Questa pagina offre una panoramica della crittografia in transito per Memorystore for Redis Cluster.
Per istruzioni su come criptare una connessione con la crittografia dei dati in transito, consulta Gestire la crittografia dei dati in transito.
Memorystore for Redis Cluster supporta solo le versioni del protocollo TLS 1.2 o successive.
Introduzione
Memorystore for Redis Cluster supporta la crittografia di tutto il traffico Redis utilizzando il protocollo Transport Layer Security (TLS). Se la crittografia in transito è abilitata, i client Redis comunicano esclusivamente attraverso una connessione sicura. I client Redis che non sono configurati per TLS vengono bloccati. Se scegli di attivare la crittografia in transito, è tua responsabilità assicurarti che il client Redis sia in grado di utilizzare il protocollo TLS.
Prerequisiti per la crittografia dei dati in transito
Per utilizzare la crittografia in transito con Memorystore for Redis, devi:
Un client Redis che supporta TLS o un sidecar TLS di terze parti
Autorità di certificazione installate sulla macchina client che accede all'istanza Redis
TLS nativo non era supportato prima della versione 6.0 di Redis open source. Di conseguenza, non tutte le librerie client Redis supportano TLS. Se utilizzi un client che non supporta TLS, ti consigliamo di utilizzare il plug-in di terze parti Stunnel che abilita TLS per il tuo client. Consulta la sezione Connessione sicura a un'istanza Redis utilizzando Stunnel e telnet per un esempio di come connettersi a un'istanza Redis con Stunnel.
Autorità di certificazione
Un cluster Redis che utilizza la crittografia in transito ha autorità di certificazione (CA) uniche che vengono utilizzate per autenticare i certificati delle macchine nel cluster. Ogni CA è identificata da un certificato che devi scaricare e installare sul client che accede alla tua istanza Redis.
Rotazione dell'autorità di certificazione
Le CA sono valide per 10 anni dalla creazione dell'istanza. Inoltre, una nuova CA diventerà disponibile prima della scadenza della CA.
Le CA precedenti sono valide fino alla loro data di scadenza. In questo modo, hai un periodo di tempo in cui scaricare e installare la nuova CA sui client che si connettono all'istanza Redis. Una volta scadute le vecchie CA, puoi disinstallarle dai client.
Per istruzioni sulla rotazione dell'autorità di certificazione, vedi Gestire la rotazione dell'autorità di certificazione.
Rotazione del certificato del server
La rotazione dei certificati lato server avviene ogni settimana. I nuovi certificati del server si applicano solo alle nuove connessioni e le connessioni esistenti rimangono attive durante la rotazione.
Impatto sulle prestazioni dell'abilitazione della crittografia in transito
La funzionalità di crittografia in transito cripta e decripta i dati, il che comporta un sovraccarico di elaborazione. Di conseguenza, l'abilitazione della crittografia in transito può ridurre le prestazioni. Inoltre, quando utilizzi la crittografia in transito, ogni connessione aggiuntiva comporta un costo delle risorse associato. Per determinare la latenza associata all'utilizzo della crittografia in transito, confronta il rendimento dell'applicazione eseguendo il benchmarking del rendimento dell'applicazione con un cluster in cui la crittografia in transito è abilitata e con un cluster in cui è disabilitata.
Linee guida per migliorare il rendimento
Se possibile, riduci il numero di connessioni client. Stabilisci e riutilizza connessioni a lunga esecuzione anziché creare connessioni di breve durata on demand.
Aumenta le dimensioni del cluster Memorystore.
Aumenta le risorse CPU della macchina host client Memorystore. Le macchine client con un numero maggiore di CPU offrono prestazioni migliori. Se utilizzi una VM di Compute Engine, ti consigliamo le istanze ottimizzate per il calcolo.
Ridurre le dimensioni del payload associate al traffico dell'applicazione perché i payload più grandi richiedono più round trip.