Durch CA-Pools den Durchsatz bei der Zertifikatserstellung erhöhen
Auf dieser Seite wird beschrieben, wie Sie die Rate der Zertifikatserstellung mithilfe eines Zertifizierungsstellenpools erhöhen können. Informationen zu CA-Pools finden Sie unter CA-Pools – Übersicht.
Übersicht
Der Durchsatz für die Zertifikaterstellung wird in Abfragen pro Sekunde (QPS) gemessen. In einem Service Mesh kann der Durchsatz bei der Zertifikaterstellung mit der folgenden Formel angenähert werden:
THROUGHPUT = (ACTIVE_WORKLOADS × ROTATION_FREQUENCY) + NEW_WORKLOADS_PER_SECOND
Ersetzen Sie Folgendes:
- ACTIVE_WORKLOADS: Die Gesamtzahl der Arbeitslasten, die zu einem bestimmten Zeitpunkt ausgeführt werden.
- ROTATION_FREQUENCY: Häufigkeit, mit der die Zertifikate pro Sekunde rotiert werden
- NEW_WORKLOADS_PER_SECOND: Die Rate, mit der neue Arbeitslasten erstellt werden.
Die Werte für ACTIVE_WORKLOADS und NEW_WORKLOADS_PER_SECOND finden Sie in der Google Cloud Console in den Google Kubernetes Engine-Dashboards. Informationen zur Bestimmung der ROTATION_FREQUENCY für ein Service Mesh finden Sie in der Dokumentation des Service Mesh-Produkts. Die Standardeinstellung für ROTATION_FREQUENCY für Cloud Service Mesh ist alle 12 Stunden, was 1 ÷ (12 × 60 × 60) oder 1 ÷ 43.200 entspricht, wenn in die Rotationsfrequenz pro Sekunde umgewandelt.
Beispiel
Betrachten Sie als Beispiel einen relativ stabilen Cluster mit langlebigen Arbeitslasten und wenigen sitzungsspezifischen Arbeitslasten.
| Variablenname | Wert | Beschreibung |
|---|---|---|
| ACTIVE_WORKLOADS | 10000 | Es werden voraussichtlich 10.000 Arbeitslasten ausgeführt. |
| NEW_WORKLOADS_PER_SECOND | 1 | Alle 2 Sekunden wird eine neue Arbeitslast erstellt. |
| ROTATION_FREQUENCY | 1/43.200 | Die Zertifikate werden alle 12 Stunden rotiert. |
Wenn Sie diese Werte in die Formel zur Berechnung der Rate der Zertifikaterstellung einfügen, ergibt sich ein Wert von 1,23 Anfragen pro Sekunde.
Durchsatz = (10.000 ÷ 43.200) + 1 = 1,23 Abfragen pro Sekunde
Ein anderer Cluster mit mehr sitzungsspezifischen Arbeitslasten und kürzeren Lebensdauern hat möglicherweise einen höheren Wert für NEW_WORKLOADS_PER_SECOND. Bei einem hohen Wert für ROTATION_FREQUENCY ist der Wert des Bruchs (ACTIVE_WORKLOADS ÷ ROTATION_FREQUENCY) relativ klein. Daher ist NEW_WORKLOADS_PER_SECOND die wichtigste Variable in der Formel.
Hinweise
Richten Sie einen CA-Pool an dem erforderlichen Standort ein. Eine vollständige Liste der Standorte finden Sie unter Standorte.
Wenn Sie erwarten, dass Sie Zertifikate mit einem konstant hohen Durchsatz ausstellen, empfehlen wir Ihnen, den CA-Pool in der DevOps-Ebene zu erstellen. Dies ermöglicht eine bessere Leistung und verursacht geringere Kosten. Für jede einzelne CA in einem CA-Pool gibt es einen maximalen Durchsatz und für jedes Projekt einen maximal erreichbaren effektiven Durchsatz. Wenn der maximale Durchsatz für die DevOps-Ebene beispielsweise 25 Abfragen pro Sekunde für einen CA und 100 Abfragen pro Sekunde für ein Projekt beträgt, müssen Sie vier CAs im CA-Pool erstellen, um einen effektiven Gesamtdurchsatz von bis zu 100 Abfragen pro Sekunde zu erreichen. Bestimmte Werte für die Abfragerate pro Sekunde und weitere Informationen zu Kontingenten finden Sie unter Kontingente und Limits.
Prozedur
Erstellen Sie genügend CAs in Ihrem CA-Pool, um die erforderliche QPS zu erreichen. Die erforderliche Anzahl von CAs beträgt 4 für CA-Pools in den DevOps-Stufen und 15 für CA-Pools in der Enterprise-Stufe. Die folgende Anleitung gilt für einen CA-Pool in der DevOps-Stufe:
Verwenden Sie den folgenden
gcloud-Befehl, um eine Stamm-CA mit dem Namenroot-1in Ihrem CA-Pool zu erstellen.gcloud privateca roots create root-1 --pool POOL_NAME --subject="CN=root-1,O=google"Die Gesamtzahl der effektiven Abfragen pro Sekunde des CA-Pools beträgt in dieser Phase 25 Abfragen pro Sekunde. Wenn Sie die effektive Gesamtzahl der Abfragen pro Sekunde des CA-Pools auf 100 Abfragen pro Sekunde erhöhen möchten, müssen Sie drei weitere Zertifizierungsstellen in Ihrem CA-Pool erstellen.
Verwenden Sie den folgenden
gcloud-Befehl, um eine Stamm-CA mit dem Namenroot-2zu erstellen.gcloud privateca roots create root-2 --pool POOL_NAME --subject="CN=root-2,O=google"Verwenden Sie den folgenden
gcloud-Befehl, um eine Stamm-CA mit dem Namenroot-3zu erstellen.gcloud privateca roots create root-3 --pool POOL_NAME --subject="CN=root-3,O=google"Verwenden Sie den folgenden
gcloud-Befehl, um eine Stamm-CA mit dem Namenroot-4zu erstellen.gcloud privateca roots create root-4 --pool POOL_NAME --subject="CN=root-4,O=google"In dieser Phase beträgt die effektive Gesamtzahl der Abfragen pro Sekunde Ihres CA-Pools 100 Abfragen pro Sekunde.
Erstellen und testen Sie Zertifikate, während sich die Zertifizierungsstellen im Status
STAGEDbefinden. Aktivieren Sie dann die Zertifizierungsstellen. Informationen zum Aktivieren von Zertifizierungsstellen finden Sie unter Zertifizierungsstelle aktivieren. Informationen zum Testen von Zertifizierungsstellen finden Sie unter Zertifizierungsstelle testen.Prüfen Sie den Status Ihres CA-Pools, indem Sie Prüfberichte zum Load Balancing über CAs abrufen. Idealerweise sollte die Anzahl der von jeder Zertifizierungsstelle ausgestellten Zertifikate einheitlich sein.
Mit Cloud Monitoring können Sie die Load Balancing-Messwerte Ihres CA-Pools überwachen, z. B. die Anzahl der pro CA in einem bestimmten Zeitraum ausgestellten Zertifikate. Weitere Informationen finden Sie unter Ressourcen mit Cloud Monitoring überwachen.