Durch CA-Pools den Durchsatz bei der Zertifikatserstellung erhöhen

Auf dieser Seite wird beschrieben, wie Sie die Rate der Zertifikatserstellung mithilfe eines Zertifizierungsstellenpools erhöhen können. Informationen zu CA-Pools finden Sie unter CA-Pools – Übersicht.

Übersicht

Der Durchsatz für die Zertifikaterstellung wird in Abfragen pro Sekunde (QPS) gemessen. In einem Service Mesh kann der Durchsatz für die Zertifikaterstellung mit der folgenden Formel angenähert werden:

THROUGHPUT = (ACTIVE_WORKLOADS × ROTATION_FREQUENCY) + NEW_WORKLOADS_PER_SECOND

Ersetzen Sie Folgendes:

• ACTIVE_WORKLOADS: Die Gesamtzahl der Arbeitslasten, die zu einem bestimmten Zeitpunkt ausgeführt werden.
• ROTATION_FREQUENCY: Häufigkeit der Zertifikatsrotation pro Sekunde
• NEW_WORKLOADS_PER_SECOND: Die Rate, mit der neue Arbeitslasten erstellt werden.

Die Werte für ACTIVE_WORKLOADS und NEW_WORKLOADS_PER_SECOND finden Sie in derGoogle Cloud -Konsole in den Google Kubernetes Engine-Dashboards. Informationen zur Bestimmung der ROTATION_FREQUENCY für ein Service Mesh finden Sie in der Dokumentation des Service Mesh-Produkts. Die Standardeinstellung für ROTATION_FREQUENCY für Cloud Service Mesh ist alle 12 Stunden, was 1 ÷ (12 × 60 × 60) oder 1 ÷ 43.200 entspricht, wenn in die Rotationsfrequenz pro Sekunde umgewandelt.

Beispiel

Betrachten Sie das Beispiel eines relativ stabilen Clusters mit langlebigen Arbeitslasten und wenigen sitzungsspezifischen Arbeitslasten.

Variablenname	Wert	Beschreibung
ACTIVE_WORKLOADS	10000	Es werden voraussichtlich 10.000 Arbeitslasten gleichzeitig ausgeführt.
NEW_WORKLOADS_PER_SECOND	1	Alle 2 Sekunden wird eine neue Arbeitslast erstellt.
ROTATION_FREQUENCY	1/43.200	Die Zertifikate werden alle 12 Stunden rotiert.

Wenn Sie diese Werte in die Formel zur Berechnung der Rate der Zertifikaterstellung einfügen, ergibt sich ein Wert von 1,23 Anfragen pro Sekunde.

Durchsatz = (10.000 ÷ 43.200) + 1 = 1,23 Abfragen pro Sekunde

Ein anderer Cluster mit mehr sitzungsspezifischen und kürzerlebigen Arbeitslasten kann einen höheren Wert für NEW_WORKLOADS_PER_SECOND haben. Bei einem hohen Wert für ROTATION_FREQUENCY ist der Wert des Bruchs (ACTIVE_WORKLOADS ÷ ROTATION_FREQUENCY) relativ klein. Daher ist NEW_WORKLOADS_PER_SECOND die wichtigste Variable in der Formel.

Hinweise

Richten Sie einen CA-Pool an dem erforderlichen Standort ein. Eine vollständige Liste der Standorte finden Sie unter Standorte.

Wenn Sie davon ausgehen, dass Sie Zertifikate mit einem konstant hohen Durchsatz ausstellen, empfehlen wir, den CA-Pool in der DevOps-Ebene zu erstellen. Dies ermöglicht eine bessere Leistung und verursacht geringere Kosten. Für jede einzelne CA in einem CA-Pool gibt es einen maximalen Durchsatz und für jedes Projekt einen maximal erreichbaren effektiven Durchsatz. Wenn der maximale Durchsatz für die DevOps-Stufe beispielsweise 25 Abfragen pro Sekunde für einen CA und 100 Abfragen pro Sekunde für ein Projekt beträgt, müssen Sie vier CAs im CA-Pool erstellen, um einen effektiven Gesamtdurchsatz von bis zu 100 Abfragen pro Sekunde zu erreichen. Bestimmte Werte für die Anzahl der Abfragen pro Sekunde und weitere Informationen zu Kontingenten finden Sie unter Kontingente und Limits.

Prozedur

1. Erstellen Sie genügend CAs in Ihrem CA-Pool, um die erforderliche QPS zu erreichen. Die erforderliche Anzahl von CAs beträgt 4 für CA-Pools in den DevOps-Stufen und 15 für CA-Pools in der Enterprise-Stufe. Die folgende Anleitung bezieht sich auf einen CA-Pool in der DevOps-Ebene:

   1. Verwenden Sie den folgenden gcloud-Befehl, um eine Stamm-CA mit dem Namen root-1 in Ihrem CA-Pool zu erstellen.

       gcloud privateca roots create root-1 \
           --location LOCATION \
           --pool POOL_NAME \
           --subject="CN=root-1,O=google"
      

      Die effektive Gesamtzahl der Abfragen pro Sekunde des CA-Pools beträgt in dieser Phase 25 Abfragen pro Sekunde. Wenn Sie die Gesamtzahl der effektiven QPS des CA-Pools auf 100 QPS erhöhen möchten, müssen Sie drei weitere CAs in Ihrem CA-Pool erstellen.

   2. Verwenden Sie den folgenden gcloud-Befehl, um eine Stamm-CA mit dem Namen root-2 zu erstellen.

        gcloud privateca roots create root-2 \
            --location LOCATION \
            --pool POOL_NAME \
            --subject="CN=root-2,O=google"
      

   3. Verwenden Sie den folgenden gcloud-Befehl, um eine Stamm-CA mit dem Namen root-3 zu erstellen.

        gcloud privateca roots create root-3 \
            --location LOCATION \
            --pool POOL_NAME \
            --subject="CN=root-3,O=google"
      

   4. Verwenden Sie den folgenden gcloud-Befehl, um eine Stamm-CA mit dem Namen root-4 zu erstellen.

        gcloud privateca roots create root-4 \
            --location LOCATION \
            --pool POOL_NAME \
            --subject="CN=root-4,O=google"
      

      In dieser Phase beträgt die effektive Gesamtzahl der Abfragen pro Sekunde Ihres CA-Pools 100 Abfragen pro Sekunde.

2. Erstellen und testen Sie Zertifikate, während sich die Zertifizierungsstellen im Status STAGED befinden. Aktivieren Sie dann die Zertifizierungsstellen. Informationen zum Aktivieren von Zertifizierungsstellen finden Sie unter Zertifizierungsstelle aktivieren. Informationen zum Testen von Zertifizierungsstellen finden Sie unter Zertifizierungsstelle testen.

3. Prüfen Sie die Integrität Ihres CA-Pools, indem Sie Prüfberichte zum Load Balancing über CAs hinweg abrufen. Idealerweise sollte die Anzahl der von jeder Zertifizierungsstelle ausgestellten Zertifikate einheitlich sein.

   Mit Cloud Monitoring können Sie die Load Balancing-Messwerte Ihres CA-Pools überwachen, z. B. die Anzahl der pro CA ausgestellten Zertifikate in einem bestimmten Zeitraum. Weitere Informationen finden Sie unter Ressourcen mit Cloud Monitoring überwachen.

Nächste Schritte

• Weitere Informationen zu Kontingenten und Limits
• In diesem YouTube-Video erfahren Sie, wie Sie den Durchsatz für Zertifizierungsstellen mit CA-Pools erhöhen.