Durchsatz der Zertifikatserstellung mit CA-Pools erhöhen
Auf dieser Seite wird beschrieben, wie Sie die Zertifikatserstellungsrate mithilfe eines Zertifizierungsstellenpools (CA) erhöhen können. Informationen zu CA-Pools finden Sie unter Übersicht über CA-Pools.
Überblick
Der Durchsatz bei der Zertifikatserstellung wird in Abfragen pro Sekunde gemessen. In einem Service Mesh kann der Durchsatz bei der Zertifikatserstellung mit der folgenden Formel geschätzt werden:
THROUGHPUT = (ACTIVE_WORKLOADS × ROTATION_FREQUENCY) + NEW_WORKLOADS_PER_SECOND
Ersetzen Sie Folgendes:
- ACTIVE_WORKLOADS: die Gesamtzahl der Arbeitslasten, die zu einem bestimmten Zeitpunkt ausgeführt werden
- ROTATION_FREQUENCY die Häufigkeit, mit der die Zertifikate pro Sekunde rotiert werden
- NEW_WORKLOADS_PER_SECOND: die Rate, mit der neue Arbeitslasten erstellt werden
Sie finden die Werte für ACTIVE_WORKLOADS und NEW_WORKLOADS_PER_SECOND in den Google Kubernetes Engine-Dashboards in der Google Cloud Console. Informationen zum Ermitteln von ROTATION_FREQUENCY für ein Service Mesh finden Sie in der Dokumentation des Service Mesh. ROTATION_FREQUENCY für Anthos Service Mesh wird standardmäßig einmal alle 12 Stunden verwendet. Dies entspricht 1/(12 × 60 × 60) oder 1/43200 bei der Umwandlung in die Rotationshäufigkeit pro Sekunde.
Beispiel
Nehmen wir das Beispiel eines relativ stabilen Clusters mit langlebigen Arbeitslasten und wenigen sitzungsspezifischen Arbeitslasten.
| Variablenname | Wert | Beschreibung |
|---|---|---|
| ACTIVE_WORKLOADS | 10.000 | Es wird erwartet,dass zu jeder Zeit 10.000 Arbeitslasten ausgeführt werden. |
| NEW_WORKLOADS_PER_SECOND | 1 | Pro Sekunde wird 1 neue Arbeitslast erstellt. |
| ROTATION_FREQUENCY | 1/43.200 | Die Zertifikate werden alle 12 Stunden rotiert. |
Wenn Sie diese Werte in der Formel zur Berechnung der Zertifikaterstellungsrate ersetzen, erhalten Sie einen QPS-Wert von 1,23.
Durchsatz = (10.000 ÷ 43.200) + 1 = 1,23 Abfragen pro Sekunde
Ein anderer Cluster mit mehr sitzungsspezifischen Arbeitslasten und kürzeren Arbeitslasten hat möglicherweise einen höheren Wert für NEW_WORKLOADS_PER_SECOND. Ein hoher Wert von ROTATION_FREQUENCY macht den Wert des Bruchs (ACTIVE_WORKLOADS / ROTATION_FREQUENCY) recht klein, sodass NEW_WORKLOADS_PER_SECOND die wichtigste Variable in der Formel ist.
Hinweise
Richten Sie einen Zertifizierungsstellenpool am erforderlichen Standort ein. Eine vollständige Liste der Standorte finden Sie unter Standorte.
Wenn Sie davon ausgehen, dass Zertifikate mit einem konstant hohen Durchsatz ausgestellt werden, empfehlen wir, den CA-Pool in der DevOps-Stufe zu erstellen. So können Sie die Leistung verbessern und die Kosten senken. Für jede einzelne Zertifizierungsstelle in einem CA-Pool gibt es einen maximalen Durchsatz und für jedes Projekt gibt es einen maximal erreichbaren effektiven Durchsatz. Wenn der maximale Durchsatz für die DevOps-Stufe beispielsweise 25 Abfragen pro Sekunde für eine Zertifizierungsstelle und 100 Abfragen pro Sekunde für ein Projekt beträgt, müssen Sie vier Zertifizierungsstellen im Zertifizierungsstellenpool erstellen, um einen effektiven Gesamtdurchsatz von bis zu 100 Abfragen pro Sekunde zu erreichen. Eine bestimmte Anzahl von Abfragen pro Sekunde und weitere Informationen zu Kontingenten finden Sie unter Kontingente und Limits.
Prozedur
Erstellen Sie genügend Zertifizierungsstellen in Ihrem CA-Pool, um die erforderliche Anzahl von Abfragen pro Sekunde zu erreichen. Die erforderliche Anzahl von Zertifizierungsstellen ist 4 für CA-Pools in der DevOps-Stufe und 15 für CA-Pools in der Enterprise-Stufe. Die folgende Anleitung gilt für einen Zertifizierungsstellenpool in der DevOps-Stufe:
Verwenden Sie den folgenden
gcloud-Befehl, um eine Stammzertifizierungsstelle mit dem Namenroot-1in Ihrem Zertifizierungsstellenpool zu erstellen.gcloud privateca roots create root-1 --pool POOL_NAME --subject="CN=root-1,O=google"Die gesamten effektiven Abfragen pro Sekunde des Zertifizierungsstellenpools sind in dieser Phase 25 Abfragen pro Sekunde. Wenn Sie die Gesamtzahl der effektiven Abfragen pro Sekunde des Zertifizierungsstellenpools auf 100 Abfragen erhöhen möchten, müssen Sie in Ihrem Zertifizierungsstellenpool drei weitere Zertifizierungsstellen erstellen.
Erstellen Sie mit dem folgenden
gcloud-Befehl eine Stammzertifizierungsstelle mit dem Namenroot-2.gcloud privateca roots create root-2 --pool POOL_NAME --subject="CN=root-2,O=google"Erstellen Sie mit dem folgenden
gcloud-Befehl eine Stammzertifizierungsstelle mit dem Namenroot-3.gcloud privateca roots create root-3 --pool POOL_NAME --subject="CN=root-3,O=google"Erstellen Sie mit dem folgenden
gcloud-Befehl eine Stammzertifizierungsstelle mit dem Namenroot-4.gcloud privateca roots create root-4 --pool POOL_NAME --subject="CN=root-4,O=google"In dieser Phase beträgt die effektive Gesamtzahl der Abfragen pro Sekunde Ihres Zertifizierungsstellenpools 100 Abfragen pro Sekunde.
Erstellen und testen Sie Zertifikate, während CAs den Status
STAGEDhaben. Aktivieren Sie anschließend die Zertifizierungsstellen. Informationen zum Aktivieren von Zertifizierungsstellen finden Sie unter Zertifizierungsstelle aktivieren. Weitere Informationen zum Testen von Zertifizierungsstellen finden Sie unter Zertifizierungsstelle testen.Prüfen Sie den Status Ihres Zertifizierungsstellenpools, indem Sie Prüfberichte zum Load-Balancing zwischen verschiedenen Zertifizierungsstellen abrufen. Idealerweise sollte die Anzahl der von jeder Zertifizierungsstelle ausgestellten Zertifikate einheitlich sein.
Mit Cloud Monitoring können Sie die Load-Balancing-Messwerte Ihres CA-Pools überwachen, z. B. die Anzahl der pro Zertifizierungsstelle ausgestellten Zertifikate in einem bestimmten Zeitraum. Weitere Informationen finden Sie unter Ressourcen mit Cloud Monitoring überwachen.