选择操作层级
Certificate Authority Service 为证书授权机构 (CA) 池提供两个工作负载优化操作层级。
- DevOps:侧重于基于微服务的应用中大量、短期的证书颁发。
- 企业:侧重于小批量、长期有效的证书颁发,这通常在设备和用户身份中出现,生命周期管理至关重要。
这两种层级都可以与任何类型的应用搭配使用,并且都支持用户指定的所有证书时间表。基于微服务的应用可能会受益于 DevOps CA 池的更高证书创建吞吐量,这可以支持工作负载启动率更高的环境,并允许更频繁地轮替证书。DevOps 层可能更适合使用生命周期较短的证书,因为它缺少证书生命周期管理。
如需了解如何粗略估算证书创建吞吐量,请参阅使用 CA 池提高证书创建吞吐量。
下表列出了 DevOps 层级和企业层级之间的一些差异:
| DevOps 层级 | Enterprise 层级 | |
|---|---|---|
| 对 CA 密钥的 HSM 支持 | 是 | 是 |
| 通过 Cloud KMS 支持的客户管理的 CA 密钥 | 否 | 是 |
| 支持列出、描述和撤消证书 | 否 | 是 |
| CA 的 QPS 配额* | 25 | 7 |
* QPS 配额是指给定 CA 每秒可颁发的证书数量上限。通过使用多个 CA,CA 池可以达到更高的总有效 QPS。
后续步骤
- 了解 CA 池。
- 了解如何创建 CA 池。
- 了解如何使用 CA 池提高证书创建吞吐量。
- 了解配额和限制。