En esta página, se proporciona una descripción general de la encriptación en tránsito para Memorystore for Valkey.
Para obtener instrucciones sobre cómo encriptar una conexión con encriptación en tránsito, consulta Administra la encriptación en tránsito.
Memorystore para Valkey solo admite la versión 1.2 o una más reciente del protocolo TLS.
Introducción
Memorystore for Valkey admite la encriptación de todo el tráfico de Valkey con el protocolo de seguridad de la capa de transporte (TLS). Cuándo la encriptación en tránsito está habilitada para que los clientes de Valkey se comuniquen exclusivamente a través de un una conexión segura. Los clientes de Valkey que no están configurados para TLS se bloqueó. Si eliges habilitar la encriptación en tránsito, eres responsable de garantizar que tu cliente de Valkey sea capaz de usar el protocolo TLS.
Requisitos previos de encriptación en tránsito
Si quieres usar la encriptación en tránsito con Memorystore para Valkey, necesitas lo siguiente:
Un cliente de Valkey que admite TLS o un archivo adicional de TLS de terceros
Autoridades certificadoras instaladas en la máquina cliente que accede a tu instancia de Valkey
No todas las bibliotecas cliente de Valkey admiten TLS. Si usas un cliente que no admite TLS, te recomendamos usar el complemento de terceros Stunnel que habilita TLS para tu cliente. Consulta Conéctate a una instancia de Valkey de forma segura con Stunnel y Telnet. para ver un ejemplo de cómo conectarse a una instancia de Valkey con Stunnel.
Autoridades certificadoras
Una instancia de Valkey que usa encriptación en tránsito tiene un autoridades certificadoras (AC) que se usan para autenticar los certificados de las máquinas en tu instancia. Cada AC se identifica con un certificado que debe descargar e instalarse en el cliente que accede a tu instancia de Valkey.
Rotación de la autoridad certificadora
Las AC son válidas durante 10 años después de la creación de la instancia. Además, se creará una AC nueva estarán disponibles antes del vencimiento de la AC.
Las AC anteriores son válidas hasta su fecha de vencimiento. Esto te brinda un período en el que puedes descargar e instalar la AC nueva en los clientes que se conectan a la instancia de Valkey. Una vez que venza la AC anterior, puedes desinstalarla de los clientes.
Para obtener instrucciones sobre cómo rotar la CA, consulta Administra la rotación de las autoridades certificadas.
Rotación del certificado del servidor
La rotación del certificado del servidor se produce cada semana. Nuevos certificados de servidor se aplican solo a las conexiones nuevas, y las conexiones existentes permanecen activas durante y la rotación de claves.
Impacto en el rendimiento de habilitar la encriptación en tránsito
La función de encriptación en tránsito encripta y desencripta datos, lo que conlleva una sobrecarga de procesamiento. Como resultado, habilitar la encriptación en tránsito puede reducir rendimiento. Además, cuando se usa la encriptación en tránsito, cada conexión adicional tiene un costo de recursos asociado. Para determinar la latencia asociada con encriptación en tránsito, comparar el rendimiento de la aplicación rendimiento de la aplicación con una instancia con encriptación en tránsito habilitado y una instancia que lo tiene inhabilitado.
Lineamientos para mejorar el rendimiento
Disminuye la cantidad de conexiones de clientes siempre que sea posible. Establece y reutiliza conexiones de larga duración en lugar de crear conexiones de corta duración según demanda.
Aumenta el tamaño de tu instancia de Memorystore para Valkey.
Aumenta los recursos de CPU de la máquina anfitrión del cliente de Memorystore. Las máquinas cliente con un mayor recuento de CPU ofrecen un mejor rendimiento. Si con una VM de Compute Engine, recomendamos las instancias optimizadas para procesamiento.
Disminuye el tamaño de la carga útil asociado con el tráfico de la aplicación porque las cargas útiles más grandes requieren más recorridos de ida y vuelta.