您可以安全地加密客户端应用与 Memorystore for Redis Cluster 之间传输的所有数据。这称为“传输加密”。 通过使用传输 加密,所有 Redis 流量都会通过 传输层安全 (TLS) 协议进行加密。这样可确保应用与 Memorystore for Redis Cluster 之间传输的所有数据保持机密性且不会被篡改。
启用传输加密后,Redis 客户端仅通过安全连接进行通信。未配置 TLS 的 Redis 客户端将被屏蔽。如果您选择使用传输加密,则需要负责确保您的 Redis 客户端能够使用 TLS 协议。
以下是使用传输加密的示例用例:
- 保护敏感缓存数据:如果您使用 Memorystore for Redis Cluster 存储高价值信息(例如会话令牌、个人身份信息 (PII) 或 API 密钥),则传输加密可防止具有 VPC 访问权限的攻击者访问您的数据。
- 遵守行业标准:许多安全框架(包括医疗保健行业的健康保险流通与责任法案 (HIPAA) 和金融数据的 PCI DSS)都要求出于监管和行业合规性目的,对静态数据和传输中的敏感信息进行加密。
- 保护 Identity and Access Management (IAM) 身份验证: 当您使用 IAM 身份验证 来管理对数据的访问权限时,Memorystore for Redis Cluster 需要使用 TLS,以防止 身份验证令牌在传输过程中暴露或泄露。
- 防止中间人攻击:TLS 使用 证书授权机构 (CA) 对服务器 端点进行身份验证。当数据在应用与 Memorystore for Redis Cluster 之间传输时,CA 可保护您的应用免受服务器欺骗和未经授权的数据修改。
传输加密前提条件
如需将传输加密与 Memorystore for Redis Cluster 搭配使用,您需要具备以下条件:
支持 TLS 或第三方 TLS 辅助信息文件 的 Redis 客户端。
安装在访问您的集群的客户端机器上的 CA 证书。
内置 TLS 仅适用于 Redis 6.0 版及更高版本。因此,并非所有 Redis 客户端库都支持 TLS。如果您使用的客户端不支持 TLS,我们建议您使用为客户端启用 TLS 的第三方插件。您可以查看一个示例 ,了解如何连接到启用了传输 加密的 Memorystore for Redis Cluster 集群。
证书授权机构 (CA)
使用传输加密的集群具有证书授权机构 (CA),用于对集群中机器的证书进行身份验证。 Memorystore for Redis Cluster 允许您选择服务器 CA 模式。CA 模式决定了用于为集群颁发数字证书的 CA 层次结构。
Memorystore for Redis Cluster 提供以下 CA 模式:
- 用于每个实例的 CA: Memorystore for Redis Cluster 为每个集群预配自己的唯一 CA 基础设施。如需安全地访问集群,您必须将客户端配置为信任此 CA 层次结构。这包括在访问集群的每个客户端上下载并安装 CA 证书。
- 共享 CA:一种代管式 区域化 CA 基础设施。对于每个区域,您可以下载一个 CA 证书软件包。此软件包对于您配置为使用共享 CA 的区域中的所有集群均有效。使用共享 CA 可减少客户端需要管理的证书数量。
- 客户管理的 CA: 使用您在 Certificate Authority Service 上托管的自有 CA 池。 如果您的客户端应用配置为信任此 CA,则您的应用可以直接连接到集群,无需下载和安装其他 CA 证书。这样,您就可以更好地控制,并满足合规性要求。
服务器证书轮替
每周,Memorystore for Redis Cluster 都会为使用用于每个实例的 CA、共享 CA 和客户管理的 CA 模式的集群执行服务器端证书轮替。 新的服务器证书仅适用于新连接,现有连接在此轮替期间保持有效。
除了 Memorystore for Redis Cluster 每周执行一次服务器端证书轮替之外,对于客户管理的 CA 模式,您还可以按需轮替证书。
启用传输加密对性能的影响
传输加密功能会执行数据加密和解密,这会造成处理开销。因此,启用传输加密可能会降低客户端的性能。此外,在使用传输加密时,每个额外的连接都会产生关联的资源费用。
如需确定与使用传输加密相关的延迟时间,请比较客户端的性能。为此,请对启用了传输加密的集群和停用了传输加密的集群的性能进行基准化分析。
提升性能的指导原则
如需提升集群的性能,请遵循以下指导原则:
尽可能减少客户端连接数量。建立并重用长时间运行的连接,而不是按需创建短时间运行的连接。
增加集群的大小 。
增加客户端宿主机的 CPU 资源。CPU 个数越多,客户端机器的性能就越好。如果您使用 Compute Engine 虚拟机,我们建议您使用优化型集群。
减小与客户端流量关联的载荷大小。载荷越大,所需的往返次数就越多。