本文档列出了适用于 Certificate Manager 的配额和系统限制。
- 配额具有默认值,但您通常可以申请 调整。
- 系统限制是无法更改的固定值。
Google Cloud 使用配额来帮助确保公平性并减少资源使用和可用性的激增。配额用于限制您的 Google Cloud 项目可使用多少Google Cloud 资源。配额适用于一系列资源类型,包括硬件、软件和网络组件。例如,配额可以限制对某项服务的 API 调用次数、您的项目并发使用的负载均衡器数量或者您可以创建的项目数量。配额可以防止服务过载,从而保护Google Cloud 用户社区。配额还可以帮助您管理自己的 Google Cloud 资源。
Cloud 配额系统执行以下操作:
在大多数情况下,当您尝试消耗的资源超出其配额允许的范围时,系统会阻止对资源的访问,并且您尝试执行的任务会失败。
配额通常在 Google Cloud 项目级别应用。您在一个项目中使用资源不会影响您在另一个项目中的可用配额。在 Google Cloud 项目中,配额在所有应用和 IP 地址间共享。
如需了解详情,请参阅 Cloud 配额概览。
Certificate Manager 资源也有 系统限制。 系统限制不能更改。
您对 Certificate Manager 的使用受以下类型的配额约束:
速率配额 决定了您调用 Certificate Manager API 以及创建和访问 Certificate Manager 资源的速度。
资源配额 决定了您可以在项目中创建的 Certificate Manager 资源总量 Google Cloud 。
如需详细了解如何使用配额(包括增加 配额的步骤),以及如何针对配额指标设置监控和提醒,请参阅 Cloud 配额文档。
速率配额
下表列出了 Certificate Manager 的速率配额。
| 推荐项 | 默认配额 | 说明 |
|---|---|---|
| API 请求 | 每分钟 300 次 | 对 Certificate Manager API 的所有调用 |
| 读取请求 | 每分钟 300 次 | 对 Certificate Manager API 的 GET 和 LIST 调用 |
| 写入请求 | 每分钟 300 次 | 对 Certificate Manager API 的 CREATE、PATCH 和 DELETE 调用 |
资源配额和限制
下表列出了 Certificate Manager 证书的资源配额和限制。
| 推荐项 | 默认配额和限制 | 说明 |
|---|---|---|
| Google 管理的证书 | 1000 | 项目中的 Google 管理的证书总数 Google Cloud |
| Google 管理的区域级证书 | 100 | 项目中每个区域的 Google 管理的区域级证书总数 Google Cloud |
| 自行管理的证书 | 1000 | 项目中的自行管理的证书总数 Google Cloud |
| 自行管理的区域级证书 | 100 | 项目中每个区域的自行管理的区域级证书总数 Google Cloud |
| 证书映射 | 100 | 项目中的证书映射总数 Google Cloud |
| 证书映射条目 | 5000 | 项目中的证书映射条目总数 Google Cloud |
| 与证书关联的资源 | 限制:100 | 与证书关联的资源(例如证书映射条目和目标代理)总数。 |
| 每个证书映射条目的证书数 | 限制:4 | 您可以附加到证书映射条目的证书总数 |
| 每个目标代理的证书数 | 限制:100 | 您可以直接附加到目标 https 代理的证书总数 |
| 每个目标代理的证书映射数 | 限制:1 | 您可以附加到目标 https 代理的证书映射总数 |
| DNS 授权 | 1000 | 项目中的 DNS 授权总数 Google Cloud |
| 区域级 DNS 授权 | 300 | 项目中每个区域的区域级 DNS 授权总数 Google Cloud |
| 证书颁发配置 | 100 | 项目中的证书颁发配置总数 Google Cloud |
| 区域级证书颁发配置 | 5 | 项目中每个区域的区域级证书颁发配置总数 Google Cloud |
| 信任配置大小 | 10000 | 项目中的所有全局信任配置的总大小。 Google Cloud 如需详细了解大小的计算方式,请参阅信任配置大小计算。 |
| 区域级信任配置大小 | 10000 | 项目中每个区域的区域级信任配置的总大小。 Google Cloud 如需详细了解大小的计算方式,请参阅信任配置大小计算。 |
| 自行管理的证书支持的密钥类型 |
|
|
| 公开受信任的 Google 管理的证书支持的密钥类型 | RSA-2048 | |
| 私下受信任的 Google 管理的证书支持的密钥类型 |
|
Google 管理的证书的域名长度限制
下表列出了 Certificate Manager 中 Google 管理的证书特有的域名长度限制。
| 推荐项 | 字符 | 网域 |
|---|---|---|
| 负载平衡器授权 | 253 | 全部 |
| DNS 授权 | 237 | 全部 |
| 具有 Google CA 的每项目 DNS 授权 | 220 | 全部 |
