Esta página foi traduzida pela API Cloud Translation.

Visão geral dos pools de ACs

Um pool de autoridades certificadoras (ACs) é uma coleção de várias ACs com uma política de emissão de certificados e uma política do Identity and Access Management (IAM) comuns. Os pools de ACs oferecem a capacidade de alternar as cadeias de confiança sem nenhuma interrupção ou inatividade dos payloads delas.

Um pool de ACs fica vazio quando é criado. Para saber como adicionar uma AC a um pool de ACs, consulte Criar uma AC raiz.

O pool de AC mantém uma lista de certificados de AC confiáveis. É necessário instalar esses certificados de AC confiáveis com o solicitante do certificado.

Propriedades de ACs em um pool de ACs

A tabela a seguir lista os recursos que precisam ser iguais, podem ser diferentes e precisam ser diferentes para todas as ACs em um pool de ACs.

Precisa ser o mesmo para todas as ACs em um pool de ACs	Pode ser diferente para todas as ACs em um pool de ACs	Precisa ser diferente para todas as ACs em um pool de ACs
Políticas de emissão de certificados Condições do IAM Nível Local Opções de publicação. Por exemplo, se deve publicar uma CRL.	Algoritmos e tamanhos de chaves de assinatura Assuntos de ACs e SANs Data de validade e período de validade Rótulos Bucket do Cloud Storage gerenciado pelo cliente usado para CRL e AIA. Chaves de AC gerenciadas pelo cliente Extensões de certificado de CA	Nome da AC

Alcançar um QPS maior

Certificate Authority Service impõe limites ao número de solicitações que você pode enviar. Por exemplo, o limite de uso da solicitação createCertificate para uma AC DevOps é de 25 QPS.

Para aumentar o QPS total efetivo, você precisa ter várias CAs em um pool de CAs. Um pool de ACs aumenta o QPS total efetivo ao distribuir as solicitações de certificado recebidas entre todas as ACs no estado ENABLED. No entanto, ainda é possível solicitar certificados de uma AC específica no pool de ACs.

Use a fórmula abaixo para calcular o QPS máximo permitido para um pool de CA:

Total effective QPS = min(100, number of CAs in the CA pool x QPS per CA)

Por exemplo, se o QPS efetivo de uma CA for 25 QPS e você criar quatro CAs em um pool de CAs, o QPS efetivo total do pool de CAs será 100 QPS.

Para mais informações sobre como alcançar um QPS total efetivo maior, consulte Aumente a capacidade de criação de certificados usando um pool de AC.

Gerenciar a rotação de CA

Um pool de ACs pode ter ACs em diferentes estados. Um pool de ACs equilibra a emissão de certificados para cargas de trabalho em todas as ACs ativadas em um pool de ACs.

O pool de ACs abstrai as ACs específicas que emitem certificados. Quando uma CA expira, o QPS total efetivo do pool de CA é reduzido. Por exemplo, se um pool de AC tiver quatro ACs ativadas, o QPS efetivo total desse pool será 100 QPS. No entanto, se uma AC no pool de ACs expirar, o QPS total efetivo será reduzido para 75 QPS. Para garantir que o QPS total efetivo do pool de ACs não seja afetado quando uma AC expirar, crie uma nova AC antes que a AC atual expire.

Para mais informações, consulte Rotejar ACs em um pool de ACs.

Para mais informações sobre como solicitar um aumento de cota, consulte Como solicitar um limite de cota maior.

A seguir

Saiba como trabalhar com cotas.
Saiba como criar um pool de ACs.
Saiba como atualizar e excluir um pool de CA.