Вопросы Теги

AWS Redis Encryption при передаче + соединение TLS EC2

Я уже использую AWS Elasticache Redis, но без «Шифрование при передаче» . Я создал новый кластер small / temp с этим включенным шифрованием, но я не могу подключиться к нему - 

redis-cli error: Connection reset by peer

eg: redis-cli -h aws.host.name -p 6379

Примечание: подключается нормально, когда шифрование при переходе не включено в кластере Redis.

Я конечно, это потому что я m без использования шифрования TLS из экземпляра EC2:

«Чтобы подключиться к кластеру с включенным шифрованием при передаче, в базе данных должна быть включена безопасность транспортного уровня (TLS). Чтобы подключиться к кластеру, который не поддерживает шифрование при передаче включено, база данных не может быть включена с поддержкой TLS ".

Вопросы:

  • Я действительно не знаю, как включить шифрование TLS на EC2. Как мне это сделать? Нужно ли мне использовать stunnel или я могу использовать сертификаты SSL AWS?
  • Какое влияние это может / может оказать на производительность?
  • Я также смотрю на Redis AUTH Password. Это большой успех? Я предполагаю, что если Redis является частотным хитом, он вполне может сработать.

Большое спасибо.

4
задан 4 November 2017 в 09:30
3 ответа

Стандартный клиент redis (также известный как redis-cli, поставляемый с сервером redis) не поддерживает TLS.

Вот почему, когда шифрование при передаче отключено, он успешно подключается к серверу . Вам следует использовать клиент, поддерживающий TLS.

0
ответ дан 3 December 2019 в 03:27

Стандартный клиент redis-cli не поддерживает шифрование. Список клиентов redis, которые поддерживают шифрование ssl / TLS, можно найти по адресу https://redislabs.com/blog/secure-redis-ssl-added-to-redsmin-and-clients/

4
ответ дан 3 December 2019 в 03:27
  • Вам не нужно использовать stunnel. Стандартный redis-cli -h aws.host.name -p 6379 должен работать с вашим экземпляром EC2. Убедитесь, что вы можете подключиться к хосту и порту (просто telnet host 6379 ). Если нет подключения, проверьте настройки группы безопасности вашего кластера ElastiCache (вам необходимо иметь правило входящего порта 6379, его настраивают на вкладке EC2 в разделе Группы безопасности).
  • Имеются некоторые накладные расходы на сеть (см. ) и дополнительный ЦП (см. Накладные расходы HTTPS по сравнению с HTTP ). Я не думаю, что это будет иметь значение для большинства приложений. Все зависит от того, как вы его используете, поэтому запускайте свои собственные тесты.
  • Redis AUTH-обмен происходит только тогда, когда вы устанавливаете сеанс. После этого не должно быть дополнительных накладных расходов.
0
ответ дан 3 December 2019 в 03:27

Теги

Похожие вопросы