本页面简要介绍了 Memorystore for Valkey 的传输加密。
如需了解如何使用传输加密加密连接,请参阅管理传输加密。
Memorystore for Valkey 仅支持 TLS 协议 1.2 版或更高版本。
简介
Memorystore for Valkey 支持使用传输层安全协议 (TLS) 加密所有 Valkey 流量。启用传输加密后,Valkey 客户端仅通过安全连接进行通信。未配置 TLS 的 Valkey 客户端将被屏蔽。如果您选择启用传输加密,则要负责确保您的 Valkey 客户端能够使用 TLS 协议。
传输加密前提条件
如需将传输加密与 Memorystore for Valkey 搭配使用,您需要具备以下条件:
支持 TLS 或第三方 TLS 辅助信息文件 的 Valkey 客户端
安装在访问您的 Valkey 实例的客户端机器上的证书授权机构
并非所有 Valkey 客户端库都支持 TLS。如果您使用的客户端不支持 TLS,我们建议您使用为客户端启用 TLS 的安全通道第三方插件。如需了解如何使用安全通道连接到 Valkey 实例,请参阅使用安全通道和 telnet 安全地连接到 Valkey 实例。
证书授权机构
使用传输加密的 Valkey 实例具有独一无二的证书授权机构 (CA),用于对实例中机器的证书进行身份验证。每个 CA 都由一个证书进行标识,您必须在访问 Valkey 实例的客户端上下载并安装该证书。
证书授权机构轮替
CA 的有效期为实例创建之日起 10 年。此外,在 CA 过期之前,系统会发布新的 CA。
旧 CA 在其失效日期之前将继续有效。因此,您将获得一个时间段,您只要在此时间段内下载并将新 CA 安装到连接到 Valkey 实例的客户端上即可。旧 CA 过期后,您可以将其从客户端中卸载。
有关轮替 CA 的说明,请参阅管理证书授权机构轮替。
服务器证书轮替
服务器端证书每周轮替一次。新的服务器证书仅适用于新连接,现有连接在轮替期间保持有效。
启用传输加密对性能的影响
传输加密功能会执行数据加密和解密,这会造成处理开销。因此,启用传输加密可能会降低性能。此外,在使用传输加密时,每个额外的连接都会产生关联的资源费用。如需确定与使用传输加密相关的延迟时间,请同时使用启用了传输加密的实例和停用了传输加密的实例对应用性能进行基准化分析,以比较应用性能。
有关提升性能的指导原则
尽可能减少客户端连接数量。建立并重用长时间运行的连接,而不是按需创建短时间运行的连接。
增加 Memorystore for Valkey 实例的大小。
增加 Memorystore 客户端主机的 CPU 资源。CPU 个数越多,客户端机器的性能就越好。如果使用 Compute Engine 虚拟机,我们建议您使用计算优化型实例。
减小与应用流量关联的载荷大小,因为载荷越大,所需的往返次数就越多。