En esta página, se proporciona una descripción general de la encriptación en tránsito para Memorystore para Redis Cluster.
Para obtener instrucciones sobre cómo encriptar una conexión con la encriptación en tránsito, consulta Administra la encriptación en tránsito.
Memorystore para Redis Cluster solo admite la versión 1.2 o una más reciente del protocolo TLS.
Introducción
Memorystore para Redis Cluster admite la encriptación de todo el tráfico de Redis con el protocolo de seguridad de la capa de transporte (TLS). Cuando se habilita la encriptación en tránsito, los clientes de Redis se comunican exclusivamente a través de una conexión segura. Se bloquean los clientes de Redis que no están configurados para TLS. Si eliges habilitar la encriptación en tránsito, eres responsable de garantizar que tu cliente de Redis sea capaz de usar el protocolo TLS.
Requisitos previos para la encriptación en tránsito
Si quieres usar la encriptación en tránsito con Memorystore para Redis, necesitas lo siguiente:
Un cliente de Redis que admita TLS o un archivo adicional de TLS de terceros
Autoridades certificadas instaladas en la máquina cliente que accede a tu instancia de Redis
La TLS nativa no era compatible antes de la versión 6.0 de código abierto de Redis. Como resultado, no todas las biblioteca cliente de Redis admiten TLS. Si usas un cliente que no admite TLS, te recomendamos usar el complemento de terceros Stunnel que habilita TLS para tu cliente. Consulta Conéctate a una instancia de Redis de forma segura mediante Stunnel y Telnet para ver un ejemplo de cómo conectarte a una instancia de Redis con Stunnel.
Autoridades certificadoras
Un clúster de Redis que usa encriptación en tránsito tiene autoridades certificadoras (CA) únicas que se usan para autenticar los certificados de las máquinas en tu clúster. Cada CA se identifica con un certificado que debes descargar y, luego, instalar en el cliente que accede a tu instancia de Redis.
Rotación de la autoridad certificadora
Las CA son válidas durante 10 años luego de la creación de la instancia. Además, una CA nueva estará disponible antes de que venza la CA actual.
Las CA antiguas son válidas hasta su fecha de vencimiento. Esto te brinda un período en el que puedes descargar y, luego, instalar la CA nueva en los clientes que se conectan a la instancia de Redis. Una vez que venzan las CA anteriores, puedes desinstalarlas de los clientes.
Para obtener instrucciones sobre cómo rotar la CA, consulta Administra la rotación de las autoridades certificadas.
Rotación del certificado del servidor
La rotación del certificado del servidor se produce cada semana. Los certificados de servidor nuevos se aplican solo a las conexiones nuevas, y las conexiones existentes permanecen activas durante la rotación.
Consecuencias en el rendimiento de habilitar la encriptación en tránsito
La función de encriptación en tránsito encripta y desencripta datos, lo que conlleva una sobrecarga de procesamiento. En consecuencia, habilitar la encriptación en tránsito puede reducir el rendimiento. Además, cuando usas la encriptación en tránsito, cada conexión adicional incluye un costo de recurso asociado. Para determinar la latencia asociada con el uso de la encriptación en tránsito, compara el rendimiento de la aplicación realizando una comparativa del rendimiento de la aplicación con un clúster que tiene habilitada la encriptación en tránsito y un clúster que no la tiene habilitada.
Lineamientos para mejorar el rendimiento
Disminuye la cantidad de conexiones de clientes siempre que sea posible. Establece y reutiliza conexiones de larga duración en lugar de crear conexiones de corta duración según demanda.
Aumenta el tamaño de tu clúster de Memorystore.
Aumenta los recursos de CPU de la máquina anfitrión del cliente de Memorystore. Las máquinas cliente con un mayor recuento de CPU ofrecen un mejor rendimiento. Si usas una VM de Compute Engine, recomendamos las instancias optimizadas para procesamiento.
Disminuye el tamaño de la carga útil asociado con el tráfico de la aplicación porque las cargas útiles más grandes requieren más recorridos de ida y vuelta.