Chiffrement en transit

Cette page présente le chiffrement en transit pour Memorystore pour Redis.

Pour obtenir des instructions sur le chiffrement d'une connexion avec le chiffrement en transit, consultez la section Activer le chiffrement en transit.

Memorystore pour Redis n'est compatible qu'avec les protocoles TLS 1.2 ou versions ultérieures.

Présentation

Memorystore pour Redis permet de chiffrer tout le trafic Redis à l'aide du protocole TLS (Transport Layer Security). Lorsque le chiffrement en transit est activé, les clients Redis communiquent exclusivement via une connexion de port sécurisé. Les clients Redis qui ne sont pas configurés pour TLS seront bloqués. Si vous choisissez d'activer le chiffrement en transit, il vous incombe de vous assurer que votre client Redis est capable d'utiliser le protocole TLS.

Prérequis pour le chiffrement en transit

Pour utiliser le chiffrement en transit avec Memorystore pour Redis, vous avez besoin des éléments suivants :

  1. Un client Redis compatible avec TLS ou un side-car TLS tiers.
  2. Une autorité de certification installée sur la machine cliente accédant à votre instance Redis.

Le protocole TLS n'était pas nativement compatible dans les versions antérieures à la version 6.0 de Redis Open Source. Par conséquent, les bibliothèques clientes Redis ne sont pas toutes compatibles avec TLS. Si vous utilisez un client non compatible avec TLS, nous vous recommandons d'utiliser le plug-in tiers Stunnel qui active TLS pour votre client. Pour obtenir un exemple de connexion à une instance Redis avec Stunnel, consultez la section Se connecter en toute sécurité à une instance Redis à l'aide de Stunnel et Telnet.

Autorité de certification

Une instance Redis utilisant le chiffrement en transit possède une ou plusieurs autorités de certification uniques qui servent à vérifier l'identité du serveur. Une autorité de certification est une chaîne que vous devez télécharger et installer sur le client accédant à votre instance Redis. Une autorité de certification est valable 10 ans à compter de sa date de création. Afin d'assurer la continuité du service, une nouvelle autorité de certification doit être installée sur les clients de l'instance Redis avant l'expiration de l'autorité de certification précédente.

Rotation des autorités de certification

Une autorité de certification est valable 10 ans à partir de la création de l'instance. En outre, une nouvelle autorité de certification devient disponible cinq ans après la création de l'instance.

L'ancienne autorité de certification est valide jusqu'à sa date d'expiration. Vous disposez ainsi d'un délai de cinq ans pour télécharger et installer la nouvelle autorité de certification pour les clients se connectant à l'instance Redis. Une fois que l'ancienne autorité de certification a expiré, vous pouvez la désinstaller des clients.

Pour en savoir plus sur la rotation des autorités de certification, consultez la section Gérer la rotation des autorités de certification.

Rotation des certificats de serveur

La rotation des certificats côté serveur a lieu tous les 180 jours, entraînant une perte de connexion temporaire de quelques secondes. Pour le rétablissement de la connexion, vous devez mettre en place une logique de nouvelle tentative avec un intervalle exponentiel entre les tentatives. La rotation des certificats n'entraîne pas de basculement pour les instances de niveau standard.

Limites de connexion pour le chiffrement en transit

L'activation du chiffrement en transit sur votre instance Redis fixe le nombre maximal de connexions client que votre instance peut établir. Cette limite dépend de la taille de l'instance. Pensez à augmenter la taille de votre instance Redis si vous avez besoin d'un plus grand nombre de connexions que celui pris en charge par votre niveau de capacité actuel.

Niveau de capacité Nombre maximal de connexions1
M1 (1-4 Go) 2,500
M2 (5 à 10 Go) 2 500
M3 (11-35 Go) 15 000
M4 (36-100 Go) 30 000
M5 (101 + Go) 65 000

1 Ces limites de connexion sont approximatives et dépendent du débit et de la complexité des commandes Redis envoyées par connexion.

Surveiller les connexions

Comme les instances Redis avec chiffrement en transit ont des limites de connexion spécifiques, vous devez surveiller la métrique redis.googleapis.com/clients/connected pour vous assurer de ne pas dépasser cette limite. Le cas échéant, l'instance Redis rejette les nouvelles tentatives de connexion. Dans ce cas, nous vous recommandons d'effectuer un scaling à la hausse de votre instance à la taille adaptée au nombre de connexions requis. Si vous pensez que les connexions inactives représentent un nombre important de connexions, vous pouvez arrêter de manière proactive ces connexions avec le paramètre de configuration timeout.

Impact du chiffrement en transit sur les performances

La fonctionnalité de chiffrement en transit chiffre et déchiffre les données, ce qui entraîne une surcharge de traitement. L'activation du chiffrement en transit peut donc réduire les performances. En outre, lorsque vous utilisez le chiffrement en transit, chaque connexion supplémentaire entraîne un coût de ressource associé. Pour déterminer la latence associée à l'utilisation du chiffrement en transit, comparez les performances des applications à l'aide d'un comparatif entre une instance Redis pour laquelle le chiffrement en transit est activé et une instance Redis sur laquelle il est désactivé.

Consignes d'amélioration des performances

  • Réduisez le nombre de connexions client lorsque cela est possible. Établissez et réutilisez des connexions de longue durée plutôt que de créer des connexions de courte durée à la demande.
  • Augmentez la taille de votre instance Memorystore (nous vous recommandons d'utiliser des instances M4 ou plus).
  • Augmentez les ressources de processeur de la machine hôte du client Memorystore. Les machines clientes ayant davantage de processeurs offrent de meilleures performances. Si vous utilisez une VM Compute Engine, nous vous recommandons d'utiliser des instances optimisées pour le calcul.
  • Réduisez la taille de la charge utile associée au trafic de l'application, car les charges utiles volumineuses nécessitent davantage d'allers-retours.

Impact du chiffrement en transit sur l'utilisation de la mémoire

L'activation du chiffrement en transit réserve une partie de la mémoire de votre instance Redis pour cette fonctionnalité. Toutes choses étant égales par ailleurs, avec le chiffrement en transit activé, la valeur de la métrique du taux d'utilisation de la mémoire système est supérieure en raison de la surcharge de mémoire supplémentaire utilisée par la fonctionnalité.

Étapes suivantes