Durch CA-Pools den Durchsatz bei der Zertifikatserstellung erhöhen
Auf dieser Seite wird beschrieben, wie Sie die Rate der Zertifikatserstellung mithilfe eines CA-Pool (Certificate Authority, CA). Informationen zu CA-Pools finden Sie unter Übersicht über CA-Pools.
Übersicht
Der Durchsatz bei der Zertifikatserstellung wird in Abfragen pro Sekunde (Queries per Second, QPS) gemessen. In einer Service Mesh kann der Durchsatz bei der Zertifikatserstellung mit folgendem Code geschätzt werden: Formel:
THROUGHPUT = (ACTIVE_WORKLOADS × ROTATION_FREQUENCY) + NEW_WORKLOADS_PER_SECOND
Ersetzen Sie Folgendes:
- ACTIVE_WORKLOADS: Die Gesamtzahl der Arbeitslasten, die zu einem bestimmten Zeitpunkt ausgeführt werden
- ROTATION_FREQUENCY: Häufigkeit, mit der die Zertifikate pro Sekunde rotiert werden
- NEW_WORKLOADS_PER_SECOND: Die Rate, mit der neue Arbeitslasten erstellt werden
Die Werte für ACTIVE_WORKLOADS und NEW_WORKLOADS_PER_SECOND finden Sie in der Google Cloud Console in den Google Kubernetes Engine-Dashboards. Informationen zur Bestimmung der ROTATION_FREQUENCY für ein Service Mesh finden Sie in der Dokumentation des Service Mesh-Produkts. Die ROTATION_FREQUENCY für Cloud Service Mesh: einmal alle 12 Stunden, was 1/(12 × 60 × 60) entspricht, oder 1/43200 bei Umrechnung in Rotationshäufigkeit pro Sekunde.
Beispiel
Betrachten Sie als Beispiel einen relativ stabilen Cluster mit langlebigen Arbeitslasten und wenigen sitzungsspezifischen Arbeitslasten.
| Variablenname | Wert | Beschreibung |
|---|---|---|
| ACTIVE_WORKLOADS | 10000 | Es werden voraussichtlich 10.000 Arbeitslasten gleichzeitig ausgeführt. |
| NEW_WORKLOADS_PER_SECOND | 1 | Alle 2 Sekunden wird eine neue Arbeitslast erstellt. |
| ROTATION_FREQUENCY | 1/43200 | Die Zertifikate werden alle zwölf Stunden rotiert. |
Diese Werte in der Formel zur Berechnung der Zertifikaterstellung ersetzen ergibt einen QPS-Wert von 1,23.
Durchsatz = (10.000 ÷ 43.200) + 1 = 1,23 Abfragen pro Sekunde
Ein anderer Cluster mit mehr sitzungsspezifischen Arbeitslasten und kürzeren Arbeitslasten möglicherweise einen höheren Wert für NEW_WORKLOADS_PER_SECOND. Ein hoher Wert von ROTATION_FREQUENCY macht den Wert des Bruchs (ACTIVE_WORKLOADS / ROTATION_FREQUENCY) relativ klein, wodurch sich NEW_WORKLOADS_PER_SECOND am meisten Variable in der Formel.
Hinweise
Richten Sie einen Zertifizierungsstellenpool ein in Ihrem erforderlicher Standort. Eine vollständige Liste der Standorte finden Sie unter Standorte.
Wenn Sie davon ausgehen, dass Sie Zertifikate mit einem konstant hohen Durchsatz ausstellen, empfehlen wir, den CA-Pool in der DevOps-Ebene zu erstellen. Dies ermöglicht eine bessere Leistung und verursacht geringere Kosten. Für jede einzelne CA in einem CA-Pool gibt es einen maximalen Durchsatz und für jedes Projekt einen maximal erreichbaren effektiven Durchsatz. Wenn der maximale Durchsatz für die DevOps-Ebene beispielsweise 25 Abfragen pro Sekunde für einen CA und 100 Abfragen pro Sekunde für ein Projekt beträgt, müssen Sie vier CAs im CA-Pool erstellen, um einen effektiven Gesamtdurchsatz von bis zu 100 Abfragen pro Sekunde zu erreichen. Bestimmte Werte für die Abfragerate pro Sekunde und weitere Informationen zu Kontingenten finden Sie unter Kontingente und Limits.
Prozedur
Erstellen Sie genügend CAs in Ihrem CA-Pool, um die erforderliche QPS zu erreichen. Die erforderliche Anzahl von CAs ist 4 für CA-Pools in den DevOps-Stufen und 15 für CA-Pools in der Enterprise-Stufe. Die folgende Anleitung gilt für einen CA-Pool in der DevOps-Stufe:
Verwenden Sie den folgenden
gcloud-Befehl, um eine Stamm-CA mit dem Namenroot-1in Ihrem CA-Pool zu erstellen.gcloud privateca roots create root-1 --pool POOL_NAME --subject="CN=root-1,O=google"Die Gesamtzahl der effektiven Abfragen pro Sekunde des CA-Pools beträgt in dieser Phase 25 Abfragen pro Sekunde. Wenn Sie die effektive Gesamtzahl der Abfragen pro Sekunde des CA-Pools auf 100 Abfragen pro Sekunde erhöhen möchten, müssen Sie drei weitere Zertifizierungsstellen in Ihrem CA-Pool erstellen.
Verwenden Sie den folgenden
gcloud-Befehl, um eine Root-Zertifizierungsstelle mit dem Namenroot-2zu erstellen.gcloud privateca roots create root-2 --pool POOL_NAME --subject="CN=root-2,O=google"Verwenden Sie den folgenden
gcloud-Befehl, um eine Root-Zertifizierungsstelle mit dem Namenroot-3zu erstellen.gcloud privateca roots create root-3 --pool POOL_NAME --subject="CN=root-3,O=google"Verwenden Sie den folgenden
gcloud-Befehl, um eine Stamm-CA mit dem Namenroot-4zu erstellen.gcloud privateca roots create root-4 --pool POOL_NAME --subject="CN=root-4,O=google"In dieser Phase betragen die gesamten effektiven Abfragen pro Sekunde Ihres Zertifizierungsstellenpools 100 Abfragen pro Sekunde.
Erstellen und testen Sie Zertifikate, während sich die Zertifizierungsstellen im Status
STAGEDbefinden. Aktivieren Sie dann die Zertifizierungsstellen. Informationen zum Aktivieren von Zertifizierungsstellen finden Sie unter Zertifizierungsstelle aktivieren. Informationen zum Testen von Zertifizierungsstellen finden Sie unter Zertifizierungsstelle testen.Prüfen Sie den Status Ihres CA-Pools, indem Sie Prüfberichte zum Load Balancing über CAs abrufen. Im Idealfall sollte die Anzahl der von jeder Zertifizierungsstelle ausgestellten Zertifikate einheitlich sein.
Mit Cloud Monitoring können Sie die Load Balancing-Messwerte Ihres CA-Pools überwachen, z. B. die Anzahl der pro CA in einem bestimmten Zeitraum ausgestellten Zertifikate. Weitere Informationen Siehe Ressourcen mit Cloud Monitoring überwachen.