共有認証局（CA）を使用してデータを保護する

クライアントアプリケーションと Memorystore for Valkey の間で転送されるすべてのデータを安全に暗号化できます。これは転送中の暗号化です。転送中の暗号化を使用すると、すべての Valkey トラフィックが Transport Layer Security（TLS）プロトコルで暗号化されます。これにより、アプリケーションと Memorystore for Valkey の間で転送されるすべてのデータの機密性と完全性が維持されます。

転送中の暗号化が有効になっている場合、Valkey クライアントは安全な接続を介してのみ通信を行います。TLS 用に構成されていない Valkey クライアントはブロックされます。転送中の暗号化を使用する場合は、Valkey クライアントが TLS プロトコルを使用できることを確認する必要があります。

転送中の暗号化を使用するインスタンスには、認証局（CA）があります。CA を使用して、インスタンス内のマシンの証明書を認証します。

使用できる CA モードの 1 つに、共有 CA があります。共有 CA は、マネージドでリージョン化された CA インフラストラクチャです。リージョンごとに、1 つの CA 証明書バンドルをダウンロードできます。このバンドルは、共有 CA を使用するように構成したリージョンにあるすべてのインスタンスで有効です。共有 CA を使用すると、クライアントが管理すべき証明書の数が減ります。

共有 CA を使用するインスタンスを作成する

コンソール

インスタンスを作成するの手順に沿って操作します。

gcloud

共有 CA を使用するインスタンスを作成するには、gcloud memorystore instances create コマンドを使用します。

gcloud memorystore instances create INSTANCE_ID \
--location=REGION_ID \
--endpoints='[{"connections": [{"pscAutoConnection": {"network": "projects/PROJECT_ID/global/networks/NETWORK_ID", "projectId": "PROJECT_ID"}}]}]' \
--replica-count=REPLICA_COUNT \
--node-type=NODE_TYPE \
--shard-count=SHARD_COUNT \
--engine-version=ENGINE_VERSION \
--mode=MODE \
--transit-encryption-mode=server-authentication \
--server-ca-mode=google-managed-shared-ca

次のように置き換えます。

INSTANCE_ID：作成するインスタンスの ID。インスタンス ID は 1 ～ 63 文字にする必要があり、小文字、数字、ハイフンのみ使用できます。先頭は英小文字に、末尾は英小文字または数字にする必要があります。
REGION_ID: インスタンスを配置するリージョン。
PROJECT_ID: インスタンスを作成するプロジェクトの ID。
NETWORK_ID: インスタンスの作成に使用するネットワークの ID。
REPLICA_COUNT: レプリカの数（シャードごと）。指定できる値は 0～5 です。
NODE_TYPE: ノードタイプ。次の値が利用できます。
- shared-core-nano
- standard-small
- highmem-medium
- highmem-xlarge
注意: shared-core-nano ノードタイプには SLA がないため、開発またはテスト目的でのみ使用することをおすすめします。本番環境で Memorystore for Valkey を実行する場合は、別のノードタイプを使用することをおすすめします。これらのノードタイプの詳細については、ノードタイプを選択するをご覧ください。
SHARD_COUNT：インスタンス内のシャード数。シャード数によって、インスタンスデータを保存するための合計メモリ容量が決定されます。インスタンスの仕様の詳細については、インスタンスとノードの仕様をご覧ください。
ENGINE_VERSION: インスタンスのバージョン。このパラメータに指定できる値は、VALKEY_7_2、VALKEY_8_0、VALKEY_9_0 です。値を指定しない場合、デフォルト値は VALKEY_9_0 です。

重要: インスタンスのバージョンとして VALKEY_9_0 を指定した場合、インスタンスを以前のバージョンにダウングレードすることはできません。
MODE: インスタンスがクラスタモード有効かクラスタモード無効かを決定します。このフィールドを省略すると、インスタンスはデフォルトでクラスタモード有効になります。詳細については、クラスタモードを有効または無効にするをご覧ください。

server-ca-mode パラメータは、インスタンスの CA モードを表します。共有 CA の場合、パラメータの値は google-managed-shared-ca です。このパラメータを使用しない場合、デフォルトの CA モードはインスタンス単位になります。

次に例を示します。

gcloud memorystore instances create my-instance \
--location=us-central1 \
--endpoints='[{"connections": [{"pscAutoConnection": {"network": "projects/my-project/global/networks/my-network", "projectId": "my-project"}}]}] \
--replica-count=1 \
--node-type=highmem-medium \
--shard-count=3 \
--engine-version=VALKEY_9_0 \
--mode=CLUSTER \
--transit-encryption-mode=server-authentication \
--server-ca-mode=google-managed-shared-ca

CA 証明書バンドルをダウンロードする

CA 証明書バンドルを表示して、CA 証明書をクライアントアプリケーションにインストールするには、get-shared-regional-certificate-authority コマンドを使用します。

gcloud memorystore instances get-shared-regional-certificate-authority
--location=REGION_ID

