传输加密简介

本页面简要介绍了 Memorystore for Redis 集群的传输加密。

如需了解如何对使用传输加密的连接进行加密,请参阅管理传输加密

Memorystore for Redis 集群仅支持 1.2 或更高版本的 TLS 协议。

简介

Memorystore for Redis 集群支持使用传输层安全协议 (TLS) 协议加密所有 Redis 流量。启用传输加密后,Redis 客户端仅通过安全连接进行通信。未配置 TLS 的 Redis 客户端会被屏蔽。如果您选择启用传输加密,则需负责确保 Redis 客户端能够使用 TLS 协议。

传输加密前提条件

如需将传输加密与 Memorystore for Redis 搭配使用,您需要具备以下条件:

  1. 支持 TLS 或第三方 TLS 辅助信息文件 的 Redis 客户端

  2. 访问 Redis 实例的客户端计算机上安装了证书授权机构

开源 Redis 6.0 之前的版本不支持原生 TLS。因此,并非所有 Redis 客户端库都支持 TLS。如果您使用的客户端不支持 TLS,我们建议您使用为客户端启用 TLS 的 Stunnel 第三方插件。如需了解如何使用安全通道连接到 Redis 实例,请参阅使用安全通道和 telnet 安全地连接到 Redis 实例

证书授权机构

使用传输加密的 Redis 集群具有唯一的证书授权机构 (CA),这些证书授权机构用于对集群中的机器证书进行身份验证。每个 CA 由一个证书标识,您必须在访问 Redis 实例的客户端上下载并安装该证书。

证书授权机构轮替

CA 在创建实例后的 10 年内有效。此外,新的 CA 将在 CA 到期之前可用。

旧的 CA 在其失效日期前有效。这样系统会打开一个窗口,您可以在其中将新 CA 下载并安装到连接到 Redis 实例的客户端。旧的 CA 到期后,您可以从客户端卸载这些 CA。

有关轮替 CA 的说明,请参阅管理证书授权机构轮替

服务器证书轮替

服务器端证书轮替每周进行一次。新的服务器证书仅适用于新连接,并且现有连接在轮替期间仍然有效。

启用传输加密对性能的影响

传输加密功能可对数据进行加密和解密,而这会产生处理开销。因此,启用传输加密可能会降低性能。此外,使用传输加密时,每个额外的连接也会产生关联的资源费用。如需确定与使用传输加密相关的延迟时间,请对已启用传输加密的集群与已停用传输加密的集群进行应用性能基准化分析,比较应用性能。

有关提升性能的指导原则

  • 尽可能减少客户端连接数量。建立并重用长时间运行的连接,而不是按需创建短时间运行的连接。

  • 增加 Memorystore 集群的大小。

  • 增加 Memorystore 客户端主机的 CPU 资源。CPU 个数越多,客户端机器的性能就越好。如果使用的是 Compute Engine 虚拟机,我们建议您计算优化的实例。

  • 减小与应用流量关联的载荷大小,因为载荷越大,所需的往返次数就越多。