Proteja seus dados usando uma autoridade certificadora (CA) por instância

É possível criptografar todos os dados que se movem entre os aplicativos cliente e o Memorystore para Valkey com segurança. Essa é a criptografia em trânsito. Ao usar a criptografia em trânsito, todo o tráfego do Valkey é criptografado pelo protocolo Transport Layer Security (TLS). Isso garante que todos os dados que se movem entre os aplicativos e o Memorystore para Valkey permaneçam confidenciais e sem adulteração.

Quando a criptografia em trânsito está ativada, os clientes do Valkey se comunicam exclusivamente por uma conexão segura. Os clientes do Valkey que não estão configurados para TLS são bloqueados. Se você optar por usar a criptografia em trânsito, será responsável por garantir que o cliente do Valkey possa usar o protocolo TLS.

As instâncias que usam a criptografia em trânsito têm autoridades de certificação (ACs). Você usa as ACs para autenticar os certificados das máquinas nas instâncias.

Um modo de AC que você pode usar é uma AC por instância. O Memorystore para Valkey provisiona cada instância com a própria infraestrutura de AC exclusiva. Para acessar uma instância com segurança, é necessário configurar o aplicativo cliente para confiar nessa hierarquia de AC. Isso envolve o download e a instalação de certificados de AC em cada cliente que acessa a instância.

Criar uma instância que usa uma AC por instância

Console

Siga as etapas em Criar instâncias.

gcloud

Para criar uma instância que usa uma AC por instância, use o gcloud memorystore instances create comando.

gcloud memorystore instances create INSTANCE_ID \
--location=REGION_ID \
--endpoints='[{"connections": [{"pscAutoConnection": {"network": "projects/PROJECT_ID/global/networks/NETWORK_ID", "projectId": "PROJECT_ID"}}]}]' \
--replica-count=REPLICA_COUNT \
--node-type=NODE_TYPE \
--shard-count=SHARD_COUNT \
--engine-version=ENGINE_VERSION \
--mode=MODE \
--transit-encryption-mode=server-authentication \
--server-ca-mode=google-managed-per-instance-ca

Faça as seguintes substituições:

  • INSTANCE_ID: o ID da instância que você está criando. O ID da instância precisa ter de 1 a 63 caracteres e usar apenas letras minúsculas, números ou hifens. Ele precisa começar e terminar com uma letra minúscula ou um número.

  • REGION_ID: a região em que você quer que a instância esteja localizada.

  • PROJECT_ID: o ID do projeto em que você quer criar a instância.

  • NETWORK_ID: o ID da rede que você quer usar para criar a instância.

  • REPLICA_COUNT: o número de réplicas (por fragmento). Os valores aceitos são 0-5.

  • NODE_TYPE: o tipo de nó da instância.

  • SHARD_COUNT: o número de fragmentos na instância. A contagem de fragmentos determina a capacidade total de memória para armazenar dados de instância. Para mais informações sobre as especificações da instância, consulte Especificação da instância e do nó.

  • ENGINE_VERSION: a versão da instância. Os valores aceitos para esse parâmetro são VALKEY_7_2, VALKEY_8_0 e VALKEY_9_0. Se você não especificar um valor, VALKEY_9_0 será o valor padrão.

    VALKEY_9_0

  • MODE: determine if the instance is Cluster Mode Enabled or Cluster Mode Disabled. Se esse campo for omitido, a instância será definida como o modo de cluster ativado. Para mais informações, consulte Ativar e desativar o modo de cluster.

O parâmetro server-ca-mode representa o modo de AC da instância. Para uma AC por instância, google-managed-per-instance-ca é o valor do parâmetro. Se você não usar esse parâmetro, o modo de AC padrão será por instância.

Exemplo:

gcloud memorystore instances create my-instance \
--location=us-central1 \
--endpoints='[{"connections": [{"pscAutoConnection": {"network": "projects/my-project/global/networks/my-network", "projectId": "my-project"}}]}] \
--replica-count=1 \
--node-type=highmem-medium \
--shard-count=3 \
--engine-version=VALKEY_9_0 \
--mode=CLUSTER \
--transit-encryption-mode=server-authentication \
--server-ca-mode=google-managed-per-instance-ca

Fazer o download das ACs

Se você ativar a criptografia em trânsito para uma instância, os certificados das ACs vão aparecer quando você usar o get-certificate-authority comando.

gcloud memorystore instances get-certificate-authority INSTANCE_ID

Substitua INSTANCE_ID pelo ID da instância.

O corpo da resposta inclui certificados para todas as ACs aplicáveis.

Instalar certificados de AC no cliente

É necessário instalar os certificados de AC no cliente que se conecta à instância. Dependendo do tipo de cliente, a instalação do certificado de AC pode variar.

Para instalar um certificado de AC em uma VM do Compute Engine Linux, faça o seguinte:

  1. Use SSH para se conectar a um cliente Linux do Compute Engine.

  2. No cliente, use o comando a seguir para criar um arquivo server_ca.pem:

    sudo vim /tmp/server_ca.pem

  3. Faça o download das ACs e cole-as no server_ca.pem arquivo.

    É necessário formatar o texto das ACs corretamente. O arquivo server_ca.pem pode aparecer da seguinte maneira:

    -----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

    Para formatar o texto no arquivo corretamente, use as diretrizes a seguir:

    • Copie toda a AC, incluindo as linhas -----BEGIN CERTIFICATE----- e
      -----END CERTIFICATE-----.

    • Verifique se o texto das ACs está totalmente justificado à esquerda. Verifique se não há espaços na frente de nenhuma linha das ACs.

    • Adicione cada AC em uma nova linha. Verifique se não há linhas em branco entre as ACs.

Configurar o cliente para criptografia em trânsito

O cliente usado para se conectar à instância precisa oferecer suporte a TLS ou usar um arquivo secundário de terceiros para ativar o TLS.

Se o cliente oferece suporte a TLS, configure-o para apontar para o endereço IP da instância, a porta 6379 e o arquivo que contém a AC. Confira exemplos de como se conectar a uma instância com o modo de cluster ativado ou desativado no Memorystore for Valkey que tem a criptografia em trânsito ativada.

Gerenciar a rotação de AC

Recomendamos que você instale todos os certificados de AC transferíveis por download nos clientes que acessam a instância.

A instalação periódica dos certificados de AC mais recentes garante que você tenha os certificados necessários quando o Memorystore para Valkey girar as ACs. Durante essa rotação, as ACs atuais e as novas ficam ativas.

Exemplo de código para se conectar a uma instância que usa criptografia em trânsito

Para conferir um exemplo de código sobre como configurar uma biblioteca de cliente para se conectar a uma instância que usa criptografia em trânsito, consulte Exemplo de código para autenticação do IAM e criptografia em trânsito.