Administrar encriptación en tránsito

En esta página, se explica cómo administrar la encriptación en tránsito de tu clúster.

Si deseas obtener una descripción general de la encriptación en tránsito para el clúster de Memorystore para Redis, consulta Información sobre la encriptación en tránsito.

Solo puedes habilitar las encriptaciones en tránsito cuando creas el clúster de Memorystore por primera vez. La encriptación en tránsito no se puede inhabilitar para los clústeres creados de esta manera.

Crea una instancia con encriptación en tránsito

Consola

Sigue los pasos que se indican en Crea una instancia de clúster de Memorystore para Redis.

gcloud

Para crear un clúster de Redis que tenga encriptación en tránsito, ejecuta el comando create:

gcloud alpha redis clusters create INSTANCE_ID \
--region=REGION_ID \
--network=NETWORK \
--replica-count=REPLICA_COUNT \
--shard-count=SHARD_COUNT \
--transit-encryption-mode=server-authentication

Reemplaza lo siguiente:

  • INSTANCE_ID es el ID de la instancia del clúster de Memorystore para Redis que estás creando. El ID de la instancia debe tener entre 1 y 63 caracteres y solo contener letras minúsculas, números o guiones. Debe comenzar con una letra minúscula y terminar con una letra minúscula o un número.

  • REGION_ID es la región en la que deseas colocar la instancia.

  • NETWORK es la red que se usa para crear tu instancia. Debe usar el siguiente formato: projects/NETWORK_PROJECT_ID/global/networks/NETWORK_ID. El ID de red que se usa aquí debe coincidir con el ID de red que usa la política de conexión de servicios. De lo contrario, la operación create falla.

  • REPLICA_COUNT es la cantidad deseada de réplicas (por fragmento). Los valores aceptados son 0, 1 y 2.

  • SHARD_COUNT determina la cantidad de fragmentos de 13 GB en la instancia. El recuento de fragmentos determina la capacidad total de memoria para almacenar datos del clúster. Para obtener más detalles sobre la especificación del clúster, consulta Especificación de clústeres y fragmentos.

Por ejemplo:

gcloud alpha redis clusters create my-instance \
--region=us-central1 \
--network=projects/my-project-335118/global/networks/default \
--replica-count=1 \
--shard-count=3 \
--transit-encryption-mode=server-authentication

Descarga las autoridades certificadoras

Si la encriptación en tránsito está habilitada en tu clúster, verás los certificados de las autoridades certificadoras cuando ejecutes el comando get-cluster-certificate-authority:

gcloud alpha redis clusters get-cluster-certificate-authority INSTANCE_ID

Reemplaza lo siguiente:

  • INSTANCE_ID es el ID de tu instancia de clúster de Memorystore para Redis.

El cuerpo de la respuesta incluye certificados para todas las autoridades de certificación aplicables.

Instale autoridades certificadoras en su cliente

Debes instalar las autoridades certificadoras del clúster en el cliente que se conecta. La instalación de CA puede variar según el tipo de cliente. En los siguientes pasos, se explica cómo instalar una CA en una VM de Linux de Compute Engine.

  1. Conéctate con SSH a tu cliente de Linux de Compute Engine.

  2. Crea un archivo llamado server_ca.pem en tu cliente:

    sudo vim /tmp/server_ca.pem

  3. Descarga las autoridades certificadoras y pégalas en el archivo server_ca.pem que creaste antes.

    El texto de las CA debe tener el formato correcto. El archivo server_ca.pem debería verse de la siguiente manera:

