点通过内网投票选举master，数据迁移也走内网通道，确保高可用。

安全实践分享

安全第一步：生产环境防火墙iptables -A INPUT -s 内网网段 -p tcp --dport 6379 -j ACCEPT，其他拒绝。Redis 6+用ACL：ACL SETUSER user on >password ~* &* +@all，限制命令。启用protected-mode yes，requirepass强密码。集群安全加TLS：配置tls-cert-file等加密内网流量。监控：用prometheus抓取metrics，警报异常连接。禁用危险命令如FLUSHALL用rename-command FLUSHALL ""。定期scan漏洞，保持版本最新如7.x。

用户实际案例

我们公司用阿里云VPC部署Redis集群，所有节点内网IP 172.16.0.x，配置bind只绑这些IP，安全组只允许VPC内流量进6379/16379端口。通信全内网，延迟<1ms。安全上开了auth，ACL限应用key前缀，还用sentinel监控 failover。遇到问题是因为公网IP泄露，改后完美。

另一个来源配置经验

步骤：1. 所有机器ping通内网IP。2. redis.conf: bind 内网IP，protected-mode yes，port 6379，cluster-enabled yes，cluster-config-file nodes.conf，cluster-node-timeout 15000。3. 启动redis-server redis.conf。4. redis-cli --cluster create 内网IP列表 --cluster-replicas 1。验证：cluster info显示cluster_state:ok，所有address内网。

FAQ

Q: 内网IP配置后还能外网访问吗？
A: 可以，但需额外配置，如代理或公网bind另一个实例；生产别直接外网Redis，用网关。

Q: 集群通信端口除了6379还有什么？
A: 16379是cluster bus端口，用于节点间gossip，必开防火墙。

Q: 不加密内网安全吗？
A: 内网VPC相对安全，但推荐TLS防窃听，尤其多租户云环境。

Q: 怎么检查集群内网通信正常？
A: redis-cli cluster nodes看所有节点reachable；cluster info看current-epoch同步。