Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

מידע על הצפנה בזמן ההעברה

בדף הזה מובאת סקירה כללית על הצפנה במעבר ב-Memorystore for Redis.

הוראות להצפנת חיבור באמצעות הצפנה בזמן ההעברה מפורטות במאמר הפעלת הצפנה בזמן ההעברה.

ב-Memorystore for Redis יש תמיכה רק בפרוטוקול TLS בגרסה 1.2 ומעלה.

מבוא

‫Memorystore for Redis תומך בהצפנה של כל התעבורה ב-Redis באמצעות פרוטוקול Transport Layer Security ‏ (TLS). כשההצפנה במעבר מופעלת, לקוחות Redis מתקשרים רק דרך חיבור מאובטח של יציאה. לקוחות Redis שלא הוגדרו ל-TLS ייחסמו. אם בוחרים להפעיל הצפנה במעבר, אתם אחראים לוודא שלקוח Redis שלכם יכול להשתמש בפרוטוקול TLS.

דרישות מוקדמות להצפנה בזמן העברה

כדי להשתמש בהצפנה במעבר עם Memorystore for Redis, אתם צריכים:

לקוח Redis שתומך ב-TLS או ב-TLS sidecar של צד שלישי
רשות אישורים שמותקנת במכונת הלקוח שניגשת למופע Redis

לפני גרסה 6.0 של Redis בקוד פתוח, לא הייתה תמיכה ב-TLS מקורי. לכן, לא כל ספריות הלקוח של Redis תומכות ב-TLS. אם אתם משתמשים בלקוח שלא תומך ב-TLS, מומלץ להשתמש בתוסף Stunnel של צד שלישי, שמאפשר TLS ללקוח שלכם. במאמר חיבור מאובטח למופע Redis באמצעות Stunnel ו-telnet יש דוגמה לאופן החיבור למופע Redis באמצעות Stunnel.

רשות אישורים

במופע Redis שמשתמש בהצפנה במעבר יש רשות אישורים (CA) ייחודית אחת או יותר שמשמשת לאימות הזהות של השרת. CA הוא מחרוזת שצריך להוריד ולהתקין בלקוח שמקבל גישה למופע Redis. תעודת CA תקפה למשך עשר שנים מהתאריך שבו היא נוצרה. כדי להבטיח את המשכיות השירות, צריך להתקין את רשות האישורים החדשה בלקוחות של מופע Redis לפני שרשות האישורים הקודמת תפוג.

רוטציה של רשות אישורים

תעודת CA תקפה למשך 10 שנים ממועד יצירת המופע. בנוסף, רשות אישורים חדשה תהיה זמינה חמש שנים אחרי יצירת המופע.

תוקף ה-CA הישן הוא עד לתאריך התפוגה שלו. כך יש לכם חלון של חמש שנים שבו תוכלו להוריד ולהתקין את ה-CA החדש בלקוחות שמתחברים למופע Redis. אחרי שתוקף ה-CA הישן יפוג, תוכלו להסיר אותו מהלקוחות.

הוראות להחלפת רשות אישורים מופיעות במאמר ניהול החלפה של רשות אישורים.

רוטציה של אישורי שרת

רוטציה של אישורים בצד השרת מתרחשת כל 180 ימים, וגורמת לניתוק זמני של החיבור למשך כמה שניות. כדי ליצור מחדש את החיבור, צריך להגדיר לוגיקה של ניסיון חוזר עם השהיה מעריכית לפני ניסיון חוזר (exponential backoff). רוטציה של אישורים לא גורמת למעבר לגיבוי (failover) במופעים של מסלול רגיל.

מגבלות על חיבורים להצפנה בזמן ההעברה

הפעלת הצפנה במעבר במופע Redis שלכם מובילה להגבלות על המספר המקסימלי של חיבורי לקוח שיכולים להיות למופע. המגבלה תלויה בגודל המופע. כדאי להגדיל את הגודל של מופע Redis אם אתם צריכים יותר חיבורים מאלה שנתמכים ברמת הקיבולת הנוכחית שלכם.

