Questa pagina è stata tradotta dall'API Cloud Translation.

Aumentare la velocità effettiva di creazione dei certificati utilizzando i pool di CA

In questa pagina viene descritto come aumentare la frequenza di creazione dei certificati utilizzando un pool di autorità di certificazione (CA). Per informazioni sui pool di CA, consulta Panoramica dei pool di CA.

Panoramica

La velocità effettiva di creazione dei certificati viene misurata in query al secondo (QPS). In un mesh di servizi, la velocità effettiva di creazione dei certificati può essere approssimata utilizzando la seguente formula:

THROUGHPUT = (ACTIVE_WORKLOADS × ROTATION_FREQUENCY) + NEW_WORKLOADS_PER_SECOND

Sostituisci quanto segue:

ACTIVE_WORKLOADS: il numero totale di carichi di lavoro in esecuzione in un determinato momento
ROTATION_FREQUENCY: la frequenza con cui i certificati vengono ruotati al secondo
NEW_WORKLOADS_PER_SECOND: la velocità con cui vengono creati nuovi carichi di lavoro

Puoi trovare i valori per ACTIVE_WORKLOADS e NEW_WORKLOADS_PER_SECOND, nelle dashboard di Google Kubernetes Engine nella console Google Cloud. Per determinare il valore ROTATION_FREQUENCY di un mesh di servizi, devi fare riferimento alla documentazione del prodotto mesh di servizi. Il valore ROTATION_FREQUENCY per Cloud Service Mesh è impostato in modo predefinito una volta ogni 12 ore, ovvero 1/(12×60×60) o 1/43200 se convertito in frequenza di rotazione al secondo.

Esempio

Considera l'esempio di un cluster relativamente stabile con carichi di lavoro a lunga durata e pochi carichi di lavoro temporanei.

Nome variabile	Valore	Descrizione
ACTIVE_WORKLOADS	10000	Si prevede che in un dato momento siano in esecuzione 10.000 carichi di lavoro.
NEW_WORKLOADS_PER_SECOND	1	Ogni secondo viene creato un nuovo carico di lavoro.
ROTATION_FREQUENCY	1/43.200	I certificati ruotano ogni 12 ore.

Se sostituisci questi valori nella formula per calcolare il tasso di creazione dei certificati, si ottiene un valore QPS pari a 1,23.

Velocità effettiva = (10.000 / 43.200) + 1 = 1,23 QPS

Un cluster diverso con carichi di lavoro più temporanei e di breve durata potrebbe avere un valore più elevato per NEW_WORKLOADS_PER_SECOND. Un valore elevato di ROTATION_FREQUENCY rende il valore della frazione (ACTIVE_WORKLOADS / ROTATION_FREQUENCY) piuttosto ridotto, rendendo NEW_WORKLOADS_PER_SECOND la variabile più importante nella formula.

Prima di iniziare

Configura un pool di CA nella località richiesta. Per l'elenco completo delle sedi, consulta la sezione Località.

Se prevedi di emettere certificati con una velocità effettiva costantemente elevata, ti consigliamo di creare il pool di CA nel livello DevOps, per migliorare le prestazioni e ridurre i costi. Esiste una velocità effettiva massima per ogni singola CA all'interno di un pool di CA e una velocità effettiva effettiva massima ottenibile per ogni progetto. Ad esempio, se la velocità effettiva massima per il livello DevOps è di 25 QPS per una CA e di 100 QPS per un progetto, devi creare 4 CA all'interno del pool di CA per raggiungere una velocità effettiva effettiva totale fino a 100 QPS. Per numeri QPS specifici e ulteriori informazioni sulle quote, consulta Quote e limiti.

Procedura

Crea un numero sufficiente di CA all'interno del pool di CA per ottenere il valore QPS richiesto. Il numero di CA richiesto è 4 per i pool di CA nei livelli DevOps e 15 per i pool di CA nel livello Enterprise. Il seguente insieme di istruzioni riguarda un pool di CA nel livello DevOps:
1. Per creare una CA radice con il nome root-1 nel pool di CA, utilizza il seguente comando gcloud.
```
 gcloud privateca roots create root-1 --pool POOL_NAME --subject="CN=root-1,O=google"
```
  Il valore QPS effettivo totale del pool di CA in questa fase è 25 QPS. Per aumentare il valore QPS effettivo totale del pool di CA a 100 QPS, devi creare altre 3 CA nel pool di CA.
2. Per creare una CA radice con il nome root-2, utilizza il seguente comando gcloud.
```
  gcloud privateca roots create root-2 --pool POOL_NAME --subject="CN=root-2,O=google"
```
3. Per creare una CA radice con il nome root-3, utilizza il seguente comando gcloud.
```
  gcloud privateca roots create root-3 --pool POOL_NAME --subject="CN=root-3,O=google"
```
4. Per creare una CA radice con il nome root-4, utilizza il seguente comando gcloud.
```
  gcloud privateca roots create root-4 --pool POOL_NAME --subject="CN=root-4,O=google"
```
  In questa fase, il totale effettivo di QPS del pool di CA è 100 QPS.
Mentre le CA si trovano nello stato STAGED, crea e testa i certificati. Al termine, abilita le CA. Per informazioni sull'abilitazione delle CA, vedi Attivare una CA. Per informazioni sui test delle CA, consulta Testare una CA.
Verifica l'integrità del pool di CA ricevendo report di controllo sul bilanciamento del carico tra le CA. Idealmente, il numero di certificati emessi da ogni CA dovrebbe essere uniforme.

Puoi utilizzare Cloud Monitoring per monitorare le metriche di bilanciamento del carico del pool di CA, ad esempio il numero di certificati emessi per CA in un determinato periodo di tempo. Per ulteriori informazioni, consulta Monitorare le risorse utilizzando Cloud Monitoring.

Passaggi successivi

Scopri di più su quote e limiti.