使用 CA 集區提高憑證建立處理量

本頁說明如何使用憑證授權單位 (CA) 集區，提高憑證建立速率。如要瞭解 CA 集區，請參閱 CA 集區總覽。

總覽

憑證建立總處理量的測量單位為每秒查詢次數 (QPS)。在服務網格中，您可以使用下列公式估算憑證建立輸送量：

THROUGHPUT = (ACTIVE_WORKLOADS × ROTATION_FREQUENCY) + NEW_WORKLOADS_PER_SECOND

更改下列內容：

• ACTIVE_WORKLOADS：在任何指定時間執行的工作負載總數
• ROTATION_FREQUENCY：憑證的輪換頻率 (以秒為單位)
• NEW_WORKLOADS_PER_SECOND：建立新工作負載的速率

您可以在Google Cloud 控制台的 Google Kubernetes Engine 資訊主頁中，找到 ACTIVE_WORKLOADS 和 NEW_WORKLOADS_PER_SECOND 的值。如要判斷服務網格的 ROTATION_FREQUENCY，請參閱服務網格產品的說明文件。Cloud Service Mesh 的 ROTATION_FREQUENCY 預設為每 12 小時一次，換算成每秒的輪替頻率為 1/(12×60×60) 或 1/43200。

範例

以相對穩定的叢集為例，這類叢集具有長期執行的工作負載，以及少數臨時工作負載。

變數名稱	值	說明
ACTIVE_WORKLOADS	10000	預計隨時會有 10,000 個工作負載正在執行。
NEW_WORKLOADS_PER_SECOND	1	每秒建立 1 個新工作負載。
ROTATION_FREQUENCY	1/43200	憑證每 12 小時輪替一次。

將這些值代入計算憑證建立率的公式，即可得出 QPS 值為 1.23。

處理量 = (10,000 / 43,200) + 1 = 1.23 QPS

如果叢集有更多暫時性工作負載和生命週期較短的工作負載，NEW_WORKLOADS_PER_SECOND 的值可能會較高。ROTATION_FREQUENCY 的值越高，分數 (ACTIVE_WORKLOADS / ROTATION_FREQUENCY) 的值就越小，因此 NEW_WORKLOADS_PER_SECOND 是公式中最重要變數。

事前準備

在所需位置設定 CA 集區。如需完整地點清單，請參閱「地點」。

如果您預期會以持續高處理量核發憑證，建議您在 DevOps 層級中建立 CA 集區，這樣不僅能提升效能，還可降低費用。CA 集區中的每個 CA 都有總處理量上限，且任何指定專案都有可達成的有效總處理量上限。舉例來說，如果 DevOps 層級的 CA 最大總處理量為 25 QPS，專案最大總處理量為 100 QPS，則您必須在 CA 集區中建立 4 個 CA，才能達到 100 QPS 的有效總處理量。如要瞭解具體的 QPS 數字和配額相關資訊，請參閱「配額與限制」。

程序

1. 在 CA 集區中建立足夠的 CA，以達到所需的每秒查詢數。開發運作層級的 CA 集區需要 4 個 CA，企業層級的 CA 集區則需要 15 個 CA。以下操作說明適用於 DevOps 層級的 CA 集區：

   1. 如要在 CA 集區中建立名為 root-1 的根 CA，請使用下列 gcloud 指令。

       gcloud privateca roots create root-1 \
           --location LOCATION \
           --pool POOL_NAME \
           --subject="CN=root-1,O=google"
      

      這個階段的 CA 集區有效 QPS 總數為 25 QPS。如要將 CA 集區的總有效 QPS 提高至 100 QPS，您必須在 CA 集區中再建立 3 個 CA。

   2. 如要建立名為 root-2 的根 CA，請使用下列 gcloud 指令。

        gcloud privateca roots create root-2 \
            --location LOCATION \
            --pool POOL_NAME \
            --subject="CN=root-2,O=google"
      

   3. 如要建立名為 root-3 的根 CA，請使用下列 gcloud 指令。

        gcloud privateca roots create root-3 \
            --location LOCATION \
            --pool POOL_NAME \
            --subject="CN=root-3,O=google"
      

   4. 如要建立名為 root-4 的根 CA，請使用下列 gcloud 指令。

        gcloud privateca roots create root-4 \
            --location LOCATION \
            --pool POOL_NAME \
            --subject="CN=root-4,O=google"
      

      在這個階段，CA 集區的有效 QPS 總計為 100 QPS。

2. CA 處於 STAGED 狀態時，請建立及測試憑證。完成後，請啟用 CA。如要瞭解如何啟用 CA，請參閱「啟用 CA」。如要瞭解如何測試 CA，請參閱「測試 CA」。

3. 取得 CA 負載平衡的稽核報告，確認 CA 集區的健康狀態。理想情況下，每個 CA 核發的憑證數量應一致。

   您可以使用 Cloud Monitoring 監控 CA 集區的負載平衡指標，例如在特定時間範圍內，每個 CA 核發的憑證數量。詳情請參閱「使用 Cloud Monitoring 監控資源」。

後續步驟

• 進一步瞭解配額與限制。
• 觀看 YouTube 影片，瞭解如何透過 CA 集區提高 CA 的輸送量。