전송 중인 데이터 암호화 관리

이 페이지에서는 인스턴스의 전송 중인 데이터 암호화를 관리하는 방법을 설명합니다.

Valkey용 Memorystore의 전송 중인 데이터 암호화에 대한 개요는 전송 중인 데이터 암호화 정보를 참조하세요.

Memorystore for Valkey 인스턴스를 처음 만든 경우에만 전송 중인 데이터 암호화를 사용 설정할 수 있습니다. 이러한 방식으로 생성된 인스턴스에서는 전송 중인 데이터 암호화를 중지할 수 없습니다.

전송 중인 데이터 암호화로 인스턴스 만들기

콘솔

Memorystore for Valkey 인스턴스 만들기의 단계를 따릅니다.

gcloud

전송 중인 데이터 암호화가 적용되는 Valkey 인스턴스를 만들려면 create 명령어를 실행합니다.

gcloud beta memorystore instances create INSTANCE \
--location=REGION_ID \
--psc-auto-connections=network=projects/PROJECT_ID/global/networks/NETWORK_ID,projectId=PROJECT_ID \
--replica-count=REPLICA_COUNT \
--node-type=NODE_TYPE \
--shard-count=SHARD_COUNT \
--transit-encryption-mode=server-authentication

다음을 바꿉니다.

  • INSTANCE는 만들려는 Memorystore for Valkey 인스턴스의 ID입니다. 인스턴스 ID는 1~63자(영문 기준)여야 하며 소문자, 숫자, 하이픈만 사용해야 합니다. 소문자로 시작하고 소문자나 숫자로 끝나야 합니다.

  • REGION_ID는 인스턴스를 배치할 리전입니다.

  • PROJECT_ID는 인스턴스를 만들 프로젝트의 ID입니다.

  • NETWORK_ID는 인스턴스를 만드는 데 사용할 네트워크의 ID입니다.

  • REPLICA_COUNT는 원하는 (샤드당) 복제본 수입니다. 허용되는 값은 0, 1, 2입니다.

  • NODE_TYPE은 선택한 노드 유형입니다. 허용되는 값은 다음과 같습니다.

    • shared-core-nano
    • standard-small
    • highmem-medium
    • highmem-xlarge

    노드 유형 및 인스턴스 구성에 대한 자세한 내용은 인스턴스 및 노드 사양을 참조하세요.

  • SHARD_COUNT는 인스턴스의 샤드 수를 결정합니다. 샤드 개수는 인스턴스 데이터를 저장하기 위한 총 메모리 용량을 결정합니다. 인스턴스 사양에 대한 자세한 내용은 인스턴스 및 노드 사양을 참조하세요.

예를 들면 다음과 같습니다.

gcloud beta memorystore instances create my-instance \
--location=us-central1 \
--psc-auto-connections=network=projects/PROJECT_ID/global/networks/NETWORK_ID,projectId=PROJECT_ID \
--replica-count=1 \
--node-type=highmem-medium \
--shard-count=3 \
--transit-encryption-mode=server-authentication

인증 기관 다운로드

전송 중인 데이터 암호화가 인스턴스에 사용 설정된 경우 get-certificate-authority 명령어를 실행하면 인증 기관의 인증서가 표시됩니다.

gcloud beta memorystore instances get-certificate-authority INSTANCE

다음을 바꿉니다.

  • INSTANCE는 Memorystore for Valkey 인스턴스의 ID입니다.

응답 본문에는 모든 해당 인증 기관의 인증서가 포함됩니다.

클라이언트에 인증 기관 설치

연결 클라이언트에 인스턴스의 인증 기관을 설치해야 합니다. CA 설치는 클라이언트 유형에 따라 다를 수 있습니다. 아래 단계에서는 Compute Engine Linux VM에 CA를 설치하는 방법을 설명합니다.

  1. SSH를 사용해 Compute Engine Linux 클라이언트에 연결합니다.

  2. 클라이언트에 server_ca.pem이라는 파일을 만듭니다.

    sudo vim /tmp/server_ca.pem

  3. 인증 기관을 다운로드하여 이전에 만든 server_ca.pem 파일에 붙여넣습니다.

    CA 텍스트의 형식을 올바르게 지정해야 합니다. server_ca.pem 파일은 다음과 같이 표시됩니다.

    -----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

    앞의 예시와 같이 파일이 다음 가이드라인을 따라야 합니다.

    • -----BEGIN CERTIFICATE----- 줄 및 -----END CERTIFICATE----- 줄을 포함한 전체 인증 기관을 복사합니다.

    • CA의 텍스트가 왼쪽 맞춤인지 확인합니다. CA 줄 앞에 공백이 없어야 합니다.

    • 각 인증 기관을 새 줄에 추가해야 합니다. CA 사이에는 빈 줄이 없어야 합니다.

전송 중인 데이터 암호화에 필요한 클라이언트 구성

인스턴스에 연결하는 데 사용하는 클라이언트는 TLS를 지원하거나 서드 파티 사이드카를 사용하여 TLS를 사용 설정해야 합니다.

클라이언트가 TLS를 지원하는 경우 Valkey 인스턴스의 IP, 포트 6379, 인증 기관이 포함된 파일을 가리키도록 구성합니다. 사이드카를 사용할 경우에는 Stunnel을 사용하는 것이 좋습니다.

Stunnel 및 telnet을 사용해 Memorystore 인스턴스에 안전하게 연결하기

Stunnel을 사용하여 Compute Engine 클라이언트에 전송 중인 데이터 암호화를 사용 설정하는 방법은 Stunnel 및 telnet을 사용해 Memorystore 인스턴스에 안전하게 연결하기를 참조하세요.

인증 기관 순환 관리

인스턴스에 액세스하는 클라이언트에 다운로드 가능한 모든 인증 기관을 설치해야 합니다.

인증 기관 순환 이벤트가 발생할 때 필요한 CA가 있는지 확인하는 가장 간단한 방법은 새 CA를 사용할 수 있게 되었을 때 이전 CA에 추가로 새 CA를 설치하는 것입니다.

필요한 CA가 있는지 확인하려면 클라이언트 파일에 저장된 CA가 인증 기관을 다운로드할 때 표시된 CA와 일치하는지만 확인하면 됩니다. 다운타임을 최소화하기 위해 새 CA와 이전 CA가 모두 순환 중에 활성화됩니다.

전송 중인 데이터 암호화를 사용하는 인스턴스에 연결하는 코드 샘플

전송 중인 데이터 암호화를 사용하는 인스턴스에 연결하도록 클라이언트 라이브러리를 설정하는 방법에 관한 Valkey 호환 코드 샘플을 보려면 전송 중인 데이터 암호화 클라이언트 라이브러리 코드 샘플을 참조하세요.