Diese Seite wurde von der Cloud Translation API übersetzt.

Verschlüsselung während der Übertragung

Diese Seite bietet einen Überblick über die Verschlüsselung während der Übertragung für Memorystore for Redis Cluster.

Eine Anleitung zum Verschlüsseln einer Verbindung mit der Verschlüsselung während der Übertragung finden Sie unter Verschlüsselung während der Übertragung verwalten.

Memorystore for Redis Cluster unterstützt nur die TLS-Protokollversionen 1.2 oder höher.

Einführung

Memorystore for Redis Cluster unterstützt die Verschlüsselung des gesamten Redis-Traffics mit dem Transport Layer Security-Protokoll (TLS). Wenn die Verschlüsselung während der Übertragung aktiviert ist, kommunizieren Redis-Clients ausschließlich über eine sichere Verbindung. Redis-Clients, die nicht für TLS konfiguriert sind, werden blockiert. Wenn Sie die Verschlüsselung während der Übertragung aktivieren, müssen Sie dafür sorgen, dass Ihr Redis-Client das TLS-Protokoll verwenden kann.

Voraussetzungen für die Verschlüsselung während der Übertragung

Für die Verwendung der Verschlüsselung während der Übertragung mit Memorystore for Redis benötigen Sie:

Einen Redis-Client, der TLS oder eine TLS-Sidecar-Datei eines Drittanbieters unterstützt
Zertifizierungsstellen, die auf dem Clientcomputer installiert sind, der auf Ihre Redis-Instanz zugreift

Natives TLS wurde vor der Open-Source-Redis-Version 6.0 nicht unterstützt. Daher unterstützt nicht jede Redis-Clientbibliothek TLS. Wenn Sie einen Client verwenden, der TLS nicht unterstützt, empfehlen wir die Verwendung des Drittanbieter-Plug-ins von Stunnel, das TLS für Ihren Client aktiviert. Ein Beispiel für die Verbindung mit einer Redis-Instanz mit Stunnel finden Sie unter Sichere Verbindung zu einer Redis-Instanz über Stunnel und Telnet herstellen.

Zertifizierungsstellen

Ein Redis-Cluster, der während der Übertragung verwendet wird, hat eindeutige Zertifizierungsstellen (Certificate Authorities, CAs), die zur Authentifizierung der Zertifikate der Maschinen in Ihrem Cluster verwendet werden. Jede Zertifizierungsstelle wird durch ein Zertifikat identifiziert, das Sie herunterladen und auf dem Client installieren müssen, der auf Ihre Redis-Instanz zugreift.

Rotation der Zertifizierungsstelle

Zertifizierungsstellen sind ab der Instanzerstellung zehn Jahre lang gültig. Außerdem wird vor dem Ablauf der Zertifizierungsstelle eine neue Zertifizierungsstelle zur Verfügung gestellt.

Alte Zertifizierungsstellen sind bis zu ihrem Ablaufdatum gültig. Das bedeutet, Sie haben ein Zeitfenster, in dem Sie die neue Zertifizierungsstelle für Clients, die eine Verbindung zur Redis-Instanz herstellen, herunterladen und installieren können. Nachdem die alten Zertifizierungsstellen abgelaufen sind, können Sie sie von den Clients deinstallieren.

Eine Anleitung zum Rotieren der Zertifizierungsstelle finden Sie unter Zertifizierungsstellenrotation verwalten.

Rotation des Serverzertifikats

Die serverseitige Zertifikatsrotation erfolgt wöchentlich. Neue Serverzertifikate gelten nur für neue Verbindungen. Vorhandene Verbindungen bleiben während der Rotation bestehen.

Auswirkungen der Verschlüsselung während der Übertragung auf die Leistung

Bei der Übertragung werden während der Übertragung Daten verschlüsselt und entschlüsselt, was mit dem Verarbeitungsaufwand verbunden ist. Daher kann die Aktivierung der Verschlüsselung während der Übertragung die Leistung beeinträchtigen. Außerdem werden bei der Verwendung der Verschlüsselung während der Übertragung für jede zusätzliche Verbindung Kosten für die Ressourcen berechnet. Wenn Sie die Latenz bei der Verwendung der Verschlüsselung während der Übertragung ermitteln möchten, vergleichen Sie die Anwendungsleistung mit einem Benchmarking der Anwendungsleistung sowohl mit einem Cluster, für den die Verschlüsselung während der Übertragung aktiviert ist, als auch mit einem Cluster, für den die Verschlüsselung deaktiviert ist.

Richtlinien zur Leistungsverbesserung

Verringern Sie die Anzahl der Clientverbindungen nach Möglichkeit. Richten Sie lang andauernde Verbindungen ein und verwenden Sie sie, anstatt kurzlebige Verbindungen zu erstellen.
Erhöhen Sie die Größe Ihres Memorystore-Clusters.
Erhöhen Sie die CPU-Ressourcen des Memorystore-Clienthostcomputers. Clientmaschinen mit einer höheren CPU-Anzahl führen zu einer besseren Leistung. Bei Verwendung einer Compute Engine-VM empfehlen wir computing-optimierte Instanzen.
Verringern Sie die Größe der Nutzlast, die mit dem Anwendungstraffic verknüpft ist, da größere Nutzlasten mehr Umläufe erfordern.