Augmenter le débit de création de certificats à l'aide de pools d'autorités de certification
Cette page explique comment augmenter le taux de création de certificats à l'aide d'un pool d'autorités de certification (CA). Pour en savoir plus sur les pools d'autorités de certification, consultez la page Présentation des pools d'autorités de certification.
Présentation
Le débit de création de certificats est mesuré en requêtes par seconde (RPS). Dans un service mesh, le débit de création de certificats peut être approché à l'aide de la formule suivante:
THROUGHPUT = (ACTIVE_WORKLOADS × ROTATION_FREQUENCY) + NEW_WORKLOADS_PER_SECOND
Remplacez les éléments suivants :
- ACTIVE_WORKLOADS: nombre total de charges de travail exécutées à un moment donné
- ROTATION_FREQUENCY: fréquence de rotation des certificats par seconde
- NEW_WORKLOADS_PER_SECOND: taux de création de nouvelles charges de travail
Vous trouverez les valeurs de ACTIVE_WORKLOADS et NEW_WORKLOADS_PER_SECOND dans les tableaux de bord Google Kubernetes Engine de la console Google Cloud. Pour déterminer la valeur ROTATION_FREQUENCY d'un service mesh, vous devez consulter la documentation du produit de service mesh. La valeur par défaut de ROTATION_FREQUENCY pour Cloud Service Mesh est une fois toutes les 12 heures, soit 1/(12 × 60 × 60) ou 1/43 200 lorsqu'elle est convertie en fréquence de rotation par seconde.
Exemple
Prenons l'exemple d'un cluster relativement stable avec des charges de travail durables et peu de charges de travail éphémères.
| Nom de la variable | Valeur | Description |
|---|---|---|
| ACTIVE_WORKLOADS | 10000 | 10 000 charges de travail devraient être exécutées à tout moment. |
| NEW_WORKLOADS_PER_SECOND | 1 | Une nouvelle charge de travail est créée toutes les secondes. |
| ROTATION_FREQUENCY | 1/43 200 | Les certificats sont alternés toutes les 12 heures. |
En remplaçant ces valeurs dans la formule de calcul du taux de création de certificats, vous obtenez une valeur de 1,23 RPS.
Débit = (10 000 / 43 200) + 1 = 1,23 RPS
Un autre cluster avec des charges de travail plus éphémères et de durée plus courte peut avoir une valeur plus élevée pour NEW_WORKLOADS_PER_SECOND. Une valeur élevée de FREQUENCE_DE_ROTATION rend la valeur de la fraction (CHARGES_DE_TRAVAIL_ACTIVES/FREQUENCE_DE_ROTATION) très faible, ce qui fait de CHARGES_DE_TRAVAIL_NOUVELLES_PAR_SECONDE la variable la plus importante de la formule.
Avant de commencer
Configurez un pool d'autorités de certification à l'emplacement souhaité. Pour obtenir la liste complète des emplacements, consultez la section Emplacements.
Si vous prévoyez d'émettre des certificats à un débit élevé et de manière cohérente, nous vous recommandons de créer le pool d'autorités de certification au niveau DevOps, ce qui permet d'améliorer les performances et de réduire les coûts. Il existe un débit maximal pour chaque autorité de certification d'un pool d'autorités de certification, et un débit effectif maximal atteignable pour un projet donné. Par exemple, si le débit maximal du niveau DevOps est de 25 RPS pour une autorité de certification et de 100 RPS pour un projet, vous devez créer quatre autorités de certification dans le pool d'autorités de certification pour atteindre un débit effectif total pouvant atteindre 100 RPS. Pour connaître les valeurs de RPS spécifiques et en savoir plus sur les quotas, consultez la section Quotas et limites.
Procédure
Créez suffisamment d'autorités de certification dans votre pool d'autorités de certification pour atteindre le RPS requis. Le nombre d'autorités de certification requis est de quatre pour les pools d'autorités de certification dans les niveaux DevOps et de 15 pour les pools d'autorités de certification dans le niveau Enterprise. L'ensemble d'instructions suivant s'applique à un pool d'autorités de certification au niveau DevOps:
Pour créer une autorité de certification racine avec le nom
root-1dans votre pool d'autorités de certification, exécutez la commandegcloudsuivante.gcloud privateca roots create root-1 --pool POOL_NAME --subject="CN=root-1,O=google"Le nombre total de RPS effectifs du pool d'autorités de certification à ce stade est de 25 RPS. Pour augmenter le nombre total de RPS effectifs du pool d'autorités de certification à 100 RPS, vous devez créer trois autres autorités de certification dans votre pool.
Pour créer une autorité de certification racine avec le nom
root-2, utilisez la commandegcloudsuivante.gcloud privateca roots create root-2 --pool POOL_NAME --subject="CN=root-2,O=google"Pour créer une autorité de certification racine avec le nom
root-3, utilisez la commandegcloudsuivante.gcloud privateca roots create root-3 --pool POOL_NAME --subject="CN=root-3,O=google"Pour créer une autorité de certification racine avec le nom
root-4, utilisez la commandegcloudsuivante.gcloud privateca roots create root-4 --pool POOL_NAME --subject="CN=root-4,O=google"À ce stade, le RPS effectif total de votre pool de certificats d'autorité est de 100 RPS.
Lorsque les autorités de certification sont à l'état
STAGED, créez et testez des certificats. Une fois cette opération effectuée, activez les autorités de certification. Pour savoir comment activer des autorités de certification, consultez Activer une autorité de certification. Pour en savoir plus sur les tests des autorités de certification, consultez Tester une autorité de certification.Vérifiez l'état de votre pool d'autorités de certification en obtenant des rapports d'audit sur l'équilibrage de charge entre les autorités de certification. Dans l'idéal, le nombre de certificats émis par chaque autorité de certification doit être uniforme.
Vous pouvez utiliser Cloud Monitoring pour surveiller les métriques d'équilibrage de charge de votre pool d'autorités de certification, comme le nombre de certificats délivrés par autorité de certification sur une période donnée. Pour en savoir plus, consultez la page Surveiller les ressources à l'aide de Cloud Monitoring.
Étape suivante
- En savoir plus sur les quotas et limites