Augmenter le débit de création de certificats à l'aide de pools d'autorités de certification
Cette page explique comment augmenter le taux de création de certificats à l'aide d'un pool d'autorités de certification. Pour en savoir plus sur les pools d'autorités de certification, consultez la page Présentation des pools d'autorités de certification.
Présentation
Le débit de création du certificat est mesuré en requêtes par seconde (RPS). Dans un maillage de services, le débit de création de certificats peut être estimé à l'aide de la formule suivante:
THROUGHPUT = (ACTIVE_WORKLOADS × ROTATION_FREQUENCY) + NEW_WORKLOADS_PER_SECOND
Remplacez les éléments suivants :
- ACTIVE_WORKLOADS: nombre total de charges de travail en cours d'exécution à un moment donné
- ROTATION_FREQUENCY: fréquence à laquelle les certificats sont alternés par seconde
- NEW_WORKLOADS_PER_SECOND: taux de création des charges de travail
Vous pouvez trouver les valeurs de ACTIVE_WORKLOADS et NEW_WORKLOADS_PER_SECOND dans les tableaux de bord de Google Kubernetes Engine dans la console Google Cloud. Pour déterminer la valeur ROTATION_FREQUENCY d'un maillage de services, vous devez consulter la documentation du produit de maillage de services. La valeur ROTATION_FREQUENCY pour Cloud Service Mesh est définie par défaut sur une fois toutes les 12 heures, soit 1/(12 × 60 × 60) ou 1/43 200 en cas de conversion en fréquence de rotation par seconde.
Exemple
Prenons l'exemple d'un cluster relativement stable avec des charges de travail de longue durée et peu de charges de travail éphémères.
| Nom de la variable | Valeur | Description |
|---|---|---|
| ACTIVE_WORKLOADS | 10000 | 10 000 charges de travail sont censées s'exécuter en même temps. |
| NEW_WORKLOADS_PER_SECOND | 1 | Une charge de travail est créée chaque seconde. |
| ROTATION_FREQUENCY | 1/43200 | Les certificats changent toutes les 12 heures. |
En remplaçant ces valeurs dans la formule de calcul du taux de création de certificats, vous obtenez une valeur de RPS de 1,23.
Débit = (10 000 / 43 200) + 1 = 1,23 RPS
Un cluster différent avec des charges de travail plus éphémères et des charges de travail plus courtes peut avoir une valeur plus élevée pour NEW_WORKLOADS_PER_SECOND. Une valeur élevée de ROTATION_FREQUENCY rend la valeur de la fraction (ACTIVE_WORKLOADS / ROTATION_FREQUENCY) assez faible. NEW_WORKLOADS_PER_SECOND est donc la variable la plus importante de la formule.
Avant de commencer
Configurez un pool d'autorités de certification à l'emplacement requis. Pour obtenir la liste complète des emplacements, consultez Emplacements.
Si vous prévoyez d'émettre des certificats à un débit constamment élevé, nous vous recommandons de créer le pool d'autorités de certification au niveau DevOps, ce qui permet d'améliorer les performances et de réduire les coûts. Il existe un débit maximal pour chaque autorité de certification individuelle au sein d'un pool d'autorités de certification, et un débit effectif maximal atteignable pour un projet donné. Par exemple, si le débit maximal pour le niveau DevOps est de 25 RPS pour une autorité de certification et de 100 RPS pour un projet, vous devez créer quatre autorités de certification dans le pool d'autorités de certification pour atteindre un débit effectif total pouvant atteindre 100 RPS. Pour connaître le nombre de RPS spécifique et obtenir plus d'informations sur les quotas, consultez la page Quotas et limites.
Procédure
Créez suffisamment d'autorités de certification dans votre pool d'autorités de certification pour atteindre le nombre de RPS requis. Le nombre requis d'autorités de certification est de quatre au niveau du DevOps et de 15 au niveau Entreprise. L'ensemble d'instructions suivant s'applique à un pool d'autorités de certification de niveau DevOps:
Pour créer une autorité de certification racine portant le nom
root-1dans votre pool d'autorités de certification, utilisez la commandegcloudsuivante.gcloud privateca roots create root-1 --pool POOL_NAME --subject="CN=root-1,O=google"À ce stade, le nombre total de RPS effectifs du pool d'autorités de certification est de 25 RPS. Pour faire passer le nombre total de RPS effectifs du pool d'autorités de certification à 100, vous devez créer trois CA supplémentaires dans votre pool d'autorités de certification.
Pour créer une autorité de certification racine nommée
root-2, utilisez la commandegcloudsuivante.gcloud privateca roots create root-2 --pool POOL_NAME --subject="CN=root-2,O=google"Pour créer une autorité de certification racine nommée
root-3, utilisez la commandegcloudsuivante.gcloud privateca roots create root-3 --pool POOL_NAME --subject="CN=root-3,O=google"Pour créer une autorité de certification racine nommée
root-4, utilisez la commandegcloudsuivante.gcloud privateca roots create root-4 --pool POOL_NAME --subject="CN=root-4,O=google"À ce stade, le nombre total de RPS effectifs de votre pool d'autorités de certification est de 100 RPS.
Tant que les autorités de certification sont à l'état
STAGED, créez et testez des certificats. Ensuite, activez les autorités de certification. Pour en savoir plus sur l'activation des autorités de certification, consultez la section Activer une autorité de certification. Pour en savoir plus sur le test des autorités de certification, consultez Tester une autorité de certification.Vérifiez l'état de votre pool d'autorités de certification à l'aide de rapports d'audit sur l'équilibrage de charge entre les autorités de certification. Idéalement, le nombre de certificats émis par chaque autorité de certification devrait être uniforme.
Vous pouvez utiliser Cloud Monitoring pour surveiller les métriques d'équilibrage de charge de votre pool d'autorités de certification, telles que le nombre de certificats émis par autorité de certification sur une période donnée. Pour en savoir plus, consultez la page Surveiller les ressources à l'aide de Cloud Monitoring.
Étapes suivantes
- En savoir plus sur les quotas et limites