Augmentez le débit de création de certificats à l'aide de pools d'autorités de certification
Cette page explique comment augmenter le taux de création de certificats à l'aide d'un pool d'autorités de certification (CA). Pour en savoir plus sur les pools d'autorités de certification, consultez la page Présentation des pools d'autorités de certification.
Présentation
Le débit de création de certificat est mesuré en requêtes par seconde (RPS). Dans un maillage de services, le débit de création de certificat peut être estimé à l'aide de la formule suivante:
THROUGHPUT = (ACTIVE_WORKLOADS × ROTATION_FREQUENCY) + NEW_WORKLOADS_PER_SECOND
Remplacez les éléments suivants :
- ACTIVE_WORKLOADS: nombre total de charges de travail en cours d'exécution à un moment donné
- ROTATION_FREQUENCY: fréquence de rotation des certificats par seconde
- NEW_WORKLOADS_PER_SECOND: la vitesse à laquelle des charges de travail sont créées
Vous trouverez les valeurs de ACTIVE_WORKLOADS et NEW_WORKLOADS_PER_SECOND dans les tableaux de bord Google Kubernetes Engine de la console Google Cloud. Pour déterminer la valeur ROTATION_FREQUENCY d'un maillage de services, vous devez consulter la documentation de ce produit. La valeur ROTATION_FREQUENCY pour Cloud Service Mesh est définie par défaut sur une fois toutes les 12 heures, ce qui correspond à 1/(12 × 60 × 60) ou à 1/43 200 lorsqu'elle est convertie en fréquence de rotation par seconde.
Exemple
Prenons l'exemple d'un cluster relativement stable avec des charges de travail de longue durée et peu de charges de travail éphémères.
| Nom de la variable | Valeur | Description |
|---|---|---|
| ACTIVE_WORKLOADS | 10000 | 10 000 charges de travail doivent s'exécuter en même temps. |
| NEW_WORKLOADS_PER_SECOND | 1 | 1 charge de travail est créée chaque seconde. |
| ROTATION_FREQUENCY | 1/43200 | Les certificats sont alternés toutes les 12 heures. |
En remplaçant ces valeurs dans la formule de calcul du taux de création du certificat, on obtient une valeur RPS de 1,23.
Débit = (10 000 / 43 200) + 1 = 1,23 RPS
Un autre cluster avec des charges de travail plus éphémères et de plus courte durée peut présenter une valeur plus élevée pour NEW_WORKLOADS_PER_SECOND. Une valeur élevée de ROTATION_FREQUENCY rend la valeur de la fraction (ACTIVE_WORKLOADS / ROTATION_FREQUENCY) assez faible. NEW_WORKLOADS_PER_SECOND est donc la variable la plus importante de la formule.
Avant de commencer
Configurez un pool d'autorités de certification à l'emplacement requis. Pour obtenir la liste complète des zones, consultez la section Zones.
Si vous prévoyez d'émettre des certificats à un débit systématiquement élevé, nous vous recommandons de créer le pool d'autorités de certification au niveau DevOps. Cela permet d'améliorer les performances et de réduire les coûts. Il existe un débit maximal pour chaque autorité de certification individuelle d'un pool d'autorités de certification, ainsi qu'un débit effectif maximal réalisable pour un projet donné. Par exemple, si le débit maximal pour le niveau DevOps est de 25 RPS pour une autorité de certification et de 100 RPS pour un projet, vous devez créer quatre autorités de certification dans le pool d'autorités de certification pour atteindre un débit effectif total allant jusqu'à 100 RPS. Pour obtenir le nombre de RPS spécifique et en savoir plus sur les quotas, consultez la page Quotas et limites.
Procédure
Créez suffisamment d'autorités de certification au sein de votre pool d'autorités de certification pour atteindre les RPS requises. Le nombre requis d'autorités de certification est de quatre pour les pools d'autorités de certification du niveau DevOps et de 15 pour les pools d'autorités de certification du niveau Enterprise. L'ensemble d'instructions suivant s'applique à un pool d'autorités de certification au niveau DevOps:
Pour créer une autorité de certification racine portant le nom
root-1dans votre pool d'autorités de certification, utilisez la commandegcloudsuivante.gcloud privateca roots create root-1 --pool POOL_NAME --subject="CN=root-1,O=google"Le nombre total de RPS effectifs du pool d'autorités de certification à ce stade est de 25 RPS. Pour augmenter le nombre total de RPS effectifs du pool d'autorités de certification à 100 RPS, vous devez créer trois autorités de certification supplémentaires dans votre pool d'autorités de certification.
Pour créer une autorité de certification racine portant le nom
root-2, utilisez la commandegcloudsuivante.gcloud privateca roots create root-2 --pool POOL_NAME --subject="CN=root-2,O=google"Pour créer une autorité de certification racine portant le nom
root-3, utilisez la commandegcloudsuivante.gcloud privateca roots create root-3 --pool POOL_NAME --subject="CN=root-3,O=google"Pour créer une autorité de certification racine portant le nom
root-4, utilisez la commandegcloudsuivante.gcloud privateca roots create root-4 --pool POOL_NAME --subject="CN=root-4,O=google"À ce stade, le nombre de RPS effectifs total de votre pool d'autorités de certification est de 100 RPS.
Lorsque les autorités de certification sont à l'état
STAGED, créez et testez des certificats. Ensuite, activez les autorités de certification. Pour en savoir plus sur l'activation des autorités de certification, consultez Activer une autorité de certification. Pour en savoir plus sur le test des autorités de certification, consultez Tester une autorité de certification.Vérifiez l'état de votre pool d'autorités de certification en obtenant des rapports d'audit sur l'équilibrage de charge entre les autorités de certification. Idéalement, le nombre de certificats émis par chaque autorité de certification doit être uniforme.
Vous pouvez utiliser Cloud Monitoring pour surveiller les métriques d'équilibrage de charge de votre pool d'autorités de certification, telles que le nombre de certificats émis par autorité de certification sur une période donnée. Pour en savoir plus, consultez la page Surveiller les ressources à l'aide de Cloud Monitoring.
Étapes suivantes
- En savoir plus sur les quotas et limites