Aumenta la velocità effettiva di creazione dei certificati utilizzando i pool di CA

Questa pagina descrive come aumentare la frequenza di creazione dei certificati utilizzando un pool di autorità di certificazione (CA). Per informazioni sui pool di CA, consulta la panoramica dei pool di CA.

Panoramica

La velocità effettiva di creazione del certificato viene misurata in query al secondo (QPS). In un mesh di servizi, la velocità effettiva di creazione dei certificati può essere approssimata utilizzando la seguente formula:

THROUGHPUT = (ACTIVE_WORKLOADS × ROTATION_FREQUENCY) + NEW_WORKLOADS_PER_SECOND

Sostituisci quanto segue:

• ACTIVE_WORKLOADS: il numero totale di carichi di lavoro in esecuzione in un dato momento
• ROTATION_FREQUENCY: la frequenza con cui i certificati vengono ruotati al secondo
• NEW_WORKLOADS_PER_SECOND: la frequenza con cui vengono creati nuovi carichi di lavoro

Puoi trovare i valori per ACTIVE_WORKLOADS e NEW_WORKLOADS_PER_SECOND nelle dashboard di Google Kubernetes Engine nella console Google Cloud. Per determinare il valore ROTATION_FREQUENCY per un mesh di servizi, devi fare riferimento alla documentazione del prodotto. Il valore predefinito di ROTATION_FREQUENCY per Anthos Service Mesh è una volta ogni 12 ore, ovvero 1/(12 × 60 × 60) o 1/43.200 se convertito in frequenza di rotazione al secondo.

Esempio

Considera l'esempio di un cluster relativamente stabile con carichi di lavoro di lunga durata e pochi carichi di lavoro temporanei.

Nome variabile	Valore	Descrizione
ACTIVE_WORKLOADS	10000	Si prevede che saranno in esecuzione 10.000 carichi di lavoro in qualsiasi momento.
NEW_WORKLOADS_PER_SECOND	1	Viene creato un nuovo carico di lavoro ogni secondo.
ROTATION_FREQUENCY	1/43.200	I certificati ruotano ogni 12 ore.

La sostituzione di questi valori nella formula per calcolare la frequenza di creazione del certificato restituisce un valore QPS pari a 1,23.

Velocità effettiva = (10.000 / 43.200) + 1 = 1,23 QPS

Un cluster diverso con carichi di lavoro temporanei e di minore durata potrebbe avere un valore più elevato per NEW_WORKLOADS_PER_SECOND. Un valore elevato di ROTATION_FREQUENCY rende il valore della frazione (ACTIVE_WORKLOADS / ROTATION_FREQUENCY) piuttosto basso, rendendo NEW_WORKLOADS_PER_SECOND la variabile più importante della formula.

Prima di iniziare

Configura un pool di CA nella località richiesta. Per l'elenco completo delle sedi, consulta Località.

Se prevedi di emettere certificati a una velocità effettiva costantemente elevata, ti consigliamo di creare il pool di CA nel livello DevOps, in modo da migliorare le prestazioni e comportare costi inferiori. Esiste una velocità effettiva massima per ogni singola CA all'interno di un pool di CA, nonché una velocità effettiva massima raggiungibile per qualsiasi progetto. Ad esempio, se la velocità effettiva massima per il livello DevOps è 25 QPS per una CA e 100 QPS per un progetto, devi creare 4 CA all'interno del pool di CA per raggiungere una velocità effettiva totale effettiva fino a 100 QPS. Per numeri QPS specifici e ulteriori informazioni sulle quote, consulta Quote e limiti.

Procedura

1. Crea un numero sufficiente di CA all'interno del pool di CA per raggiungere il QPS richiesto. Il numero di CA richiesto è 4 per i pool di CA nei livelli DevOps e 15 per i pool di CA nel livello Enterprise. Il seguente set di istruzioni è per un pool di CA nel livello DevOps:

   1. Per creare una CA radice con il nome root-1 nel pool di CA, utilizza il seguente comando gcloud.

       gcloud privateca roots create root-1 --pool POOL_NAME --subject="CN=root-1,O=google"
      

      Il totale QPS effettivo del pool di CA in questa fase è 25 QPS. Per aumentare il valore QPS effettivo del pool di CA a 100 QPS, devi creare altre 3 CA nel pool di CA.

   2. Per creare una CA radice con il nome root-2, utilizza il seguente comando gcloud.

        gcloud privateca roots create root-2 --pool POOL_NAME --subject="CN=root-2,O=google"
      

   3. Per creare una CA radice con il nome root-3, utilizza il seguente comando gcloud.

        gcloud privateca roots create root-3 --pool POOL_NAME --subject="CN=root-3,O=google"
      

   4. Per creare una CA radice con il nome root-4, utilizza il seguente comando gcloud.

        gcloud privateca roots create root-4 --pool POOL_NAME --subject="CN=root-4,O=google"
      

      In questa fase, il totale effettivo di QPS del tuo pool di CA è pari a 100 QPS.

2. Quando le CA sono in stato STAGED, crea e testa i certificati. Al termine, abilita le CA. Per informazioni sull'attivazione delle CA, consulta Abilitare una CA. Per informazioni su come testare le CA, consulta Testare una CA.

3. Verifica l'integrità del pool di CA ricevendo report di controllo sul bilanciamento del carico tra le CA. Idealmente, il numero di certificati emessi da ciascuna CA dovrebbe essere uniforme.

   Puoi utilizzare Cloud Monitoring per monitorare le metriche di bilanciamento del carico del pool di CA, ad esempio il numero di certificati emessi per ogni CA in un determinato periodo di tempo. Per ulteriori informazioni, consulta Monitorare le risorse utilizzando Cloud Monitoring.

Passaggi successivi

• Scopri di più su quote e limiti.