Cette page présente le chiffrement en transit pour le cluster Memorystore pour Redis.
Pour savoir comment chiffrer une connexion avec ce type de chiffrement, consultez Gérer le chiffrement en transit.
Le cluster Memorystore pour Redis n'est compatible qu'avec le protocole TLS 1.2 ou une version ultérieure.
Introduction
Le cluster Memorystore pour Redis est capable de chiffrer tout le trafic Redis à l'aide du protocole Transport Layer Security (TLS). Lorsque le chiffrement en transit est activé, les clients Redis communiquent exclusivement via une connexion sécurisée. Les clients Redis qui ne sont pas configurés pour TLS sont bloqués. Si vous choisissez d'activer le chiffrement en transit, vous devez vous assurer que votre client Redis est en mesure d'utiliser le protocole TLS.
Prérequis pour le chiffrement en transit
Pour utiliser le chiffrement en transit avec Memorystore pour Redis, vous avez besoin des éléments suivants :
Un client Redis compatible avec TLS ou un side-car TLS tiers.
Les autorités de certification installées sur la machine cliente accédant à votre instance Redis
Le protocole TLS n'était pas nativement compatible dans les versions antérieures à la version 6.0 de Redis Open Source. Par conséquent, les bibliothèques clientes Redis ne sont pas toutes compatibles avec le protocole TLS. Si vous utilisez un client non compatible avec TLS, nous vous recommandons d'utiliser le plug-in tiers Stunnel, qui active le protocole TLS pour votre client. Pour obtenir un exemple de connexion à une instance Redis avec Stunnel, consultez la section Se connecter en toute sécurité à une instance Redis à l'aide de Stunnel et Telnet.
Autorités de certification
Un cluster Redis qui utilise le chiffrement en transit possède des autorités de certification (CA) uniques pour authentifier les certificats des machines de votre cluster. Chaque autorité de certification est identifiée par un certificat que vous devez télécharger et installer sur le client accédant à votre instance Redis.
Rotation des autorités de certification
Les autorités de certification sont valides pendant 10 ans à compter de la création de l'instance. En outre, une nouvelle autorité de certification sera disponible avant l'expiration de l'autorité de certification.
Les anciennes autorités de certification sont valides jusqu'à leur date d'expiration. Vous disposez ainsi d'une fenêtre permettant de télécharger et d'installer la nouvelle autorité de certification sur des clients se connectant à l'instance Redis. Une fois que les anciennes autorités de certification ont expiré, vous pouvez les désinstaller des clients.
Pour en savoir plus sur la rotation des autorités de certification, consultez la section Gérer la rotation des autorités de certification.
Rotation des certificats de serveur
La rotation des certificats côté serveur a lieu toutes les semaines. Les nouveaux certificats de serveur ne s'appliquent qu'aux nouvelles connexions, et les connexions existantes restent actives pendant la rotation.
Impact du chiffrement en transit sur les performances
La fonctionnalité de chiffrement en transit chiffre et déchiffre les données, ce qui entraîne des frais de traitement supplémentaires. Par conséquent, l'activation du chiffrement en transit peut réduire les performances. De plus, lorsque vous utilisez le chiffrement en transit, chaque connexion supplémentaire s'accompagne du coût des ressources associées. Pour déterminer la latence associée à l'utilisation du chiffrement en transit, comparez les performances des applications en les comparant à un cluster sur lequel le chiffrement en transit est activé et à celui sur lequel celui-ci est désactivé.
Consignes d'amélioration des performances
Réduisez le nombre de connexions client lorsque cela est possible. Établissez et réutilisez des connexions de longue durée plutôt que de créer des connexions de courte durée à la demande.
Augmentez la taille de votre cluster Memorystore.
Augmentez les ressources de processeur de la machine hôte du client Memorystore. Les machines clientes ayant davantage de processeurs offrent de meilleures performances. Si vous utilisez une VM Compute Engine, nous vous recommandons d'utiliser des instances optimisées pour le calcul.
Réduisez la taille de la charge utile associée au trafic de l'application, car les charges utiles volumineuses nécessitent davantage d'allers-retours.