Meningkatkan throughput pembuatan sertifikat menggunakan kumpulan CA
Halaman ini menjelaskan cara meningkatkan rasio pembuatan sertifikat menggunakan kumpulan certificate authority (CA). Untuk informasi tentang kumpulan CA, lihat Ringkasan kumpulan CA.
Ringkasan
Throughput pembuatan sertifikat diukur dalam kueri per detik (QPS). Dalam mesh layanan, throughput pembuatan sertifikat dapat diperkirakan menggunakan formula berikut:
DORONG = (ACTIVE_WORKLOADS × ROTATION_Frequency) + NEW_WORKLOADS_PER_SECOND
Ganti kode berikut:
- ACTIVE_WORKLOADS: jumlah total beban kerja yang dijalankan pada waktu tertentu
- ROTATION_FREQUENCY: frekuensi sertifikat diputar per detik
- NEW_WORKLOADS_PER_SECOND: kecepatan pembuatan beban kerja baru
Anda dapat menemukan nilai untuk ACTIVE_WORKLOADS dan NEW_WORKLOADS_PER_SECOND, di dasbor Google Kubernetes Engine pada Konsol Google Cloud. Untuk menentukan ROTATION_FREQUENCY mesh layanan, Anda harus melihat dokumentasi produk mesh layanan. ROTATION_FREQUENCY untuk Anthos Service Mesh ditetapkan secara default ke sekali setiap 12 jam, yaitu 1/(12×60×60) atau 1/43200 ketika dikonversi menjadi frekuensi rotasi per detik.
Contoh
Pertimbangkan contoh cluster yang relatif stabil dengan beban kerja jangka panjang dan beberapa beban kerja sementara.
| Nama variabel | Nilai | Deskripsi |
|---|---|---|
| ACTIVE_WORKLOADS | 10000 | 10.000 workload diperkirakan akan berjalan pada waktu tertentu. |
| NEW_WORKLOADS_PER_SECOND | 1 | 1 beban kerja baru dibuat setiap detiknya. |
| ROTATION_FREQUENCY | 1/43200 | Sertifikat dirotasi setiap 12 jam. |
Mengganti nilai ini dalam formula untuk menghitung tingkat pembuatan sertifikat akan memberikan nilai QPS 1,23.
Throughput = (10.000 / 43.200) + 1 = 1,23 QPS
Klaster lain dengan beban kerja yang lebih singkat dan beban kerja yang berumur lebih singkat mungkin memiliki nilai lebih tinggi untuk NEW_WORKLOADS_PER_SECOND. Nilai ROTATION_FREQUENCY yang tinggi membuat nilai fraksi (ACTIVE_WORKLOADS / ROTATION_EGL) cukup kecil, sehingga ROTATION_FREQUENCY menjadi variabel yang paling penting dalam formula.
Sebelum memulai
Siapkan kumpulan CA di lokasi yang diperlukan. Untuk daftar lengkap lokasi, lihat Lokasi.
Jika Anda ingin menerbitkan sertifikat dengan throughput yang tinggi secara konsisten, sebaiknya buat kumpulan CA di tingkat DevOps, yang memungkinkan peningkatan performa dan menimbulkan biaya yang lebih rendah. Ada throughput maksimum untuk setiap CA dalam Kumpulan CA, dan ada throughput efektif maksimum yang dapat dicapai untuk setiap project tertentu. Misalnya, jika throughput maksimum untuk tingkat DevOps adalah 25 QPS untuk CA dan 100 QPS untuk sebuah project, Anda harus membuat 4 CA dalam kumpulan CA untuk mencapai total throughput efektif hingga 100 QPS. Untuk mengetahui angka QPS tertentu dan informasi selengkapnya tentang kuota, lihat Kuota dan batas.
Prosedur
Buat cukup CA dalam kumpulan CA Anda untuk mencapai QPS yang diperlukan. Jumlah CA yang diperlukan adalah 4 untuk kumpulan CA di tingkat DevOps, dan 15 untuk kumpulan CA di tingkat Enterprise. Serangkaian petunjuk berikut ditujukan untuk kumpulan CA di tingkat DevOps:
Untuk membuat root CA dengan nama
root-1di kumpulan CA Anda, gunakan perintahgcloudberikut.gcloud privateca roots create root-1 --pool POOL_NAME --subject="CN=root-1,O=google"Total QPS yang efektif dari kumpulan CA pada tahap ini adalah 25 QPS. Untuk meningkatkan total QPS yang efektif dari kumpulan CA menjadi 100 QPS, Anda harus membuat 3 CA lagi di kumpulan CA Anda.
Untuk membuat root CA dengan nama
root-2, gunakan perintahgcloudberikut.gcloud privateca roots create root-2 --pool POOL_NAME --subject="CN=root-2,O=google"Untuk membuat root CA dengan nama
root-3, gunakan perintahgcloudberikut.gcloud privateca roots create root-3 --pool POOL_NAME --subject="CN=root-3,O=google"Untuk membuat root CA dengan nama
root-4, gunakan perintahgcloudberikut.gcloud privateca roots create root-4 --pool POOL_NAME --subject="CN=root-4,O=google"Pada tahap ini, total QPS yang efektif dari kumpulan CA Anda adalah 100 QPS.
Saat CA berada dalam status
STAGED, buat dan uji sertifikat. Setelah selesai, aktifkan CA. Untuk informasi tentang cara mengaktifkan CA, lihat Mengaktifkan CA. Untuk informasi tentang pengujian CA, lihat Menguji CA.Verifikasi kondisi kumpulan CA Anda dengan mendapatkan laporan audit tentang load balancing di seluruh CA. Idealnya, harus ada keseragaman jumlah sertifikat yang diterbitkan oleh setiap CA.
Anda dapat menggunakan Cloud Monitoring untuk memantau metrik load balancing kumpulan CA, seperti jumlah sertifikat yang diterbitkan per CA dalam jangka waktu tertentu. Untuk mengetahui informasi selengkapnya, baca artikel Memantau resource menggunakan Cloud Monitoring.
Langkah selanjutnya
- Pelajari kuota dan batas lebih lanjut.