Esta página apresenta uma vista geral da encriptação em trânsito para o Memorystore for Valkey.
Para ver instruções sobre como encriptar uma ligação com a encriptação em trânsito, consulte o artigo Faça a gestão da encriptação em trânsito.
O Memorystore for Valkey só suporta as versões 1.2 ou superiores do protocolo TLS.
Introdução
O Memorystore for Valkey suporta a encriptação de todo o tráfego do Valkey através do protocolo Transport Layer Security (TLS). Quando a encriptação em trânsito está ativada, os clientes do Valkey comunicam exclusivamente através de uma ligação segura. Os clientes do Valkey que não estão configurados para TLS são bloqueados. Se optar por ativar a encriptação em trânsito, é responsável por garantir que o seu cliente Valkey é capaz de usar o protocolo TLS.
Pré-requisitos da encriptação em trânsito
Para usar a encriptação em trânsito com o Memorystore for Valkey, precisa do seguinte:
Um cliente Valkey que suporta TLS ou um sidecar TLS de terceiros
Autoridades de certificação instaladas na máquina cliente que acede à sua instância do Valkey
Nem todas as bibliotecas cliente do Valkey suportam TLS. Se estiver a usar um cliente que não suporta TLS, recomendamos que use o plug-in de terceiros Stunnel que ativa o TLS para o seu cliente. Consulte o artigo Estabelecer ligação segura a uma instância do Valkey através do Stunnel e do telnet para ver um exemplo de como estabelecer ligação a uma instância do Valkey com o Stunnel.
Autoridades de certificação
Uma instância do Valkey que usa a encriptação em trânsito tem autoridades de certificação (ACs) únicas que são usadas para autenticar os certificados das máquinas na sua instância. Cada CA é identificada por um certificado que tem de transferir e instalar no cliente que acede à sua instância do Valkey.
Rotação da autoridade de certificação
As ACs são válidas durante 10 anos após a criação da instância. Além disso, vai ficar disponível uma nova CA antes da expiração da CA.
As ACs antigas são válidas até à respetiva data de validade. Isto dá-lhe um período durante o qual transferir e instalar a nova AC nos clientes que se ligam à instância do Valkey. Depois de os ACs antigos expirarem, pode desinstalá-los dos clientes.
Para ver instruções sobre como rodar a AC, consulte o artigo Gerir a rotação da Autoridade de certificação.
Rotação de certificados do servidor
A rotação de certificados do lado do servidor ocorre todas as semanas. Os novos certificados do servidor aplicam-se apenas a novas ligações, e as ligações existentes permanecem ativas durante a rotação.
Impacto no desempenho da ativação da encriptação em trânsito
A funcionalidade de encriptação em trânsito encripta e desencripta dados, o que implica sobrecarga de processamento. Como resultado, a ativação da encriptação em trânsito pode reduzir o desempenho. Além disso, quando usa a encriptação em trânsito, cada ligação adicional tem um custo de recurso associado. Para determinar a latência associada à utilização da encriptação em trânsito, compare o desempenho da aplicação através de testes de referência do desempenho da aplicação com uma instância que tenha a encriptação em trânsito ativada e uma instância que a tenha desativada.
Diretrizes para melhorar o desempenho
Diminua o número de ligações de clientes sempre que possível. Estabeleça e reutilize ligações de longa duração em vez de criar ligações de curta duração a pedido.
Aumente o tamanho da sua instância do Memorystore for Valkey.
Aumente os recursos da CPU da máquina anfitriã do cliente do Memorystore. As máquinas cliente com um número mais elevado de CPUs geram um melhor desempenho. Se usar uma VM do Compute Engine, recomendamos instâncias otimizadas para computação.
Diminua o tamanho da carga útil associado ao tráfego da aplicação, uma vez que as cargas úteis maiores requerem mais viagens de ida e volta.