Durchsatz bei der Zertifikatserstellung mit CA-Pools erhöhen
Auf dieser Seite wird beschrieben, wie Sie die Rate der Zertifikatserstellung mithilfe eines CA-Pools erhöhen können. Informationen zu CA-Pools finden Sie unter Übersicht über CA-Pools.
Überblick
Der Durchsatz bei der Zertifikatserstellung wird in Abfragen pro Sekunde (Queries per Second, QPS) gemessen. In einem Service Mesh kann der Durchsatz bei der Zertifikaterstellung mit der folgenden Formel angenähert werden:
THROUGHPUT = (ACTIVE_WORKLOADS × ROTATION_FREQUENCY) + NEW_WORKLOADS_PER_SECOND
Ersetzen Sie Folgendes:
- ACTIVE_WORKLOADS: Die Gesamtzahl der Arbeitslasten, die zu einem bestimmten Zeitpunkt ausgeführt werden
- ROTATION_FREQUENCY: Die Häufigkeit, mit der die Zertifikate pro Sekunde rotiert werden
- NEW_WORKLOADS_PER_SECOND: Die Rate, mit der neue Arbeitslasten erstellt werden
Die Werte für ACTIVE_WORKLOADS und NEW_WORKLOADS_PER_SECOND finden Sie in den Google Kubernetes Engine-Dashboards in der Google Cloud Console. Informationen zum Ermitteln von ROTATION_FREQUENCY für ein Service Mesh finden Sie in der Dokumentation des Service Mesh-Produkts. ROTATION_FREQUENCY für Cloud Service Mesh ist standardmäßig einmal alle 12 Stunden, also 1/(12 × 60 × 60) oder 1/43200, wenn es in die Rotationshäufigkeit pro Sekunde umgewandelt wird.
Beispiel
Betrachten Sie das Beispiel eines relativ stabilen Clusters mit langlebigen Arbeitslasten und wenigen sitzungsspezifischen Arbeitslasten.
| Variablenname | Wert | Beschreibung |
|---|---|---|
| ACTIVE_WORKLOADS | 10.000 | Es wird erwartet,dass jeweils 10.000 Arbeitslasten ausgeführt werden. |
| NEW_WORKLOADS_PER_SECOND | 1 | Pro Sekunde wird 1 neue Arbeitslast erstellt. |
| ROTATION_FREQUENCY | 1/43200 | Die Zertifikate werden alle zwölf Stunden rotiert. |
Werden diese Werte in der Formel zur Berechnung der Zertifikaterstellungsrate eingesetzt, ergibt sich ein QPS-Wert von 1,23.
Durchsatz = (10.000 / 43.200) + 1 = 1,23 Abfragen pro Sekunde
Ein anderer Cluster mit mehr sitzungsspezifischen Arbeitslasten und kürzeren Arbeitslasten hat möglicherweise einen höheren Wert für NEW_WORKLOADS_PER_SECOND. Ein hoher Wert von ROTATION_FREQUENCY macht den Wert des Bruchteils (ACTIVE_WORKLOADS / ROTATION_FREQUENCY) recht klein. Dadurch wird NEW_WORKLOADS_PER_SECOND zur wichtigsten Variable in der Formel.
Hinweise
Richten Sie einen Zertifizierungsstellenpool am gewünschten Standort ein. Eine vollständige Liste der Standorte finden Sie unter Standorte.
Wenn Sie Zertifikate mit einem konstant hohen Durchsatz ausstellen, empfehlen wir, den CA-Pool in der DevOps-Stufe zu erstellen. Dies ermöglicht eine verbesserte Leistung und verursacht niedrigere Kosten. Für jede einzelne Zertifizierungsstelle innerhalb eines CA-Pools gibt es einen maximalen Durchsatz und für jedes Projekt einen maximal erreichbaren effektiven Durchsatz. Wenn der maximale Durchsatz für die DevOps-Stufe beispielsweise 25 Abfragen pro Sekunde für eine Zertifizierungsstelle und 100 Abfragen pro Sekunde für ein Projekt beträgt, müssen Sie 4 CAs im CA-Pool erstellen, um einen effektiven Gesamtdurchsatz von bis zu 100 Abfragen pro Sekunde zu erreichen. Informationen zu bestimmten Abfragen pro Sekunde und weitere Informationen zu Kontingenten finden Sie unter Kontingente und Limits.
Prozedur
Erstellen Sie in Ihrem CA-Pool genügend CAs, um die erforderlichen Abfragen pro Sekunde zu erreichen. Die erforderliche Anzahl von CAs ist 4 für CA-Pools in den DevOps-Stufen und 15 für CA-Pools in der Enterprise-Stufe. Die folgende Anleitung gilt für einen Zertifizierungsstellenpool in der DevOps-Stufe:
Verwenden Sie den folgenden
gcloud-Befehl, um eine Root-Zertifizierungsstelle mit dem Namenroot-1in Ihrem Zertifizierungsstellenpool zu erstellen.gcloud privateca roots create root-1 --pool POOL_NAME --subject="CN=root-1,O=google"Die Gesamtzahl der Abfragen pro Sekunde des CA-Pools in dieser Phase beträgt 25 Abfragen pro Sekunde. Wenn Sie die Gesamtzahl der effektiven Abfragen pro Sekunde des CA-Pools auf 100 Abfragen pro Sekunde erhöhen möchten, müssen Sie drei weitere Zertifizierungsstellen in Ihrem CA-Pool erstellen.
Verwenden Sie den folgenden
gcloud-Befehl, um eine Root-Zertifizierungsstelle mit dem Namenroot-2zu erstellen.gcloud privateca roots create root-2 --pool POOL_NAME --subject="CN=root-2,O=google"Verwenden Sie den folgenden
gcloud-Befehl, um eine Root-Zertifizierungsstelle mit dem Namenroot-3zu erstellen.gcloud privateca roots create root-3 --pool POOL_NAME --subject="CN=root-3,O=google"Verwenden Sie den folgenden
gcloud-Befehl, um eine Root-Zertifizierungsstelle mit dem Namenroot-4zu erstellen.gcloud privateca roots create root-4 --pool POOL_NAME --subject="CN=root-4,O=google"In dieser Phase betragen die gesamten effektiven Abfragen pro Sekunde Ihres Zertifizierungsstellenpools 100 Abfragen pro Sekunde.
Erstellen und testen Sie Zertifikate, während Zertifizierungsstellen den Status
STAGEDhaben. Aktivieren Sie anschließend die Zertifizierungsstellen. Informationen zum Aktivieren von Zertifizierungsstellen finden Sie unter Zertifizierungsstelle aktivieren. Informationen zum Testen von Zertifizierungsstellen finden Sie unter Zertifizierungsstelle testen.Prüfen Sie den Zustand Ihres CA-Pools, indem Sie Prüfberichte zum Load-Balancing über CAs hinweg abrufen. Idealerweise sollte die Anzahl der von jeder Zertifizierungsstelle ausgestellten Zertifikate einheitlich sein.
Sie können Cloud Monitoring verwenden, um die Load-Balancing-Messwerte Ihres CA-Pools zu überwachen, z. B. die Anzahl der Zertifikate, die pro Zertifizierungsstelle in einem bestimmten Zeitraum ausgestellt wurden. Weitere Informationen finden Sie unter Ressourcen mit Cloud Monitoring überwachen.