    -----BEGIN CERTIFICATE-----
MIIDnTCCAoWgAwIBAgIBADANBgkqhkiG9w0BAQsFADCBhTEtMCsGA1UELhMkNzYx
NTc4OGMtMTI2Yi00Nzk0LWI2MWMtY2YxOWE2Y2Y1ZjNiMTEwLwYDVQQDEyhHb29n
bGUgQ2xvdWQgTWVtb3J5c3RvcmUgUmVkaXMgU2VydmVyIENBMRQwEgYDVQQKEwtH
b29nbGUsIEluYzELMAkGA1UEBhMCVVMwHhcNMjAwOTE3MjEzNDE1WhcNMzAwOTE1
MjEzNTE1WjCBhTEtMCsGA1UELhMkNzYxNTc4OGMtMTI2Yi00Nzk0LWI2MWMtY2Yx
OWE2Y2Y1ZjNiMTEwLwYDVQQDEyhHb29nbGUgQ2xvdWQgTWVtb3J5c3RvcmUgUmVk
aXMgU2VydmVyIENBMRQwEgYDVQQKEwtHb29nbGUsIEluYzELMAkGA1UEBhMCVVMw
ggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCyDKmDHZm6tzMhNtKOnp8H
8+zTv1qA6OkBToVqCjKTTMGO18ovNtAAMjbGvclLuJNLbA2WTTWVttHen6Cn82h0
3gG9HMk9AwK1cVT7gW072h++TRsYddIRlwnSweRWL8jUX+PNt7CjFqH+sma/Hb1m
CktHdBOa897JiYHrMVNTcpS8SFwwz05yHUTEVGlHdkvlaJXfHLe6keCMABLyjaMh
1Jl4gZI2WqLMV680pJusK6FI6q/NmqENFc9ywMEg395lHTK9w9e014WIXg0q7sU3
84ChVVS2yYOMEUWeov4Qx6XeVfA4ss5t7OCqsMQkvslkE90mJZcVvhBj3QvTH9Rz
AgMBAAGjFjAUMBIGA1UdEwEB/wQIMAYBAf8CAQAwDQYJKoZIhvcNAQELBQADggEB
AJkn+MDE4V10DZn4uEc0s0Mg4FEMC1fDewmDYwSNnxRlzfEi+wAX2AaqrJ4m4Qa7
xIyuSYxArEOY6QeyJyw7/06dom8aAv4aO2p8hE04Ih6QwaTMFIlT2Jf6TidVd3eT
wfjwFJVoJ+dgxsaCv2uMFZWee5aRHmKzj9LhqPwpWnTs9Q/qmOheUNoe2/1i8yvn
662M7RZMR7fZH6ETsdz5w1nPXXiRqJ7K0EGKoPNjMlYK3/U1X3sazI4tpMNgTdxG
rnNh9Sd9REMBmDCPj9dUI9k4hQX4yQZp96fnLT6cet22OPajEKnpzyqJs1s4iX/g
lEtWs4V/YBhKA56CW6ASZS8=
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

    Como se vio en el ejemplo anterior, el archivo debe seguir estos lineamientos:

    • Copia toda la autoridad certificadora, incluidas las líneas -----BEGIN CERTIFICATE----- y -----END CERTIFICATE-----.

    • Asegúrate de que el texto de las CA esté completamente justificado a la izquierda. No debe haber espacios delante de ninguna línea de las CA.

    • Se debe agregar cada autoridad certificadora en una línea nueva. No debe haber líneas en blanco entre las CA.

Configura tu cliente para la encriptación en tránsito

El cliente que usas para conectarte al clúster debe admitir TLS o usar un archivo adicional de terceros para habilitar TLS.

Si tu cliente admite TLS, configúralo para que apunte a la IP de tu instancia de Redis, el puerto 6379 y el archivo que contiene la autoridad certificada. Si eliges usar un archivo adicional, te recomendamos usar Stunnel.

Conéctese a un clúster de Memorystore de forma segura mediante Stunnel y Telnet

Si quieres obtener instrucciones para usar Stunnel a fin de habilitar la encriptación en tránsito en un cliente de Compute Engine, consulta Conéctate a una instancia de Memorystore de forma segura con Stunnel y Telnet.

Administrar la rotación de la autoridad certificadora

Debes instalar todas las autoridades certificadoras descargables en los clientes que acceden a tu clúster.

Instalar las CA nuevas, además de las CA anteriores, una vez que estén disponibles es la forma más simple de garantizar que tienes las CA necesarias cuando se produce el evento de rotación de la autoridad certificadora.

Todo lo que necesitas hacer para asegurarte de que tienes la CA requerida es asegurarte de que las CA guardadas en tu archivo cliente coincidan con las que se muestran cuando descargas las autoridades certificadoras. Tanto las CA nuevas como las antiguas están activas durante la rotación para garantizar un tiempo de inactividad mínimo.