Meningkatkan throughput pembuatan sertifikat menggunakan kumpulan CA

Halaman ini menjelaskan cara meningkatkan kecepatan pembuatan sertifikat menggunakan kumpulan certificate authority (CA). Untuk informasi tentang kumpulan CA, lihat Ringkasan kumpulan CA.

Ringkasan

Throughput pembuatan sertifikat diukur dalam kueri per detik (QPS). Dalam mesh layanan, throughput pembuatan sertifikat dapat diperkirakan menggunakan formula berikut:

THROUGHPUT = (ACTIVE_WORKLOADS × ROTATION_FREQUENCY) + NEW_WORKLOADS_PER_SECOND

Ganti kode berikut:

  • ACTIVE_WORKLOADS: jumlah total workload yang berjalan pada waktu tertentu
  • ROTATION_FREQUENCY: frekuensi rotasi sertifikat per detik
  • NEW_WORKLOADS_PER_SECOND: kecepatan pembuatan workload baru

Anda dapat menemukan nilai untuk ACTIVE_WORKLOADS dan NEW_WORKLOADS_PER_SECOND, di dasbor Google Kubernetes Engine di Konsol Google Cloud. Untuk menentukan ROTATION_FREQUENCY untuk mesh layanan, Anda harus melihat dokumentasi produk mesh layanan. ROTATION_FREQUENCY untuk Cloud Service Mesh ditetapkan secara default ke sekali setiap 12 jam, yaitu 1/(12×60×60) atau 1/43200 saat dikonversi menjadi frekuensi rotasi per detik.

Contoh

Pertimbangkan contoh cluster yang relatif stabil dengan beban kerja yang berumur panjang dan beberapa beban kerja sementara.

Nama variabel Nilai Deskripsi
ACTIVE_WORKLOADS 10000 10.000 workload diperkirakan akan berjalan pada waktu tertentu.
NEW_WORKLOADS_PER_SECOND 1 1 beban kerja baru dibuat setiap detik.
ROTATION_FREQUENCY 1/43200 Sertifikat dirotasi setiap 12 jam.

Dengan mengganti nilai ini dalam formula untuk menghitung rasio pembuatan sertifikat, nilai QPS akan menjadi 1,23.

Throughput = (10.000 / 43.200) + 1 = 1,23 QPS

Cluster lain dengan lebih banyak workload sementara dan workload dengan masa aktif lebih singkat mungkin memiliki nilai yang lebih tinggi untuk NEW_WORKLOADS_PER_SECOND. Nilai tinggi ROTATION_FREQUENCY membuat nilai fraksi (ACTIVE_WORKLOADS / ROTATION_FREQUENCY) cukup kecil, sehingga NEW_WORKLOADS_PER_SECOND menjadi variabel yang paling penting dalam formula.

Sebelum memulai

Siapkan kumpulan CA di lokasi yang diperlukan. Untuk mengetahui daftar lengkap lokasi, lihat Lokasi.

Jika Anda ingin menerbitkan sertifikat dengan throughput yang tinggi secara konsisten, sebaiknya buat kumpulan CA di tingkat DevOps, yang memungkinkan performa yang lebih baik dan biaya yang lebih rendah. Ada throughput maksimum untuk setiap CA dalam CA Pool, dan ada throughput efektif maksimum yang dapat dicapai untuk project tertentu. Misalnya, jika throughput maksimum untuk tingkat DevOps adalah 25 QPS untuk CA dan 100 QPS untuk project, Anda harus membuat 4 CA dalam kumpulan CA untuk mencapai total throughput efektif hingga 100 QPS. Untuk mengetahui jumlah QPS tertentu dan informasi selengkapnya tentang kuota, lihat Kuota dan batas.

Prosedur

  1. Buat CA yang cukup dalam kumpulan CA Anda untuk mencapai QPS yang diperlukan. Jumlah CA yang diperlukan adalah 4 untuk kumpulan CA di tingkat DevOps, dan 15 untuk kumpulan CA di tingkat Enterprise. Kumpulan petunjuk berikut ditujukan untuk kumpulan CA di tingkat DevOps:

    1. Untuk membuat CA root dengan nama root-1 di kumpulan CA, gunakan perintah gcloud berikut.

       gcloud privateca roots create root-1 --pool POOL_NAME --subject="CN=root-1,O=google"

      Total QPS efektif kumpulan CA pada tahap ini adalah 25 QPS. Untuk meningkatkan total QPS efektif kumpulan CA menjadi 100 QPS, Anda harus membuat 3 CA lagi di kumpulan CA.

    2. Untuk membuat CA root dengan nama root-2, gunakan perintah gcloud berikut.

        gcloud privateca roots create root-2 --pool POOL_NAME --subject="CN=root-2,O=google"

    3. Untuk membuat CA root dengan nama root-3, gunakan perintah gcloud berikut.

        gcloud privateca roots create root-3 --pool POOL_NAME --subject="CN=root-3,O=google"

    4. Untuk membuat CA root dengan nama root-4, gunakan perintah gcloud berikut.

        gcloud privateca roots create root-4 --pool POOL_NAME --subject="CN=root-4,O=google"

      Pada tahap ini, total QPS efektif kumpulan CA Anda adalah 100 QPS.

  2. Saat CA berada dalam status STAGED, buat dan uji sertifikat. Setelah selesai, aktifkan CA. Untuk informasi tentang cara mengaktifkan CA, lihat Mengaktifkan CA. Untuk informasi tentang cara menguji CA, lihat Menguji CA.

  3. Verifikasi status kumpulan CA Anda dengan mendapatkan laporan audit tentang load balancing di seluruh CA. Idealnya, jumlah sertifikat yang dikeluarkan oleh setiap CA harus seragam.

    Anda dapat menggunakan Cloud Monitoring untuk memantau metrik load balancing kumpulan CA, seperti jumlah sertifikat yang dikeluarkan per CA dalam jangka waktu tertentu. Untuk informasi selengkapnya, lihat Memantau resource menggunakan Cloud Monitoring.

Langkah selanjutnya