Conexão do AWS Redis Encryption in-transit + TLS EC2

4

Eu já estou usando o AWS Elasticache Redis, mas sem "Criptografia em trânsito". Eu criei um novo cluster pequeno / temporário com essa criptografia ativada, mas não consigo me conectar a ele -

redis-cli error: Connection reset by peer

eg: redis-cli -h aws.host.name -p 6379

Observação: conecta-se bem quando a criptografia em trânsito não está habilitada em um cluster do Redis.

Tenho certeza de que isso acontece porque não estou usando a criptografia TLS da instância do EC2:

"Para conectar-se a um cluster habilitado para criptografia em trânsito, um banco de dados deve ser habilitado para TLS. Para conectar-se a um cluster que não está criptografado em trânsito, o banco de dados não pode ser habilitado para TLS. "

Perguntas:

  • Eu realmente não sei como ativar a criptografia TLS no EC2. Como eu faço isso? Preciso usar um stunnel ou posso usar certificados SSL da AWS?
  • Qual impacto no desempenho teria / poderia ter?
  • Também estou vendo a Redis AUTH Password. Isso é um grande sucesso no desempenho? Eu estou supondo que se o Redis for atingido por frequência, pode muito bem fazer isso.

muito obrigado.

    
por Adam 04.11.2017 / 08:30

3 respostas

2

O cliente padrão, o redis-cli, não suporta criptografia. Há uma lista de clientes redis que suportam a criptografia ssl / TLS no link

    
por 09.02.2018 / 01:02
0
  • Você não precisa usar stunnel. O redis-cli -h aws.host.name -p 6379 padrão deve funcionar na sua instância do EC2. Verifique se você pode se conectar ao host e à porta (simplesmente telnet host 6379 ). Se não houver conexão, verifique as configurações do grupo de segurança do cluster do ElastiCache (é necessário ter a regra da porta de entrada 6379, sua configuração na guia EC2, seção Grupos de segurança).
  • Há alguma sobrecarga de rede (consulte link ) e CPU adicional (veja sobrecarga de HTTPS comparada ao HTTP ). Eu não espero que isso seja significativo para a maioria dos aplicativos. Tudo depende de como você o usa, então faça seus próprios testes.
  • A troca AUTH do Redis acontece apenas quando você estabelece a sessão. Não deve haver sobrecarga adicional depois disso.
por 01.12.2017 / 09:19
0

O cliente de redis padrão (também conhecido como redis-cli que vem com o servidor redis) não suporta TLS.

É por isso que quando a criptografia em trânsito está desabilitada é conectada com êxito ao servidor. Você deve usar um cliente que suporte TLS.

    
por 12.01.2018 / 10:05