本页面介绍了如何管理集群的传输加密。
如需大致了解 Memorystore for Redis 集群的传输加密,请参阅关于传输加密。
您只能在首次创建 Memorystore 集群时启用传输加密。对于以这种方式创建的集群,无法停用传输加密。
创建采用传输加密的实例
控制台
按照创建 Memorystore for Redis 集群实例中的步骤操作。
gcloud
如需创建采用传输加密的 Redis 集群,请运行 create
命令:
gcloud alpha redis clusters create INSTANCE_ID \ --region=REGION_ID \ --network=NETWORK \ --replica-count=REPLICA_COUNT \ --shard-count=SHARD_COUNT \ --transit-encryption-mode=server-authentication
请替换以下内容:
INSTANCE_ID 是您正在创建的 Memorystore for Redis 集群实例的 ID。实例 ID 必须为 1 到 63 个字符,且只能使用小写字母、数字或连字符。并且必须以小写字母开头并以小写字母或数字结尾。
REGION_ID 是要将实例放置到的区域。
NETWORK 是用于创建实例的网络。它必须采用
projects/NETWORK_PROJECT_ID/global/networks/NETWORK_ID
格式。此处使用的网络 ID 必须与服务连接政策使用的网络 ID 一致。否则,create
操作将失败。REPLICA_COUNT 是您所需的副本数量(每个分片)。可接受的值为
0
、1
和2
。SHARD_COUNT 决定了实例中 13 GB 的分片数量。分片数决定了用于存储集群数据的总内存容量。如需详细了解集群规范,请参阅集群和分片规范。
例如:
gcloud alpha redis clusters create my-instance \ --region=us-central1 \ --network=projects/my-project-335118/global/networks/default \ --replica-count=1 \ --shard-count=3 \ --transit-encryption-mode=server-authentication
下载证书授权机构
如果集群启用了传输加密,则运行 get-cluster-certificate-authority
命令时您会看到证书授权机构的证书:
gcloud alpha redis clusters get-cluster-certificate-authority INSTANCE_ID
请替换以下内容:
- INSTANCE_ID 是 Memorystore for Redis 集群实例的 ID。
响应正文包含所有适用证书授权机构的证书。
在客户端上安装证书授权机构
您必须在连接的客户端上安装集群的证书授权机构。CA 安装可能因客户端类型而异。以下步骤说明了如何在 Compute Engine Linux 虚拟机上安装 CA。
通过 SSH 连接到您的 Compute Engine Linux 客户端。
在客户端中创建一个名为
server_ca.pem
的文件:sudo vim /tmp/server_ca.pem
下载证书授权机构,并将其粘贴到先前创建的
server_ca.pem
文件中。CA 文本必须采用正确的格式。您的
server_ca.pem
文件应如下所示:-----BEGIN CERTIFICATE----- MIIDnTCCAoWgAwIBAgIBADANBgkqhkiG9w0BAQsFADCBhTEtMCsGA1UELhMkNzYx NTc4OGMtMTI2Yi00Nzk0LWI2MWMtY2YxOWE2Y2Y1ZjNiMTEwLwYDVQQDEyhHb29n bGUgQ2xvdWQgTWVtb3J5c3RvcmUgUmVkaXMgU2VydmVyIENBMRQwEgYDVQQKEwtH b29nbGUsIEluYzELMAkGA1UEBhMCVVMwHhcNMjAwOTE3MjEzNDE1WhcNMzAwOTE1 MjEzNTE1WjCBhTEtMCsGA1UELhMkNzYxNTc4OGMtMTI2Yi00Nzk0LWI2MWMtY2Yx OWE2Y2Y1ZjNiMTEwLwYDVQQDEyhHb29nbGUgQ2xvdWQgTWVtb3J5c3RvcmUgUmVk aXMgU2VydmVyIENBMRQwEgYDVQQKEwtHb29nbGUsIEluYzELMAkGA1UEBhMCVVMw ggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCyDKmDHZm6tzMhNtKOnp8H 8+zTv1qA6OkBToVqCjKTTMGO18ovNtAAMjbGvclLuJNLbA2WTTWVttHen6Cn82h0 3gG9HMk9AwK1cVT7gW072h++TRsYddIRlwnSweRWL8jUX+PNt7CjFqH+sma/Hb1m CktHdBOa897JiYHrMVNTcpS8SFwwz05yHUTEVGlHdkvlaJXfHLe6keCMABLyjaMh 1Jl4gZI2WqLMV680pJusK6FI6q/NmqENFc9ywMEg395lHTK9w9e014WIXg0q7sU3 84ChVVS2yYOMEUWeov4Qx6XeVfA4ss5t7OCqsMQkvslkE90mJZcVvhBj3QvTH9Rz