CA プールの概要
認証局(CA)プールは、共通の証明書発行ポリシーと Identity and Access Management(IAM)ポリシーを持つ複数の CA の集合です。CA プールには、ペイロードの停止やダウンタイムを発生させることなく信頼チェーンをローテーションする機能があります。
CA プールは、作成時は空です。CA プールに CA を追加する方法については、ルート CA を作成するをご覧ください。
CA プールは、信頼できる CA 証明書のリストを保持します。これらの信頼できる CA 証明書は、証明書リクエスト元にインストールする必要があります。
CA プール内の CA のプロパティ
次の表に、CA プール内のすべての CA で同じである必要がある機能、異なる可能性がある機能、異なる必要がある機能を示します。
CA プール内のすべての CA で同じである必要があります | CA プール内のすべての CA で異なる場合があります | CA プール内のすべての CA で異なるものにする必要があります |
---|---|---|
|
|
|
QPS を向上させる
Certificate Authority Service は、送信できるリクエスト数に上限を適用します。たとえば、DevOps CA の createCertificate リクエストの使用上限は 25 QPS です。
有効な合計 QPS を増やすには、CA プールに複数の CA が必要です。CA プールは、ENABLED
状態のすべての CA に受信した証明書リクエストを分散することで、有効な QPS の合計を増やします。ただし、CA プール内の特定の CA から証明書をリクエストすることはできます。
CA プールで許容される最大 QPS は、次の式で計算できます。
Total effective QPS = min(100, number of CAs in the CA pool x QPS per CA)
たとえば、CA の有効な QPS が 25 QPS で、CA プールに 4 つの CA を作成した場合、CA プールの有効な QPS の合計は 100 QPS になります。
合計有効 QPS の増大を達成する方法については、CA プールを使用した証明書の作成スループットの向上をご覧ください。
CA ローテーションを管理する
CA プールには、異なる状態の CA を含めることができます。CA プールは、CA プール内の有効な CA 間でワークロードの証明書の発行をロードバランスします。
CA プールは、証明書を発行する特定の CA を抽象化します。CA が期限切れになると、CA プールの有効 QPS の合計が減ります。たとえば、CA プールで有効な CA が 4 つある場合、その CA プールの有効な QPS の合計は 100 QPS です。ただし、CA プール内の 1 つの CA が期限切れになると、有効な合計 QPS は 75 QPS に減少します。CA の有効期限が切れても CA プールの有効 QPS の合計が影響を受けないようにするには、既存の CA の有効期限が切れる前に新しい CA を作成する必要があります。
詳細については、CA プールで CA をローテーションするをご覧ください。
割り当ての増加をリクエストする方法については、割り当て上限の引き上げをリクエストするをご覧ください。
次のステップ
- 割り当ての操作方法を学習する。
- CA プールの作成方法を学習する。
- CA プールの更新と削除方法を学習する。