Google 管理的证书的其他资源限制
下表列出了 Certificate Manager 中 Google 管理的证书特有的其他资源限制。这些限制 无法增加。
| 推荐项 | 限制 | 说明 |
|---|---|---|
| 具有负载均衡器授权的每个证书的网域数 | 5 | 具有负载均衡器授权的每个 Google 管理的证书允许的网域数上限。 |
| 具有 DNS 授权的每个证书的网域数 | 100 | 具有 DNS 授权的每个 Google 管理的证书允许的网域数上限。 |
Public CA 操作的其他请求配额
Public CA 操作的配额独立于控制对 Google 管理的证书执行 Certificate Manager 操作的配额。它们还独立于控制对 任何其他 Google Cloud 产品执行的 Google 管理的证书的操作的任何其他配额。
Certificate Manager 会对 Public CA 操作强制执行本部分列出的配额限制。请注意以下准则:
- Certificate Manager 可以限制您每分钟的请求数。
- Certificate Manager 可以返回 HTTP 429 响应代码,要求 ACME 客户端在等待几秒钟后重试请求。您的 ACME 客户端必须支持此响应代码,并遵循 Certificate Manager 随响应发送的
Retry-After标头。
生产环境和预演环境具有相同的限制,但它们彼此独立。对生产环境和预演环境的请求只会消耗各自的配额。
Public CA 请求配额
下表列出了适用于 ACME 证书管理操作的 Public CA 请求配额。
| 推荐项 | 默认配额 | 说明 |
|---|---|---|
| 创建 ACME 账号 ( newAccount) |
每分钟 25 个,每小时 100 个 | 账号创建请求数上限 |
| 创建授权 ( newAuthz) |
每小时 300 个 | 授权创建请求数上限 |
| 轮询授权 ( authz) |
每分钟 600 个 | 授权轮询请求数上限 |
| 验证或轮询质询 ( challenge) |
每分钟 100 个 | 质询验证或轮询请求数上限 |
| 请求证书 ( newOrder) |
每小时 100 个 | 新证书请求数上限 |
| 轮询证书颁发 ( cert) |
每分钟 50 个 | 证书颁发轮询请求数上限 |
| 撤消证书 ( revokeCert) |
每 30 秒 25 个 | 证书撤消请求数上限 |
信任配置
此处所述的限制无法提高,适用于传统应用负载均衡器和全球外部应用负载均衡器。
| 项 | 配额和限制 | 备注 |
|---|---|---|
| 信任库数量 | 限制:1 | 这是每个 TrustConfig 资源的限制。 |
| 信任锚和中间证书的总数 | 限制:200 | 这是每个信任库的限制。 |
| 中间证书数量 | 限制:100 | 这是每个信任库的限制。 |
| 根证书和中间证书验证期间允许的名称限制条件数量 | 限制:10 | |
| 共享相同主体和主体公钥信息的中间证书数量 | 限制:10 | 这是每个信任库的限制。 |
| 证书链深度 | 限制:10 | 证书链的深度上限,包括根证书和客户端证书。 |
| 在尝试构建信任链时,评估中间证书的最大次数。 | 限制:100 | |
| 支持的密钥类型 |
|
|
| 许可名单中的证书数量(“allowlistedCertificates”) | 限制:500 |
信任配置大小计算
以下配额用于跟踪信任配置的大小限制:
- 全局信任配置的
certificatemanager.googleapis.com/trust-config-size。 - 区域级信任配置的
certificatemanager.googleapis.com/regional-trust-config-size。
Certificate Manager 根据信任配置的总大小确定其配额使用量,并使用以下规则进行计算:
- 证书 PEM:您作为信任锚或中间 CA 证书包含的每个 Privacy-Enhanced Mail (PEM) 证书,每 1 kB 大小使用 1 个配额单位,向上取整为最接近的 1 kB。
许可名单中的证书:许可名单中的每 32 个证书(向上取整)使用 1 个配额单位。
Secure Production Identity Framework for Everyone (SPIFFE) 信任网域:每 4 个 SPIFFE 信任网域(向上取整)使用 1 个配额单位。
开销:每个信任配置都使用 2 个配额单位的固定开销,即使信任配置为空也是如此。
示例
- 一个空的
TrustConfig资源使用 2 个配额单位。 - 一个小的
TrustConfig资源(单个 3 kB 证书)使用 5 个配额单位(3 个用于证书 + 2 个用于开销)。 - 一个复杂的
TrustConfig资源使用:- 4 个证书,大小分别为 3.5 kB、5 kB、4.5 kB 和 6 kB:(4 + 5 + 5 + 6)= 20 个配额单位。
- 许可名单中的 10 个证书:1 个配额单位。
- 5 个 SPIFFE 信任网域:2 个配额单位。
- 固定开销:2 个配额单位。
- 配额使用量总计:20 + 1 + 2 + 2 = 25 个配额单位。