En esta página se ofrece una descripción general del cifrado en tránsito de Memorystore para Valkey.
Para obtener instrucciones sobre cómo cifrar una conexión con el cifrado en tránsito, consulta Gestionar el cifrado en tránsito.
Memorystore para Valkey solo admite las versiones 1.2 o posteriores del protocolo TLS.
Introducción
Memorystore para Valkey admite el cifrado de todo el tráfico de Valkey mediante el protocolo Seguridad en la capa de transporte (TLS). Cuando el cifrado en tránsito está habilitado, los clientes de Valkey se comunican exclusivamente a través de una conexión segura. Los clientes de Valkey que no estén configurados para TLS se bloquearán. Si decides habilitar el cifrado en tránsito, eres responsable de asegurarte de que tu cliente de Valkey pueda usar el protocolo TLS.
Requisitos previos del cifrado en tránsito
Para usar el cifrado en tránsito con Memorystore for Valkey, necesitas lo siguiente:
Un cliente de Valkey que admita TLS o un sidecar de TLS de terceros
Autoridades de certificación instaladas en la máquina cliente que accede a tu instancia de Valkey
No todas las bibliotecas de cliente de Valkey admiten TLS. Si usas un cliente que no admite TLS, te recomendamos que utilices el complemento de terceros Stunnel, que habilita TLS en tu cliente. Consulta un ejemplo de cómo conectarte a una instancia de Valkey con Stunnel en el artículo Conectarse de forma segura a una instancia de Valkey mediante Stunnel y telnet.
Autoridades de certificación
Una instancia de Valkey que usa el cifrado en tránsito tiene autoridades de certificación (CAs) únicas que se usan para autenticar los certificados de las máquinas de tu instancia. Cada AC se identifica mediante un certificado que debes descargar e instalar en el cliente que acceda a tu instancia de Valkey.
Rotación de la autoridad de certificación
Las autoridades de certificación tienen una validez de 10 años a partir de la creación de la instancia. Además, habrá una nueva autoridad de certificación disponible antes de que caduque la actual.
Las autoridades de certificación antiguas son válidas hasta su fecha de vencimiento. De esta forma, tendrás un plazo para descargar e instalar la nueva CA en los clientes que se conecten a la instancia de Valkey. Una vez que caduquen las antiguas autoridades de certificación, podrás desinstalarlas de los clientes.
Para obtener instrucciones sobre cómo rotar la AC, consulta Gestionar la rotación de la autoridad de certificación.
Rotación de certificados de servidor
La rotación de certificados del lado del servidor se produce cada semana. Los nuevos certificados de servidor solo se aplican a las conexiones nuevas, y las conexiones existentes permanecen activas durante la rotación.
Impacto en el rendimiento de habilitar el cifrado en tránsito
La función de cifrado en tránsito cifra y descifra datos, lo que conlleva una sobrecarga de procesamiento. Por lo tanto, habilitar el cifrado en tránsito puede reducir el rendimiento. Además, al usar el cifrado en tránsito, cada conexión adicional conlleva un coste de recursos asociado. Para determinar la latencia asociada al uso del cifrado en tránsito, compara el rendimiento de la aplicación con el de una instancia que tenga habilitado el cifrado en tránsito y con el de otra que lo tenga inhabilitado.
Directrices para mejorar el rendimiento
Reduce el número de conexiones de cliente siempre que sea posible. Establece y reutiliza conexiones de larga duración en lugar de crear conexiones de corta duración bajo demanda.
Aumenta el tamaño de tu instancia de Memorystore for Valkey.
Aumenta los recursos de CPU de la máquina host del cliente de Memorystore. Las máquinas cliente con un mayor número de CPUs ofrecen un mejor rendimiento. Si usas una VM de Compute Engine, te recomendamos que uses instancias optimizadas para computación.
Reduce el tamaño de la carga útil asociada al tráfico de la aplicación, ya que las cargas útiles más grandes requieren más viajes de ida y vuelta.