Nesta página, apresentamos uma visão geral da criptografia em trânsito do Memorystore para Valkey.
Para conferir instruções sobre como criptografar uma conexão com criptografia em trânsito, consulte Gerenciar criptografia em trânsito.
O Memorystore para Valkey só é compatível com as versões 1.2 ou posteriores do protocolo TLS.
Introdução
O Memorystore para Valkey oferece suporte à criptografia de todo o tráfego da Valkey usando o protocolo Transport Layer Security (TLS). Quando a criptografia em trânsito é ativada, os clientes do Valkey se comunicam exclusivamente por uma conexão segura. Os clientes Valkey não configurados para TLS são bloqueado. Se você optar por ativar a criptografia em trânsito, será responsável por garantir que o cliente da Valkey seja capaz de usar o protocolo TLS.
Pré-requisitos de criptografia em trânsito
Para usar a criptografia em trânsito com o Memorystore para Valkey, você precisa:
Um cliente Valkey compatível com TLS ou um arquivo secundário TLS de terceiros
Autoridades certificadoras instalado na máquina cliente acessando sua instância do Valkey
Nem todas as bibliotecas de cliente Valkey são compatíveis com o TLS. Se você estiver usando um cliente que não ofereça suporte a TLS, recomendamos usar o stunnel plug-in de terceiros que ativa o TLS para seu cliente. Consulte Como se conectar a uma instância do Valkey com segurança usando stunnel e telnet para conferir um exemplo de como se conectar a uma instância do Valkey com o stunnel.
Autoridades certificadoras
Uma instância Valkey que usa criptografia em trânsito tem Autoridades certificadoras (CAs) usadas para autenticar os certificados de as máquinas em sua instância. Cada AC é identificada por um certificado que você precisa fazer o download e instalar no cliente que acessa sua instância da Valkey.
Rotação da autoridade certificadora
As ACs são válidas por 10 anos após a criação da instância. Além disso, uma nova AC vai sejam disponibilizadas antes da expiração da CA.
As ACs antigas são válidas até a data de validade. Isso oferece uma janela para fazer o download e instalar a nova AC para clientes que se conectam à instância do Valkey. Depois que as CAs antigas expirarem, será possível desinstalá-las dos clientes.
Para instruções sobre como girar a CA, consulte Como gerenciar a rotação da autoridade de certificação.
Rotação de certificado do servidor
A rotação de certificados do servidor ocorre toda semana. Novos certificados do servidor se aplicam apenas a novas conexões e as conexões existentes permanecem ativas durante a rotação de chaves.
Impacto do desempenho da ativação da criptografia em trânsito
O recurso de criptografia em trânsito criptografa e descriptografa dados, a sobrecarga de processamento. Como resultado, ativar a criptografia em trânsito pode reduzir o desempenho. Além disso, ao usar criptografia em trânsito, cada conexão adicional vem com um custo de recurso associado. Para determinar a latência associada ao uso da criptografia em trânsito, compare o desempenho do aplicativo comparando o desempenho do aplicativo com uma instância que tem a criptografia em trânsito ativada e uma instância que tenha sido desativada.
Diretrizes para melhorar o desempenho
Reduza o número de conexões de cliente quando possível. Estabeleça e reutilize conexões de longa duração em vez de criar conexões de curta duração sob demanda.
Aumente o tamanho da instância do Memorystore para Valkey.
Aumente os recursos de CPU da máquina host do cliente Memorystore. Máquinas cliente com uma contagem maior de CPU geram melhor desempenho. Se estiver usando uma VM do Compute Engine, recomendamos instâncias otimizadas para computação.
Diminui o tamanho do payload associado ao tráfego do aplicativo porque payloads maiores exigem mais idas e voltas.