Durchsatz bei der Zertifikatserstellung mit CA-Pools erhöhen
Auf dieser Seite wird beschrieben, wie Sie die Rate der Zertifikatserstellung mithilfe eines CA-Pool (Certificate Authority, CA). Informationen zu CA-Pools finden Sie unter Übersicht über CA-Pools.
Übersicht
Der Durchsatz bei der Zertifikatserstellung wird in Abfragen pro Sekunde (Queries per Second, QPS) gemessen. In einer Service Mesh kann der Durchsatz bei der Zertifikaterstellung mit folgendem Code geschätzt werden: Formel:
THROUGHPUT = (ACTIVE_WORKLOADS × ROTATION_FREQUENCY) + NEW_WORKLOADS_PER_SECOND
Ersetzen Sie Folgendes:
- ACTIVE_WORKLOADS: Die Gesamtzahl der Arbeitslasten, die zu einem bestimmten Zeitpunkt ausgeführt werden
- ROTATION_FREQUENCY: Die Häufigkeit, mit der die Zertifikate pro Sekunde rotiert werden
- NEW_WORKLOADS_PER_SECOND: Die Rate, mit der neue Arbeitslasten erstellt werden
Sie finden die Werte für ACTIVE_WORKLOADS und NEW_WORKLOADS_PER_SECOND, in der Google Kubernetes Engine Dashboards in der Google Cloud Console Um die ROTATION_FREQUENCY für ein Service Mesh zu ermitteln, müssen Sie muss in der Dokumentation des Service-Mesh-Produkts angegeben werden. Die ROTATION_FREQUENCY für Cloud Service Mesh: einmal alle 12 Stunden, was 1/(12 × 60 × 60) entspricht, oder 1/43200 bei Umrechnung in Rotationshäufigkeit pro Sekunde.
Beispiel
Betrachten Sie das Beispiel eines relativ stabilen Clusters mit langlebigen Arbeitslasten und wenigen sitzungsspezifischen Arbeitslasten.
| Variablenname | Wert | Beschreibung |
|---|---|---|
| ACTIVE_WORKLOADS | 10000 | Es wird erwartet,dass jeweils 10.000 Arbeitslasten ausgeführt werden. |
| NEW_WORKLOADS_PER_SECOND | 1 | Pro Sekunde wird 1 neue Arbeitslast erstellt. |
| ROTATION_FREQUENCY | 1/43200 | Die Zertifikate werden alle zwölf Stunden rotiert. |
Diese Werte in der Formel zur Berechnung der Zertifikaterstellung ersetzen ergibt einen QPS-Wert von 1,23.
Durchsatz = (10.000 / 43.200) + 1 = 1,23 Abfragen pro Sekunde
Ein anderer Cluster mit mehr sitzungsspezifischen Arbeitslasten und kürzeren Arbeitslasten möglicherweise einen höheren Wert für NEW_WORKLOADS_PER_SECOND. Ein hoher Wert von ROTATION_FREQUENCY macht den Wert des Bruchs (ACTIVE_WORKLOADS / ROTATION_FREQUENCY) relativ klein. Damit ist NEW_WORKLOADS_PER_SECOND am stärksten. Variable in der Formel.
Hinweise
Richten Sie einen Zertifizierungsstellenpool ein in Ihrem erforderlicher Standort. Eine vollständige Liste der Standorte finden Sie unter Standorte.
Wenn Sie Zertifikate mit einem konstant hohen Durchsatz ausstellen, empfehlen, den Zertifizierungsstellenpool in der DevOps-Stufe zu erstellen, verbesserte Leistung und verursacht geringere Kosten. Es gibt einen maximalen Durchsatz für jede einzelne Zertifizierungsstelle innerhalb eines CA-Pools. Es gibt ein möglichst effektives den Durchsatz für ein bestimmtes Projekt. Wenn beispielsweise der maximale Durchsatz für ist die DevOps-Stufe 25 Abfragen pro Sekunde für eine Zertifizierungsstelle und 100 Abfragen pro Sekunde für ein Projekt. Erstellen Sie 4 CAs im CA-Pool, um einen effektiven Gesamtdurchsatz von bis zu 100 Abfragen pro Sekunde. Spezifische QPS-Zahlen und weitere Informationen zu Kontingenten finden Sie unter Kontingente und Limits:
Prozedur
Erstellen Sie in Ihrem CA-Pool genügend CAs, um die erforderlichen Abfragen pro Sekunde zu erreichen. Die erforderliche Anzahl von CAs ist 4 für CA-Pools in den DevOps-Stufen und 15 für CA-Pools in der Enterprise-Stufe. Die folgende Anleitung gilt für einen Zertifizierungsstellenpool in der DevOps-Stufe:
Verwenden Sie den folgenden
gcloud-Befehl, um eine Root-Zertifizierungsstelle mit dem Namenroot-1in Ihrem Zertifizierungsstellenpool zu erstellen.gcloud privateca roots create root-1 --pool POOL_NAME --subject="CN=root-1,O=google"Die Gesamtzahl der Abfragen pro Sekunde des CA-Pools in dieser Phase beträgt 25 Abfragen pro Sekunde. Wenn Sie die Gesamtzahl der effektiven Abfragen pro Sekunde des CA-Pools auf 100 Abfragen pro Sekunde erhöhen möchten, müssen Sie drei weitere Zertifizierungsstellen in Ihrem CA-Pool erstellen.
Verwenden Sie den folgenden
gcloud-Befehl, um eine Root-Zertifizierungsstelle mit dem Namenroot-2zu erstellen.gcloud privateca roots create root-2 --pool POOL_NAME --subject="CN=root-2,O=google"Verwenden Sie den folgenden
gcloud-Befehl, um eine Root-Zertifizierungsstelle mit dem Namenroot-3zu erstellen.gcloud privateca roots create root-3 --pool POOL_NAME --subject="CN=root-3,O=google"Verwenden Sie den folgenden
gcloud-Befehl, um eine Root-Zertifizierungsstelle mit dem Namenroot-4zu erstellen.gcloud privateca roots create root-4 --pool POOL_NAME --subject="CN=root-4,O=google"In dieser Phase betragen die gesamten effektiven Abfragen pro Sekunde Ihres Zertifizierungsstellenpools 100 Abfragen pro Sekunde.
Erstellen und testen Sie Zertifikate, während Zertifizierungsstellen den Status
STAGEDhaben. Aktivieren Sie anschließend die Zertifizierungsstellen. Informationen zum Aktivieren von Zertifizierungsstellen finden Sie unter Zertifizierungsstelle aktivieren. Informationen zum Testen von Zertifizierungsstellen finden Sie unter Zertifizierungsstelle testen.Prüfen Sie den Zustand Ihres CA-Pools, indem Sie Prüfberichte zum Load-Balancing über CAs hinweg abrufen. Idealerweise sollte die Anzahl der von jeder Zertifizierungsstelle ausgestellten Zertifikate einheitlich sein.
Sie können Cloud Monitoring verwenden, um die Load-Balancing-Messwerte Ihres CA-Pools zu überwachen, z. B. die Anzahl der Zertifikate, die pro Zertifizierungsstelle in einem bestimmten Zeitraum ausgestellt wurden. Weitere Informationen Siehe Ressourcen mit Cloud Monitoring überwachen.