本頁面提供 Memorystore for Valkey 的傳輸中加密總覽。
如需瞭解如何使用傳輸中資料加密功能加密連線,請參閱「管理傳輸中資料加密功能」。
Memorystore for Valkey 僅支援 TLS 通訊協定 1.2 以上版本。
簡介
Memorystore for Valkey 支援使用傳輸層安全標準 (TLS) 通訊協定加密所有 Valkey 流量。啟用傳輸中資料加密機制之後,Valkey 用戶端只會透過安全的連線進行通訊。系統會封鎖未設定 TLS 的 Valkey 用戶端。如果您選擇啟用傳輸中加密,則必須確保 Valkey 用戶端能夠使用 TLS 通訊協定。
傳輸中資料加密的必要條件
如要搭配使用傳輸中加密功能和 Memorystore for Valkey,您需要:
支援 TLS 的 Valkey 用戶端或第三方 TLS Sidecar
存取 Valkey 執行個體的用戶端電腦上安裝的憑證授權單位
並非所有 Valkey 用戶端程式庫都支援 TLS。如果您使用的用戶端不支援 TLS,建議使用 Stunnel 第三方外掛程式,為用戶端啟用 TLS。如需如何使用 Stunnel 連線至 Valkey 執行個體的範例,請參閱使用 Stunnel 和 Telnet 安全地連線至 Valkey 執行個體。
憑證授權
使用傳輸中加密的 Valkey 執行個體具有專屬的憑證授權單位 (CA),用於驗證執行個體中機器的憑證。每個 CA 都是透過憑證識別,您必須下載憑證並安裝在存取 Valkey 執行個體的用戶端上。
憑證授權單位輪替
CA 在執行個體建立後 10 年內有效。此外,新的 CA 會在 CA 到期前推出。
舊版 CA 在到期日前仍有效。您可以在這個時間範圍內,將新 CA 下載並安裝至連線至 Valkey 執行個體的用戶端。舊版 CA 過期後,即可從用戶端解除安裝。
如需輪替 CA 的操作說明,請參閱「管理憑證授權單位輪替」。
輪替伺服器憑證
伺服器端憑證每週都會輪替。新的伺服器憑證只會套用至新連線,現有連線在輪替期間仍會保持運作。
啟用傳輸中資料加密功能對效能的影響
傳輸中加密功能會加密及解密資料,因此會產生處理負擔。因此,啟用傳輸中資料加密功能可能會降低效能。此外,使用傳輸中資料加密時,每個額外連線都會產生相關聯的資源費用。如要判斷使用傳輸中加密功能造成的延遲,請比較應用程式效能,方法是針對啟用和停用傳輸中加密功能的執行個體,分別進行應用程式效能基準測試。
提升成效的指南
盡可能減少用戶端連線數量。建立並重複使用長時間執行的連線,而不是建立隨選的短期連線。
增加 Memorystore for Valkey 執行個體的大小。
增加 Memorystore 用戶端主機的 CPU 資源。CPU 數量較多的用戶端電腦效能較佳。如果使用 Compute Engine VM,建議採用運算最佳化執行個體。
減少與應用程式流量相關聯的酬載大小,因為酬載越大,需要的往返次數就越多。