管理传输加密

本页面介绍了如何管理集群的传输加密。

如需大致了解 Memorystore for Redis 集群的传输加密,请参阅关于传输加密

您只能在首次创建 Memorystore 集群时启用传输加密。对于以这种方式创建的集群,无法停用传输加密。

创建采用传输加密的实例

控制台

按照创建 Memorystore for Redis 集群实例中的步骤操作。

gcloud

如需创建采用传输加密的 Redis 集群,请运行 create 命令:

gcloud alpha redis clusters create INSTANCE_ID \
--region=REGION_ID \
--network=NETWORK \
--replica-count=REPLICA_COUNT \
--shard-count=SHARD_COUNT \
--transit-encryption-mode=server-authentication

请替换以下内容:

  • INSTANCE_ID 是您正在创建的 Memorystore for Redis 集群实例的 ID。实例 ID 必须为 1 到 63 个字符,且只能使用小写字母、数字或连字符。并且必须以小写字母开头并以小写字母或数字结尾。

  • REGION_ID 是要将实例放置到的区域。

  • NETWORK 是用于创建实例的网络。它必须采用 projects/NETWORK_PROJECT_ID/global/networks/NETWORK_ID 格式。此处使用的网络 ID 必须与服务连接政策使用的网络 ID 一致。否则,create 操作将失败。

  • REPLICA_COUNT 是您所需的副本数量(每个分片)。可接受的值为 012

  • SHARD_COUNT 决定了实例中 13 GB 的分片数量。分片数决定了用于存储集群数据的总内存容量。如需详细了解集群规范,请参阅集群和分片规范

例如:

gcloud alpha redis clusters create my-instance \
--region=us-central1 \
--network=projects/my-project-335118/global/networks/default \
--replica-count=1 \
--shard-count=3 \
--transit-encryption-mode=server-authentication

下载证书授权机构

如果集群启用了传输加密,则运行 get-cluster-certificate-authority 命令时您会看到证书授权机构的证书:

gcloud alpha redis clusters get-cluster-certificate-authority INSTANCE_ID

请替换以下内容:

  • INSTANCE_ID 是 Memorystore for Redis 集群实例的 ID。

响应正文包含所有适用证书授权机构的证书。

在客户端上安装证书授权机构

您必须在连接的客户端上安装集群的证书授权机构。CA 安装可能因客户端类型而异。以下步骤说明了如何在 Compute Engine Linux 虚拟机上安装 CA。

  1. 通过 SSH 连接到您的 Compute Engine Linux 客户端。

  2. 在客户端中创建一个名为 server_ca.pem 的文件:

    sudo vim /tmp/server_ca.pem
    
  3. 下载证书授权机构,并将其粘贴到先前创建的 server_ca.pem 文件中。

    CA 文本必须采用正确的格式。您的 server_ca.pem 文件应如下所示:

