Esta página foi traduzida pela API Cloud Translation.

Visão geral dos pools de CA

Um pool de ACs (autoridades certificadoras) é uma coleção de várias ACs com uma política de emissão de certificados e uma política do Identity and Access Management (IAM) comuns. Os pools de ACs oferecem a capacidade de alternar as cadeias de confiança sem nenhuma interrupção ou inatividade dos payloads delas.

Um pool de CA fica vazio quando você o cria. Para informações sobre como adicionar uma CA a um pool de CAs, consulte Criar uma CA raiz.

O pool de CA mantém uma lista de certificados de CA confiáveis. É necessário instalar esses certificados de CA confiáveis com o solicitante de certificado.

Propriedades das CAs em um pool de CAs

A tabela a seguir lista os recursos que precisam ser iguais, podem ser diferentes e precisam ser diferentes para todas as CAs em um pool de CAs.

Precisa ser o mesmo para todas as CAs em um pool de CAs	Pode ser diferente para todas as CAs em um pool de CAs	Precisa ser diferente para todas as CAs em um pool de CAs
Políticas de emissão de certificados Condições do IAM Nível Local Opções de publicação. Por exemplo, se uma CRL deve ser publicada.	Algoritmos e tamanhos de chaves de assinatura Assuntos e SANs da CA Data de validade e período de validade Rótulos Bucket do Cloud Storage gerenciado pelo cliente usado para CRL e AIA. Chaves de CA gerenciadas pelo cliente Extensões de certificado de CA	Nome da CA

Aumentar o QPS

Certificate Authority Service impõe limites ao número de solicitações que você pode enviar. Por exemplo, o limite de uso da solicitação createCertificate para uma AC de DevOps é de 25 QPS.

Para aumentar o total de QPS efetivos, você precisa ter várias CAs em um pool de CAs. Um pool de CA aumenta o total de QPS efetivos ao distribuir as solicitações de certificado recebidas entre todas as CAs no estado ENABLED. No entanto, ainda é possível solicitar certificados de uma CA específica no pool de CAs.

Use a fórmula a seguir para calcular o QPS máximo permitido para um pool de CAs:

Total effective QPS = min(100, number of CAs in the CA pool x QPS per CA)

Por exemplo, se o QPS efetivo de uma CA for 25 QPS e você criar quatro CAs em um pool de CAs, o QPS efetivo total do pool será 100 QPS.

Para mais informações sobre como alcançar um QPS total efetivo maior, consulte Aumentar a capacidade de criação de certificados usando um pool de AC.

Gerenciar a rotação de CA

Um pool de CAs pode ter CAs em diferentes estados. Um pool de CAs faz o balanceamento de carga da emissão de certificados para cargas de trabalho em todas as CAs ativadas em um pool de CAs.

O pool de CAs abstrai as CAs específicas que emitem certificados. Quando uma CA expira, o total de QPS efetivos do pool de CAs é reduzido. Por exemplo, se um pool de ACs tiver quatro ACs ativadas, o total de QPS efetivos para esse pool será de 100 QPS. Mas se uma AC no pool de ACs expirar, o total de QPS efetivos será reduzido para 75 QPS. Para garantir que o QPS total efetivo do pool de CA permaneça inalterado quando uma CA expirar, crie uma nova CA antes que a atual expire.

Para mais informações, consulte Rotacionar CAs em um pool de CAs.

Para informações sobre como pedir um aumento de cota, consulte Solicitar um ajuste de cota.

A seguir

Saiba como trabalhar com cotas.
Saiba como criar um pool de CAs.
Saiba como atualizar e excluir um pool de CA.