Cette page présente le chiffrement en transit pour Memorystore pour Redis Cluster.
Pour obtenir des instructions sur le chiffrement d'une connexion avec le chiffrement en transit, consultez Gérer le chiffrement en transit.
Memorystore pour Redis Cluster n'est compatible qu'avec les protocoles TLS 1.2 ou versions ultérieures.
Introduction
Memorystore pour Redis Cluster permet de chiffrer tout le trafic Redis à l'aide du protocole TLS (Transport Layer Security). Lorsque le chiffrement en transit est activé, les clients Redis communiquent exclusivement via une connexion sécurisée. Les clients Redis qui ne sont pas configurés pour TLS sont bloqués. Si vous choisissez d'activer le chiffrement en transit, il vous incombe de vous assurer que votre client Redis est capable d'utiliser le protocole TLS.
Prérequis pour le chiffrement en transit
Pour utiliser le chiffrement en transit avec Memorystore pour Redis, vous avez besoin des éléments suivants :
Un client Redis compatible avec TLS ou un side-car TLS tiers.
Des autorités de certification installées sur la machine cliente accédant à votre instance Redis.
Le protocole TLS n'était pas nativement compatible dans les versions antérieures à la version 6.0 de Redis Open Source. Par conséquent, les bibliothèques clientes Redis ne sont pas toutes compatibles avec TLS. Si vous utilisez un client non compatible avec TLS, nous vous recommandons d'utiliser le plug-in tiers Stunnel qui active TLS pour votre client. Pour obtenir un exemple de connexion à une instance Redis avec Stunnel, consultez la section Se connecter en toute sécurité à une instance Redis à l'aide de Stunnel et Telnet.
Autorités de certification
Un cluster Redis utilisant le chiffrement en transit possède des autorités de certification uniques qui servent à authentifier les certificats des machines de votre cluster. Chaque autorité de certification est identifiée par un certificat que vous devez télécharger et installer sur le client accédant à votre instance Redis.
Rotation des autorités de certification
Les autorités de certification sont valables 10 ans à partir de la création de l'instance. De plus, une nouvelle autorité de certification sera disponible avant l'expiration de l'ancienne.
Les anciennes autorités de certification sont valides jusqu'à leur date d'expiration. Vous disposez ainsi d'un délai pour télécharger et installer la nouvelle autorité de certification pour les clients se connectant à l'instance Redis. Une fois que les anciennes autorités de certification ont expiré, vous pouvez les désinstaller des clients.
Pour en savoir plus sur la rotation des autorités de certification, consultez la section Gérer la rotation des autorités de certification.
Rotation des certificats de serveur
La rotation des certificats côté serveur a lieu toutes les semaines. Les nouveaux certificats de serveur ne s'appliquent qu'aux nouvelles connexions. Les connexions existantes restent actives pendant la rotation.
Impact du chiffrement en transit sur les performances
La fonctionnalité de chiffrement en transit chiffre et déchiffre les données, ce qui entraîne une surcharge de traitement. L'activation du chiffrement en transit peut donc réduire les performances. En outre, lorsque vous utilisez le chiffrement en transit, chaque connexion supplémentaire entraîne un coût de ressource associé. Pour déterminer la latence associée à l'utilisation du chiffrement en transit, comparez les performances des applications à l'aide d'un comparatif entre un cluster pour lequel le chiffrement en transit est activé et un cluster sur lequel il est désactivé.
Consignes d'amélioration des performances
Réduisez le nombre de connexions client lorsque cela est possible. Établissez et réutilisez des connexions de longue durée plutôt que de créer des connexions de courte durée à la demande.
Augmentez la taille de votre cluster Memorystore.
Augmentez les ressources de processeur de la machine hôte du client Memorystore. Les machines clientes ayant davantage de processeurs offrent de meilleures performances. Si vous utilisez une VM Compute Engine, nous vous recommandons d'utiliser des instances optimisées pour le calcul.
Réduisez la taille de la charge utile associée au trafic de l'application, car les charges utiles volumineuses nécessitent davantage d'allers-retours.