Aumenta la capacidad de procesamiento de creación de certificados con grupos de AC
En esta página, se describe cómo puedes aumentar la tasa de creación de certificados con un grupo de autoridad certificadora (AC). Para obtener información sobre los grupos de AC, consulta Descripción general de los grupos de AC.
Descripción general
La capacidad de procesamiento de creación de certificados se mide en consultas por segundo (QPS). En una de malla de servicios, la capacidad de procesamiento de creación de certificados se puede aproximar con los siguientes Fórmula:
THROUGHPUT = (ACTIVE_WORKLOADS × ROTATION_FREQUENCY) + NEW_WORKLOADS_PER_SECOND
Reemplaza lo siguiente:
- ACTIVE_WORKLOADS: Es la cantidad total de cargas de trabajo que se ejecutan en un momento determinado.
- ROTATION_FREQUENCY: La frecuencia con la que se rotan los certificados por segundo
- NEW_WORKLOADS_PER_SECOND: Es la velocidad a la que se crean cargas de trabajo nuevas.
Puedes encontrar los valores para ACTIVE_WORKLOADS y NEW_WORKLOADS_PER_SECOND, en la consola de Google Kubernetes Engine paneles en el Consola de Google Cloud Para determinar ROTATION_FREQUENCY para una malla de servicios, debes consultar la documentación del producto de la malla de servicios. La función ROTATION_FREQUENCY para la malla de servicios de Cloud de forma predeterminada es una vez cada 12 horas, que es 1/(12 × 60 × 60) o 1/43,200 cuando se convierte en frecuencia de rotación por segundo.
Ejemplo
Considera el ejemplo de un clúster relativamente estable con cargas de trabajo duraderas y pocas cargas de trabajo efímeras.
Nombre de la variable | Valor | Descripción |
---|---|---|
ACTIVE_WORKLOADS | 10000 | Se espera que se ejecuten 10,000 cargas de trabajo en cualquier momento. |
NEW_WORKLOADS_PER_SECOND | 1 | Se crea 1 nueva carga de trabajo por segundo. |
ROTATION_FREQUENCY | 1/43200 | Los certificados rotan cada 12 horas. |
Sustitución de estos valores en la fórmula para calcular la creación de certificados da un valor de QPS de 1.23.
Capacidad de procesamiento = (10,000 / 43,200) + 1 = 1.23 QPS
Un clúster diferente con cargas de trabajo más efímeras y cargas de trabajo de menor duración podría tener un valor más alto para NEW_WORKLOADS_PER_SECOND. Un valor alto de ROTATION_FREQUENCY genera el valor de la fracción (ACTIVE_WORKLOADS / ROTATION_FREQUENCY) es bastante pequeña, por lo que NEW_WORKLOADS_PER_second una variable importante en la fórmula.
Antes de comenzar
Configura un grupo de AC en tu la ubicación requerida. Para obtener la lista completa de ubicaciones, consulta Ubicaciones.
Si esperas emitir certificados con una capacidad de procesamiento alta y coherente, te recomendamos que crees el grupo de AC en el nivel DevOps, lo que permite un mejor rendimiento e incurre en costos más bajos. Existe una capacidad de procesamiento máxima para cada AC individual dentro de un grupo de AC, y existe una capacidad de procesamiento efectiva máxima que se puede lograr para cualquier proyecto determinado. Por ejemplo, si la capacidad de procesamiento máxima del nivel de DevOps es de 25 QPS para una AC y de 100 QPS para un proyecto, debes crear 4 AC dentro del grupo de AC para alcanzar una capacidad de procesamiento efectiva total de hasta 100 QPS. Para obtener números de QPS específicos y más información sobre las cuotas, consulta Cuotas y límites
Procedimiento
Crea AC suficientes dentro de tu grupo de AC para lograr las QPS requeridas. La cantidad necesaria de AC es de 4 para los grupos de AC en los niveles DevOps y 15 para los grupos de AC en el nivel Enterprise. El siguiente conjunto de instrucciones es para un grupo de AC en el nivel DevOps:
Para crear una AC raíz con el nombre
root-1
en tu grupo de AC, usa el siguiente comandogcloud
.gcloud privateca roots create root-1 --pool POOL_NAME --subject="CN=root-1,O=google"
El total de QPS efectivas del grupo de AC en esta etapa es de 25 QPS. Para aumentar el QPS total efectivo del grupo de AC a 100 QPS, debes crear 3 AC más en tu grupo de AC.
Para crear una AC raíz con el nombre
root-2
, usa el siguiente comandogcloud
.gcloud privateca roots create root-2 --pool POOL_NAME --subject="CN=root-2,O=google"
Para crear una AC raíz con el nombre
root-3
, usa el siguiente comandogcloud
.gcloud privateca roots create root-3 --pool POOL_NAME --subject="CN=root-3,O=google"
Para crear una AC raíz con el nombre
root-4
, usa el siguiente comando degcloud
.gcloud privateca roots create root-4 --pool POOL_NAME --subject="CN=root-4,O=google"
En esta etapa, el QPS total efectivo de tu grupo de CA es de 100 QPS.
Mientras las AC estén en el estado
STAGED
, crea y prueba los certificados. Una vez que lo hagas, habilita las AC. Para obtener información sobre cómo habilitar las AC, consulta Habilita una AC. Para obtener información sobre cómo probar AC, consulta Cómo probar una AC.Obtén informes de auditoría sobre el balanceo de cargas de todas las AC para verificar el estado de tu grupo de AC. Lo ideal es que haya uniformidad en la cantidad de certificados que emite cada AC.
Puedes usar Cloud Monitoring para supervisar las métricas de balanceo de cargas de tu grupo de AC, como la cantidad de certificados emitidos por AC en un período determinado. Para obtener más información, consulta Supervisa recursos con Cloud Monitoring.
¿Qué sigue?
- Obtén más información sobre cuotas y límites.