CA プールの概要
認証局(CA)プールは、共通の証明書発行ポリシーと Identity and Access Management(IAM)ポリシーを持つ複数の CA のコレクションです。CA プールには、ペイロードの停止やダウンタイムを発生させることなく信頼チェーンをローテーションする機能があります。
CA プールは、作成時は空です。CA プールに CA を追加する方法については、ルート CA の作成をご覧ください。
CA プールは、信頼できる CA 証明書のリストを保持しています。これらの信頼できる CA 証明書は、証明書リクエスト元とともにインストールする必要があります。
CA プール内の CA のプロパティ
次の表に、CA プール内のすべての CA で同じで異なる、または異なる機能を示します。
CA プール内のすべての CA で同じにする必要があります | CA プール内のすべての CA ごとに異なる場合があります | CA プール内のすべての CA ごとに異なる必要があります |
---|---|---|
|
|
|
QPS 向上の達成
Certificate Authority Service では、送信できるリクエスト数に上限があります。たとえば、DevOps CA の createCertificate リクエストの使用量上限は、25 QPS です。
有効 QPS の合計を増やすには、CA プールに複数の CA が存在する必要があります。CA プールは、ENABLED
状態のすべての CA に受信証明書リクエストを分散することで、有効な QPS の合計を引き上げます。ただし、CA プール内の特定の CA の証明書をリクエストすることはできます。
次の式を使用して、CA プールの最大許容 QPS を計算できます。
Total effective QPS = min(100, number of CAs in the CA pool x QPS per CA)
たとえば、CA の有効 QPS が 25 QPS で、CA プールに 4 つの CA を作成した場合、CA プールの有効 QPS の合計は 100 QPS です。
合計有効 QPS の増大を達成する方法については、CA プールを使用した証明書の作成スループットの向上をご覧ください。
CA ローテーションを管理する
CA プールには、異なる状態の CA を含めることができます。CA プールの負荷分散は、CA プール内の有効な CA 全体のワークロードの証明書発行を再負荷分散します。
CA プールは、証明書を発行する内部の特定の CA を抽象化します。CA が期限切れになると、CA プールの合計有効 QPS が減ります。たとえば、CA プールに 4 つの有効な CA がある場合、その CA プールの有効 QPS の合計は 100 QPS になります。ただし、CA プール内の 1 つの CA が期限切れになると、有効な QPS の合計は 75 QPS に減ります。CA の有効期限が切れても、CA プールの有効 QPS の合計が影響を受けないようにするには、既存の CA の有効期限が切れる前に新しい CA を作成する必要があります。
詳細については、CA プール内の CA のローテーションをご覧ください。
割り当ての増加をリクエストする方法については、割り当て上限の引き上げをリクエストするをご覧ください。
次のステップ
- 割り当ての操作方法を学習する。
- CA プールの作成方法を学習する。
- CA プールの更新と削除の方法を学習する。