Halaman ini memberikan ringkasan enkripsi saat transit untuk Memorystore for Valkey.
Untuk mengetahui petunjuk tentang cara mengenkripsi koneksi dengan enkripsi dalam pengiriman, lihat Mengelola enkripsi dalam pengiriman.
Memorystore for Valkey hanya mendukung protokol TLS versi 1.2 atau yang lebih tinggi.
Pengantar
Memorystore untuk Valkey mendukung enkripsi semua traffic Valkey menggunakan protokol Transport Layer Security (TLS). Saat enkripsi dalam transit diaktifkan, klien Valkey berkomunikasi secara eksklusif melalui koneksi yang aman. Klien Valkey yang tidak dikonfigurasi untuk TLS akan diblokir. Jika memilih untuk mengaktifkan enkripsi dalam transit, Anda bertanggung jawab untuk memastikan bahwa klien Valkey Anda dapat menggunakan protokol TLS.
Prasyarat enkripsi dalam pengiriman
Untuk menggunakan enkripsi saat transit dengan Memorystore for Valkey, Anda memerlukan:
Klien Valkey yang mendukung TLS atau sidecar TLS pihak ketiga
Certificate Authority yang diinstal di mesin klien yang mengakses instance Valkey Anda
Tidak semua library klien Valkey mendukung TLS. Jika Anda menggunakan klien yang tidak mendukung TLS, sebaiknya gunakan plugin pihak ketiga Stunnel yang mengaktifkan TLS untuk klien Anda. Lihat Menghubungkan ke instance Valkey dengan aman menggunakan Stunnel dan telnet untuk contoh cara menghubungkan ke instance Valkey dengan Stunnel.
Otoritas Sertifikat
Instance Valkey yang menggunakan enkripsi saat transit memiliki Otoritas Sertifikat (CA) unik yang digunakan untuk mengautentikasi sertifikat mesin di instance Anda. Setiap CA diidentifikasi oleh sertifikat yang harus Anda download dan instal di klien yang mengakses instance Valkey Anda.
Rotasi certificate authority
CA berlaku selama 10 tahun setelah pembuatan instance. Selain itu, CA baru akan tersedia sebelum CA berakhir.
CA lama berlaku hingga tanggal habis masa berlakunya. Hal ini memberi Anda jangka waktu untuk mendownload dan menginstal CA baru ke klien yang terhubung ke instance Valkey. Setelah CA lama berakhir, Anda dapat menghapusnya dari klien.
Untuk mengetahui petunjuk tentang cara merotasi CA, lihat Mengelola rotasi Certificate Authority.
Rotasi sertifikat server
Rotasi sertifikat sisi server terjadi setiap minggu. Sertifikat server baru hanya berlaku untuk koneksi baru, dan koneksi yang ada tetap aktif selama rotasi.
Dampak performa pengaktifan enkripsi saat transit
Fitur enkripsi dalam pengiriman mengenkripsi dan mendekripsi data, yang disertai dengan overhead pemrosesan. Akibatnya, mengaktifkan enkripsi saat transit dapat mengurangi performa. Selain itu, saat menggunakan enkripsi dalam transit, setiap koneksi tambahan akan dikenai biaya resource terkait. Untuk menentukan latensi yang terkait dengan penggunaan enkripsi dalam transit, bandingkan performa aplikasi dengan melakukan tolok ukur performa aplikasi dengan instance yang mengaktifkan enkripsi dalam transit dan instance yang menonaktifkannya.
Panduan untuk meningkatkan performa
Kurangi jumlah koneksi klien jika memungkinkan. Buat dan gunakan kembali koneksi jangka panjang, bukan membuat koneksi singkat on-demand.
Tingkatkan ukuran instance Memorystore for Valkey Anda.
Tingkatkan resource CPU mesin host klien Memorystore. Mesin klien dengan jumlah CPU yang lebih tinggi menghasilkan performa yang lebih baik. Jika menggunakan VM Compute Engine, sebaiknya gunakan instance yang dioptimalkan untuk komputasi.
Mengurangi ukuran payload yang terkait dengan traffic aplikasi karena payload yang lebih besar memerlukan lebih banyak perjalanan pulang pergi.