Questa pagina fornisce una panoramica della crittografia in transito per Memorystore for Valkey.
Per istruzioni su come criptare una connessione con la crittografia dei dati in transito, consulta Gestire la crittografia dei dati in transito.
Memorystore for Valkey supporta solo le versioni del protocollo TLS 1.2 o successive.
Introduzione
Memorystore for Valkey supporta la crittografia di tutto il traffico Valkey utilizzando il protocollo Transport Layer Security (TLS). Se la crittografia in transito è abilitata, i client Valkey comunicano esclusivamente attraverso una connessione sicura. I client Valkey non configurati per TLS vengono bloccati. Se scegli di attivare la crittografia in transito, è tua responsabilità assicurarti che il client Valkey sia in grado di utilizzare il protocollo TLS.
Prerequisiti per la crittografia dei dati in transito
Per utilizzare la crittografia in transito con Memorystore for Valkey, devi:
Un client Valkey che supporta TLS o un sidecar TLS di terze parti
Autorità di certificazione installate sulla macchina client che accede all'istanza Valkey
Non tutte le librerie client Valkey supportano TLS. Se utilizzi un client che non supporta TLS, ti consigliamo di utilizzare il plug-in di terze parti Stunnel che abilita TLS per il tuo client. Consulta la sezione Connessione sicura a un'istanza Valkey utilizzando Stunnel e telnet per un esempio di come connettersi a un'istanza Valkey con Stunnel.
Autorità di certificazione
Un'istanza di Valkey che utilizza la crittografia in transito ha autorità di certificazione (CA) uniche che vengono utilizzate per autenticare i certificati delle macchine nella tua istanza. Ogni CA è identificata da un certificato che devi scaricare e installare sul client che accede alla tua istanza Valkey.
Rotazione dell'autorità di certificazione
Le CA sono valide per 10 anni dalla creazione dell'istanza. Inoltre, una nuova CA diventerà disponibile prima della scadenza della CA.
Le CA precedenti sono valide fino alla loro data di scadenza. In questo modo, hai a disposizione un periodo di tempo in cui scaricare e installare la nuova CA sui client che si connettono all'istanza Valkey. Dopo la scadenza delle CA precedenti, puoi disinstallarle dai client.
Per istruzioni sulla rotazione dell'autorità di certificazione, vedi Gestire la rotazione dell'autorità di certificazione.
Rotazione del certificato del server
La rotazione dei certificati lato server avviene ogni settimana. I nuovi certificati del server si applicano solo alle nuove connessioni e le connessioni esistenti rimangono attive durante la rotazione.
Impatto sulle prestazioni dell'abilitazione della crittografia in transito
La funzionalità di crittografia in transito cripta e decripta i dati, il che comporta un sovraccarico di elaborazione. Di conseguenza, l'abilitazione della crittografia in transito può ridurre le prestazioni. Inoltre, quando utilizzi la crittografia in transito, ogni connessione aggiuntiva comporta un costo delle risorse associato. Per determinare la latenza associata all'utilizzo della crittografia in transito, confronta le prestazioni dell'applicazione eseguendo il benchmarking delle prestazioni dell'applicazione con un'istanza in cui la crittografia in transito è abilitata e un'istanza in cui è disabilitata.
Linee guida per migliorare il rendimento
Se possibile, riduci il numero di connessioni client. Stabilisci e riutilizza connessioni a lunga esecuzione anziché creare connessioni on demand di breve durata.
Aumenta le dimensioni dell'istanza Memorystore for Valkey.
Aumenta le risorse CPU della macchina host client Memorystore. Le macchine client con un numero maggiore di CPU offrono prestazioni migliori. Se utilizzi una VM di Compute Engine, ti consigliamo le istanze ottimizzate per il calcolo.
Ridurre le dimensioni del payload associate al traffico dell'applicazione perché i payload più grandi richiedono più round trip.