Aumenta la capacidad de procesamiento de creación de certificados con grupos de CA
En esta página, se describe cómo aumentar la tasa de creación de certificados mediante un grupo de autoridades certificadas (CA). Para obtener más información sobre los grupos de CA, consulta Descripción general de los grupos de CA.
Descripción general
La capacidad de procesamiento de creación de certificados se mide en consultas por segundo (QPS). En una malla de servicios, la capacidad de procesamiento de creación de certificados se puede aproximar mediante la siguiente fórmula:
THROUGHPUT = (ACTIVE_WORKLOADS × ROTATION_FREQUENCY) + NEW_WORKLOADS_PER_SECONDS
Reemplaza lo siguiente:
- ACTIVE_WORKLOADS: La cantidad total de cargas de trabajo que se ejecutan en un momento determinado
- ROTATION_FREQUENCY: La frecuencia a la que se rotan los certificados por segundo
- NEW_WORKLOADS_PER_SECOND: La velocidad a la que se crean cargas de trabajo nuevas
Puedes encontrar los valores para ACTIVE_WORKLOADS y NEW_WORKLOADS_PER_SECONDS en los paneles de Google Kubernetes Engine en la consola de Google Cloud. A fin de determinar el ROTATION_FREQUENCY para una malla de servicios, debes consultar la documentación del producto de la malla de servicios. La configuración predeterminada de ROTATION_FREQUENCY para Anthos Service Mesh se establece una vez cada 12 horas, que es 1/(12 × 60 × 60) o 1/43,200 cuando se convierte en frecuencia de rotación por segundo.
Ejemplo
Considera el ejemplo de un clúster relativamente estable con cargas de trabajo de larga duración y pocas cargas de trabajo efímeras.
| Nombre de la variable | Valor | Descripción |
|---|---|---|
| ACTIVE_WORKLOADS | 10000 | Se espera que se ejecuten 10,000 cargas de trabajo en cualquier momento. |
| NEW_WORKLOADS_PER_SECOND | 1 | Se crea 1 carga de trabajo nueva cada segundo. |
| ROTATION_FREQUENCY | 1/43,200 | Los certificados rotan cada 12 horas. |
El reemplazo de estos valores en la fórmula para calcular la tasa de creación de certificados da un valor de QPS de 1.23.
Capacidad de procesamiento = (10,000 / 43,200) + 1 = 1.23 QPS
Un clúster diferente con cargas de trabajo más efímeras y cargas de trabajo de menor duración podría tener un valor más alto para NEW_WORKLOADS_PER_SECOND. Un valor alto de ROTATION_FREQUENCY hace que el valor de la fracción (ACTIVE_WORKLOADS / ROTATION_FREQUENCY) sea bastante pequeño, lo que hace que NEW_WORKLOADS_PER_SECONDS sea la variable más importante de la fórmula.
Antes de comenzar
Configura un grupo de AC en la ubicación requerida. Para obtener la lista completa de ubicaciones, consulta Ubicaciones.
Si esperas emitir certificados con una capacidad de procesamiento alta de forma constante, te recomendamos que crees el grupo de CA en el nivel DevOps, lo que permite un mejor rendimiento y genere costos más bajos. Existe una capacidad de procesamiento máxima para cada AC individual dentro de un grupo de AC y una capacidad de procesamiento efectiva máxima que se puede alcanzar en cualquier proyecto determinado. Por ejemplo, si la capacidad de procesamiento máxima para el nivel de DevOps es de 25 QPS para una CA y 100 QPS para un proyecto, debes crear 4 CA dentro del grupo de CA a fin de alcanzar una capacidad de procesamiento efectiva total de hasta 100 QPS. Para obtener cifras específicas de QPS y más información sobre las cuotas, consulta Cuotas y límites.
Procedimiento
Crea suficientes CA en tu grupo de CA para lograr las QPS requeridas. La cantidad requerida de AC es 4 para los grupos de AC en los niveles DevOps y 15 para los grupos de AC en el nivel Enterprise. El siguiente conjunto de instrucciones es para un grupo de AC en el nivel DevOps:
Para crear una AC raíz con el nombre
root-1en el grupo de AC, usa el siguiente comandogcloud.gcloud privateca roots create root-1 --pool POOL_NAME --subject="CN=root-1,O=google"El total de QPS efectivos del grupo de CA en esta etapa es de 25 QPS. Para aumentar las QPS efectivas totales del grupo de AC a 100 QPS, debes crear 3 AC más en el grupo de AC.
Para crear una AC raíz con el nombre
root-2, usa el siguiente comandogcloud.gcloud privateca roots create root-2 --pool POOL_NAME --subject="CN=root-2,O=google"Para crear una AC raíz con el nombre
root-3, usa el siguiente comandogcloud.gcloud privateca roots create root-3 --pool POOL_NAME --subject="CN=root-3,O=google"Para crear una AC raíz con el nombre
root-4, usa el siguiente comandogcloud.gcloud privateca roots create root-4 --pool POOL_NAME --subject="CN=root-4,O=google"En esta etapa, la cantidad total de QPS efectivas del grupo de AC es de 100 QPS.
Mientras las AC estén en el estado
STAGED, crea y prueba certificados. Una vez hecho esto, habilita las AC. Para obtener información sobre cómo habilitar las AC, consulta Habilita una AC. Para obtener más información sobre cómo probar las AC, consulta Cómo probar una AC.Verifica el estado de tu grupo de AC mediante la obtención de informes de auditoría sobre el balanceo de cargas entre las AC. Idealmente, debería haber uniformidad en la cantidad de certificados emitidos por cada AC.
Puedes usar Cloud Monitoring para supervisar las métricas de balanceo de cargas de tu grupo de AC, como la cantidad de certificados emitidos por AC en un período determinado. Para obtener más información, consulta Supervisa recursos mediante Cloud Monitoring.
¿Qué sigue?
- Obtén más información sobre cuotas y límites.