Nesta página, você encontra uma visão geral da criptografia em trânsito no Memorystore para Redis Cluster.
Para instruções sobre como criptografar uma conexão com criptografia em trânsito, consulte Gerenciar a criptografia em trânsito.
O Memorystore para Redis Cluster só é compatível com as versões 1.2 ou posteriores do protocolo TLS.
Introdução
O Memorystore para Redis Cluster oferece suporte à criptografia de todo o tráfego do Redis usando o protocolo Transport Layer Security (TLS). Quando a criptografia em trânsito é ativada, os clientes do Redis se comunicam exclusivamente por uma conexão segura. Os clientes do Redis que não estiverem configurados para o TLS serão bloqueados. Se você optar por ativar a criptografia em trânsito, será responsável por garantir que o cliente do Redis seja capaz de usar o protocolo TLS.
Pré-requisitos de criptografia em trânsito
Para usar a criptografia em trânsito com o Memorystore para Redis, você precisa:
Um cliente Redis compatível com TLS ou um arquivo secundário de TLS de terceiros
Autoridades de certificação instaladas na máquina cliente que acessa sua instância do Redis
O TLS nativo não era compatível antes da versão 6.0 do Redis de código aberto. Como resultado, nem todas as biblioteca de cliente do Redis são compatíveis com o TLS. Se você estiver usando um cliente que não é compatível com TLS, recomendamos usar o plug-in de terceiros stunnel que ativa o TLS no seu cliente. Consulte Como se conectar a uma instância do Redis com segurança usando stunnel e telnet para um exemplo de como se conectar a uma instância do Redis com o stunnel.
Autoridades certificadoras
Um cluster do Redis que usa a criptografia em trânsito tem autoridades de certificação (CAs) exclusivas que são usadas para autenticar os certificados das máquinas no cluster. Cada CA é identificada por um certificado que você precisa baixar e instalar no cliente que acessa sua instância do Redis.
Rotação da autoridade certificadora
As CAs são válidas por 10 anos após a criação da instância. Além disso, uma nova CA vai ficar disponível antes do vencimento da CA.
As CAs antigas são válidas até a data de validade. Isso dá uma janela para fazer o download e instalar a nova CA nos clientes que se conectam à instância do Redis. Quando as CAs antigas expirarem, você poderá desinstalá-las dos clientes.
Para instruções sobre como girar a CA, consulte Como gerenciar a rotação da autoridade de certificação.
Rotação de certificado do servidor
A alternância de certificados do servidor ocorre a cada semana. Os novos certificados de servidor são aplicados apenas a novas conexões, e as conexões atuais permanecem ativas durante a rotação.
Impacto do desempenho da ativação da criptografia em trânsito
O recurso de criptografia em trânsito criptografa e descriptografa dados, o que é fornecido com sobrecarga de processamento. Como resultado, ativar a criptografia em trânsito pode reduzir o desempenho. Além disso, ao usar criptografia em trânsito, cada conexão adicional vem com um custo de recurso associado. Para determinar a latência associada ao uso da criptografia em trânsito, compare o desempenho do aplicativo comparando o desempenho dele com um cluster que tem a criptografia em trânsito ativada e um cluster que tem ela desativada.
Diretrizes para melhorar o desempenho
Reduza o número de conexões de cliente quando possível. Estabeleça e reutilize conexões de longa duração em vez de criar conexões de curta duração sob demanda.
Aumente o tamanho do cluster do Memorystore.
Aumente os recursos de CPU da máquina host do cliente Memorystore. Máquinas cliente com uma contagem maior de CPU geram melhor desempenho. Se estiver usando uma VM do Compute Engine, recomendamos instâncias de computação otimizadas.
Diminui o tamanho do payload associado ao tráfego do aplicativo porque payloads maiores exigem mais idas e voltas.