选择操作层级
Certificate Authority Service 为证书授权机构 (CA) 池提供两个工作负载优化操作层级。
- DevOps:侧重于基于微服务的应用中的大批量证书颁发和短期证书颁发。
- 企业:侧重于证书数量较少、长期有效的证书颁发,通常通常存在于设备和用户身份,在这种环境中,生命周期管理非常重要。
这两个层级都可以用于任何类型的应用,并且两个层级都支持所有用户指定的证书时间表。基于微服务的应用可能会受益于 DevOps CA 池更高的证书创建吞吐量,这可以支持工作负载启动速率较高的环境,并允许更频繁地轮替证书。DevOps 层级可能更适合生命周期较短的证书,因为它缺少证书生命周期管理。
如需了解如何粗略估算证书创建吞吐量,请参阅使用 CA 池提高证书创建吞吐量。
下表中提及了 DevOps 层级和企业层级之间的一些差异:
| DevOps 层级 | Enterprise 层级 | |
|---|---|---|
| 对 CA 密钥的 HSM 支持 | 是 | 是 |
| 客户管理的 CA 密钥,通过 Cloud KMS 支持 | 否 | 是 |
| 支持列出、描述和撤消证书 | 否 | 是 |
| CA 的 QPS 配额* | 25 | 7 |
* QPS 配额是指给定 CA 每秒可以颁发的证书数量上限。一个 CA 池可以通过多个 CA 达到更高的总有效 QPS。
后续步骤
- 了解 CA 池。
- 了解如何创建 CA 池。
- 了解如何使用 CA 池提高证书创建吞吐量。
- 了解配额和限制。