Questa pagina è stata tradotta dall'API Cloud Translation.

Aumentare il throughput di creazione dei certificati utilizzando i pool di CA

Questa pagina descrive come aumentare la frequenza di creazione dei certificati utilizzando un pool di autorità di certificazione (CA). Per informazioni sui pool di CA, consulta la Panoramica dei pool di CA.

Panoramica

La velocità effettiva di creazione dei certificati viene misurata in query al secondo (QPS). In un mesh di servizi, il throughput di creazione dei certificati può essere approssimato utilizzando la seguente formula:

THROUGHPUT = (ACTIVE_WORKLOADS × ROTATION_FREQUENCY) + NEW_WORKLOADS_PER_SECOND

Sostituisci quanto segue:

ACTIVE_WORKLOADS: il numero totale di carichi di lavoro in esecuzione in un determinato momento
ROTATION_FREQUENCY: la frequenza con cui i certificati vengono ruotati al secondo
NEW_WORKLOADS_PER_SECOND: la frequenza con cui vengono creati nuovi carichi di lavoro

Puoi trovare i valori di ACTIVE_WORKLOADS e NEW_WORKLOADS_PER_SECOND nelle dashboard di Google Kubernetes Engine nella console Google Cloud. Per determinare ROTATION_FREQUENCY per un mesh di servizi, devi consultare la documentazione del prodotto del mesh di servizi. Per ROTATION_FREQUENCY di Cloud Service Mesh è impostata per impostazione predefinita una volta ogni 12 ore, ovvero 1/(12×60×60) o 1/43200 se convertito in frequenza di rotazione al secondo.

Esempio

Prendiamo l'esempio di un cluster relativamente stabile con carichi di lavoro di lunga durata e pochi carichi di lavoro temporanei.

Nome variabile	Valore	Descrizione
ACTIVE_WORKLOADS	10000	Si prevede che 10.000 carichi di lavoro siano in esecuzione in un determinato momento.
NEW_WORKLOADS_PER_SECOND	1	Ogni secondo viene creato un nuovo carico di lavoro.
ROTATION_FREQUENCY	1/43200	I certificati vengono ruotati ogni 12 ore.

Sostituendo questi valori nella formula per il calcolo della frequenza di creazione dei certificati, si ottiene un valore QPS di 1,23.

Throughput = (10.000 / 43.200) + 1 = 1,23 QPS

Un altro cluster con carichi di lavoro più effimeri e di durata inferiore potrebbe avere un valore più elevato per NEW_WORKLOADS_PER_SECOND. Un valore elevato di ROTATION_FREQUENCY rende il valore della frazione (ACTIVE_WORKLOADS / ROTATION_FREQUENCY) piuttosto ridotto, rendendo NEW_WORKLOADS_PER_SECOND la variabile più importante della formula.

Prima di iniziare

Configura un pool di CA nella località richiesta. Per l'elenco completo delle località, consulta Località.

Se prevedi di emettere certificati con una velocità effettiva costantemente elevata, ti consigliamo di creare il pool CA nel livello DevOps, che consente di migliorare le prestazioni e comporta costi inferiori. Esiste una velocità effettiva massima per ogni singola CA all'interno di un pool CA ed esiste una velocità effettiva massima raggiungibile per qualsiasi progetto. Ad esempio, se la velocità effettiva massima per il livello DevOps è di 25 QPS per un CA e di 100 QPS per un progetto, devi creare 4 CA nel pool di CA per raggiungere una velocità effettiva totale massima di 100 QPS. Per numeri QPS specifici e ulteriori informazioni sulle quote, consulta Quote e limiti.

Procedura

Crea un numero sufficiente di CA nel pool di CA per raggiungere il QPS richiesto. Il numero richiesto di CA è 4 per i pool di CA nei livelli DevOps e 15 per i pool di CA nel livello Enterprise. Il seguente insieme di istruzioni riguarda un pool di CA nel livello DevOps:
1. Per creare una CA radice con il nome root-1 nel pool di CA, utilizza il seguente comando gcloud.
```
 gcloud privateca roots create root-1 --pool POOL_NAME --subject="CN=root-1,O=google"
```
  Il QPS effettivo totale del pool di CA in questa fase è 25 QPS. Per aumentare il QPS effettivo totale del pool di CA a 100 QPS, devi creare altre 3 CA nel pool di CA.
2. Per creare una CA radice con il nome root-2, utilizza il seguente comando gcloud.
```
  gcloud privateca roots create root-2 --pool POOL_NAME --subject="CN=root-2,O=google"
```
3. Per creare una CA radice con il nome root-3, utilizza il seguente comando gcloud.
```
  gcloud privateca roots create root-3 --pool POOL_NAME --subject="CN=root-3,O=google"
```
4. Per creare una CA radice con il nome root-4, utilizza il seguente comando gcloud.
```
  gcloud privateca roots create root-4 --pool POOL_NAME --subject="CN=root-4,O=google"
```
  A questo punto, le QPS effettive totali del pool CA sono 100.
Mentre le CA sono nello stato STAGED, crea e testa i certificati. Al termine, attiva le CA. Per informazioni sull'attivazione delle CA, vedi Attivare una CA. Per informazioni su come testare le CA, vedi Eseguire il test di una CA.
Verifica l'integrità del pool di CA generando report di controllo sul bilanciamento del carico tra le CA. Idealmente, il numero di certificati emessi da ogni CA dovrebbe essere uniforme.

Puoi utilizzare Cloud Monitoring per monitorare le metriche di bilanciamento del carico del pool di CA, ad esempio il numero di certificati emessi per CA in un determinato periodo di tempo. Per ulteriori informazioni, consulta Monitorare le risorse utilizzando Cloud Monitoring.

Passaggi successivi

Scopri di più su quote e limiti.