Questa pagina fornisce una panoramica della crittografia dei dati in transito per il cluster Memorystore for Redis.
Per istruzioni su come criptare una connessione con la crittografia dei dati in transito, vedi Gestire la crittografia dei dati in transito.
Il cluster Memorystore for Redis supporta solo le versioni del protocollo TLS 1.2 o successive.
Introduzione
Il cluster Memorystore for Redis supporta la crittografia di tutto il traffico Redis utilizzando il protocollo Transport Layer Security (TLS). Se la crittografia dei dati in transito è abilitata, i client Redis comunicano esclusivamente attraverso una connessione sicura. I client Redis non configurati per TLS. Se scegli di attivare la crittografia dei dati in transito, sei responsabile di garantire che il client Redis sia in grado di utilizzare il protocollo TLS.
Prerequisiti di crittografia dei dati in transito
Per utilizzare la crittografia dei dati in transito con Memorystore for Redis, devi disporre di:
Un client Redis che supporti TLS o un sidecar TLS di terze parti
Autorità di certificazione installate sul computer client che accedono alla tua istanza Redis
Il protocollo TLS nativo non era supportato prima della versione 6.0 open source di Redis. Di conseguenza, non tutte le librerie client Redis supportano TLS. Se utilizzi un client che non supporta TLS, ti consigliamo di utilizzare il plug-in di terze parti Stunnel che abilita TLS per il tuo client. Per un esempio di come connetterti a un'istanza Redis con Stunnel, consulta Connessione sicura a un'istanza Redis utilizzando Stunnel e telnet.
Autorità di certificazione
Un cluster Redis che utilizza la crittografia dei dati in transito ha autorità di certificazione (CA) certificate che vengono utilizzate per autenticare i certificati delle macchine nel cluster. Ogni CA è identificata da un certificato che devi scaricare e installare sul client che accede alla tua istanza Redis.
Rotazione autorità di certificazione
Le autorità di certificazione sono valide per 10 anni al momento della creazione dell'istanza. Inoltre, una nuova CA diventerà disponibile prima della scadenza della CA.
Le CA precedenti sono valide fino alla loro data di scadenza. Questo ti dà una finestra in cui scaricare e installare la nuova CA ai client che si connettono all'istanza Redis. Dopo la scadenza delle vecchie CA, puoi disinstallarle dai client.
Per istruzioni sulla rotazione della CA, vedi Gestire la rotazione dell'autorità di certificazione.
Rotazione certificati server
La rotazione del certificato lato server avviene ogni settimana. I nuovi certificati server si applicano solo alle nuove connessioni e le connessioni esistenti rimangono attive durante la rotazione.
Impatto sulle prestazioni dell'attivazione della crittografia dei dati in transito
La funzionalità di crittografia dei dati in transito cripta e decripta i dati, con un overhead di elaborazione. Di conseguenza, l'attivazione della crittografia dei dati in transito può ridurre le prestazioni. Inoltre, quando utilizzi la crittografia dei dati in transito, ogni connessione aggiuntiva ha un costo delle risorse associato. Per determinare la latenza associata all'utilizzo della crittografia dei dati in transito, confronta le prestazioni delle applicazioni confrontando le prestazioni dell'applicazione con un cluster per cui è abilitata la crittografia in transito e con un cluster in cui questa è disabilitata.
Linee guida per migliorare il rendimento
Riduci il numero di connessioni client quando possibile. Stabilisci e riutilizza le connessioni a lunga esecuzione anziché creare connessioni on demand di breve durata.
Aumenta le dimensioni del tuo cluster Memorystore.
Aumentare le risorse della CPU della macchina host client Memorystore. Le macchine client con un numero di CPU maggiore generano prestazioni migliori. Se utilizzi una VM Compute Engine, ti consigliamo di utilizzare istanze ottimizzate per il calcolo.
Riduci le dimensioni del payload associate al traffico dell'applicazione perché i payload più grandi richiedono più round trip.