Augmenter le débit de création de certificats à l'aide de pools d'autorités de certification
Cette page explique comment augmenter le taux de création de certificats à l'aide d'un le pool d'autorités de certification. Pour en savoir plus sur les pools d'autorités de certification, consultez la page Présentation des pools d'autorités de certification.
Présentation
Le débit de création du certificat est mesuré en requêtes par seconde (RPS). Dans un maillage de services, le débit de création du certificat peut être estimé à l'aide des éléments suivants : formule:
THROUGHPUT = (ACTIVE_WORKLOADS × ROTATION_FREQUENCY) + NEW_WORKLOADS_PER_SECOND
Remplacez les éléments suivants :
- ACTIVE_WORKLOADS : nombre total de charges de travail exécutées à un moment donné
- ROTATION_FREQUENCY : fréquence de rotation des certificats par seconde
- NEW_WORKLOADS_PER_SECOND: taux de création des charges de travail
Vous trouverez les valeurs de ACTIVE_WORKLOADS et NEW_WORKLOADS_PER_SECOND, du cours Google Kubernetes Engine des tableaux de bord console Google Cloud. Pour déterminer la valeur ROTATION_FREQUENCY d'un maillage de services, vous devez doit consulter la documentation du produit de maillage de services. La fonction ROTATION_FREQUENCY pour Cloud Service Mesh, est définie par défaut une fois toutes les 12 heures, soit 1/(12 × 60 × 60) ou 1/43200 lorsqu'il est converti en fréquence de rotation par seconde.
Exemple
Prenons l'exemple d'un cluster relativement stable avec des charges de travail de longue durée et peu de charges de travail éphémères.
| Nom de la variable | Valeur | Description |
|---|---|---|
| ACTIVE_WORKLOADS | 10000 | 10 000 charges de travail devraient être exécutées à tout moment. |
| NEW_WORKLOADS_PER_SECOND | 1 | Une charge de travail est créée chaque seconde. |
| ROTATION_FREQUENCY | 1/43200 | Les certificats changent toutes les 12 heures. |
Remplacer ces valeurs dans la formule de calcul de la création du certificat donne une valeur de RPS de 1,23.
Débit = (10 000 / 43 200) + 1 = 1,23 RPS
Un cluster différent avec des charges de travail plus éphémères et des charges de travail plus courtes peut avoir une valeur plus élevée pour NEW_WORKLOADS_PER_SECOND. Une valeur élevée de FREQUENCE_DE_ROTATION rend la valeur de la fraction (CHARGES_DE_TRAVAIL_ACTIVES/FREQUENCE_DE_ROTATION) très faible, ce qui fait de CHARGES_DE_TRAVAIL_NOUVELLES_PAR_SECONDE la variable la plus importante de la formule.
Avant de commencer
Configurez un pool d'autorités de certification à l'emplacement souhaité. Pour obtenir la liste complète des emplacements, consultez Emplacements.
Si vous prévoyez d'émettre des certificats à un débit constamment élevé, nous nous vous recommandons de créer le pool d'autorités de certification au niveau DevOps, de meilleures performances tout en réduisant les coûts. Le débit maximal est défini individuelle au sein d'un pool d'autorités de certification, et le délai maximal atteignable pour un projet donné. Par exemple, si le débit maximal le niveau DevOps est de 25 RPS pour une autorité de certification et de 100 RPS pour un projet, créer quatre autorités de certification au sein du pool d'autorités de certification pour atteindre un débit effectif total pouvant atteindre 100 RPS Pour connaître le nombre de RPS spécifique et obtenir plus d'informations sur les quotas, consultez Quotas et limites.
Procédure
Créez suffisamment d'autorités de certification dans votre pool d'autorités de certification pour atteindre le débit de requêtes par seconde requis. Le nombre requis d'autorités de certification est de quatre au niveau du DevOps et de 15 au niveau Entreprise. L'ensemble d'instructions suivant s'applique à un pool d'autorités de certification de niveau DevOps:
Pour créer une autorité de certification racine portant le nom
root-1dans votre pool d'autorités de certification, utilisez la commandegcloudsuivante.gcloud privateca roots create root-1 --pool POOL_NAME --subject="CN=root-1,O=google"Le nombre total de RPS effectifs du pool d'autorités de certification à ce stade est de 25 RPS. Pour augmenter le nombre total de requêtes par seconde (RPS) effectives du pool d'autorités de certification à 100 RPS, vous devez créer trois autres autorités de certification dans votre pool.
Pour créer une autorité de certification racine avec le nom
root-2, utilisez la commandegcloudsuivante.gcloud privateca roots create root-2 --pool POOL_NAME --subject="CN=root-2,O=google"Pour créer une autorité de certification racine avec le nom
root-3, utilisez la commandegcloudsuivante.gcloud privateca roots create root-3 --pool POOL_NAME --subject="CN=root-3,O=google"Pour créer une autorité de certification racine nommée
root-4, utilisez la commandegcloudsuivante.gcloud privateca roots create root-4 --pool POOL_NAME --subject="CN=root-4,O=google"À ce stade, le nombre total de RPS effectifs de votre pool d'autorités de certification est de 100 RPS.
Tant que les autorités de certification sont à l'état
STAGED, créez et testez des certificats. Ensuite, activez les autorités de certification. Pour en savoir plus sur l'activation des autorités de certification, consultez la section Activer une autorité de certification. Pour en savoir plus sur les tests des autorités de certification, consultez Tester une autorité de certification.Vérifiez l'état de votre pool d'autorités de certification en obtenant des rapports d'audit sur l'équilibrage de charge entre les autorités de certification. Dans l'idéal, le nombre de certificats émis par chaque autorité de certification doit être uniforme.
Vous pouvez utiliser Cloud Monitoring pour surveiller les métriques d'équilibrage de charge de votre pool d'autorités de certification, comme le nombre de certificats délivrés par autorité de certification sur une période donnée. Pour en savoir plus, consultez la page Surveiller les ressources à l'aide de Cloud Monitoring.
Étape suivante
- En savoir plus sur les quotas et limites