En este documento, se describen las cuotas y los límites del sistema que se aplican a Administrador de certificados.
- Las cuotas tienen valores predeterminados, pero, por lo general, puedes solicitar ajustes.
- Los límites del sistema son valores fijos que no se pueden cambiar.
Google Cloud usa cuotas para garantizar la equidad y reducir los aumentos repentinos en el uso y la disponibilidad de los recursos. Una cuota restringe la cantidad de un recurso deGoogle Cloud que puede usar tu proyecto de Google Cloud . Las cuotas se aplican a una variedad de tipos de recursos, incluidos los componentes de hardware, software y red. Por ejemplo, las cuotas pueden restringir la cantidad de llamadas a la API para un servicio, la cantidad de balanceadores de cargas que se usan en simultáneo en tu proyecto o la cantidad de proyectos que puedes crear. Las cuotas protegen a la comunidad de usuarios deGoogle Cloud evitando la sobrecarga de los servicios. También te ayudan a administrar tus propios recursos de Google Cloud .
El sistema de cuotas de Cloud lleva a cabo las siguientes acciones:
- Supervisa tu consumo de productos y servicios de Google Cloud
- Restringe el consumo de esos recursos
- Proporciona una forma de solicitar cambios en el valor de la cuota y automatizar los ajustes de la cuota
En la mayoría de los casos, cuando intentas consumir más de lo que permite la cuota de un recurso, el sistema bloquea el acceso al recurso y la tarea que intentas llevar a cabo falla.
Por lo general, las cuotas se aplican a nivel de proyecto de Google Cloud . El uso de un recurso en un proyecto no afecta tu cuota disponible en otro proyecto. En un proyecto de Google Cloud , las cuotas se comparten entre todas las aplicaciones y direcciones IP.
Para obtener más información, consulta la descripción general de cuotas de Cloud.
También hay límites del sistema para los recursos de Administrador de certificados. Los límites del sistema no se pueden cambiar.
El uso de Certificate Manager se rige por los siguientes tipos de cuotas:
Las cuotas de frecuencia determinan la rapidez con la que puedes llamar a la API de Certificate Manager, así como crear y acceder a los recursos de Certificate Manager.
Las cuotas de recursos determinan la cantidad total de recursos de Administrador de certificados que puedes crear en tu Google Cloud proyecto.
Para obtener más información sobre cómo trabajar con cuotas, incluidos los pasos para aumentarlas y configurar la supervisión y las alertas en las métricas de cuotas, consulta la documentación de cuotas de Cloud.
Cuotas de frecuencia
En la siguiente tabla, se enumeran las cuotas de frecuencia para Administrador de certificados.
| Elemento | Cuota predeterminada | Descripción |
|---|---|---|
| Solicitudes a la API | 300 por minuto | Todas las llamadas a la API de Certificate Manager |
| Solicitudes de lectura | 300 por minuto | Llamadas GET y LIST a la API de Certificate Manager |
| Solicitudes de escritura | 300 por minuto | Llamadas CREATE, PATCH y DELETE a la API de Certificate Manager |
Cuotas y límites de recursos
En la siguiente tabla, se enumeran las cuotas y los límites de recursos para los certificados de Administrador de certificados.
