CA 풀 개요

인증 기관(CA) 풀은 공통 인증서 발급 정책과 Identity and Access Management(IAM) 정책이 적용되는 여러 CA의 모음입니다. CA 풀은 페이로드의 중단이나 다운타임 없이 신뢰 체인을 순환하는 기능을 제공합니다.

CA 풀은 빈 상태로 생성됩니다. CA 풀에 CA를 추가하는 방법은 루트 CA 만들기를 참조하세요.

CA 풀에는 신뢰할 수 있는 CA 인증서 목록이 유지보수됩니다. 인증서 요청자와 함께 이러한 신뢰할 수 있는 CA 인증서를 설치해야 합니다.

CA 풀의 CA 속성

다음 표에서는 CA 풀에서 모든 CA에 대해 동일해야 하는 속성, 다를 수 있는 속성, 달라야 하는 속성을 보여줍니다.

CA 풀에서 모든 CA에 대해 동일해야 하는 속성 CA 풀에서 모든 CA에 대해 다를 수 있는 속성 CA 풀에서 모든 CA에 대해 달라야 하는 속성
  • 인증서 발급 정책
  • IAM 조건
  • 등급
  • 위치
  • 게시 옵션. 예를 들어 CRL을 게시할지 여부입니다.
  • 서명 키 알고리즘과 크기
  • CA 주체 및 SAN
  • 만료일 및 유효 기간
  • 라벨
  • CRL 및 AIA에 사용된 고객 관리 Cloud Storage 버킷.
  • 고객 관리 CA 키
  • CA 인증서 확장
  • CA 이름

더 높은 QPS 달성

Certificate Authority Service는 전송할 수 있는 요청 수 한도를 적용합니다. 예를 들어 DevOps CA의 createCertificate 요청에 대한 사용 한도는 25개 QPS입니다.

총 유효 QPS를 늘리려면 CA 풀에 CA가 여러 개 있어야 합니다. CA 풀은 ENABLED 상태의 모든 CA에 걸쳐서 수신 인증서 요청을 분산하여 총 유효 QPS를 늘립니다. 하지만 여전히 CA 풀에서 인기 있는 CA로부터 인증서를 요청할 수 있습니다.

다음 수식에 따라 CA 풀에 허용되는 최대 QPS를 계산할 수 있습니다.

Total effective QPS = min(100, number of CAs in the CA pool x QPS per CA)

예를 들어 CA의 유효 QPS가 25개 QPS이고 CA 풀에 CA를 4개 만들면 CA 풀의 총 유효 QPS는 100개 QPS입니다.

총 유효 QPS를 높이는 방법에 대한 자세한 내용은 CA 풀을 사용하여 인증서 생성 처리량 늘리기를 참조하세요.

CA 순환 관리

CA 풀은 여러 상태의 CA를 포함할 수 있습니다. CA 풀은 CA 풀에서 사용 설정된 CA에 걸쳐서 워크로드에 대해 인증서 발급을 부하 분산합니다.

CA 풀은 그 안에서 인증서를 발급하는 특정 CA를 추상화합니다. CA가 만료되면 CA 풀의 총 유효 QPS가 줄어듭니다. 예를 들어 CA 풀에 사용 설정된 CA가 4개 있으면 이 CA 풀의 총 유효 QPS가 100개 QPS입니다. 하지만 CA 풀에서 하나의 CA가 만료되면 총 유효 QPS가 75개 QPS로 줄어듭니다. CA가 만료될 때 CA 풀의 총 유효 QPS가 영향을 받지 않도록 하려면 기존 CA가 만료되기 전에 새 CA를 만들어야 합니다.

자세한 내용은 CA 풀의 CA 순환을 참조하세요.

할당량 상향 요청에 대한 자세한 내용은 더 높은 할당량 한도 요청을 참조하세요.

다음 단계