שכבת קיבולת	מספר החיבורים המקסימלי ל-Redis בגרסאות 4.0,‏ 5.0 ו-6.x¹	מספר החיבורים המקסימלי ל-Redis מגרסה 7.0 ואילך¹
M1 (1-4GB)	1000	65,000
‫M2 (5-10GB)	2,500	65,000
‫M3‏ (11-35GB)	15,000	65,000
‫M4‏ (36-100GB)	30,000	65,000
M5 (101+GB)	65,000	65,000

‫¹ מגבלות החיבור האלה הן משוערות, והן תלויות בקצב ובמורכבות של פקודות Redis שנשלחות לכל חיבור.

מעקב אחרי חיבורים

למופעי Redis עם הצפנה בנתונים בזמן העברה יש מגבלות חיבור ספציפיות, ולכן כדאי לעקוב אחרי המדד redis.googleapis.com/clients/connected כדי לוודא שלא חורגים ממגבלת החיבור. אם חורגים מהמגבלה, מופעלת דחייה של ניסיונות חיבור חדשים למופע Redis. במקרה כזה, מומלץ להגדיל את גודל המופע כך שיכיל את מספר החיבורים הנדרש. אם אתם חושדים שחיבורים בלי פעילות מהווים מספר משמעותי מתוך החיבורים שלכם, אתם יכולים לסיים את החיבורים האלה באופן יזום באמצעות פרמטר ההגדרה timeout.

השפעה על הביצועים של הפעלת הצפנה בזמן ההעברה

תכונת ההצפנה בזמן ההעברה מצפינה ומפענחת נתונים, מה שגורם לעומס יתר על העיבוד. כתוצאה מכך, הפעלת הצפנה במעבר עלולה להפחית את הביצועים. בנוסף, כשמשתמשים בהצפנה במעבר, כל חיבור נוסף כרוך בעלות משאב משויכת. כדי לקבוע את זמן האחזור שמשויך לשימוש בהצפנה במעבר, משווים את ביצועי האפליקציה על ידי השוואת ביצועי האפליקציה עם מופע Redis שבו ההצפנה במעבר מופעלת ועם מופע Redis שבו היא מושבתת.

הנחיות לשיפור הביצועים

כדאי לצמצם את מספר החיבורים של הלקוחות כשאפשר. עדיף ליצור חיבורים ארוכי טווח ולעשות בהם שימוש חוזר, במקום ליצור חיבורים קצרים לפי דרישה.
להגדיל את הגודל של מופע Memorystore (מומלץ להשתמש ב-M4 או בגודל גדול יותר).
מגדילים את משאבי ה-CPU של המכונה המארחת של לקוח Memorystore. במכונות של לקוחות עם מספר גבוה יותר של ליבות CPU, הביצועים טובים יותר. אם משתמשים במכונה וירטואלית של Compute Engine, מומלץ להשתמש במכונות שעברו אופטימיזציה לחישובים.
צריך להקטין את גודל המטען הייעודי (payload) שמשויך לתנועת הנתונים של האפליקציה, כי מטען ייעודי גדול יותר דורש יותר הלוך ושוב.

ההשפעה של הצפנה בזמן העברה על השימוש בזיכרון

הפעלת ההצפנה במעבר שומרת חלק מהזיכרון של מופע Redis לשימוש התכונה. אם כל שאר הדברים שווים, כשההצפנה במעבר מופעלת, הערך של מדד יחס השימוש בזיכרון המערכת גבוה יותר בגלל התקורה הנוספת של הזיכרון שמשמשת את התכונה.

שיפורי ביצועים ב-Redis גרסה 7.0

שימוש ב-Redis בגרסה 7.0 ב-Memorystore for Redis משפר את הביצועים של הצפנה במעבר. כדי ליהנות משיפורי הביצועים האלה, מומלץ לשדרג את המופע לשימוש ב-Redis בגרסה 7.0. באמצעות הגרסה הזו, Memorystore for Redis לא מפסיק חיבורים שמשמשים לסיבוב של אישורי שרת או לביצוע פעולות עדכון.

המאמרים הבאים

הוראות מפורטות זמינות במאמר בנושא הפעלת הצפנה במעבר.
סקירה כללית על תכונת ה-AUTH
אפשר לעיין בהרשאות הנדרשות לביצוע משימות ניהול של הצפנה במעבר.
איך מתחברים למכונת Redis שמופעלת בה הצפנה במעבר.