| Elemento | Cuotas y límites predeterminados | Descripción |
|---|---|---|
| Certificados administrados por Google | 1000 | Cantidad total de certificados administrados por Google en el proyecto de Google Cloud |
| Certificados regionales administrados por Google | 100 | Cantidad total de certificados regionales administrados por Google por región en el proyecto de Google Cloud |
| Certificados autoadministrados | 1000 | Cantidad total de certificados autoadministrados en el proyecto de Google Cloud |
| Certificados regionales autoadministrados | 100 | Cantidad total de certificados regionales autoadministrados por región en el proyecto de Google Cloud |
| Mapas de certificados | 100 | Cantidad total de mapas de certificados en el proyecto de Google Cloud |
| Entradas de mapa de certificados | 5,000 | Cantidad total de entradas de mapa de certificados en el proyecto de Google Cloud |
| Recursos asociados con un certificado | Límite: 100 | Cantidad total de recursos, como entradas de mapa de certificados y proxies de destino, asociados con un certificado |
| Certificados por entrada de mapa de certificados | Límite: 4 | Cantidad total de certificados que puedes adjuntar a una entrada de mapa de certificados |
| Certificados por proxy de destino | Límite: 100 | Cantidad total de certificados que puedes adjuntar directamente a un proxy HTTPS de destino |
| Mapa de certificados por proxy de destino | Límite: 1 | Cantidad total de mapas de certificados que puedes adjuntar a un proxy HTTPS de destino |
| Autorizaciones del DNS | 1000 | Cantidad total de autorizaciones del DNS en el proyecto de Google Cloud |
| Autorizaciones regionales del DNS | 300 | Cantidad total de autorizaciones regionales del DNS por región en el proyecto de Google Cloud |
| Configuración de emisión de certificados | 100 | Cantidad total de configuraciones de emisión de certificados en el proyecto de Google Cloud |
| Configuración regional de emisión de certificados | 5 | Cantidad total de configuraciones regionales de emisión de certificados por región en el proyecto de Google Cloud |
| Tamaño de la configuración de confianza | 10,000 | Tamaño total de todas las configuraciones de confianza globales en el Google Cloud proyecto de. Para obtener detalles sobre cómo se calcula el tamaño, consulta Cálculo del tamaño de la configuración de confianza. |
| Tamaño de la configuración de confianza regional | 10,000 | Tamaño total de las configuraciones de confianza regionales por región en el Google Cloud proyecto de. Para obtener detalles sobre cómo se calcula el tamaño, consulta Cálculo del tamaño de la configuración de confianza. |
| Tipos de claves compatibles para certificados autoadministrados |
|
|
| Tipo de clave compatible para certificados administrados por Google de confianza pública | RSA-2048 | |
| Tipos de claves compatibles para certificados administrados por Google de confianza privada |
|
Limitaciones de longitud de nombres de dominio para certificados administrados por Google
En la siguiente tabla, se enumeran las limitaciones de longitud de nombres de dominio específicas de los certificados administrados por Google en Certificate Manager.
| Elemento | Caracteres | Dominio |
|---|---|---|
| Autorización del balanceador de cargas | 253 | Todos |
| Autorización del DNS | 237 | Todos |
| Autorización del DNS por proyecto con la AC de Google | 220 | Todos |
Límites de recursos adicionales para certificados administrados por Google
En la siguiente tabla, se enumeran los límites de recursos adicionales específicos de los certificados administrados por Google en Certificate Manager. Estos límites no se pueden aumentar.
| Elemento | Límite | Descripción |
|---|---|---|
| Dominios por certificado con autorización del balanceador de cargas | 5 | Cantidad máxima de dominios permitidos por certificado administrado por Google con autorización del balanceador de cargas |
| Dominios por certificado con autorización del DNS | 100 | Cantidad máxima de dominios permitidos por certificado administrado por Google con autorización del DNS |
Cuotas de solicitudes adicionales para operaciones de Public CA
Las cuotas para las operaciones de Public CA son independientes de las cuotas que rigen las operaciones de Certificate Manager en certificados administrados por Google. También son independientes de cualquier otra cuota que rija las operaciones en certificados administrados por Google que realicen otros Google Cloud productos.
Administrador de certificados aplica los límites de cuotas que se enumeran en esta sección para las operaciones de Public CA. Ten en cuenta los siguientes lineamientos:
- Administrador de certificados puede limitar la frecuencia de tus solicitudes por minuto.
- Administrador de certificados puede mostrar el código de respuesta HTTP 429 y pedirle a un cliente ACME que vuelva a intentar una solicitud después de esperar unos segundos. Tus clientes ACME deben admitir este código de respuesta y respetar el encabezado
Retry-Afterque Administrador de certificados envía con la respuesta.
Los entornos de producción y de etapa de pruebas tienen los mismos límites, pero son independientes entre sí. Las solicitudes al entorno de producción y al entorno de etapa de pruebas solo consumen sus cuotas respectivas.