    -----BEGIN CERTIFICATE-----
    MIIDnTCCAoWgAwIBAgIBADANBgkqhkiG9w0BAQsFADCBhTEtMCsGA1UELhMkNzYx
    NTc4OGMtMTI2Yi00Nzk0LWI2MWMtY2YxOWE2Y2Y1ZjNiMTEwLwYDVQQDEyhHb29n
    bGUgQ2xvdWQgTWVtb3J5c3RvcmUgUmVkaXMgU2VydmVyIENBMRQwEgYDVQQKEwtH
    b29nbGUsIEluYzELMAkGA1UEBhMCVVMwHhcNMjAwOTE3MjEzNDE1WhcNMzAwOTE1
    MjEzNTE1WjCBhTEtMCsGA1UELhMkNzYxNTc4OGMtMTI2Yi00Nzk0LWI2MWMtY2Yx
    OWE2Y2Y1ZjNiMTEwLwYDVQQDEyhHb29nbGUgQ2xvdWQgTWVtb3J5c3RvcmUgUmVk
    aXMgU2VydmVyIENBMRQwEgYDVQQKEwtHb29nbGUsIEluYzELMAkGA1UEBhMCVVMw
    ggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCyDKmDHZm6tzMhNtKOnp8H
    8+zTv1qA6OkBToVqCjKTTMGO18ovNtAAMjbGvclLuJNLbA2WTTWVttHen6Cn82h0
    3gG9HMk9AwK1cVT7gW072h++TRsYddIRlwnSweRWL8jUX+PNt7CjFqH+sma/Hb1m
    CktHdBOa897JiYHrMVNTcpS8SFwwz05yHUTEVGlHdkvlaJXfHLe6keCMABLyjaMh
    1Jl4gZI2WqLMV680pJusK6FI6q/NmqENFc9ywMEg395lHTK9w9e014WIXg0q7sU3
    84ChVVS2yYOMEUWeov4Qx6XeVfA4ss5t7OCqsMQkvslkE90mJZcVvhBj3QvTH9Rz
    AgMBAAGjFjAUMBIGA1UdEwEB/wQIMAYBAf8CAQAwDQYJKoZIhvcNAQELBQADggEB
    AJkn+MDE4V10DZn4uEc0s0Mg4FEMC1fDewmDYwSNnxRlzfEi+wAX2AaqrJ4m4Qa7
    xIyuSYxArEOY6QeyJyw7/06dom8aAv4aO2p8hE04Ih6QwaTMFIlT2Jf6TidVd3eT
    wfjwFJVoJ+dgxsaCv2uMFZWee5aRHmKzj9LhqPwpWnTs9Q/qmOheUNoe2/1i8yvn
    662M7RZMR7fZH6ETsdz5w1nPXXiRqJ7K0EGKoPNjMlYK3/U1X3sazI4tpMNgTdxG
    rnNh9Sd9REMBmDCPj9dUI9k4hQX4yQZp96fnLT6cet22OPajEKnpzyqJs1s4iX/g
    lEtWs4V/YBhKA56CW6ASZS8=
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    MIIDnTCCAoWgAwIBAgIBADANBgkqhkiG9w0BAQsFADCBhTEtMCsGA1UELhMkYjg4
    ZTUzYTMtODdmNC00N2VhLWJjN2MtYTdhMzM4NmIwZmU4MTEwLwYDVQQDEyhHb29n
    bGUgQ2xvdWQgTWVtb3J5c3RvcmUgUmVkaXMgU2VydmVyIENBMRQwEgYDVQQKEwtH
    b29nbGUsIEluYzELMAkGA1UEBhMCVVMwHhcNMjAwOTE4MjEzMTI3WhcNMzAwOTE2
    MjEzMjI3WjCBhTEtMCsGA1UELhMkYjg4ZTUzYTMtODdmNC00N2VhLWJjN2MtYTdh
    MzM4NmIwZmU4MTEwLwYDVQQDEyhHb29nbGUgQ2xvdWQgTWVtb3J5c3RvcmUgUmVk
    aXMgU2VydmVyIENBMRQwEgYDVQQKEwtHb29nbGUsIEluYzELMAkGA1UEBhMCVVMw
    ggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDEO4Zs/So5DA6wtftkAElD
    8BVREob4gby2mGBYAtd3JJQKFC+zIqCf2DhrWihrCeXhsdsZqJUF16E3MsCCWS2T
    UWt6T37zObU2fzKmb7X+TSw1tunIUcIXwWzoMhqdGrIvfI9guMbF+KssQIjDMs9M
    G/hY6cY1NB5THOxXqcxzYrwSKB1EE160EDz4RgKAYQhw7AyVOBBAbWqA5pTEDuUy
    qpsz+NFpKYTwaeTpzil0xIl0JJS3DOd4G7ZnMG2wFT2j3wt+P0SkAPuOWgmX82iO
    gGmKoaCh3KcICie/rZRTfsRPjMm+yswRQRDeLB5eoMmH+gbUInVZU0qOJ/7gOYEb
    AgMBAAGjFjAUMBIGA1UdEwEB/wQIMAYBAf8CAQAwDQYJKoZIhvcNAQELBQADggEB
    AF4xlEbwLUK5VjoKlJBtKXLYrYcW+AbQLhZQFP8exE8bOW7p39h+5J0nl3ItPxu6
    97BCt1P5TFisba8pBxaExiDsYmjKQrhtizMkzl5h9hGksOgoLlAqaaxfA97+Q9Tq
    5gaYChESur/159Z3jiM47obKoZmHfgSgr//7tjII7yZxUGhOjIVffv/fEa4aixqM
    0yH1V1s8hWHZeui2VFrHmTxY20IH9ktyedjSUgnFXzsEH6sbR18p0wBZqyrrtURs
    DaUIeoOHfHgEJM8k/wphSJI0V6pMC6nax2JhexLTRiUsiGTLRDe3VtsdWqS2DLa9
    9DmrfdF0eFrfWw3VRNLwwXg=
    -----END CERTIFICATE-----
    

    您的文件(如上例所示)应遵循以下准则:

    • 复制整个证书授权机构(包括 -----BEGIN CERTIFICATE----------END CERTIFICATE----- 行)。

    • 确保 CA 的文本完全左对齐。CA 的任何行之前不应有空格。

    • 每个证书授权机构都应该另起一行。CA 之间不应存在空白行。

将客户端配置为传输加密

您用来连接到集群的客户端必须支持 TLS,或者使用第三方 Sidecar 来启用 TLS。

如果您的客户端支持 TLS,请将其配置为指向您的 Redis 实例的 IP 地址、端口 6379 和包含证书授权机构的文件。如果您选择使用 Sidecar,我们建议您使用 Stunnel

使用 Stunnel 和 telnet 安全地连接到 Memorystore 集群

如需了解如何使用 Stunnel 在 Compute Engine 客户端上启用传输加密,请参阅使用 Stunnel 和 telnet 安全地连接到 Memorystore 实例

管理证书授权机构轮替

您应该在访问集群的客户端上安装所有可下载的证书授权机构。

在以前的 CA 发布后,除了安装以前的 CA 之外,安装最简单的 CA 是确保在发生证书授权机构轮替事件时具有必要的 CA。

为确保您拥有所需的 CA,您只需确保在客户端文件中保存的 CA 与下载证书授权机构显示的 CA 一致。在轮替期间新的 CA 和旧 CA 处于活跃状态,以确保将停机时间缩至最短。