Назад | Перейти на главную страницу

AWS Redis Encryption при передаче + соединение TLS EC2

Я уже использую AWS Elasticache Redis, но без «Шифрование при передаче». Я создал новый кластер small / temp с включенным шифрованием, но не могу подключиться к нему -

redis-cli error: Connection reset by peer

eg: redis-cli -h aws.host.name -p 6379

Примечание. Соединяется нормально, если шифрование в пути не включено в кластере Redis.

Я уверен, что это потому, что я не использую шифрование TLS из экземпляра EC2:

«Чтобы подключиться к кластеру с включенным шифрованием при передаче, в базе данных должна быть включена безопасность транспортного уровня (TLS). Чтобы подключиться к кластеру, в котором не включено шифрование при передаче, для базы данных нельзя использовать TLS».

Вопросы:

Я действительно не уверен, как включить шифрование TLS на EC2. Как мне это сделать? Нужно ли мне использовать stunnel или я могу использовать сертификаты SSL AWS?
Какое влияние это окажет на производительность?
Я также смотрю Redis AUTH Password. Это большой успех? Я предполагаю, что если Redis является частотным хитом, он вполне может сработать.

Огромное спасибо.

Стандартный клиент redis-cli не поддерживает шифрование. Список клиентов Redis, поддерживающих шифрование ssl / TLS, доступен по адресу https://redislabs.com/blog/secure-redis-ssl-added-to-redsmin-and-clients/

Стандартный клиент redis (также известный как redis-cli, поставляемый с сервером redis) не поддерживает TLS.

Вот почему, когда шифрование при передаче отключено, он успешно подключается к серверу. Вам следует использовать клиент, поддерживающий TLS.

Вам не нужно использовать stunnel. Стандарт redis-cli -h aws.host.name -p 6379 должен работать с вашего экземпляра EC2. Убедитесь, что вы можете подключиться к хосту и порту (просто telnet host 6379). Если соединение отсутствует, проверьте настройки группы безопасности вашего кластера ElastiCache (вам необходимо иметь правило входящего порта 6379, его настраивают на вкладке EC2 в разделе Группы безопасности).
Имеются некоторые накладные расходы сети (см. https://stackoverflow.com/questions/1615882/how-much-network-overhead-does-tls-add-compared-to-a-non-encrypted-connection) и дополнительный ЦП (см. Накладные расходы HTTPS по сравнению с HTTP). Я не думаю, что это будет иметь значение для большинства приложений. Все зависит от того, как вы его используете, поэтому проводите собственные тесты.
Обмен Redis AUTH происходит только тогда, когда вы устанавливаете сеанс. После этого не должно быть дополнительных накладных расходов.