Esta página apresenta uma vista geral da encriptação em trânsito para o Memorystore for Redis Cluster.
Para ver instruções sobre como encriptar uma ligação com encriptação em trânsito, consulte o artigo Faça a gestão da encriptação em trânsito.
O Memorystore for Redis Cluster só suporta as versões 1.2 ou superiores do protocolo TLS.
Introdução
O Memorystore for Redis Cluster suporta a encriptação de todo o tráfego do Redis através do protocolo Transport Layer Security (TLS). Quando a encriptação em trânsito está ativada, os clientes Redis comunicam exclusivamente através de uma ligação segura. Os clientes Redis que não estão configurados para TLS são bloqueados. Se optar por ativar a encriptação em trânsito, é responsável por garantir que o seu cliente Redis é capaz de usar o protocolo TLS.
Pré-requisitos da encriptação em trânsito
Para usar a encriptação em trânsito com o Memorystore for Redis, precisa do seguinte:
Um cliente Redis que suporte TLS ou um sidecar TLS de terceiros
Autoridades de certificação instaladas na máquina cliente que acede à sua instância do Redis
O TLS nativo não era suportado antes da versão 6.0 do Redis de código aberto. Como resultado, nem todas as bibliotecas de cliente Redis suportam TLS. Se estiver a usar um cliente que não suporta TLS, recomendamos que use o plug-in de terceiros Stunnel que ativa o TLS para o seu cliente. Consulte o artigo Estabelecer ligação segura a uma instância do Redis através do Stunnel e do telnet para ver um exemplo de como estabelecer ligação a uma instância do Redis com o Stunnel.
Autoridades de certificação
Um cluster do Redis que usa a encriptação em trânsito tem autoridades de certificação (ACs) exclusivas que são usadas para autenticar os certificados das máquinas no seu cluster. Cada AC é identificada por um certificado que tem de transferir e instalar no cliente que acede à sua instância do Redis.
Rotação da autoridade de certificação
As ACs são válidas durante 10 anos após a criação da instância. Além disso, vai ficar disponível uma nova CA antes da expiração da CA.
As ACs antigas são válidas até à respetiva data de validade. Isto dá-lhe uma janela na qual transferir e instalar a nova AC nos clientes que se ligam à instância do Redis. Depois de as ACs antigas expirarem, pode desinstalá-las dos clientes.
Para ver instruções sobre como rodar a AC, consulte o artigo Gerir a rotação da Autoridade de certificação.
Rotação de certificados do servidor
A rotação de certificados do lado do servidor ocorre todas as semanas. Os novos certificados do servidor aplicam-se apenas a novas ligações, e as ligações existentes permanecem ativas durante a rotação.
Impacto no desempenho da ativação da encriptação em trânsito
A funcionalidade de encriptação em trânsito encripta e desencripta dados, o que implica sobrecarga de processamento. Como resultado, a ativação da encriptação em trânsito pode reduzir o desempenho. Além disso, quando usa a encriptação em trânsito, cada ligação adicional tem um custo de recurso associado. Para determinar a latência associada à utilização da encriptação em trânsito, compare o desempenho da aplicação através de testes de referência do desempenho da aplicação com um cluster que tenha a encriptação em trânsito ativada e um cluster que a tenha desativada.
Diretrizes para melhorar o desempenho
Diminua o número de ligações de clientes sempre que possível. Estabeleça e reutilize ligações de longa duração em vez de criar ligações de curta duração a pedido.
Aumente o tamanho do cluster do Memorystore.
Aumente os recursos da CPU da máquina anfitriã do cliente do Memorystore. As máquinas cliente com um número mais elevado de CPUs geram um melhor desempenho. Se usar uma VM do Compute Engine, recomendamos instâncias otimizadas para computação.
Diminua o tamanho da carga útil associado ao tráfego da aplicação, uma vez que as cargas úteis maiores requerem mais viagens de ida e volta.