En esta página se ofrece una descripción general del cifrado en tránsito de Memorystore para Redis Cluster.
Para obtener instrucciones sobre cómo cifrar una conexión con el cifrado en tránsito, consulta Gestionar el cifrado en tránsito.
Memorystore for Redis Cluster solo admite las versiones 1.2 o posteriores del protocolo TLS.
Introducción
Memorystore para Redis Cluster admite el cifrado de todo el tráfico de Redis mediante el protocolo Seguridad en la capa de transporte (TLS). Cuando el cifrado en tránsito está habilitado, los clientes de Redis se comunican exclusivamente a través de una conexión segura. Los clientes de Redis que no estén configurados para TLS se bloquearán. Si decides habilitar el cifrado en tránsito, eres responsable de asegurarte de que tu cliente de Redis pueda usar el protocolo TLS.
Requisitos previos del cifrado en tránsito
Para usar el cifrado en tránsito con Memorystore para Redis, necesitas lo siguiente:
Un cliente de Redis que admita TLS o un sidecar de TLS de terceros
Autoridades de certificación instaladas en la máquina cliente que accede a tu instancia de Redis
TLS nativo no era compatible con versiones anteriores a la 6.0 de Redis de código abierto. Por lo tanto, no todas las bibliotecas de cliente de Redis admiten TLS. Si usas un cliente que no admite TLS, te recomendamos que utilices el complemento de terceros Stunnel, que habilita TLS en tu cliente. Consulta Conectarse de forma segura a una instancia de Redis mediante Stunnel y telnet para ver un ejemplo de cómo conectarse a una instancia de Redis con Stunnel.
Autoridades de certificación
Un clúster de Redis que usa el cifrado en tránsito tiene autoridades de certificación (ACs) únicas que se usan para autenticar los certificados de las máquinas de tu clúster. Cada AC se identifica mediante un certificado que debes descargar e instalar en el cliente que acceda a tu instancia de Redis.
Rotación de la autoridad de certificación
Las autoridades de certificación tienen una validez de 10 años a partir de la creación de la instancia. Además, habrá una nueva autoridad de certificación disponible antes de que caduque la actual.
Las autoridades de certificación antiguas son válidas hasta su fecha de vencimiento. De esta forma, tendrás un plazo para descargar e instalar la nueva CA en los clientes que se conecten a la instancia de Redis. Una vez que caduquen las antiguas autoridades de certificación, podrás desinstalarlas de los clientes.
Para obtener instrucciones sobre cómo rotar la AC, consulta Gestionar la rotación de la autoridad de certificación.
Rotación de certificados de servidor
La rotación de certificados del lado del servidor se produce cada semana. Los nuevos certificados de servidor solo se aplican a las conexiones nuevas, y las conexiones existentes permanecen activas durante la rotación.
Impacto en el rendimiento de habilitar el cifrado en tránsito
La función de cifrado en tránsito cifra y descifra datos, lo que conlleva una sobrecarga de procesamiento. Por lo tanto, habilitar el cifrado en tránsito puede reducir el rendimiento. Además, al usar el cifrado en tránsito, cada conexión adicional conlleva un coste de recursos asociado. Para determinar la latencia asociada al uso del cifrado en tránsito, compara el rendimiento de la aplicación con un clúster que tenga habilitado el cifrado en tránsito y con otro que lo tenga inhabilitado.
Directrices para mejorar el rendimiento
Reduce el número de conexiones de cliente siempre que sea posible. Establece y reutiliza conexiones de larga duración en lugar de crear conexiones de corta duración bajo demanda.
Aumenta el tamaño de tu clúster de Memorystore.
Aumenta los recursos de CPU de la máquina host del cliente de Memorystore. Las máquinas cliente con un mayor número de CPUs ofrecen un mejor rendimiento. Si usas una VM de Compute Engine, te recomendamos que uses instancias optimizadas para computación.
Reduce el tamaño de la carga útil asociada al tráfico de la aplicación, ya que las cargas útiles más grandes requieren más viajes de ida y vuelta.