您可以安全地加密用戶端應用程式與 Memorystore for Valkey 之間的所有資料。這就是傳輸加密。使用傳輸中加密功能後,所有 Valkey 流量都會透過傳輸層安全標準 (TLS) 通訊協定加密。這可確保應用程式與 Memorystore for Valkey 之間的所有資料傳輸都經過加密,不會外洩或遭到竄改。
啟用傳輸中資料加密機制後,Valkey 用戶端只會透過安全連線進行通訊。系統會封鎖未設定 TLS 的 Valkey 用戶端。如果您選擇使用傳輸中資料加密,則必須確保 Valkey 用戶端可以使用 TLS 通訊協定。
以下是使用傳輸中加密的範例用途:
- 保護快取中的私密資料:如果您使用 Memorystore for Valkey 儲存高價值資訊 (例如工作階段符記、個人識別資訊 (PII) 或 API 金鑰),傳輸中加密功能可防止攻擊者透過 VPC 存取您的資料。
- 符合業界標準:許多安全架構 (包括醫療保健業的 HIPAA 和金融資料的 PCI DSS) 都規定,為了符合法規和業界規範,機密資訊必須在靜態和傳輸中加密。
- 確保身分與存取權管理 (IAM) 驗證安全無虞: 使用 IAM 驗證管理資料存取權時,Memorystore for Valkey 會要求使用 TLS,防止驗證權杖在傳輸期間外洩。
- 防範中間人攻擊:TLS 會使用憑證授權單位 (CA) 驗證伺服器端點。當資料在應用程式和 Memorystore for Valkey 之間移動時,CA 可保護應用程式免於伺服器詐欺和未經授權的資料修改。
傳輸中資料加密的必要條件
如要搭配使用傳輸中加密功能和 Memorystore for Valkey,您需要:
支援 TLS 的 Valkey 用戶端,或第三方 TLS Sidecar。
安裝在存取您執行個體的用戶端電腦上的 CA 憑證。
並非所有 Valkey 用戶端程式庫都支援 TLS。如果您使用的用戶端不支援 TLS,建議使用第三方外掛程式,為用戶端啟用 TLS。您可以查看範例,瞭解如何連線至已啟用傳輸中加密的 Memorystore for Valkey 叢集模式啟用或叢集模式停用執行個體。
憑證授權單位 (CA)
使用傳輸中加密的執行個體會透過憑證授權單位 (CA) 驗證執行個體中機器的憑證。Memorystore for Valkey 可讓您選擇伺服器 CA 模式。CA 模式會決定用於核發執行個體數位憑證的 CA 層級。
Memorystore for Valkey 提供下列 CA 模式:
- 每個執行個體專屬的 CA: Memorystore for Valkey 會為每個執行個體佈建專屬的 CA 基礎架構。如要安全存取執行個體,您必須設定用戶端,信任這個 CA 層級。這包括在會存取執行個體的各個用戶端下載並安裝 CA 憑證。
- 共用 CA:代管的區域化 CA 基礎架構。您可以為每個區域下載單一 CA 憑證套件。如果您設定使用共用 CA,這個套件適用於區域中的所有執行個體。使用共用 CA 可以減少用戶端需要管理的憑證數量。
- 客戶自行管理的 CA:使用託管於憑證授權單位服務的自有 CA 集區。如果用戶端應用程式已設定為信任這個 CA,應用程式就能連線至執行個體,無須下載及安裝額外的 CA 憑證。這樣您就能進一步控管,並符合法規遵循要求。
伺服器憑證輪替
每週,Memorystore for Valkey 會為使用每個執行個體 CA、共用 CA 和客戶自行管理 CA 模式的執行個體,執行伺服器端憑證輪換作業。新伺服器憑證只會套用至新的連線,現有連線在輪替期間仍會保持連線狀態。
除了 Memorystore for Valkey 每週會進行伺服器端憑證輪替外,在客戶管理的 CA 模式下,您也可以視需要輪替憑證。
啟用傳輸中資料加密功能對效能的影響
傳輸中加密功能會加密及解密資料,因此會產生處理負擔。因此,啟用傳輸中加密功能可能會降低用戶端效能。此外,使用傳輸中資料加密時,每個額外連線都會產生相關資源費用。
如要判斷使用傳輸中加密功能造成的延遲,請比較用戶端的效能。如要進行這項操作,請針對啟用傳輸中加密的執行個體,與停用傳輸中加密的執行個體進行效能基準測試。
提升效能的指南
如要提升執行個體的效能,請按照下列指南操作:
請盡可能減少用戶端連線數量。請建立並重複使用長期連線,而非建立短期連線。
增加執行個體的大小。
增加用戶端主體機器的 CPU 資源。CPU 數量較多的用戶端電腦效能較佳。如果您使用 Compute Engine VM,建議使用最佳化執行個體。
減少與用戶端流量相關聯的有效負載大小。較大的酬載需要更多往返行程。