Aumenta la capacidad de procesamiento de creación de certificados con grupos de AC
En esta página, se describe cómo puedes aumentar la tasa de creación de certificados mediante un grupo de autoridades certificadoras (AC). Para obtener información sobre los grupos de AC, consulta la Descripción general de los grupos de AC.
Descripción general
La capacidad de procesamiento de creación de certificados se mide en consultas por segundo (QPS). En una malla de servicios, la capacidad de procesamiento de creación de certificados se puede calcular con la siguiente fórmula:
THROUGHPUT = (ACTIVE_WORKLOADS × ROTATION_FREQUENCY) + NEW_WORKLOADS_PER_SECOND
Reemplaza lo siguiente:
- ACTIVE_WORKLOADS: la cantidad total de cargas de trabajo que se ejecutan en un momento determinado
- ROTATION_FREQUENCY: La frecuencia con la que se rotan los certificados por segundo
- NEW_WORKLOADS_PER_SECOND: La velocidad a la que se crean cargas de trabajo nuevas
Puedes encontrar los valores para ACTIVE_WORKLOADS y NEW_WORKLOADS_PER_SECONDS en los paneles de Google Kubernetes Engine en la consola de Google Cloud. A fin de determinar la ROTATION_FREQUENCY para una malla de servicios, debes consultar la documentación del producto de la malla de servicios. La configuración predeterminada de ROTATION_FREQUENCY para Cloud Service Mesh es una vez cada 12 horas, que es 1/(12 × 60 × 60) o 1/43,200 cuando se convierte en frecuencia de rotación por segundo.
Ejemplo
Considera el ejemplo de un clúster relativamente estable con cargas de trabajo de larga duración y pocas cargas de trabajo efímeras.
| Nombre de la variable | Valor | Descripción |
|---|---|---|
| ACTIVE_WORKLOADS | 10000 | Se espera que se ejecuten 10,000 cargas de trabajo en cualquier momento. |
| NEW_WORKLOADS_PER_SECOND | 1 | Se crea 1 carga de trabajo nueva por segundo. |
| ROTATION_FREQUENCY | 1/43,200 | Los certificados rotan cada 12 horas. |
Si se sustituyen estos valores en la fórmula para calcular la tasa de creación de certificados, se obtiene un valor de QPS de 1.23.
Capacidad de procesamiento = (10,000 / 43,200) + 1 = 1.23 QPS
Un clúster diferente con cargas de trabajo más efímeras y cargas de trabajo de menor duración podría tener un valor más alto para NEW_WORKLOADS_PER_SECOND. Un valor alto de ROTATION_FREQUENCY hace que el valor de la fracción (ACTIVE_WORKLOADS / ROTATION_FREQUENCY) sea bastante pequeño, lo que hace que NEW_WORKLOADS_PER_Second sea la variable más importante de la fórmula.
Antes de comenzar
Configura un grupo de AC en la ubicación que desees. Para obtener la lista completa de ubicaciones, consulta Ubicaciones.
Si esperas emitir certificados con una capacidad de procesamiento alta de forma constante, te recomendamos que crees el grupo de AC en el nivel de DevOps, lo que permitirá mejorar el rendimiento y generar costos más bajos. Existe una capacidad de procesamiento máxima para cada AC individual dentro de un grupo de AC y una capacidad de procesamiento efectiva alcanzable máxima para cualquier proyecto determinado. Por ejemplo, si la capacidad de procesamiento máxima para el nivel de DevOps es de 25 QPS para una CA y de 100 QPS para un proyecto, debes crear 4 CA en el grupo de CA a fin de alcanzar una capacidad de procesamiento total efectiva de hasta 100 QPS. Para obtener cifras específicas de QPS y obtener más información sobre las cuotas, consulta Cuotas y límites.
Procedimiento
Crea suficientes AC dentro de tu grupo de AC para lograr las QPS necesarias. La cantidad necesaria de AC es de 4 para los grupos de AC en los niveles de DevOps y 15 para los grupos de AC en el nivel Enterprise. El siguiente conjunto de instrucciones es para un grupo de AC en el nivel DevOps:
Para crear una AC raíz con el nombre
root-1en tu grupo de AC, usa el siguiente comandogcloud.gcloud privateca roots create root-1 --pool POOL_NAME --subject="CN=root-1,O=google"Las QPS totales efectivas del grupo de AC en esta etapa son de 25 QPS. Para aumentar la cantidad total de QPS efectivas del grupo de AC a 100, debes crear 3 AC más en el grupo de AC.
Para crear una AC raíz con el nombre
root-2, usa el siguiente comandogcloud.gcloud privateca roots create root-2 --pool POOL_NAME --subject="CN=root-2,O=google"Para crear una AC raíz con el nombre
root-3, usa el siguiente comandogcloud.gcloud privateca roots create root-3 --pool POOL_NAME --subject="CN=root-3,O=google"Para crear una AC raíz con el nombre
root-4, usa el siguiente comandogcloud.gcloud privateca roots create root-4 --pool POOL_NAME --subject="CN=root-4,O=google"En esta etapa, la cantidad total efectiva de QPS de tu grupo de AC es de 100 QPS.
Mientras las AC se encuentran en el estado
STAGED, crea y prueba certificados. Una vez hecho esto, habilita las AC. Para obtener información sobre cómo habilitar las AC, consulta Cómo habilitar una AC. Si quieres obtener más información para probar las AC, consulta Cómo probar una AC.Verifica el estado de tu grupo de AC mediante la obtención de informes de auditoría sobre el balanceo de cargas entre AC. Lo ideal sería que haya uniformidad en la cantidad de certificados emitidos por cada AC.
Puedes usar Cloud Monitoring para supervisar las métricas de balanceo de cargas de tu grupo de AC, como la cantidad de certificados emitidos por cada AC en un período determinado. Para obtener más información, consulta Supervisa recursos con Cloud Monitoring.
¿Qué sigue?
- Obtén más información sobre las cuotas y los límites.