Tair (kompatibel dengan Redis OSS) mendukung enkripsi TLS untuk data dalam transit antara klien dan instans Anda. TLS dinonaktifkan secara default.
Prasyarat
Pastikan bahwa:
-
Instans Anda termasuk salah satu tipe berikut:
-
Instans Tair (Edisi Perusahaan) optimasi memori
-
Instans Tair (Edisi Perusahaan) memori persisten
-
Instans Redis Edisi Open-Source versi 5.0, 6.0, atau 7.0
-
-
Instans Anda menggunakan arsitektur master-replika
-
Jika titik akhir publik telah dialokasikan, Anda telah melepasnya
-
Jika titik akhir pribadi dialokasikan ke instans kluster berbasis disk lokal, Anda telah melepasnya
Batasan
| Batasan | Dampak | Yang harus dilakukan |
|---|---|---|
| Overhead koneksi | Proses jabat tangan TLS mengonsumsi lebih banyak sumber daya dan waktu dibandingkan koneksi standar. | Gunakan koneksi persisten untuk mengurangi frekuensi jabat tangan. |
| Overhead transfer data | Enkripsi menambahkan overhead pemrosesan yang meningkat seiring ukuran muatan. | Lakukan pengujian di lingkungan Anda untuk mengevaluasi dampaknya. |
| Tidak ada titik akhir publik | Titik akhir publik tidak tersedia setelah TLS diaktifkan. Untuk instans kluster jaringan klasik (non-VPC), titik akhir koneksi langsung juga tidak tersedia. | Hubungkan melalui VPC dengan TLS. Hubungkan ke instans yang telah diaktifkan TLS. |
| Tidak ada migrasi zona | Migrasi zona tidak tersedia setelah TLS diaktifkan. | Rencanakan pemilihan zona Anda sebelum mengaktifkan TLS. |
| Perubahan titik akhir atau port | Mengubah titik akhir atau port setelah TLS diaktifkan menyebabkan error No subject alternative DNS name matching xxx found. |
Perbarui sertifikat TLS sebelum melakukan koneksi. |
Aktifkan enkripsi TLS
-
Masuk ke Konsol dan buka halaman Instances. Pilih wilayah, temukan instans Anda, lalu klik ID-nya.
-
Di panel navigasi sebelah kiri, klik TLS Settings (SSL).
-
Klik Enable.
-
Pada kotak dialog, pilih TLS version.
Versi Deskripsi TLSv1.3 (Default, Direkomendasikan) RFC 8446 (2018). Lebih cepat dan lebih aman dibandingkan TLSv1.2. Memerlukan Redis engine 5.5+ dan versi minor proxy 7.0.1+. Jika tidak tersedia di Konsol, lakukan upgrade versi minor terlebih dahulu. TLSv1.2 RFC 5246 (2008). Enkripsi yang kuat. TLSv1.1 RFC 4346 (2006). Memperbaiki kerentanan pada TLSv1.0. TLSv1.0 RFC 2246 (1999). Berbasis SSL 3.0. Rentan terhadap serangan BEAST dan POODLE. -
Klik OK.
PeringatanOperasi ini akan merestart instans dan dapat menyebabkan gangguan koneksi singkat selama beberapa detik. Lakukan operasi ini pada jam sepi dan pastikan aplikasi Anda mendukung koneksi ulang otomatis.
-
Segarkan halaman untuk memverifikasi status TLS.
Unduh sertifikat CA
Setelah TLS diaktifkan, klik Download CA Certificate pada halaman TLS Settings (SSL). Paket tersebut berisi:
| File | Deskripsi |
|---|---|
ApsaraDB-CA-Chain.p7b |
Sertifikat CA untuk Windows |
ApsaraDB-CA-Chain.pem |
Sertifikat CA untuk Linux, sistem lain, atau aplikasi |
ApsaraDB-CA-Chain.jks |
Java truststore untuk mengimpor rantai sertifikat CA |
Sertifikat CA digunakan bersama oleh semua instans Tair di bawah akun Anda dan tidak dilindungi kata sandi.
Manage TLS settings
Setelah TLS diaktifkan, buka halaman TLS Settings (SSL) untuk mengelola pengaturan TLS.
Perbarui sertifikat CA
Klik Update Certificate, lalu klik OK.
Sertifikat berlaku selama 3 tahun (tidak dapat dikustomisasi). Sistem membuat event maintenance untuk memperpanjang sertifikat 20 hari sebelum masa berlaku habis. Untuk menjadwal ulang, buka Event Center > Scheduled Events. Anda juga dapat mengklik Update Certificate kapan saja. Setiap perpanjangan memperpanjang masa berlaku selama 3 tahun.
Operasi ini menyebabkan gangguan koneksi singkat selama beberapa detik. Lakukan pada jam sepi dan pastikan aplikasi Anda mendukung koneksi ulang otomatis.
Anda tidak perlu mengunduh ulang file sertifikat setelah memperbarui sertifikat atau mengubah versi TLS.
Ubah versi TLS
Klik ikon edit di samping TLS version dan pilih versi yang diinginkan. TLSv1.3 direkomendasikan. TLSv1.3 memerlukan Redis engine 5.5+ dan versi minor proxy 7.0.1+. Jika tidak tersedia, lakukan peningkatan versi minor terlebih dahulu.
Jika daftar drop-down Minimum TLS version tidak tersedia, lakukan peningkatan versi minor instans dan coba lagi. Peningkatan versi minor dan versi proxy.
Nonaktifkan enkripsi TLS
Matikan sakelar di samping TLS Status.
Operasi ini akan merestart instans. Gangguan koneksi singkat selama beberapa detik mungkin terjadi. Lakukan pada jam sepi dan pastikan aplikasi Anda mendukung koneksi ulang otomatis.
FAQ
Mengapa saya tidak dapat mengaktifkan TLS untuk instans saya?
TLS tidak didukung untuk instans yang menggunakan arsitektur pemisahan baca/tulis di jaringan klasik.
API Terkait
|
API |
Deskripsi |
|
Mengonfigurasi enkripsi TLS (SSL) untuk sebuah instans. |