Chiffrement en transit

Cette page présente le chiffrement en transit pour Memorystore pour Redis.

Pour savoir comment chiffrer une connexion avec le chiffrement en transit, consultez la section Activer le chiffrement en transit.

Memorystore pour Redis n'est compatible qu'avec les versions 1.2 et ultérieures du protocole TLS.

Présentation

Memorystore pour Redis accepte le chiffrement de tout le trafic Redis à l'aide du protocole TLS (Transport Layer Security). Lorsque le chiffrement en transit est activé, les clients Redis communiquent de manière exclusive via une connexion de port sécurisée. Les clients Redis qui ne sont pas configurés pour TLS sont bloqués. Si vous décidez d'activer le chiffrement en transit, vous devez vous assurer que votre client Redis est en mesure d'utiliser le protocole TLS.

Conditions préalables au chiffrement en transit

Pour utiliser le chiffrement en transit avec Memorystore pour Redis, vous avez besoin des éléments suivants:

  1. Un client Redis compatible avec TLS ou un side-car TLS tiers
  2. Une autorité de certification installée sur la machine cliente qui accède à votre instance Redis.

La fonctionnalité TLS native n'était pas compatible avant l'ouverture de Redis version 6.0 de Redis. Par conséquent, les bibliothèques clientes Redis ne sont pas toutes compatibles avec le protocole TLS. Si vous utilisez un client qui n'est pas compatible avec TLS, nous vous recommandons d'utiliser le plug-in tiers Stunnel qui active le protocole TLS pour votre client. Pour obtenir un exemple de connexion à une instance Redis avec Stunnel, consultez la section Se connecter en toute sécurité à une instance Redis à l'aide de Stunnel et de telnet.

Autorité de certification

Une instance Redis qui utilise le chiffrement en transit possède une ou plusieurs autorités de certification uniques qui permettent de vérifier l'identité du serveur. Une autorité de certification est une chaîne que vous devez télécharger et installer sur le client accédant à votre instance Redis. Une autorité de certification est valide pendant 10 ans à compter de sa date de création. Pour assurer la continuité du service, la nouvelle autorité de certification doit être installée sur les clients de l'instance Redis avant l'expiration de l'autorité de certification précédente.

Rotation de l'autorité de certification

Une autorité de certification est valable 10 ans à partir de la création de l'instance. En outre, une nouvelle autorité de certification devient disponible cinq ans après la création de l'instance.

L'ancienne autorité de certification est valide jusqu'à sa date d'expiration. Cela vous permet de télécharger et de installer la nouvelle autorité de certification auprès des clients se connectant à l'instance Redis pendant une période de cinq ans. Une fois l'ancienne autorité de certification expirée, vous pouvez la désinstaller des clients.

Pour découvrir comment faire pivoter l'autorité de certification, consultez l'article Gérer la rotation des autorités de certification.

Rotation des certificats du serveur

La rotation des certificats côté serveur se produit tous les 180 jours, ce qui entraîne une baisse temporaire de connexion de quelques secondes. Vous devez disposer d'une logique de nouvelle tentative avec un intervalle exponentiel entre les tentatives afin de rétablir la connexion. La rotation des certificats n'entraîne pas de basculement pour les instances de niveau standard.

Limites de connexion pour le chiffrement en transit

L'activation du chiffrement en transit sur votre instance Redis impose des limites sur le nombre maximal de connexions client possible. La limite dépend de la taille de votre instance. Vous devriez envisager d'augmenter la taille de votre instance Redis si vous avez besoin de plus de connexions que votre niveau de capacité actuel.

Niveau de capacité Nombre maximal de connexions : 1 000
M1 (1-4 Go) 1 000
M2 (5-10 Go) 2 500
M3 (11-35 Go) 15 000
M4 (36-100 Go) 30 000
M5 (plus de 101 Go) 65 000

Surveiller les connexions

Étant donné que les instances Redis avec chiffrement en transit ont des limites de connexion spécifiques, vous devez surveiller la métrique redis.googleapis.com/clients/connected pour vous assurer de ne pas dépasser la limite de connexion. Le cas échéant, l'instance Redis rejette les nouvelles tentatives de connexion. Dans ce cas, nous vous recommandons d'augmenter le nombre d'instances de votre instance en fonction du nombre de connexions requis. Si vous pensez que des connexions inactives constituent un nombre important de connexions, vous pouvez arrêter ces connexions de manière proactive avec le paramètre de configuration timeout.

Impact sur les performances pour l'activation du chiffrement en transit

La fonctionnalité de chiffrement en transit chiffre et déchiffre les données, ce qui entraîne une surcharge du traitement. Par conséquent, l'activation du chiffrement en transit peut réduire les performances. En outre, lorsque vous utilisez le chiffrement en transit, chaque connexion supplémentaire s'accompagne du coût des ressources associées. Pour déterminer la latence associée à l'utilisation du chiffrement en transit, comparez les performances de l'application en comparant les performances des applications à celle d'une instance Redis sur laquelle le chiffrement en transit est activé et à une instance Redis disposant de cette fonctionnalité. désactivé.

Consignes d'amélioration des performances

  • Dans la mesure du possible, réduisez le nombre de connexions client. Établissez et réutilisez des connexions de longue durée plutôt que de créer des connexions à la demande à court terme.
  • Augmentez la taille de votre instance Memorystore (nous vous recommandons d'utiliser la version M4 ou une version supérieure).
  • Augmentez les ressources processeur de la machine hôte du client Memorystore. Les machines clientes dotées d'un nombre de processeurs plus élevé offrent de meilleures performances. Si vous utilisez une VM Compute Engine, nous vous recommandons d'utiliser des instances de calcul optimisées.
  • Réduisez la taille de la charge utile associée au trafic de l'application, car les charges utiles volumineuses nécessitent davantage d'allers-retours.

Impact du chiffrement en transit sur l'utilisation de la mémoire

L'activation du chiffrement en transit réserve une partie de la mémoire de votre instance Redis pour la fonctionnalité. Toutes choses égales par ailleurs, avec le chiffrement en transit activé, la valeur de la métrique du taux d'utilisation de la mémoire système est plus élevée en raison de la quantité de mémoire supplémentaire utilisée par la fonctionnalité.

Étape suivante