本頁面提供 Memorystore for Valkey 的傳輸中加密功能總覽。
如要瞭解如何使用傳輸中資料加密功能來加密連線,請參閱「管理傳輸中資料加密」。
Memorystore for Valkey 僅支援 TLS 1.2 以上版本的通訊協定。
簡介
Memorystore for Valkey 支援使用傳輸層安全標準 (TLS) 通訊協定加密所有 Valkey 流量。啟用傳輸中資料加密功能後,Valkey 用戶端只會透過安全連線進行通訊。系統會封鎖未設定 TLS 的 Valkey 用戶端。如果您選擇啟用傳輸中加密功能,則必須負責確保 Valkey 用戶端能夠使用 TLS 通訊協定。
傳輸中資料加密的必要條件
如要使用傳輸中加密功能搭配 Memorystore for Valkey,您需要:
支援 TLS 的 Valkey 用戶端或第三方 TLS 側載
在存取 Valkey 執行個體的用戶端電腦上安裝的憑證授權單位
並非所有 Valkey 用戶端程式庫都支援 TLS。如果您使用的用戶端不支援 TLS,建議您使用 Stunnel 第三方外掛程式,為用戶端啟用 TLS。如需使用 Stunnel 安全連線至 Valkey 執行個體的範例,請參閱「使用 Stunnel 和 telnet 安全連線至 Valkey 執行個體」一文。
憑證授權單位
使用傳輸中加密功能的 Valkey 執行個體會提供專屬的憑證授權單位 (CA),用於驗證執行個體中機器的憑證。每個 CA 都會透過憑證識別,您必須在存取 Valkey 執行個體的用戶端上下載及安裝憑證。
憑證授權單位輪替
建立執行個體後,CA 的有效期限為 10 年。此外,新的 CA 會在 CA 到期前提供。
舊憑證會在到期日之前有效。這樣一來,您就能在一段時間內下載並安裝新的 CA,讓客戶連線至 Valkey 執行個體。舊的 CA 到期後,您可以從用戶端解除安裝。
如需 CA 輪替的操作說明,請參閱「管理憑證頒發機構輪替作業」。
輪替伺服器憑證
伺服器端憑證會每週輪替。新的伺服器憑證只會套用至新的連線,現有連線則會在輪替期間保持運作。
啟用傳輸加密功能對效能造成的影響
傳輸中加密功能會加密及解密資料,這會產生處理額外負擔。因此,啟用傳輸中的資料加密功能可能會降低效能。此外,使用傳輸中資料加密時,每新增一個連線都會產生相關資源成本。如要判斷使用傳輸中加密功能的延遲情形,請比較應用程式效能,並以已啟用傳輸中加密功能的執行個體和已停用傳輸中加密功能的執行個體為基準。
改善成效的指南
盡可能減少用戶端連線數量。建立並重複使用長時間執行的連線,而非建立隨選的短期連線。
增加 Memorystore for Valkey 執行個體的大小。
增加 Memorystore 用戶端主機機器的 CPU 資源。CPU 數量越多的用戶端機器,效能就越好。如果您使用 Compute Engine VM,建議您使用運算最佳化執行個體。
減少與應用程式流量相關的酬載大小,因為較大的酬載需要更多往返次數。