En esta página, se ofrece una descripción general de la encriptación en tránsito de Memorystore para Valkey.
Para obtener instrucciones sobre cómo encriptar una conexión con la encriptación en tránsito, consulta Administra la encriptación en tránsito.
Memorystore for Valkey solo es compatible con las versiones del protocolo TLS 1.2 o posteriores.
Introducción
Memorystore for Valkey admite la encriptación de todo el tráfico de Valkey con el protocolo de seguridad de la capa de transporte (TLS). Cuándo la encriptación en tránsito está habilitada para que los clientes de Valkey se comuniquen exclusivamente a través de un una conexión segura. Los clientes de Valkey que no están configurados para TLS se bloqueó. Si eliges habilitar la encriptación en tránsito, eres responsable de lo que garantiza que su cliente de Valkey sea capaz de usar el protocolo TLS.
Requisitos previos de encriptación en tránsito
Si quieres usar la encriptación en tránsito con Memorystore para Valkey, necesitas lo siguiente:
Un cliente de Valkey que admite TLS o un archivo adicional de TLS de terceros
Autoridades certificadoras instalada en la máquina cliente que accede a tu instancia de Valkey
No todas las biblioteca cliente de Valkey admiten TLS. Si usas un cliente que no sea compatible con TLS, te recomendamos usar Stunnel de terceros que habilita TLS para tu cliente. Consulta Conéctate a una instancia de Valkey de forma segura con Stunnel y Telnet. para ver un ejemplo de cómo conectarse a una instancia de Valkey con Stunnel.
Autoridades certificadoras
Una instancia de Valkey que usa encriptación en tránsito tiene un autoridades certificadoras (AC) que se usan para autenticar los certificados de las máquinas en tu instancia. Cada AC se identifica con un certificado que debes descargar y, luego, instalar en el cliente que accede a tu instancia de Valkey.
Rotación de la autoridad certificadora
Las AC son válidas durante 10 años a partir de la creación de las instancias. Además, se creará una AC nueva estarán disponibles antes del vencimiento de la AC.
Las AC anteriores son válidas hasta su fecha de vencimiento. Esto te proporciona una ventana en la que para descargar y, luego, instalar la nueva AC en los clientes que se conectan a la instancia de Valkey. Una vez que venza la AC anterior, puedes desinstalarla de los clientes.
Para obtener instrucciones sobre cómo rotar la CA, consulta Administra la rotación de las autoridades certificadas.
Rotación del certificado del servidor
La rotación de certificados del servidor ocurre todas las semanas. Los certificados de servidor nuevos solo se aplican a las conexiones nuevas, y las conexiones existentes permanecen activas durante la rotación.
Impacto en el rendimiento de habilitar la encriptación en tránsito
La función de encriptación en tránsito encripta y desencripta datos, que viene con la sobrecarga de procesamiento. Como resultado, habilitar la encriptación en tránsito puede reducir rendimiento. Además, cuando usas la encriptación en tránsito, cada conexión adicional incluye un costo de recurso asociado. Para determinar la latencia asociada con el uso de la encriptación en tránsito, compara el rendimiento de la aplicación realizando una comparativa del rendimiento de la aplicación con una instancia que tiene habilitada la encriptación en tránsito y una instancia que no la tiene habilitada.
Lineamientos para mejorar el rendimiento
Disminuye la cantidad de conexiones de clientes siempre que sea posible. Establece y reutiliza conexiones de larga duración en lugar de crear conexiones de corta duración según demanda.
Aumenta el tamaño de tu instancia de Memorystore para Valkey.
Aumenta los recursos de CPU de la máquina anfitrión del cliente de Memorystore. Las máquinas cliente con un mayor recuento de CPU ofrecen un mejor rendimiento. Si usas una VM de Compute Engine, recomendamos las instancias optimizadas para procesamiento.
Disminuye el tamaño de la carga útil asociado con el tráfico de la aplicación porque las cargas útiles más grandes requieren más recorridos de ida y vuelta.