En esta página, se proporciona una descripción general de la encriptación en tránsito para Memorystore for Valkey.
Para obtener instrucciones sobre cómo encriptar una conexión con encriptación en tránsito, consulta Administra la encriptación en tránsito.
Memorystore para Valkey solo admite la versión 1.2 o una más reciente del protocolo TLS.
Introducción
Memorystore para Valkey admite la encriptación de todo el tráfico de Valkey con el protocolo de seguridad de la capa de transporte (TLS). Cuando se habilita la encriptación en tránsito, los clientes de Valkey se comunican exclusivamente a través de una conexión segura. Se bloquean los clientes de Valkey que no están configurados para TLS. Si eliges habilitar la encriptación en tránsito, eres responsable de garantizar que tu cliente de Valkey sea capaz de usar el protocolo TLS.
Requisitos previos para la encriptación en tránsito
Para usar la encriptación en tránsito con Memorystore para Valkey, necesitas lo siguiente:
Un cliente de Valkey que admita TLS o un archivo adicional de TLS de terceros
Autoridades certificadoras instaladas en la máquina cliente que accede a tu instancia de Valkey
No todas las biblioteca cliente de Valkey admiten TLS. Si usas un cliente que no admite TLS, te recomendamos usar el complemento de terceros Stunnel que habilita TLS para tu cliente. Consulta Conéctate a una instancia de Valkey de forma segura mediante Stunnel y Telnet para ver un ejemplo de cómo conectarte a una instancia de Valkey con Stunnel.
Autoridades certificadoras
Una instancia de Valkey que usa encriptación en tránsito tiene autoridades certificadoras (AC) únicas que se usan para autenticar los certificados de las máquinas de tu instancia. Cada AC se identifica con un certificado que debes descargar y, luego, instalar en el cliente que accede a tu instancia de Valkey.
Rotación de la autoridad certificadora
Las AC son válidas durante 10 años después de la creación de la instancia. Además, una AC nueva estará disponible antes de que venza la AC.
Las AC antiguas son válidas hasta su fecha de vencimiento. Esto te brinda un período en el que puedes descargar e instalar la AC nueva en los clientes que se conectan a la instancia de Valkey. Una vez que venza la AC anterior, puedes desinstalarla de los clientes.
Para obtener instrucciones sobre cómo rotar la CA, consulta Administra la rotación de las autoridades certificadas.
Rotación del certificado del servidor
La rotación del certificado del servidor se produce cada semana. Los certificados de servidor nuevos solo se aplican a las conexiones nuevas, y las conexiones existentes permanecen activas durante la rotación.
Impacto en el rendimiento de habilitar la encriptación en tránsito
La función de encriptación en tránsito encripta y desencripta datos, lo que conlleva una sobrecarga de procesamiento. En consecuencia, habilitar la encriptación en tránsito puede reducir el rendimiento. Además, cuando usas la encriptación en tránsito, cada conexión adicional incluye un costo de recurso asociado. Para determinar la latencia asociada con el uso de la encriptación en tránsito, compara el rendimiento de la aplicación realizando una comparativa del rendimiento de la aplicación con una instancia que tiene habilitada la encriptación en tránsito y una instancia que no la tiene habilitada.
Lineamientos para mejorar el rendimiento
Disminuye la cantidad de conexiones de clientes siempre que sea posible. Establece y reutiliza conexiones de larga duración en lugar de crear conexiones de corta duración según demanda.
Aumenta el tamaño de tu instancia de Memorystore para Valkey.
Aumenta los recursos de CPU de la máquina anfitrión del cliente de Memorystore. Las máquinas cliente con un mayor recuento de CPU ofrecen un mejor rendimiento. Si usas una VM de Compute Engine, recomendamos las instancias optimizadas para procesamiento.
Disminuye el tamaño de la carga útil asociado con el tráfico de la aplicación porque las cargas útiles más grandes requieren más recorridos de ida y vuelta.