本頁面由 Cloud Translation API 翻譯而成。

關於傳輸中資料加密

本頁面提供 Memorystore for Redis 的傳輸中資料加密機制總覽。

如要瞭解如何使用傳輸中資料加密功能加密連線，請參閱「啟用傳輸中資料加密」。

Memorystore for Redis 僅支援 TLS 1.2 以上版本的通訊協定。

簡介

Memorystore for Redis 支援使用傳輸層安全標準 (TLS) 通訊協定加密所有 Redis 流量。啟用傳輸中資料加密功能後，Redis 用戶端僅會透過安全的通訊埠連線進行通訊。系統會封鎖未設定 TLS 的 Redis 用戶端。如果您選擇啟用傳輸中資料加密功能，則必須確保 Redis 用戶端能夠使用 TLS 通訊協定。

傳輸中資料加密的必要條件

如要搭配 Memorystore for Redis 使用傳輸中資料加密機制，您需要：

支援 TLS 的 Redis 用戶端或第三方 TLS 側載
在存取 Redis 執行個體的用戶端機器上安裝憑證授權單位

開放原始碼 Redis 6.0 以下版本不支援原生 TLS。因此，並非所有 Redis 用戶端程式庫都支援 TLS。如果您使用的用戶端不支援 TLS，建議您使用 Stunnel 第三方外掛程式，為用戶端啟用 TLS。如要瞭解如何使用 Stunnel 連線至 Redis 執行個體，請參閱「使用 Stunnel 和 telnet 安全地連線至 Redis 執行個體」一文。

憑證授權單位

使用傳輸中加密功能的 Redis 執行個體會包含一或多個專屬憑證授權單位 (CA)，用於驗證伺服器的身分。CA 是您必須下載並安裝在存取 Redis 執行個體的用戶端上的字串。憑證的有效期限為自建立當天起算的十年。為確保服務持續性，必須在舊 CA 到期前，在 Redis 執行個體的用戶端上安裝新 CA。

憑證授權單位輪替

建立執行個體後，CA 的有效期限為 10 年。此外，新的 CA 會在執行個體建立後五年才可使用。

舊 CA 有效期至到期日。這樣一來，您就有五年的時間，可以將新的 CA 下載並安裝至連線至 Redis 執行個體的用戶端。舊 CA 到期後，您可以從用戶端解除安裝。

如需 CA 輪替的操作說明，請參閱「管理憑證頒發機構輪替作業」。

輪替伺服器憑證

伺服器端憑證輪替作業每 180 天執行一次，會導致連線短暫中斷幾秒。您應採用指數輪詢的重試邏輯，才能重新建立連線。憑證輪替不會導致標準級執行個體發生容錯移轉。

傳輸中加密的連線限制

在 Redis 執行個體上啟用傳輸中資料加密功能後，執行個體的用戶端連線數量會受到限制。上限取決於執行個體大小。如果您需要的連線數量超過目前容量層級支援的數量，請考慮增加 Redis 執行個體的大小。

容量級別	Redis 4.0、5.0 和 6.x 版的連線數量上限¹	Redis 7.0 以上版本的連線數量上限¹
M1 (1-4GB)	1000	65,000
M2 (5-10GB)	2,500	65,000
M3 (11-35GB)	15,000	65,000
M4 (36-100GB)	30,000	65,000
M5 (101 以上 GB)	65,000	65,000

¹ 這些連線限制值僅供參考，實際值取決於每個連線傳送的 Redis 指令頻率和複雜度。

監控連線

由於支援傳輸中資料加密的 Redis 執行個體有特定連線數量限制，因此您應監控 redis.googleapis.com/clients/connected 指標，確保不會超過連線數量限制。如果超過限制，Redis 執行個體會拒絕新嘗試的連線。在這種情況下，建議您擴充執行個體，以便容納所需的連線數量。如果您懷疑閒置連線佔了大量連線，可以使用 timeout 設定參數主動終止這些連線。

啟用傳輸加密功能對效能造成的影響

傳輸中加密功能會加密及解密資料，這會產生處理額外負擔。因此，啟用傳輸中加密功能可能會降低效能。此外，使用傳輸中資料加密功能時，每新增一個連線都會產生相關資源費用。如要判斷使用傳輸中加密功能的延遲時間，請比較應用程式效能，並同時使用已啟用傳輸中加密功能的 Redis 執行個體和已停用傳輸中加密功能的 Redis 執行個體，以基準測試應用程式效能。

改善成效的指南

盡可能減少用戶端連線數量。建立並重複使用長時間執行的連線，而非建立隨選的短期連線。
請增加 Memorystore 執行個體的大小 (建議使用 M4 或更大的執行個體)。
增加 Memorystore 用戶端主機機器的 CPU 資源。CPU 數量越多的用戶端機器，效能就越好。如果您使用 Compute Engine VM，建議您使用計算最佳化執行個體。
減少與應用程式流量相關的酬載大小，因為較大的酬載需要更多往返次數。

傳輸加密對記憶體用量的影響

啟用傳輸中的資料加密功能會為這項功能保留部分 Redis 執行個體記憶體。在其他條件相同的情況下，啟用傳輸中加密功能後，系統記憶體使用率比率指標的值會較高，因為這項功能會使用額外的額外記憶體。

Redis 7.0 版效能改善

在 Memorystore for Redis 上使用 Redis 7.0 版本可提升傳輸中資料加密的效能。如要充分利用這些效能改善功能，請考慮升級執行個體，以便使用 Redis 7.0 版本。

後續步驟

請參閱啟用傳輸中資料加密功能的操作說明。
參閱驗證功能總覽。
查看執行傳輸中加密管理作業所需的權限。
瞭解如何連線至已啟用傳輸中資料加密功能的 Redis 執行個體。