סקירה כללית של מאגרי הרשות שמנפיקה את האישורים (CA)
מאגר רשויות אישורים (CA) הוא אוסף של כמה רשויות אישורים עם מדיניות משותפת להנפקת אישורים ומדיניות משותפת לניהול זהויות והרשאות גישה (IAM). מאגרי CA מאפשרים לבצע רוטציה של שרשראות אמון בלי שיהיו שיבושים או השבתה של מטען הייעודי (payload).
כשיוצרים מאגר רשויות אישורים, הוא ריק. מידע על הוספת רשות אישורים למאגר רשויות אישורים זמין במאמר יצירת רשות אישורים בסיסית.
מאגר ה-CA שומר על רשימה של אישורי CA מהימנים. צריך להתקין את אישורי ה-CA המהימנים האלה באמצעות הכלי לבקשת אישורים.
מאפיינים של רשויות שמנפיקות אישורים במאגר רשויות שמנפיקות אישורים
בטבלה הבאה מפורטות התכונות שצריכות להיות זהות, יכולות להיות שונות וחייבות להיות שונות לכל רשויות האישורים במאגר רשויות אישורים.
| הערך חייב להיות זהה לכל רשויות האישורים במאגר רשויות האישורים | יכול להיות שונה לכל רשות אישורים במאגר רשויות אישורים | צריך להיות שונה לכל רשות אישורים במאגר רשויות אישורים |
|---|---|---|
|
|
|
השגת מספר QPS גבוה יותר
שירות רשות האישורים אוכף מגבלות על מספר הבקשות שאפשר לשלוח. לדוגמה, מגבלת השימוש בבקשה createCertificate עבור רשות אישורים של DevOps היא 25 QPS.
כדי להגדיל את מספר הבקשות הכולל בפועל לשנייה, צריך להשתמש בכמה רשויות אישורים במאגר רשויות אישורים. מאגר CA מגדיל את סך ה-QPS האפקטיבי על ידי חלוקת בקשות האישורים הנכנסות בין כל רשויות ה-CA בENABLED
מצב. עם זאת, עדיין אפשר לבקש אישורים מרשות אישורים מסוימת במאגר רשויות האישורים.
אפשר להשתמש בנוסחה הבאה כדי לחשב את מספר הבקשות המקסימלי לשנייה שמותר לשלוח למאגר של רשויות אישורים:
Total effective QPS = min(100, number of CAs in the CA pool x QPS per CA)
לדוגמה, אם ה-QPS האפקטיבי של רשות אישורים הוא 25 QPS, ואם יוצרים 4 רשויות אישורים במאגר רשויות אישורים, ה-QPS האפקטיבי הכולל של מאגר רשויות האישורים הוא 100 QPS.
מידע נוסף על שיפור התפוקה הכוללת של יצירת אישורים זמין במאמר בנושא שיפור התפוקה של יצירת אישורים באמצעות מאגר רשויות אישורים.
ניהול סבב אישורים
במאגר CA יכולים להיות רשויות אישורים שנמצאות במצבים שונים. מאגר CA מבצע איזון עומסים של הנפקת אישורים לעומסי עבודה בין רשויות האישורים המופעלות במאגר.
מאגר ה-CA מסתיר את ה-CA הספציפיים שכלולים בו ומנפיקים אישורים. כשאישור CA פג, מספר הבקשות הכולל בפועל לשנייה של מאגר אישורי ה-CA יורד. לדוגמה, אם במאגר של רשויות אישורים יש 4 רשויות אישורים מופעלות, סך ה-QPS בפועל של מאגר רשויות האישורים הוא 100. אבל אם תוקף של רשות אישורים אחת במאגר רשויות האישורים יפוג, סך השאילתות בפועל לשנייה יצטמצם ל-75. כדי לוודא שהערך הכולל של השאילתות האפקטיביות לשנייה במאגר של רשויות האישורים לא מושפע כשאישור של רשות אישורים פג תוקף, צריך ליצור רשות אישורים חדשה לפני שרשות האישורים הקיימת פגה תוקף.
מידע נוסף זמין במאמר בנושא ניהול רוטציה של רשויות אישורים.
למידע על בקשה להגדלת המכסה, ראו איך שולחים בקשה לשינוי המכסות.
המאמרים הבאים
- איך עובדים עם מכסות
- איך יוצרים מאגר של רשויות אישורים
- איך מעדכנים ומסירים מאגר של רשויות אישורים
- איך יוצרים רשות אישורים (CA) בסיסית
- איך מבקשים אישור