Aumentar el rendimiento de la creación de certificados mediante grupos de AC
En esta página se describe cómo puedes aumentar la tasa de creación de certificados mediante un grupo de autoridades de certificación. Para obtener información sobre los grupos de ACs, consulta la información general sobre los grupos de ACs.
Información general
El rendimiento de creación de certificados se mide en consultas por segundo (CPS). En una malla de servicios, el rendimiento de creación de certificados se puede aproximar mediante la siguiente fórmula:
RENDIMIENTO = (CARGAS_DE_TRABAJO_ACTIVAS × FRECUENCIA_DE_ROTACIÓN) + CARGAS_DE_TRABAJO_NUEVAS_POR_SEGUNDO
Haz los cambios siguientes:
- ACTIVE_WORKLOADS el número total de cargas de trabajo que se están ejecutando en un momento dado
- ROTATION_FREQUENCY: la frecuencia con la que se rotan los certificados por segundo
- NEW_WORKLOADS_PER_SECOND la frecuencia con la que se crean cargas de trabajo nuevas.
Puede encontrar los valores de ACTIVE_WORKLOADS y NEW_WORKLOADS_PER_SECOND en los paneles de control de Google Kubernetes Engine de laGoogle Cloud consola. Para determinar la ROTATION_FREQUENCY de una malla de servicios, debes consultar la documentación del producto de malla de servicios. La ROTATION_FREQUENCY de Cloud Service Mesh es de una vez cada 12 horas, es decir, 1/(12×60×60) o 1/43200 si se convierte en frecuencia de rotación por segundo.
Ejemplo
Imagina un clúster relativamente estable con cargas de trabajo de larga duración y pocas cargas de trabajo efímeras.
| Nombre de variable | Valor | Descripción |
|---|---|---|
| ACTIVE_WORKLOADS | 10000 | Se espera que haya 10.000 cargas de trabajo en ejecución en cualquier momento. |
| NEW_WORKLOADS_PER_SECOND | 1 | Se crea una carga de trabajo nueva cada segundo. |
| ROTATION_FREQUENCY | 1/43200 | Los certificados rotan cada 12 horas. |
Si sustituimos estos valores en la fórmula para calcular la tasa de creación de certificados, obtenemos un valor de QPS de 1,23.
Rendimiento = (10.000 / 43.200) + 1 = 1,23 CPS
Un clúster diferente con más cargas de trabajo efímeras y cargas de trabajo de menor duración podría tener un valor más alto para NEW_WORKLOADS_PER_SECOND. Un valor alto de ROTATION_FREQUENCY hace que el valor de la fracción (ACTIVE_WORKLOADS/ROTATION_FREQUENCY) sea bastante pequeño, lo que convierte a NEW_WORKLOADS_PER_SECOND en la variable más importante de la fórmula.
Antes de empezar
Configura un grupo de autoridades de certificación en la ubicación que quieras. Para ver la lista completa de ubicaciones, consulta Ubicaciones.
Si tienes previsto emitir certificados con un rendimiento alto y constante, te recomendamos que crees el grupo de CAs en el nivel de DevOps, que ofrece un mejor rendimiento y genera costes más bajos. Hay un rendimiento máximo para cada CA de un grupo de CAs y un rendimiento efectivo máximo que se puede alcanzar en cualquier proyecto. Por ejemplo, si el rendimiento máximo del nivel de DevOps es de 25 CPS para una CA y de 100 CPS para un proyecto, debe crear 4 CAs en el grupo de CAs para alcanzar un rendimiento efectivo total de hasta 100 CPS. Para consultar los números de QPS específicos y obtener más información sobre las cuotas, consulta Cuotas y límites.
.Procedimiento
Crea suficientes ACs en tu grupo de ACs para alcanzar las consultas por segundo necesarias. El número de CAs necesario es 4 para los pools de CAs de los niveles de DevOps y 15 para los pools de CAs del nivel Enterprise. El siguiente conjunto de instrucciones es para un grupo de CAs del nivel de DevOps:
Para crear una CA raíz con el nombre
root-1en tu grupo de CAs, usa el siguiente comandogcloud.gcloud privateca roots create root-1 \ --location LOCATION \ --pool POOL_NAME \ --subject="CN=root-1,O=google"El total de CPS efectivas del grupo de CAs en esta fase es de 25 CPS. Para aumentar el total de CPS efectivos del grupo de CAs a 100 CPS, debe crear 3 CAs más en su grupo de CAs.
Para crear una CA raíz con el nombre
root-2, usa el siguiente comandogcloud.gcloud privateca roots create root-2 \ --location LOCATION \ --pool POOL_NAME \ --subject="CN=root-2,O=google"Para crear una CA raíz con el nombre
root-3, usa el siguiente comandogcloud.gcloud privateca roots create root-3 \ --location LOCATION \ --pool POOL_NAME \ --subject="CN=root-3,O=google"Para crear una CA raíz con el nombre
root-4, usa el siguiente comandogcloud.gcloud privateca roots create root-4 \ --location LOCATION \ --pool POOL_NAME \ --subject="CN=root-4,O=google"En esta fase, el número total de consultas por segundo efectivas de tu grupo de CAs es de 100.
Mientras las AC estén en el estado
STAGED, crea y prueba certificados. Una vez que lo hayas hecho, habilita las autoridades de certificación. Para obtener información sobre cómo habilitar las CAs, consulta Habilitar una CA. Para obtener información sobre cómo probar las CAs, consulta Probar una CA.Verifica el estado de tu grupo de CAs obteniendo informes de auditoría sobre el balanceo de carga entre CAs. Lo ideal es que el número de certificados emitidos por cada CA sea uniforme.
Puedes usar Cloud Monitoring para monitorizar las métricas de balanceo de carga de tu grupo de CAs, como el número de certificados emitidos por cada CA en un periodo determinado. Para obtener más información, consulta Monitorizar recursos con Cloud Monitoring.
Siguientes pasos
- Más información sobre las cuotas y los límites
- Consulta un vídeo de YouTube sobre cómo aumentar el rendimiento de las autoridades de certificación con grupos de autoridades de certificación.