Halaman ini memberikan ringkasan tentang enkripsi dalam pengiriman untuk Memorystore for Valkey.
Untuk petunjuk cara mengenkripsi koneksi dengan enkripsi dalam pengiriman, lihat Mengelola enkripsi dalam pengiriman.
Memorystore untuk Valkey hanya mendukung protokol TLS versi 1.2 atau yang lebih tinggi.
Pengantar
Memorystore untuk Valkey mendukung enkripsi semua traffic Valkey menggunakan protokol Transport Layer Security (TLS). Saat enkripsi dalam pengiriman diaktifkan, klien Valkey berkomunikasi secara eksklusif melalui koneksi aman. Klien Valkey yang tidak dikonfigurasi untuk TLS akan diblokir. Jika memilih untuk mengaktifkan enkripsi dalam pengiriman, Anda bertanggung jawab untuk memastikan bahwa klien Valkey Anda dapat menggunakan protokol TLS.
Prasyarat enkripsi saat transit
Untuk menggunakan enkripsi dalam pengiriman dengan Memorystore for Valkey, Anda memerlukan:
Klien Valkey yang mendukung TLS atau sidecar TLS pihak ketiga
Certificate Authority yang diinstal di mesin klien yang mengakses instance Valkey Anda
Tidak semua library klien Valkey mendukung TLS. Jika Anda menggunakan klien yang tidak mendukung TLS, sebaiknya gunakan plugin pihak ketiga Stunnel yang mengaktifkan TLS untuk klien Anda. Lihat Menghubungkan ke instance Valkey dengan aman menggunakan Stunnel dan telnet untuk mengetahui contoh cara menghubungkan ke instance Valkey dengan Stunnel.
Certificate Authority
Instance Valkey yang menggunakan enkripsi dalam pengiriman memiliki Otoritas Sertifikasi (CA) unik yang digunakan untuk mengautentikasi sertifikat mesin di instance Anda. Setiap CA diidentifikasi oleh sertifikat yang harus Anda download dan instal di klien yang mengakses instance Valkey Anda.
Rotasi certificate authority
CA berlaku selama 10 tahun setelah pembuatan instance. Selain itu, CA baru akan tersedia sebelum CA berakhir masa berlakunya.
CA lama berlaku hingga tanggal habis masa berlakunya. Tindakan ini akan memberi Anda jendela untuk mendownload dan menginstal CA baru ke klien yang terhubung ke instance Valkey. Setelah CA lama berakhir masa berlakunya, Anda dapat meng-uninstalnya dari klien.
Untuk petunjuk tentang cara memutar CA, lihat Mengelola rotasi Certificate Authority.
Rotasi sertifikat server
Rotasi sertifikat sisi server terjadi setiap minggu. Sertifikat server baru hanya berlaku untuk koneksi baru, dan koneksi yang ada tetap aktif selama rotasi.
Dampak performa saat mengaktifkan enkripsi saat transit
Fitur enkripsi dalam pengiriman mengenkripsi dan mendekripsi data, yang disertai dengan overhead pemrosesan. Akibatnya, mengaktifkan enkripsi dalam pengiriman dapat mengurangi performa. Selain itu, saat menggunakan enkripsi dalam pengiriman, setiap koneksi tambahan akan disertai dengan biaya resource terkait. Untuk menentukan latensi yang terkait dengan penggunaan enkripsi dalam pengiriman, bandingkan performa aplikasi dengan melakukan benchmark performa aplikasi dengan instance yang mengaktifkan enkripsi dalam pengiriman dan instance yang menonaktifkannya.
Panduan untuk meningkatkan performa
Kurangi jumlah koneksi klien jika memungkinkan. Buat dan gunakan kembali koneksi jangka panjang, bukan membuat koneksi jangka pendek sesuai permintaan.
Tingkatkan ukuran instance Memorystore for Valkey Anda.
Tingkatkan resource CPU mesin host klien Memorystore. Mesin klien dengan jumlah CPU yang lebih tinggi akan menghasilkan performa yang lebih baik. Jika menggunakan VM Compute Engine, sebaiknya gunakan instance yang dioptimalkan untuk komputasi.
Mengurangi ukuran payload yang terkait dengan traffic aplikasi karena payload yang lebih besar memerlukan lebih banyak round trip.