AgMBAAGjFjAUMBIGA1UdEwEB/wQIMAYBAf8CAQAwDQYJKoZIhvcNAQELBQADggEB AJkn+MDE4V10DZn4uEc0s0Mg4FEMC1fDewmDYwSNnxRlzfEi+wAX2AaqrJ4m4Qa7 xIyuSYxArEOY6QeyJyw7/06dom8aAv4aO2p8hE04Ih6QwaTMFIlT2Jf6TidVd3eT wfjwFJVoJ+dgxsaCv2uMFZWee5aRHmKzj9LhqPwpWnTs9Q/qmOheUNoe2/1i8yvn 662M7RZMR7fZH6ETsdz5w1nPXXiRqJ7K0EGKoPNjMlYK3/U1X3sazI4tpMNgTdxG rnNh9Sd9REMBmDCPj9dUI9k4hQX4yQZp96fnLT6cet22OPajEKnpzyqJs1s4iX/g lEtWs4V/YBhKA56CW6ASZS8= -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- MIIDnTCCAoWgAwIBAgIBADANBgkqhkiG9w0BAQsFADCBhTEtMCsGA1UELhMkYjg4 ZTUzYTMtODdmNC00N2VhLWJjN2MtYTdhMzM4NmIwZmU4MTEwLwYDVQQDEyhHb29n bGUgQ2xvdWQgTWVtb3J5c3RvcmUgUmVkaXMgU2VydmVyIENBMRQwEgYDVQQKEwtH b29nbGUsIEluYzELMAkGA1UEBhMCVVMwHhcNMjAwOTE4MjEzMTI3WhcNMzAwOTE2 MjEzMjI3WjCBhTEtMCsGA1UELhMkYjg4ZTUzYTMtODdmNC00N2VhLWJjN2MtYTdh MzM4NmIwZmU4MTEwLwYDVQQDEyhHb29nbGUgQ2xvdWQgTWVtb3J5c3RvcmUgUmVk aXMgU2VydmVyIENBMRQwEgYDVQQKEwtHb29nbGUsIEluYzELMAkGA1UEBhMCVVMw ggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDEO4Zs/So5DA6wtftkAElD 8BVREob4gby2mGBYAtd3JJQKFC+zIqCf2DhrWihrCeXhsdsZqJUF16E3MsCCWS2T UWt6T37zObU2fzKmb7X+TSw1tunIUcIXwWzoMhqdGrIvfI9guMbF+KssQIjDMs9M G/hY6cY1NB5THOxXqcxzYrwSKB1EE160EDz4RgKAYQhw7AyVOBBAbWqA5pTEDuUy qpsz+NFpKYTwaeTpzil0xIl0JJS3DOd4G7ZnMG2wFT2j3wt+P0SkAPuOWgmX82iO gGmKoaCh3KcICie/rZRTfsRPjMm+yswRQRDeLB5eoMmH+gbUInVZU0qOJ/7gOYEb AgMBAAGjFjAUMBIGA1UdEwEB/wQIMAYBAf8CAQAwDQYJKoZIhvcNAQELBQADggEB AF4xlEbwLUK5VjoKlJBtKXLYrYcW+AbQLhZQFP8exE8bOW7p39h+5J0nl3ItPxu6 97BCt1P5TFisba8pBxaExiDsYmjKQrhtizMkzl5h9hGksOgoLlAqaaxfA97+Q9Tq 5gaYChESur/159Z3jiM47obKoZmHfgSgr//7tjII7yZxUGhOjIVffv/fEa4aixqM 0yH1V1s8hWHZeui2VFrHmTxY20IH9ktyedjSUgnFXzsEH6sbR18p0wBZqyrrtURs DaUIeoOHfHgEJM8k/wphSJI0V6pMC6nax2JhexLTRiUsiGTLRDe3VtsdWqS2DLa9 9DmrfdF0eFrfWw3VRNLwwXg= -----END CERTIFICATE-----
您的文件(如上例所示)应遵循以下准则:
复制整个证书授权机构(包括
-----BEGIN CERTIFICATE-----
和-----END CERTIFICATE-----
行)。确保 CA 的文本完全左对齐。CA 的任何行之前不应有空格。
每个证书授权机构都应该另起一行。CA 之间不应存在空白行。
将客户端配置为传输加密
您用来连接到集群的客户端必须支持 TLS,或者使用第三方 Sidecar 来启用 TLS。
如果您的客户端支持 TLS,请将其配置为指向您的 Redis 实例的 IP 地址、端口 6379
和包含证书授权机构的文件。如果您选择使用 Sidecar,我们建议您使用 Stunnel。
使用 Stunnel 和 telnet 安全地连接到 Memorystore 集群
如需了解如何使用 Stunnel 在 Compute Engine 客户端上启用传输加密,请参阅使用 Stunnel 和 telnet 安全地连接到 Memorystore 实例。
管理证书授权机构轮替
您应该在访问集群的客户端上安装所有可下载的证书授权机构。
在以前的 CA 发布后,除了安装以前的 CA 之外,安装最简单的 CA 是确保在发生证书授权机构轮替事件时具有必要的 CA。
为确保您拥有所需的 CA,您只需确保在客户端文件中保存的 CA 与下载证书授权机构显示的 CA 一致。在轮替期间新的 CA 和旧 CA 处于活跃状态,以确保将停机时间缩至最短。