Questa pagina fornisce una panoramica della crittografia dei dati in transito per Memorystore for Valkey.
Per istruzioni su come criptare una connessione con la crittografia dei dati in transito, consulta Gestire la crittografia dei dati in transito.
Memorystore for Valkey supporta solo il protocollo TLS 1.2 o versioni successive.
Introduzione
Memorystore for Valkey supporta la crittografia di tutto il traffico Valkey utilizzando il protocollo Transport Layer Security (TLS). Se la crittografia in transito è abilitata, i client Valkey comunicano esclusivamente tramite una connessione sicura. I client Valkey che non sono configurati per TLS vengono bloccati. Se scegli di attivare la crittografia in transito, è tua responsabilità assicurarti che il client Valkey sia in grado di utilizzare il protocollo TLS.
Prerequisiti per la crittografia dei dati in transito
Per utilizzare la crittografia in transito con Memorystore per Valkey, devi:
Un client Valkey che supporta TLS o un sidecar TLS di terze parti
Autorità di certificazione installato sul computer client che accede alla tua istanza Valkey
Non tutte le librerie client Valkey supportano TLS. Se utilizzi un client che non supporta TLS, ti consigliamo di utilizzare lo strumento Stunnel plug-in di terze parti che abilita TLS per il tuo client. Consulta Connettersi in modo sicuro a un'istanza Valkey utilizzando Stunnel e telnet per vedere un esempio di come connettersi a un'istanza Valkey con Stunnel.
Autorità di certificazione
Un'istanza Valkey che utilizza la crittografia in transito ha le autorità di certificazione (CA) utilizzate per autenticare i certificati delle macchine della tua istanza. Ogni CA viene identificata da un certificato che deve eseguire il download e l'installazione sul client che accede alla tua istanza Valkey.
Rotazione dell'autorità di certificazione
Le CA sono valide per 10 anni al momento della creazione dell'istanza. Inoltre, una nuova CA diventano disponibili prima della scadenza della CA.
Le CA precedenti sono valide fino alla loro data di scadenza. Questo ti offre una finestra per scaricare e installare la nuova CA sui client che si connettono all'istanza di Valkey. Una volta scadute le CA precedenti, potrai disinstallarle dai client.
Per istruzioni sulla rotazione dell'Autorità di certificazione, vedi Gestire la rotazione dell'Autorità di certificazione.
Rotazione del certificato server
La rotazione dei certificati lato server si verifica ogni settimana. Nuovi certificati server si applicano solo alle nuove connessioni e le connessioni esistenti rimangono attive la rotazione.
Impatto sul rendimento dell'abilitazione della crittografia in transito
La funzionalità di crittografia dei dati in transito cripta e decripta i dati, con un ovvio aggravio di costi di elaborazione. Di conseguenza, l'abilitazione della crittografia dei dati in transito può ridurre delle prestazioni. Inoltre, quando utilizzi la crittografia dei dati in transito, ogni connessione aggiuntiva è associato a un costo per le risorse. Per determinare la latenza associata all'utilizzo della crittografia in transito, confronta il rendimento dell'applicazione eseguendo un benchmark sia con un'istanza in cui la crittografia in transito è abilitata sia con un'istanza in cui è disabilitata.
Linee guida per migliorare il rendimento
Riduci il numero di connessioni client, se possibile. Stabilire e riutilizzare a lunga esecuzione, anziché creare on demand e di breve durata e connessioni a Internet.
Aumenta le dimensioni della tua istanza Memorystore for Valkey.
Aumentare le risorse della CPU dell'host client Memorystore in una macchina virtuale. Le macchine client con un numero di CPU più elevato offrono prestazioni migliori. Se con una VM di Compute Engine, consigliamo di utilizzare istanze ottimizzate per il calcolo.
Riduci le dimensioni del payload associato al traffico delle applicazioni perché i payload richiedono più viaggi di andata e ritorno.