Cette page présente le chiffrement en transit pour Memorystore pour Valkey.
Pour savoir comment chiffrer une connexion avec le chiffrement en transit, consultez la section Gérer le chiffrement en transit.
Memorystore pour Valkey n'est compatible qu'avec les protocoles TLS 1.2 ou versions ultérieures.
Présentation
Memorystore pour Valkey permet de chiffrer tout le trafic Valkey à l'aide du protocole TLS (Transport Layer Security). Lorsque le chiffrement en transit est activé, les clients Valkey communiquent exclusivement via une connexion sécurisée. Les clients Valkey qui ne sont pas configurés pour TLS sont bloqués. Si vous choisissez d'activer le chiffrement en transit, il vous incombe de vous assurer que votre client Valkey est capable d'utiliser le protocole TLS.
Prérequis pour le chiffrement en transit
Pour utiliser le chiffrement en transit avec Memorystore pour Valkey, vous avez besoin des éléments suivants:
Un client Valkey compatible avec TLS ou un side-car TLS tiers
Autorités de certification installées sur la machine cliente accédant à votre instance Valkey
Toutes les bibliothèques clientes Valkey ne sont pas compatibles avec TLS. Si vous utilisez un client non compatible avec TLS, nous vous recommandons d'utiliser le plug-in tiers Stunnel qui active TLS pour votre client. Pour obtenir un exemple de connexion à une instance Valkey avec Stunnel, consultez la section Se connecter en toute sécurité à une instance Valkey à l'aide de Stunnel et Telnet.
Autorités de certification
Une instance Valkey qui utilise le chiffrement en transit possède des autorités de certification (CA) uniques qui servent à authentifier les certificats des machines de votre instance. Chaque autorité de certification est identifiée par un certificat que vous devez télécharger et installer sur le client accédant à votre instance Valkey.
Rotation des autorités de certification
Les autorités de certification sont valables 10 ans à partir de la création de l'instance. De plus, une nouvelle autorité de certification sera disponible avant l'expiration de l'autorité de certification.
Les anciennes autorités de certification sont valides jusqu'à leur date d'expiration. Vous disposez ainsi d'un délai pour télécharger et installer la nouvelle autorité de certification pour les clients se connectant à l'instance Valkey. Une fois que les anciennes autorités de certification ont expiré, vous pouvez les désinstaller des clients.
Pour en savoir plus sur la rotation des autorités de certification, consultez la section Gérer la rotation des autorités de certification.
Rotation des certificats de serveur
La rotation des certificats côté serveur a lieu chaque semaine. Les nouveaux certificats de serveur ne s'appliquent qu'aux nouvelles connexions, et les connexions existantes restent actives pendant la rotation.
Impact du chiffrement en transit sur les performances
La fonctionnalité de chiffrement en transit chiffre et déchiffre les données, ce qui entraîne une surcharge de traitement. L'activation du chiffrement en transit peut donc réduire les performances. En outre, lorsque vous utilisez le chiffrement en transit, chaque connexion supplémentaire entraîne un coût de ressource associé. Pour déterminer la latence associée à l'utilisation du chiffrement en transit, comparez les performances des applications à l'aide d'un comparatif entre une instance pour laquelle le chiffrement en transit est activé et une instance sur laquelle il est désactivé.
Consignes d'amélioration des performances
Réduisez le nombre de connexions client lorsque cela est possible. Établissez et réutilisez des connexions de longue durée plutôt que de créer des connexions de courte durée à la demande.
Augmentez la taille de votre instance Memorystore pour Valkey.
Augmentez les ressources de processeur de la machine hôte du client Memorystore. Les machines clientes ayant davantage de processeurs offrent de meilleures performances. Si vous utilisez une VM Compute Engine, nous vous recommandons d'utiliser des instances optimisées pour le calcul.
Réduisez la taille de la charge utile associée au trafic de l'application, car les charges utiles volumineuses nécessitent davantage d'allers-retours.