本頁面由 Cloud Translation API 翻譯而成。

關於傳輸中資料加密

本頁面提供 Memorystore for Redis Cluster 的傳輸中資料加密總覽。

如需瞭解如何使用傳輸中資料加密功能加密連線，請參閱「管理傳輸中資料加密功能」。

Memorystore for Redis Cluster 僅支援 TLS 通訊協定 1.2 以上版本。

簡介

Memorystore for Redis Cluster 支援使用傳輸層安全標準 (TLS) 通訊協定來加密所有 Redis 流量。啟用傳輸中資料加密功能後，Redis 用戶端僅會透過安全連線進行通訊。系統會封鎖未設定 TLS 的 Redis 用戶端。如果您選擇啟用傳輸中加密，請務必確保 Redis 用戶端能夠使用 TLS 通訊協定。

傳輸中資料加密的必要條件

如要搭配使用傳輸中加密與 Memorystore for Redis，您需要：

支援 TLS 的 Redis 用戶端或第三方 TLS Sidecar
存取 Redis 執行個體的用戶端機器上安裝的憑證授權單位

開放原始碼 Redis 6.0 版之前不支援原生 TLS。因此，並非所有 Redis 用戶端程式庫都支援 TLS。如果您使用的用戶端不支援 TLS，建議使用 Stunnel 第三方外掛程式，為用戶端啟用 TLS。如需如何使用 Stunnel 連線至 Redis 執行個體的範例，請參閱「使用 Stunnel 和 telnet 安全地連線至 Redis 執行個體」。

憑證授權單位

使用傳輸中加密的 Redis 叢集具有專屬的憑證授權單位 (CA)，可用於驗證叢集中機器的憑證。每個 CA 都會以憑證識別，您必須下載憑證並安裝在存取 Redis 執行個體的用戶端上。

憑證授權單位輪替

CA 在執行個體建立後 10 年內有效。此外，新的 CA 會在 CA 到期前推出。

舊版 CA 在到期日前仍有效。您可以在這段期間下載新 CA，並安裝至連線至 Redis 執行個體的用戶端。舊版 CA 過期後，即可從用戶端解除安裝。

如需輪替 CA 的操作說明，請參閱「管理憑證授權單位輪替」。

輪替伺服器憑證

伺服器端憑證每週都會輪替。新的伺服器憑證只會套用至新連線，現有連線在輪替期間仍會保持運作。

啟用傳輸中資料加密功能對效能的影響

傳輸中加密功能會加密及解密資料，因此會產生處理負擔。因此，啟用傳輸中資料加密功能可能會降低效能。此外，使用傳輸中資料加密時，每個額外連線都會產生相關資源費用。如要判斷使用傳輸中加密功能造成的延遲，請比較應用程式效能，方法是針對啟用和停用傳輸中加密功能的叢集，分別進行應用程式效能基準測試。

提升成效的指南

盡可能減少用戶端連線數量。建立並重複使用長時間執行的連線，而不是建立隨選的短期連線。
增加 Memorystore 叢集的大小。
增加 Memorystore 用戶端主機的 CPU 資源。CPU 數量較多的用戶端電腦效能較佳。如果使用 Compute Engine VM，建議採用運算最佳化執行個體。
減少與應用程式流量相關聯的酬載大小，因為酬載越大，需要的往返次數就越多。