Halaman ini memberikan ringkasan tentang enkripsi dalam pengiriman untuk Memorystore for Valkey.
Untuk mendapatkan petunjuk tentang cara mengenkripsi koneksi dengan enkripsi in-transit, lihat Mengelola enkripsi dalam pengiriman.
Memorystore for Valkey hanya mendukung protokol TLS versi 1.2 atau yang lebih tinggi.
Pengantar
Memorystore for Valkey mendukung enkripsi semua traffic Valkey menggunakan protokol Transport Layer Security (TLS). Kapan enkripsi dalam pengiriman diaktifkan, klien Valkey berkomunikasi secara eksklusif melalui koneksi yang aman. Klien Valkey yang tidak dikonfigurasi untuk TLS akan diblokir. Jika Anda memilih untuk mengaktifkan enkripsi dalam pengiriman, Anda bertanggung jawab untuk memastikan bahwa klien Valkey Anda mampu menggunakan protokol TLS.
Prasyarat enkripsi dalam pengiriman
Untuk menggunakan enkripsi dalam pengiriman dengan Memorystore for Valkey, Anda memerlukan:
Klien Valkey yang mendukung TLS atau file bantuan TLS pihak ketiga
Certificate Authority yang diinstal di komputer klien yang mengakses instance Valkey Anda
Tidak semua library klien Valkey mendukung TLS. Jika Anda menggunakan klien yang tidak mendukung TLS, sebaiknya gunakan Stunnel pihak ketiga yang mengaktifkan TLS untuk klien Anda. Lihat Menghubungkan ke instance Valkey dengan aman menggunakan Stunnel dan telnet untuk contoh cara terhubung ke instance Valkey dengan Stunnel.
Otoritas Sertifikat
Instance Valkey yang menggunakan enkripsi in-transit memiliki {i>Certificate Authorities<i} (CA) yang digunakan untuk mengotentikasi sertifikat mesin tersebut di instance Anda. Setiap CA diidentifikasi oleh sertifikat yang Anda harus mendownload dan menginstal pada klien yang mengakses instance Valkey Anda.
Rotasi certificate authority
CA berlaku selama 10 tahun sejak pembuatan instance. Selain itu, CA baru akan tersedia sebelum masa berlaku CA berakhir.
CA lama berlaku hingga tanggal habis masa berlakunya. Ini memberi Anda jendela di mana untuk mendownload dan menginstal CA baru ke klien yang terhubung ke instance Valkey. Setelah masa berlaku CA lama berakhir, Anda dapat meng-uninstalnya dari klien.
Untuk petunjuk tentang merotasi CA, lihat Mengelola rotasi Certificate Authority.
Rotasi sertifikat server
Rotasi sertifikat sisi server terjadi setiap minggu. Sertifikat server baru hanya berlaku untuk koneksi baru, dan koneksi yang ada akan tetap aktif selama kunci.
Dampak performa dari pengaktifan enkripsi dalam pengiriman
Fitur enkripsi dalam pengiriman enkripsi dan membongkar enkripsi data, yang dilengkapi dengan overhead pemrosesan. Akibatnya, mengaktifkan enkripsi dalam pengiriman dapat mengurangi tingkat tinggi. Selain itu, saat menggunakan enkripsi dalam pengiriman, setiap koneksi tambahan memiliki biaya resource terkait. Untuk menentukan latensi yang terkait dengan menggunakan enkripsi in-transit, bandingkan performa aplikasi dengan membuat tolok ukur performa aplikasi dengan instance yang memiliki enkripsi in-transit dan instance yang telah menonaktifkannya.
Panduan untuk meningkatkan performa
Kurangi jumlah koneksi klien jika memungkinkan. Buat dan gunakan kembali koneksi jangka panjang, bukan membuat on-demand dalam waktu singkat koneksi jarak jauh.
Meningkatkan ukuran instance Memorystore for Valkey.
Meningkatkan resource CPU host klien Memorystore mesin Linux dan Windows. Mesin klien dengan jumlah CPU yang lebih tinggi menghasilkan performa yang lebih baik. Jika menggunakan VM Compute Engine, sebaiknya gunakan instance yang dioptimalkan untuk komputasi.
Mengurangi ukuran payload yang terkait dengan traffic aplikasi karena ukuran yang lebih besar {i>payload<i} membutuhkan lebih banyak perjalanan bolak-balik.