Augmenter le débit de création de certificats à l'aide de pools d'autorités de certification
Cette page explique comment augmenter le taux de création de certificats à l'aide d'un le pool d'autorités de certification. Pour en savoir plus sur les pools d'autorités de certification, consultez la page Présentation des pools d'autorités de certification.
Présentation
Le débit de création du certificat est mesuré en requêtes par seconde (RPS). Dans un maillage de services, le débit de création du certificat peut être estimé à l'aide des éléments suivants : formule:
THROUGHPUT = (ACTIVE_WORKLOADS × ROTATION_FREQUENCY) + NEW_WORKLOADS_PER_SECOND
Remplacez les éléments suivants :
- ACTIVE_WORKLOADS: nombre total de charges de travail en cours d'exécution à un moment donné
- ROTATION_FREQUENCY: fréquence à laquelle les certificats sont alternés par seconde
- NEW_WORKLOADS_PER_SECOND: taux de création des charges de travail
Vous trouverez les valeurs de ACTIVE_WORKLOADS et NEW_WORKLOADS_PER_SECOND, du cours Google Kubernetes Engine des tableaux de bord console Google Cloud. Pour déterminer la valeur ROTATION_FREQUENCY d'un maillage de services, vous devez doit consulter la documentation du produit de maillage de services. La fonction ROTATION_FREQUENCY pour Cloud Service Mesh, est définie par défaut une fois toutes les 12 heures, soit 1/(12 × 60 × 60) ou 1/43200 lorsqu'il est converti en fréquence de rotation par seconde.
Exemple
Prenons l'exemple d'un cluster relativement stable avec des charges de travail de longue durée et peu de charges de travail éphémères.
| Nom de la variable | Valeur | Description |
|---|---|---|
| ACTIVE_WORKLOADS | 10000 | 10 000 charges de travail sont censées s'exécuter en même temps. |
| NEW_WORKLOADS_PER_SECOND | 1 | Une charge de travail est créée chaque seconde. |
| ROTATION_FREQUENCY | 1/43200 | Les certificats changent toutes les 12 heures. |
Remplacer ces valeurs dans la formule de calcul de création du certificat donne une valeur de RPS de 1,23.
Débit = (10 000 / 43 200) + 1 = 1,23 RPS
Un cluster différent avec des charges de travail plus éphémères et des charges de travail plus courtes peut avoir une valeur plus élevée pour NEW_WORKLOADS_PER_SECOND. Une valeur élevée de ROTATION_FREQUENCY définit la valeur de la fraction (ACTIVE_WORKLOADS / ROTATION_FREQUENCY) est relativement faible. NEW_WORKLOADS_PER_SECOND est donc la variable importante dans la formule.
Avant de commencer
Configurez un pool d'autorités de certification dans votre l'emplacement requis. Pour obtenir la liste complète des emplacements, consultez Emplacements.
Si vous prévoyez d'émettre des certificats à un débit constamment élevé, nous nous vous recommandons de créer le pool d'autorités de certification au niveau DevOps, de meilleures performances tout en réduisant les coûts. Le débit maximal est défini individuelle au sein d'un pool d'autorités de certification, et le délai maximal atteignable pour un projet donné. Par exemple, si le débit maximal le niveau DevOps est de 25 RPS pour une autorité de certification et de 100 RPS pour un projet, créer quatre autorités de certification au sein du pool d'autorités de certification pour atteindre un débit effectif total pouvant atteindre 100 RPS Pour connaître le nombre de RPS spécifique et obtenir plus d'informations sur les quotas, consultez Quotas et limites.
Procédure
Créez suffisamment d'autorités de certification dans votre pool d'autorités de certification pour atteindre le nombre de RPS requis. Le nombre requis d'autorités de certification est de quatre au niveau du DevOps et de 15 au niveau Entreprise. L'ensemble d'instructions suivant s'applique à un pool d'autorités de certification de niveau DevOps:
Pour créer une autorité de certification racine portant le nom
root-1dans votre pool d'autorités de certification, utilisez la commandegcloudsuivante.gcloud privateca roots create root-1 --pool POOL_NAME --subject="CN=root-1,O=google"À ce stade, le nombre total de RPS effectifs du pool d'autorités de certification est de 25 RPS. Pour faire passer le nombre total de RPS effectifs du pool d'autorités de certification à 100, vous devez créer trois CA supplémentaires dans votre pool d'autorités de certification.
Pour créer une autorité de certification racine nommée
root-2, utilisez la commandegcloudsuivante.gcloud privateca roots create root-2 --pool POOL_NAME --subject="CN=root-2,O=google"Pour créer une autorité de certification racine nommée
root-3, utilisez la commandegcloudsuivante.gcloud privateca roots create root-3 --pool POOL_NAME --subject="CN=root-3,O=google"Pour créer une autorité de certification racine nommée
root-4, utilisez la commandegcloudsuivante.gcloud privateca roots create root-4 --pool POOL_NAME --subject="CN=root-4,O=google"À ce stade, le nombre total de RPS effectifs de votre pool d'autorités de certification est de 100 RPS.
Tant que les autorités de certification sont à l'état
STAGED, créez et testez des certificats. Ensuite, activez les autorités de certification. Pour en savoir plus sur l'activation des autorités de certification, consultez la section Activer une autorité de certification. Pour en savoir plus sur le test des autorités de certification, consultez Tester une autorité de certification.Vérifiez l'état de votre pool d'autorités de certification à l'aide de rapports d'audit sur l'équilibrage de charge entre les autorités de certification. Idéalement, le nombre de certificats émis par chaque autorité de certification devrait être uniforme.
Vous pouvez utiliser Cloud Monitoring pour surveiller les métriques d'équilibrage de charge de votre pool d'autorités de certification, telles que le nombre de certificats émis par autorité de certification sur une période donnée. Pour plus d'informations, consultez la page Surveiller les ressources à l'aide de Cloud Monitoring.
Étape suivante
- En savoir plus sur les quotas et limites