En esta página se ofrece una descripción general del cifrado en tránsito de Memorystore para Redis.
Para obtener instrucciones sobre cómo cifrar una conexión con el cifrado en tránsito, consulta Habilitar el cifrado en tránsito.
Memorystore para Redis solo admite las versiones 1.2 o posteriores del protocolo TLS.
Introducción
Memorystore para Redis admite el cifrado de todo el tráfico de Redis mediante el protocolo Seguridad en la capa de transporte (TLS). Cuando el cifrado en tránsito está habilitado, los clientes de Redis se comunican exclusivamente a través de una conexión de puerto segura. Se bloquearán los clientes de Redis que no estén configurados para TLS. Si decides habilitar el cifrado en tránsito, eres responsable de asegurarte de que tu cliente de Redis pueda usar el protocolo TLS.
Requisitos previos del cifrado en tránsito
Para usar el cifrado en tránsito con Memorystore para Redis, necesitas lo siguiente:
- Un cliente de Redis que admita TLS o un sidecar de TLS de terceros
- Una autoridad de certificación instalada en la máquina cliente que accede a tu instancia de Redis
TLS nativo no era compatible con versiones anteriores a la 6.0 de Redis de código abierto. Por lo tanto, no todas las bibliotecas de cliente de Redis admiten TLS. Si usas un cliente que no admite TLS, te recomendamos que utilices el complemento de terceros Stunnel, que habilita TLS en tu cliente. Consulta Conectarse de forma segura a una instancia de Redis mediante Stunnel y telnet para ver un ejemplo de cómo conectarse a una instancia de Redis con Stunnel.
Autoridad de certificación
Una instancia de Redis que usa el cifrado en tránsito tiene una o varias autoridades de certificación (AC) únicas que se usan para verificar la identidad del servidor. Una AC es una cadena que debes descargar e instalar en el cliente que acceda a tu instancia de Redis. Una CA tiene una validez de diez años a partir de la fecha en que se crea. Para asegurar la continuidad del servicio, la nueva AC debe instalarse en los clientes de la instancia de Redis antes de que caduque la AC anterior.
Rotación de la autoridad de certificación
Una AC tiene una validez de 10 años a partir de la creación de la instancia. Además, una nueva AC estará disponible cinco años después de la creación de la instancia.
La antigua AC es válida hasta su fecha de vencimiento. De esta forma, dispondrá de cinco años para descargar y instalar la nueva CA en los clientes que se conecten a la instancia de Redis. Una vez que caduque la antigua CA, puedes desinstalarla de los clientes.
Para obtener instrucciones sobre cómo rotar la AC, consulta Gestionar la rotación de la autoridad de certificación.
Rotación de certificados de servidor
La rotación de certificados del lado del servidor se produce cada 180 días, lo que provoca una caída transitoria de la conexión de unos segundos. Debes tener una lógica de reintentos con un tiempo de espera exponencial para restablecer la conexión. La rotación de certificados no provoca una conmutación por error en las instancias del nivel Estándar.
Límites de conexiones para el cifrado en tránsito
Si habilitas el cifrado en tránsito en tu instancia de Redis, se impondrán límites en el número máximo de conexiones de cliente que puede tener tu instancia. El límite depende del tamaño de tu instancia. Deberías plantearte aumentar el tamaño de tu instancia de Redis si necesitas más conexiones de las que admite tu nivel de capacidad actual.
| Nivel de capacidad | Número máximo de conexiones para las versiones 4.0, 5.0 y 6.x de Redis1 | Número máximo de conexiones para la versión 7.0 de Redis y posteriores1 |
|---|---|---|
| M1 (de 1 a 4 GB) | 1000 | 65.000 |
| M2 (de 5 a 10 GB) | 2500 | 65.000 |
| M3 (de 11 a 35 GB) | 15.000 | 65.000 |
| M4 (de 36 a 100 GB) | 30.000 | 65.000 |
| M5 (101 GB o más) | 65.000 | 65.000 |
1 Estos límites de conexión son aproximados y dependen de la frecuencia y la complejidad de los comandos de Redis enviados por conexión.
Monitorizar conexiones
Como las instancias de Redis con cifrado en tránsito tienen límites de conexión específicos, debes monitorizar la métrica redis.googleapis.com/clients/connected para asegurarte de que no superas el límite de conexión. Si se supera el límite, la instancia de Redis rechazará las conexiones que se intenten establecer. En ese caso, te recomendamos que aumentes la escala de tu instancia al tamaño que admita el número de conexiones necesario.
Si sospechas que las conexiones inactivas representan un número significativo de tus conexiones, puedes finalizar estas conexiones de forma proactiva con el parámetro de configuración timeout.
Impacto en el rendimiento de habilitar el cifrado en tránsito
La función de cifrado en tránsito cifra y descifra datos, lo que conlleva una sobrecarga de procesamiento. Por lo tanto, habilitar el cifrado en tránsito puede reducir el rendimiento. Además, al usar el cifrado en tránsito, cada conexión adicional conlleva un coste de recursos asociado. Para determinar la latencia asociada al uso del cifrado en tránsito, compara el rendimiento de la aplicación con una instancia de Redis que tenga habilitado el cifrado en tránsito y con otra que lo tenga inhabilitado.
Directrices para mejorar el rendimiento
- Reduce el número de conexiones de cliente siempre que sea posible. Establece y reutiliza conexiones de larga duración en lugar de crear conexiones de corta duración bajo demanda.
- Aumenta el tamaño de tu instancia de Memorystore (se recomienda M4 o un tamaño superior).
- Aumenta los recursos de CPU de la máquina host del cliente de Memorystore. Las máquinas cliente con un mayor número de CPUs ofrecen un mejor rendimiento. Si usas una VM de Compute Engine, te recomendamos que utilices instancias optimizadas para computación.
- Reduce el tamaño de la carga útil asociada al tráfico de la aplicación, ya que las cargas útiles más grandes requieren más viajes de ida y vuelta.
Impacto del cifrado en tránsito en el uso de memoria
Si habilitas el cifrado en tránsito, se reserva parte de la memoria de tu instancia de Redis para esta función. Si el resto de los factores son los mismos, con el cifrado en tránsito habilitado, el valor de la métrica "Ratio de uso de memoria del sistema" es mayor debido a la sobrecarga de memoria adicional que utiliza la función.
Mejoras de rendimiento en Redis 7.0
Usar la versión 7.0 de Redis en Memorystore para Redis mejora el rendimiento del cifrado en tránsito. Para aprovechar estas mejoras de rendimiento, te recomendamos que actualices tu instancia a la versión 7.0 de Redis. Si usas esta versión, Memorystore para Redis no interrumpe las conexiones que utilizas para rotar certificados de servidor o realizar operaciones de actualización.
Siguientes pasos
- Consulta las instrucciones para habilitar el cifrado en tránsito.
- Consulta la información general sobre la función AUTH.
- Consulta los permisos necesarios para realizar tareas de gestión del cifrado en tránsito.
- Consulta cómo conectarte a una instancia de Redis que tenga habilitado el cifrado en tránsito.