此页面由 Cloud Translation API 翻译。

传输加密简介

本页面简要介绍了 Memorystore for Redis Cluster 的传输加密。

如需了解如何使用传输加密加密连接，请参阅管理传输加密。

Memorystore for Redis Cluster 仅支持 TLS 协议 1.2 版或更高版本。

简介

Memorystore for Redis Cluster 支持使用传输层安全协议 (TLS) 加密所有 Redis 流量。启用传输加密后，Redis 客户端仅通过安全连接进行通信。未配置 TLS 的 Redis 客户端会被屏蔽。如果您选择启用传输加密，则要负责确保您的 Redis 客户端能够使用 TLS 协议。

传输加密前提条件

如需将传输加密与 Memorystore for Redis 搭配使用，您需要具备以下条件：

支持 TLS 或第三方 TLS 辅助信息文件的 Redis 客户端
安装在访问您的 Redis 实例的客户端机器上安装的证书授权机构

开源 Redis 6.0 之前的版本不支持原生 TLS。因此，并非所有 Redis 客户端库都支持 TLS。如果您使用的客户端不支持 TLS，我们建议您使用为客户端启用 TLS 的安全通道第三方插件。如需了解如何使用安全通道连接到 Redis 实例，请参阅使用安全通道和 telnet 安全地连接到 Redis 实例。

证书授权机构

使用传输加密的 Redis 集群具有独一无二的证书授权机构 (CA)，用于对集群中机器的证书进行身份验证。每个 CA 都由一个证书标识，您必须在访问 Redis 实例的客户端上下载并安装该证书。

证书授权机构轮替

CA 的有效期为实例创建之日起 10 年。此外，在 CA 过期之前，系统会发布新的 CA。

旧 CA 在失效日期之前保持有效。因此，您将获得一段时间，您只要在此时间段内下载新 CA 并将其安装到连接到 Redis 实例的客户端上即可。旧 CA 过期后，您可以将其从客户端中卸载。

有关轮替 CA 的说明，请参阅管理证书授权机构轮替。

服务器证书轮替

服务器端证书每周轮替一次。新服务器证书仅适用于新连接，并且在轮换期间，现有连接保持有效。

启用传输加密对性能的影响

传输加密功能会执行数据加密和解密，这会造成处理开销。因此，启用传输加密可能会降低性能。此外，在使用传输加密时，每个额外的连接都会产生关联的资源费用。如需确定与使用传输加密相关的延迟时间，请同时使用启用了传输加密的集群和停用了传输加密的集群对应用性能进行基准化分析，以比较应用性能。

有关提升性能的指导原则

尽可能减少客户端连接数量。建立并重用长时间运行的连接，而不是按需创建短时间运行的连接。
增加 Memorystore 集群的大小。
增加 Memorystore 客户端主机的 CPU 资源。CPU 个数越多，客户端机器的性能就越好。如果使用 Compute Engine 虚拟机，我们建议您使用计算优化型实例。
减小与应用流量关联的载荷大小，因为载荷越大，所需的往返次数就越多。