Questa pagina è stata tradotta dall'API Cloud Translation.

Aumentare il throughput di creazione dei certificati utilizzando i pool di CA

In questa pagina viene descritto come aumentare la velocità di creazione dei certificati utilizzando una pool di autorità di certificazione (CA). Per informazioni sui pool di CA, consulta la Panoramica dei pool di CA.

Panoramica

La velocità effettiva di creazione dei certificati viene misurata in query al secondo (QPS). In un mesh di servizi, la velocità effettiva di creazione dei certificati può essere approssimata utilizzando i seguenti formula:

THROUGHPUT = (ACTIVE_WORKLOADS × ROTATION_FREQUENCY) + NEW_WORKLOADS_PER_SECOND

Sostituisci quanto segue:

ACTIVE_WORKLOADS: il numero totale di carichi di lavoro in esecuzione in un determinato momento
ROTATION_FREQUENCY: la frequenza con cui i certificati vengono ruotati al secondo
NEW_WORKLOADS_PER_SECOND: la velocità con cui vengono creati nuovi carichi di lavoro

Puoi trovare i valori di ACTIVE_WORKLOADS e NEW_WORKLOADS_PER_SECOND nelle dashboard di Google Kubernetes Engine nella console Google Cloud. Per determinare ROTATION_FREQUENCY per un service mesh, devi consultare la documentazione del prodotto. La funzione ROTATION_FREQUENCY per Cloud Service Mesh il valore predefinito è una volta ogni 12 ore, ovvero 1/(12×60×60) oppure 1/43.200 se convertito in frequenza di rotazione al secondo.

Esempio

Prendiamo l'esempio di un cluster relativamente stabile con carichi di lavoro di lunga durata e pochi carichi di lavoro temporanei.

Nome variabile	Valore	Descrizione
ACTIVE_WORKLOADS	10000	Si prevede che 10.000 carichi di lavoro siano in esecuzione in un determinato momento.
NEW_WORKLOADS_PER_SECOND	1	Ogni secondo viene creato un nuovo carico di lavoro.
ROTATION_FREQUENCY	1/43200	I certificati vengono ruotati ogni 12 ore.

Sostituendo questi valori nella formula per il calcolo della frequenza di creazione dei certificati, si ottiene un valore QPS di 1,23.

Velocità effettiva = (10.000 / 43.200) + 1 = 1,23 QPS

Un cluster diverso con carichi di lavoro più temporanei e di breve durata potrebbe avere un valore più alto per NEW_WORKLOADS_PER_SECOND. Un valore elevato di ROTATION_FREQUENCY rende il valore della frazione (ACTIVE_WORKLOADS / ROTATION_FREQUENCY) piuttosto piccolo, rendendo NEW_WORKLOADS_PER_SECOND la variabile più importante della formula.

Prima di iniziare

Configura un pool di CA nel tuo posizione richiesta. Per l'elenco completo delle sedi, consulta la sezione Località.

Se prevedi di emettere certificati con una velocità effettiva costantemente elevata, consigliamo di creare il pool di CA nel livello DevOps, per consentire migliora le prestazioni e comporta costi inferiori. Esiste una velocità effettiva massima per ogni singola CA all'interno di un pool CA ed esiste una velocità effettiva massima raggiungibile per qualsiasi progetto. Ad esempio, se la velocità effettiva massima il livello DevOps è 25 QPS per una CA e 100 QPS per un progetto, Creare quattro CA all'interno del pool di CA per raggiungere una velocità effettiva effettiva totale fino a 100 QPS. Per numeri QPS specifici e ulteriori informazioni sulle quote, consulta Quote e limiti.

Procedura

Crea un numero sufficiente di CA all'interno del pool di CA per raggiungere il valore QPS richiesto. Il numero di CA richiesto è 4 per i pool di CA nei livelli DevOps e 15 per i pool di CA nel livello Enterprise. Il seguente insieme di istruzioni è per un pool di CA nel livello DevOps:
1. Per creare una CA radice con il nome root-1 nel pool di CA, utilizza il seguente comando gcloud.
```
 gcloud privateca roots create root-1 --pool POOL_NAME --subject="CN=root-1,O=google"
```
  Il QPS effettivo totale del pool di CA in questa fase è 25 QPS. Per aumentare il QPS effettivo totale del pool di CA a 100 QPS, devi creare altre 3 CA nel pool di CA.
2. Per creare una CA radice con il nome root-2, utilizza il seguente comando gcloud.
```
  gcloud privateca roots create root-2 --pool POOL_NAME --subject="CN=root-2,O=google"
```
3. Per creare una CA radice con il nome root-3, utilizza il seguente comando gcloud.
```
  gcloud privateca roots create root-3 --pool POOL_NAME --subject="CN=root-3,O=google"
```
4. Per creare una CA radice con il nome root-4, utilizza il seguente comando gcloud.
```
  gcloud privateca roots create root-4 --pool POOL_NAME --subject="CN=root-4,O=google"
```
  A questo punto, le QPS effettive totali del pool CA sono 100.
Mentre le CA si trovano nello stato STAGED, crea e testa i certificati. Al termine, abilita le CA. Per informazioni sull'attivazione delle CA, vedi Attivare una CA. Per informazioni su come testare le CA, vedi Eseguire il test di una CA.
Verifica l'integrità del pool di CA ricevendo report di controllo sul bilanciamento del carico tra le CA. Idealmente, il numero di certificati emessi da ogni CA dovrebbe essere uniforme.

Puoi utilizzare il monitoraggio di Cloud per monitorare le metriche di bilanciamento del carico del pool di CA, ad esempio il numero di certificati emessi per CA in un determinato periodo di tempo. Per ulteriori informazioni, consulta Monitorare le risorse utilizzando Cloud Monitoring.

Passaggi successivi

Scopri di più su quote e limiti.