Cuotas de solicitudes de Public CA
En la siguiente tabla, se enumeran las cuotas de solicitudes de Public CA que se aplican a las operaciones de administración de certificados ACME.
| Elemento | Cuota predeterminada | Descripción |
|---|---|---|
| Crea una cuenta ACME ( newAccount) |
25 por minuto, 100 por hora | Cantidad máxima de solicitudes de creación de cuentas |
| Crea una autorización ( newAuthz) |
300 por hora | Cantidad máxima de solicitudes de creación de autorizaciones |
| Sondea una autorización ( authz) |
600 por minuto | Cantidad máxima de solicitudes de sondeo de autorizaciones |
| Verifica o sondea un desafío ( challenge) |
100 por minuto | Cantidad máxima de solicitudes de verificación o sondeo de desafíos |
| Solicita un certificado ( newOrder) |
100 por hora | Cantidad máxima de solicitudes de certificados nuevos |
| Sondea la emisión de certificados ( cert) |
50 por minuto | Cantidad máxima de solicitudes de sondeo de emisión de certificados |
| Revoca el certificado ( revokeCert) |
25 por 30 s | Cantidad máxima de solicitudes de revocación de certificados |
Configuración de confianza
Los límites que se documentan aquí no se pueden aumentar y se aplican a los balanceadores de cargas de aplicaciones clásicos y a los balanceadores de cargas de aplicaciones externos globales.
| Elemento | Cuotas y límites | Notas |
|---|---|---|
| Cantidad de almacenes de confianza | Límite: 1 | Este límite es por recurso TrustConfig. |
| Cantidad combinada de anclas de confianza y certificados intermedios | Límite: 200 | Este límite es por almacén de confianza. |
| Cantidad de certificados intermedios | Límite: 100 | Este límite es por almacén de confianza. |
| Cantidad de restricciones de nombres permitidas durante la validación de certificados raíz e intermedios | Límite: 10 | |
| Certificados intermedios que comparten la misma información del sujeto y su clave pública | Límite: 10 | Este límite es por almacén de confianza. |
| Profundidad de la cadena de certificados | Límite: 10 | La profundidad máxima de una cadena de certificados, incluidos los certificados raíz y de cliente. |
| Cantidad de veces que se pueden evaluar los certificados intermedios cuando se intenta crear la cadena de confianza | Límite: 100 | |
| Tipos de claves compatibles |
|
|
| Cantidad de certificados en la lista de entidades permitidas (`allowlistedCertificates`) | Límite: 500 |
Cálculo del tamaño de la configuración de confianza
Las siguientes cuotas hacen un seguimiento del límite de tamaño para las configuraciones de confianza:
certificatemanager.googleapis.com/trust-config-sizepara las configuraciones de confianza globalescertificatemanager.googleapis.com/regional-trust-config-sizepara las configuraciones de confianza regionales
Administrador de certificados determina el uso de cuotas de una configuración de confianza en función de su tamaño total y lo calcula con las siguientes reglas:
- PEM de certificados: Cada certificado de correo electrónico mejorado para la privacidad (PEM) que incluyes como ancla de confianza o certificado de la AC intermedio usa 1 unidad de cuota por cada 1 kB de tamaño, redondeado al kB más cercano.
Certificados en la lista de entidades permitidas: Cada 32 certificados en la lista de entidades permitidas (redondeados) usan 1 unidad de cuota.
Dominios de confianza del marco de identidades de producción seguras para todos (SPIFFE): Cada 4 dominios de confianza de SPIFFE (redondeados) usan 1 unidad de cuota.
Sobrecarga: Cada configuración de confianza usa una sobrecarga constante de 2 unidades de cuota, incluso si la configuración de confianza está vacía.
Ejemplos
- Un recurso
TrustConfigvacío usa 2 unidades de cuota. - Un recurso
TrustConfigpequeño (certificado único de 3 kB) usa 5 unidades de cuota (3 para el certificado + 2 de sobrecarga). - Un recurso
TrustConfigcomplejo usa lo siguiente:- 4 certificados con tamaños de 3.5 kB, 5 kB, 4.5 kB y 6 kB: (4 + 5 + 5 + 6) = 20 unidades de cuota
- 10 certificados en la lista de entidades permitidas: 1 unidad de cuota
- 5 dominios de confianza de SPIFFE: 2 unidades de cuota
- Sobrecarga constante: 2 unidades de cuota
- Uso total de cuotas: 20 + 1 + 2 + 2 = 25 unidades de cuota