REGION_ID は、インスタンスが配置されているリージョンに置き換えます。

共有 CA のリージョン CA 証明書バンドルをダウンロードする

次の表を使用して、リージョン CA 証明書バンドルをダウンロードできます。

リージョン名	ロケーション	証明書バンドル
グローバル	すべてのロケーション	global.pem
`africa-south1`	ヨハネスブルグ	africa-south1.pem
`asia-east1`	台湾	asia-east1.pem
`asia-east2`	香港	asia-east2.pem
`asia-northeast1`	東京	asia-northeast1.pem
`asia-northeast2`	大阪	asia-northeast2.pem
`asia-northeast3`	ソウル	asia-northeast3.pem
`asia-south1`	ムンバイ	asia-south1.pem
`asia-south2`	デリー	asia-south2.pem
`asia-southeast1`	シンガポール	asia-southeast1.pem
`asia-southeast2`	ジャカルタ	asia-southeast2.pem
`australia-southeast1`	シドニー	australia-southeast1.pem
`australia-southeast2`	メルボルン	australia-southeast2.pem
`europe-central2`	ワルシャワ	europe-central2.pem
`europe-north1`	フィンランド	europe-north1.pem
`europe-north2`	ストックホルム	europe-north2.pem
`europe-southwest1`	マドリッド	europe-southwest1.pem
`europe-west1`	ベルギー	europe-west1.pem
`europe-west2`	ロンドン	europe-west2.pem
`europe-west3`	フランクフルト	europe-west3.pem
`europe-west4`	オランダ	europe-west4.pem
`europe-west6`	チューリッヒ	europe-west6.pem
`europe-west8`	Milan	europe-west8.pem
`europe-west9`	パリ	europe-west9.pem
`europe-west10`	ベルリン	europe-west10.pem
`europe-west12`	トリノ	europe-west12.pem
`me-central1`	ドーハ	me-central1.pem
`me-central2`	Dammam	me-central2.pem
`me-west1`	テルアビブ	me-west1.pem
`northamerica-northeast1`	モントリオール	northamerica-northeast1.pem
`northamerica-northeast2`	トロント	northamerica-northeast2.pem
`northamerica-south1`	メキシコ	northamerica-south1.pem
`southamerica-east1`	サンパウロ	southamerica-east1.pem
`southamerica-west1`	サンチアゴ	southamerica-west1.pem
`us-central1`	アイオワ	us-central1.pem
`us-east1`	サウスカロライナ	us-east1.pem
`us-east4`	北バージニア	us-east4.pem
`us-east5`	コロンバス	us-east5.pem
`us-south1`	ダラス	us-south1.pem
`us-west1`	オレゴン	us-west1.pem
`us-west2`	ロサンゼルス	us-west2.pem
`us-west3`	ソルトレイクシティ	us-west3.pem
`us-west4`	ラスベガス	us-west4.pem

クライアントに CA 証明書バンドルをインストールする

インスタンスに接続するクライアントに CA 証明書バンドルをインストールする必要があります。クライアントの種類によって、CA 証明書のインストール方法が異なる場合があります。

Compute Engine Linux VM にバンドルをインストールするには、次の操作を行います。

SSH を使用して Compute Engine の Linux クライアントに接続します。
クライアントで次のコマンドを使用して server_ca.pem ファイルを作成します。
```
sudo vim /tmp/server_ca.pem
```

CA 証明書バンドルをダウンロードし、証明書を server_ca.pem ファイルに貼り付けます。

CA のテキストは正しい形式にする必要があります。server_ca.pem ファイルは次のように表示されます。

ファイル内のテキストを正しくフォーマットするには、次のガイドラインを使用します。

-----BEGIN CERTIFICATE----- 行と -----END CERTIFICATE----- 行を含む CA 証明書バンドル全体をコピーします。
証明書のテキストが完全に左揃えになっていることを確認します。証明書のどの行の先頭にもスペースが含まれていないことを確認します。
各 CA 証明書を新しい行に追加します。証明書間に空白行がないことを確認します。

転送中の暗号化用のクライアントを構成する

インスタンスへの接続に使用するクライアントは、TLS をサポートするか、サードパーティのサイドカーを使用して TLS を有効にする必要があります。

クライアントが TLS をサポートしている場合は、インスタンスの IP アドレス、ポート 6379、CA 証明書バンドルを含むファイルを指すように構成します。転送中の暗号化が有効になっている Memorystore for Valkey のクラスタモード有効またはクラスタモード無効のインスタンスに接続する方法の例をご覧ください。

CA ローテーションを管理する

インスタンスにアクセスするクライアントに、ダウンロード可能なすべての CA 証明書バンドルをインストールすることをおすすめします。

最新の CA 証明書バンドルを定期的にインストールすると、Memorystore for Valkey が CA をローテーションするときに必要な CA 証明書が確実に用意されます。このローテーション中は、既存の CA と新しい CA の両方がアクティブになります。

転送中の暗号化を使用するインスタンスに接続するコードサンプル

転送中の暗号化を使用するインスタンスに接続するようにクライアントライブラリを設定する方法を示すコードサンプルについては、IAM 認証と転送中の暗号化の両方のコードサンプルをご覧ください。