管理傳輸中資料加密

本頁說明如何管理執行個體的傳輸中加密。

如要瞭解 Memorystore for Valkey 的傳輸中資料加密機制,請參閱「關於傳輸中資料加密」。

您只能在首次建立 Memorystore for Valkey 執行個體時啟用傳輸中加密功能。以這種方式建立的執行個體無法停用傳輸中資料加密功能。

建立啟用傳輸中資料加密功能的執行個體

控制台

請按照「建立 Memorystore for Valkey 執行個體」一文中的步驟操作。

gcloud

如要建立具有傳輸中加密功能的 Valkey 執行個體,請執行 create 指令:

gcloud memorystore instances create INSTANCE \
--location=REGION_ID \
--endpoints='[{"connections": [{"pscAutoConnection": {"network": "projects/PROJECT_ID/global/networks/NETWORK_ID", "projectId": "PROJECT_ID"}}]}]' \
--replica-count=REPLICA_COUNT \
--node-type=NODE_TYPE \
--shard-count=SHARD_COUNT \
--transit-encryption-mode=server-authentication

更改下列內容:

  • INSTANCE 是您要建立的 Memorystore for Valkey 執行個體 ID。執行個體 ID 的長度必須介於 1 至 63 個字元之間,而且只能使用小寫英文字母、數字或連字號。但開頭必須是小寫英文字母,結尾則須為小寫英文字母或數字。

  • REGION_ID 是您希望執行個體所在的地區。

  • PROJECT_ID 是您要建立執行個體的專案 ID。

  • NETWORK_ID 是您要用於建立執行個體的網路 ID。

  • REPLICA_COUNT 是所需的備用資源數量 (每個分片)。可接受的值為 012

  • NODE_TYPE 是您選擇的節點類型。可接受的值如下:

    • shared-core-nano
    • standard-small
    • highmem-medium
    • highmem-xlarge

  • SHARD_COUNT 會決定執行個體中的 shard 數量。分片數量會決定儲存執行個體資料的總記憶體容量。如要進一步瞭解執行個體規格,請參閱「執行個體和節點規格」。

例如:

gcloud memorystore instances create my-instance \
--location=us-central1 \
--endpoints='[{"connections": [{"pscAutoConnection": {"network": "projects/my-project/global/networks/my-network", "projectId": "my-project"}}]}] \
--replica-count=1 \
--node-type=highmem-medium \
--shard-count=3 \
--transit-encryption-mode=server-authentication

下載憑證授權單位

如果執行個體已啟用傳輸中資料加密,執行 get-certificate-authority 指令時,您會看到憑證授權單位的憑證:

gcloud memorystore instances get-certificate-authority INSTANCE

更改下列內容:

  • INSTANCE 是 Memorystore for Valkey 執行個體的 ID。

回應主體包含所有適用憑證授權單位的憑證。

在用戶端上安裝憑證授權單位

您必須在連線用戶端上安裝執行個體的憑證授權單位。CA 安裝程序可能會因用戶端類型而異。下列步驟說明如何在 Compute Engine Linux VM 上安裝 CA。

  1. 使用 SSH 連線至 Compute Engine Linux 用戶端。

  2. 在用戶端中建立名為 server_ca.pem 的檔案:

    sudo vim /tmp/server_ca.pem

  3. 下載憑證授權單位,然後貼到先前建立的 server_ca.pem 檔案中。

    請確認 CA 的文字格式正確無誤。您的 server_ca.pem 檔案看起來會像這樣:

    -----BEGIN CERTIFICATE-----
MIIDnTCCAoWgAwIBAgIBADANBgkqhkiG9w0BAQsFADCBhTEtMCsGA1UELhMkNzYx
NTc4OGMtMTI2Yi00Nzk0LWI2MWMtY2YxOWE2Y2Y1ZjNiMTEwLwYDVQQDEyhHb29n
bGUgQ2xvdWQgTWVtb3J5c3RvcmUgUmVkaXMgU2VydmVyIENBMRQwEgYDVQQKEwtH
b29nbGUsIEluYzELMAkGA1UEBhMCVVMwHhcNMjAwOTE3MjEzNDE1WhcNMzAwOTE1
MjEzNTE1WjCBhTEtMCsGA1UELhMkNzYxNTc4OGMtMTI2Yi00Nzk0LWI2MWMtY2Yx
OWE2Y2Y1ZjNiMTEwLwYDVQQDEyhHb29nbGUgQ2xvdWQgTWVtb3J5c3RvcmUgUmVk
aXMgU2VydmVyIENBMRQwEgYDVQQKEwtHb29nbGUsIEluYzELMAkGA1UEBhMCVVMw
ggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCyDKmDHZm6tzMhNtKOnp8H
8+zTv1qA6OkBToVqCjKTTMGO18ovNtAAMjbGvclLuJNLbA2WTTWVttHen6Cn82h0
3gG9HMk9AwK1cVT7gW072h++TRsYddIRlwnSweRWL8jUX+PNt7CjFqH+sma/Hb1m
CktHdBOa897JiYHrMVNTcpS8SFwwz05yHUTEVGlHdkvlaJXfHLe6keCMABLyjaMh
1Jl4gZI2WqLMV680pJusK6FI6q/NmqENFc9ywMEg395lHTK9w9e014WIXg0q7sU3
84ChVVS2yYOMEUWeov4Qx6XeVfA4ss5t7OCqsMQkvslkE90mJZcVvhBj3QvTH9Rz
AgMBAAGjFjAUMBIGA1UdEwEB/wQIMAYBAf8CAQAwDQYJKoZIhvcNAQELBQADggEB
AJkn+MDE4V10DZn4uEc0s0Mg4FEMC1fDewmDYwSNnxRlzfEi+wAX2AaqrJ4m4Qa7
xIyuSYxArEOY6QeyJyw7/06dom8aAv4aO2p8hE04Ih6QwaTMFIlT2Jf6TidVd3eT
wfjwFJVoJ+dgxsaCv2uMFZWee5aRHmKzj9LhqPwpWnTs9Q/qmOheUNoe2/1i8yvn
662M7RZMR7fZH6ETsdz5w1nPXXiRqJ7K0EGKoPNjMlYK3/U1X3sazI4tpMNgTdxG
rnNh9Sd9REMBmDCPj9dUI9k4hQX4yQZp96fnLT6cet22OPajEKnpzyqJs1s4iX/g
lEtWs4V/YBhKA56CW6ASZS8=
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

    如上一個範例所示,檔案應遵循下列規範:

    • 複製整個憑證授權單位,包括 -----BEGIN CERTIFICATE----------END CERTIFICATE----- 行。

    • 請確認 CA 的文字完全靠左對齊。任何一行 CA 前面都不應有空格。

    • 請逐行新增每個憑證授權單位。CA 之間不得有空白行。

設定用戶端以進行傳輸中加密

用來連線至執行個體的用戶端必須支援 TLS,或使用第三方 Sidecar 啟用 TLS。

如果用戶端支援 TLS,請設定用戶端,指向 Valkey 執行個體的 IP、通訊埠 6379,以及包含憑證授權單位的檔案。如果選擇使用 Sidecar,建議使用 Stunnel

使用 Stunnel 和 telnet 安全地連線至 Memorystore 執行個體

如要瞭解如何使用 Stunnel 在 Compute Engine 用戶端上啟用傳輸中加密,請參閱「使用 Stunnel 和 telnet 安全地連線至 Memorystore 執行個體」。

管理憑證授權單位輪替

您應在存取執行個體的用戶端上,安裝所有可下載的憑證授權單位。

除了先前的 CA 之外,一旦新的 CA 可供使用,請立即安裝,這是確保您在發生憑證授權單位輪替事件時,擁有必要 CA 的最簡單方法。

如要確認您擁有必要的 CA,請確保儲存在用戶端檔案中的 CA 與下載憑證授權單位時顯示的 CA 相符。輪替期間,新舊 CA 都會處於啟用狀態,確保停機時間最短。

連線至使用傳輸中資料加密的執行個體時,可參考的程式碼範例

如要查看與 Valkey 相容的程式碼範例,瞭解如何設定用戶端程式庫來連線至使用傳輸中加密的執行個體,請參閱傳輸中加密用戶端程式庫程式碼範例