En esta página, se proporciona una descripción general de la encriptación en tránsito para el clúster de Memorystore para Redis.
A fin de obtener instrucciones para encriptar una conexión con la encriptación en tránsito, consulta Administra la encriptación en tránsito.
El clúster de Memorystore para Redis solo admite la versión 1.2 o posterior del protocolo TLS.
Introducción
El clúster de Memorystore para Redis admite la encriptación de todo el tráfico de Redis con el protocolo de seguridad de la capa de transporte (TLS). Cuando se habilita la encriptación en tránsito, los clientes de Redis se comunican exclusivamente en una conexión segura. Los clientes de Redis que no están configurados para TLS están bloqueados. Si eliges habilitar la encriptación en tránsito, eres responsable de garantizar que tu cliente de Redis pueda usar el protocolo TLS.
Requisitos previos de la encriptación en tránsito
Si quieres usar la encriptación en tránsito con Memorystore para Redis, necesitas lo siguiente:
Un cliente de Redis que admita TLS o un archivo adicional de TLS de terceros
Las autoridades de certificación instaladas en la máquina cliente que acceden a tu instancia de Redis
La TLS nativa no era compatible antes de la versión 6.0 de código abierto de Redis. Como resultado, no todas las biblioteca cliente de Redis admiten TLS. Si usas un cliente que no admite TLS, te recomendamos usar el complemento de terceros Stunnel que habilita TLS para tu cliente. Consulta Conéctate a una instancia de Redis de forma segura mediante Stunnel y Telnet para ver un ejemplo de cómo conectarte a una instancia de Redis con Stunnel.
Autoridades certificadoras
Un clúster de Redis que usa encriptación en tránsito tiene autoridades de certificación (CA) únicas que se usan para autenticar los certificados de las máquinas en tu clúster. Cada CA se identifica mediante un certificado que debes descargar y, luego, instalar en el cliente que accede a la instancia de Redis.
Rotación de la autoridad certificadora
Las CA son válidas durante 10 años desde la creación de la instancia. Además, una CA nueva estará disponible antes del vencimiento de la CA.
Las CA antiguas son válidas hasta su fecha de vencimiento. Esto te brinda una ventana en la que puedes descargar y también instalar la CA nueva a los clientes que se conectan a la instancia de Redis. Una vez que venzan las CA anteriores, puedes desinstalarlas de los clientes.
Para obtener instrucciones sobre cómo rotar la CA, consulta Administra la rotación de las autoridades certificadas.
Rotación del certificado del servidor
La rotación de certificados del servidor se realiza todas las semanas. Los certificados de servidor nuevos solo se aplican a las conexiones nuevas, y las conexiones existentes permanecen activas durante la rotación.
Impacto en el rendimiento de la habilitación de la encriptación en tránsito
La función de encriptación en tránsito encripta y desencripta datos, lo que incluye una sobrecarga de procesamiento. Como resultado, habilitar la encriptación en tránsito puede reducir el rendimiento. Además, cuando se utiliza la encriptación en tránsito, cada conexión adicional se cobra como el costo del recurso asociado. Para determinar la latencia asociada con el uso de la encriptación en tránsito, compara el rendimiento de las aplicaciones mediante la evaluación del rendimiento de la aplicación con un clúster que tenga la encriptación en tránsito habilitada y un clúster que la tenga inhabilitada.
Lineamientos para mejorar el rendimiento
Disminuye la cantidad de conexiones de clientes siempre que sea posible. Establece y reutiliza conexiones de larga duración en lugar de crear conexiones de corta duración según demanda.
Aumenta el tamaño de tu clúster de Memorystore.
Aumenta los recursos de CPU de la máquina anfitrión del cliente de Memorystore. Las máquinas cliente con un mayor recuento de CPU ofrecen un mejor rendimiento. Si usas una VM de Compute Engine, recomendamos las instancias optimizadas para procesamiento.
Disminuye el tamaño de la carga útil asociado con el tráfico de la aplicación porque las cargas útiles más grandes requieren más recorridos de ida y vuelta.