Questa pagina fornisce una panoramica della crittografia dei dati in transito per Memorystore for Valkey.
Per istruzioni su come criptare una connessione con la crittografia dei dati in transito, consulta Gestire la crittografia dei dati in transito.
Memorystore for Valkey supporta solo le versioni 1.2 o successive del protocollo TLS.
Introduzione
Memorystore for Valkey supporta la crittografia di tutto il traffico Valkey utilizzando il protocollo Transport Layer Security (TLS). Se la crittografia in transito è abilitata, i client Valkey comunicano esclusivamente tramite una connessione sicura. I client Valkey che non sono configurati per TLS vengono bloccati. Se scegli di attivare la crittografia in transito, è tua responsabilità assicurarti che il client Valkey sia in grado di utilizzare il protocollo TLS.
Prerequisiti per la crittografia dei dati in transito
Per utilizzare la crittografia in transito con Memorystore per Valkey, devi:
Un client Valkey che supporta TLS o un sidecar TLS di terze parti
Autorità di certificazione installate sulla macchina client che accede all'istanza Valkey
Non tutte le librerie client Valkey supportano TLS. Se utilizzi un client che non supporta TLS, ti consigliamo di utilizzare il plug-in di terze parti Stunnel che attiva TLS per il client. Consulta la sezione Connessione sicura a un'istanza Valkey utilizzando Stunnel e telnet per un esempio di come connetterti a un'istanza Valkey con Stunnel.
Autorità di certificazione
Un'istanza Valkey che utilizza la crittografia in transito ha autorità di certificazione (CA) univoche che vengono utilizzate per autenticare i certificati delle macchine nell'istanza. Ogni CA è identificata da un certificato che devi scaricare e installare sul client che accede alla tua istanza Valkey.
Rotazione dell'autorità di certificazione
Le CA sono valide per 10 anni dalla creazione dell'istanza. Inoltre, una nuova CA sarà disponibile prima della scadenza della CA.
Le vecchie CA sono valide fino alla loro data di scadenza. Viene visualizzata una finestra in cui scaricare e installare la nuova CA sui client che si connettono all'istanza Valkey. Una volta scadute, puoi disinstallare le CA precedenti dai client.
Per istruzioni sulla rotazione dell'Autorità di certificazione, vedi Gestire la rotazione dell'Autorità di certificazione.
Rotazione del certificato del server
La rotazione dei certificati lato server avviene ogni settimana. I nuovi certificati del server si applicano solo alle nuove connessioni e le connessioni esistenti rimangono attive durante la rotazione.
Impatto sul rendimento dell'abilitazione della crittografia in transito
La funzionalità di crittografia dei dati in transito cripta e decripta i dati, con un overhead di elaborazione. Di conseguenza, l'attivazione della crittografia in transito può ridurre le prestazioni. Inoltre, quando utilizzi la crittografia dei dati in transito, ogni connessione aggiuntiva comporta un costo associato alle risorse. Per determinare la latenza associata all'utilizzo della crittografia in transito, confronta il rendimento dell'applicazione eseguendo un benchmark sia con un'istanza in cui la crittografia in transito è abilitata sia con un'istanza in cui è disabilitata.
Linee guida per migliorare il rendimento
Riduci il numero di connessioni client, se possibile. Stabilisci e riutilizza connessioni di lunga durata anziché creare connessioni temporanee on demand.
Aumenta le dimensioni dell'istanza Memorystore for Valkey.
Aumenta le risorse della CPU della macchina host del client Memorystore. Le macchine client con un numero di CPU più elevato offrono prestazioni migliori. Se utilizzi una VM Compute Engine, ti consigliamo di utilizzare istanze ottimizzate per il calcolo.
Riduci le dimensioni del payload associate al traffico delle applicazioni perché i payload più grandi richiedono più viaggi di andata e ritorno.