Diese Seite bietet einen Überblick über die Verschlüsselung während der Übertragung für Memorystore for Redis-Cluster.
Eine Anleitung zum Verschlüsseln einer Verbindung mit Verschlüsselung während der Übertragung finden Sie unter Verschlüsselung während der Übertragung verwalten.
Memorystore for Redis-Cluster unterstützt nur TLS-Protokollversionen ab 1.2.
Einführung
Memorystore for Redis-Cluster unterstützt die Verschlüsselung des gesamten Redis-Traffics mithilfe des TLS-Protokolls (Transport Layer Security). Wenn die Verschlüsselung während der Übertragung aktiviert ist, kommunizieren Redis-Clients ausschließlich über eine sichere Verbindung. Redis-Clients, die nicht für TLS konfiguriert sind, werden blockiert. Wenn Sie die Verschlüsselung während der Übertragung aktivieren, müssen Sie dafür sorgen, dass Ihr Redis-Client das TLS-Protokoll verwenden kann.
Voraussetzungen für die Verschlüsselung während der Übertragung
Für die Verwendung der Verschlüsselung während der Übertragung mit Memorystore for Redis benötigen Sie:
Einen Redis-Client, der TLS oder eine TLS-Sidecar-Datei eines Drittanbieters unterstützt
Auf dem Clientcomputer installierte Zertifizierungsstellen, die auf Ihre Redis-Instanz zugreifen
Natives TLS wurde vor der Open-Source-Redis-Version 6.0 nicht unterstützt. Daher wird TLS nicht von jeder Redis-Clientbibliothek unterstützt. Wenn Sie einen Client verwenden, der TLS nicht unterstützt, empfehlen wir, das Drittanbieter-Plug-in Stunnel zu verwenden, das TLS für Ihren Client aktiviert. Ein Beispiel für die Verbindung mit einer Redis-Instanz mit Stunnel finden Sie unter Sichere Verbindung zu einer Redis-Instanz über Stunnel und Telnet herstellen.
Zertifizierungsstellen
Ein Redis-Cluster, der die Verschlüsselung während der Übertragung verwendet, hat eindeutige Zertifizierungsstellen, die zur Authentifizierung der Zertifikate der Maschinen in Ihrem Cluster verwendet werden. Jede CA wird durch ein Zertifikat identifiziert, das Sie auf den Client herunterladen und installieren müssen, der auf Ihre Redis-Instanz zugreift.
Rotation der Zertifizierungsstelle
CAs sind nach Instanzerstellung 10 Jahre lang gültig. Außerdem ist vor dem Ablauf der CA eine neue CA verfügbar.
Alte Zertifizierungsstellen sind bis zum Ablaufdatum gültig. Dadurch wird ein Fenster geöffnet, in dem Sie die neue CA auf Clients herunterladen und installieren können, die eine Verbindung zur Redis-Instanz herstellen. Nach Ablauf der alten CAs können Sie sie von Clients deinstallieren.
Eine Anleitung zum Rotieren der Zertifizierungsstelle finden Sie unter Zertifizierungsstellenrotation verwalten.
Rotation des Serverzertifikats
Die Rotation des serverseitigen Zertifikats erfolgt wöchentlich. Neue Serverzertifikate gelten nur für neue Verbindungen und bestehende Verbindungen bleiben während der Rotation aktiv.
Auswirkungen der Verschlüsselung während der Übertragung auf die Leistung
Mit der Verschlüsselungsfunktion in der Übertragung werden Daten verschlüsselt und entschlüsselt. Daher kann die Leistung während der Übertragung die Leistung beeinträchtigen. Wenn Sie die Verschlüsselung während der Übertragung verwenden, kommt jede zusätzliche Verbindung als damit verbundene Ressourcenkosten mit. Vergleichen Sie die Anwendungsleistung, indem Sie die Anwendungsleistung sowohl mit einem Cluster mit aktivierter Verschlüsselung während der Übertragung als auch mit einem Cluster vergleichen, in dem die Verschlüsselung während der Übertragung erfolgt.
Richtlinien zur Leistungsverbesserung
Verringern Sie die Anzahl der Clientverbindungen nach Möglichkeit. Richten Sie lang andauernde Verbindungen ein und verwenden Sie sie, anstatt kurzlebige Verbindungen zu erstellen.
Erhöhen Sie die Größe Ihres Memorystore-Clusters.
Erhöhen Sie die CPU-Ressourcen des Memorystore-Clienthostcomputers. Clientmaschinen mit einer höheren CPU-Anzahl führen zu einer besseren Leistung. Wenn Sie eine Compute Engine-VM verwenden, empfehlen wir für Compute optimierte Instanzen.
Verringern Sie die Größe der Nutzlast, die mit dem Anwendungstraffic verknüpft ist, da größere Nutzlasten mehr Umläufe erfordern.