Halaman ini memberikan ringkasan enkripsi dalam transit untuk Memorystore for Redis Cluster.
Untuk mengetahui petunjuk cara mengenkripsi koneksi dengan enkripsi dalam transit, lihat Mengelola enkripsi dalam transit.
Memorystore for Redis Cluster hanya mendukung protokol TLS versi 1.2 atau yang lebih tinggi.
Pengantar
Memorystore for Redis Cluster mendukung enkripsi semua traffic Redis menggunakan protokol Transport Layer Security (TLS). Jika enkripsi saat transit diaktifkan, klien Redis akan berkomunikasi secara eksklusif melalui koneksi yang aman. Klien Redis yang tidak dikonfigurasi untuk TLS akan diblokir. Jika Anda memilih untuk mengaktifkan enkripsi dalam transit, Anda bertanggung jawab untuk memastikan bahwa klien Redis Anda dapat menggunakan protokol TLS.
Prasyarat enkripsi saat transit
Untuk menggunakan enkripsi dalam transit dengan Memorystore for Redis, Anda memerlukan:
Klien Redis yang mendukung TLS atau sidecar TLS pihak ketiga
Certificate Authority yang diinstal di mesin klien yang mengakses instance Redis Anda
TLS Native tidak didukung sebelum Redis open source versi 6.0. Akibatnya, tidak semua library klien Redis mendukung TLS. Jika Anda menggunakan klien yang tidak mendukung TLS, sebaiknya gunakan plugin pihak ketiga Stunnel yang mengaktifkan TLS untuk klien Anda. Lihat Menghubungkan ke instance Redis secara aman menggunakan Stunnel dan telnet untuk contoh cara menghubungkan ke instance Redis dengan Stunnel.
Otoritas Sertifikat
Cluster Redis yang menggunakan enkripsi saat transit memiliki Certificate Authority (CA) unik yang digunakan untuk mengautentikasi sertifikat mesin di cluster Anda. Setiap CA diidentifikasi oleh sertifikat yang harus Anda download dan instal di klien yang mengakses instance Redis Anda.
Rotasi certificate authority
CA berlaku selama 10 tahun setelah pembuatan instance. Selain itu, CA baru akan tersedia sebelum CA berakhir.
CA lama berlaku hingga tanggal habis masa berlakunya. Hal ini memberi Anda jangka waktu untuk mendownload dan menginstal CA baru ke klien yang terhubung ke instance Redis. Setelah CA lama berakhir, Anda dapat menghapus instalasinya dari klien.
Untuk mengetahui petunjuk tentang cara merotasi CA, lihat Mengelola rotasi Certificate Authority.
Rotasi sertifikat server
Rotasi sertifikat sisi server terjadi setiap minggu. Sertifikat server baru hanya berlaku untuk koneksi baru, dan koneksi yang ada tetap aktif selama rotasi.
Dampak performa pengaktifan enkripsi saat transit
Fitur enkripsi dalam transit mengenkripsi dan mendekripsi data, yang disertai dengan overhead pemrosesan. Akibatnya, mengaktifkan enkripsi saat transit dapat mengurangi performa. Selain itu, saat menggunakan enkripsi dalam transit, setiap koneksi tambahan akan dikenai biaya resource terkait. Untuk menentukan latensi yang terkait dengan penggunaan enkripsi dalam transit, bandingkan performa aplikasi dengan melakukan tolok ukur performa aplikasi dengan cluster yang mengaktifkan enkripsi dalam transit dan cluster yang menonaktifkannya.
Panduan untuk meningkatkan performa
Kurangi jumlah koneksi klien jika memungkinkan. Buat dan gunakan kembali koneksi jangka panjang, bukan membuat koneksi singkat sesuai permintaan.
Tingkatkan ukuran cluster Memorystore Anda.
Tingkatkan resource CPU mesin host klien Memorystore. Mesin klien dengan jumlah CPU yang lebih tinggi menghasilkan performa yang lebih baik. Jika menggunakan VM Compute Engine, sebaiknya gunakan instance yang dioptimalkan untuk komputasi.
Kurangi ukuran payload yang terkait dengan traffic aplikasi karena payload yang lebih besar memerlukan lebih banyak perjalanan pulang pergi.