転送中の暗号化について

このページでは、Memorystore for Valkey の転送中の暗号化の概要を説明します。

転送中の暗号化を使用して接続を暗号化する方法については、転送中の暗号化の管理をご覧ください。

Memorystore for Valkey は、TLS プロトコル バージョン 1.2 以降のみをサポートしています。

はじめに

Memorystore for Valkey では、Transport Layer Security(TLS)プロトコルを使用したすべての Valkey トラフィックを暗号化できます。転送中の暗号化が有効になっている場合、Valkey クライアントは安全な接続を介してのみ通信を行います。TLS 用に構成されていない Valkey クライアントはブロックされます。転送中の暗号化を有効にする場合は、Valkey クライアントが TLS プロトコルを使用できることを確認する必要があります。

転送中の暗号化の前提条件

Memorystore for Valkey で転送中の暗号化を使用するには、次のものが必要です。

  1. TLS またはサードパーティの TLS サイドカーをサポートする Valkey クライアント

  2. Valkey インスタンスにアクセスするクライアント マシンにインストールされた認証局

すべての Valkey クライアント ライブラリで TLS がサポートされているわけではありません。TLS をサポートしていないクライアントを使用している場合は、クライアントの TLS を有効にする stunnel サードパーティ プラグインを使用することをおすすめします。stunnel を使用して Valkey インスタンスに接続する方法の例については、stunnel と telnet を使用した Valkey インスタンスへの安全な接続をご覧ください。

認証局

転送中の暗号化を使用する Valkey インスタンスには、インスタンス内のマシンの証明書の認証に使用される一意の認証局(CA)があります。各 CA は証明書で識別されます。この証明書は、Valkey インスタンスにアクセスするクライアントにダウンロードしてインストールする必要があります。

認証局のローテーション

CA はインスタンスの作成時から 10 年間有効です。また、CA が期限切れになる前に、新しい CA が利用可能になります。

古い CA は、有効期限まで有効です。この期間の間に、Valkey インスタンスに接続するクライアントに新しい CA をダウンロードしてインストールできます。古い CA の有効期限が切れたらクライアントからアンインストールできます。

CA のローテーションの手順については、認証局のローテーションの管理をご覧ください。

サーバー証明書のローテーション

サーバーサイドの証明書のローテーションは毎週行われます。新しいサーバー証明書は新しい接続にのみ適用され、既存の接続はローテーション中も存続します。

転送中の暗号化を有効にした場合のパフォーマンスへの影響

転送中の暗号化機能では、処理にオーバーヘッドを伴うデータの暗号化と復号を行います。このため、転送中の暗号化を有効にすると、パフォーマンスの低下を招く可能性があります。また、転送中の暗号化では、追加の接続のそれぞれに関連リソースのコストがかかります。転送中の暗号化に関連するレイテンシを判断するには、転送中の暗号化が有効になっているインスタンスと無効になっているインスタンスの両方でアプリケーションのパフォーマンスを比較します。

パフォーマンスを改善するためのガイドライン

  • 可能なときは、クライアントの接続数を減らします。オンデマンドの有効期間が短い接続を作成するのではなく、長期の接続を確立してそれを再利用します。

  • Memorystore for Valkey インスタンスのサイズを増やします。

  • Memorystore クライアントのホストマシンの CPU リソースを増やします。クライアント マシンの CPU 数が多くなるほど、パフォーマンスが向上します。Compute Engine VM を使用する場合は、コンピューティング最適化インスタンスをおすすめします。

  • ペイロードが大きければ大きいほど、より多くの往復が必要となるため、アプリケーション トラフィックに関連付けられたペイロード サイズを減らします。