這份文件列出 Certificate Manager 適用的配額和系統限制。
- 「配額」有預設值,但通常可以申請調整。
- 「系統限制」是固定值,無法變更。
Google Cloud 使用配額來確保公平性,並減少資源使用量和可用性出現劇烈波動的情況。配額會限制 Google Cloud 專案可使用的Google Cloud 資源數量,且適用多種資源類型,包括軟硬體和網路元件。舉例來說,配額可能會限制能向特定服務發出的 API 呼叫次數、專案可同時使用的負載平衡器數量,或是可建立的專案數量。配額機制可防止服務過載,保障Google Cloud 使用者社群的權益,同時也有助於您管理自己的 Google Cloud 資源。
Cloud Quotas 系統具備以下功能:
如果嘗試使用的資源量超過配額限制,系統通常會阻擋該資源的存取活動,您所執行的工作就會失敗。
配額的計算通常是以 Google Cloud 專案為基準。在某個專案中使用資源,不會影響另一個專案的可用配額。在同一個 Google Cloud 專案內,所有應用程式和 IP 位址會共用配額。
詳情請參閱「Cloud Quotas 總覽」。
Certificate Manager 資源也設有系統限制, 而且無法變更。
使用 Certificate Manager 時,必須遵守下列配額類型:
頻率配額會決定您呼叫 Certificate Manager API 的速度,以及建立和存取 Certificate Manager 資源的速度。
資源配額會決定您可以在 Google Cloud 專案中建立的 Certificate Manager 資源總量。
如要進一步瞭解如何處理配額 (包括增加配額的步驟),以及如何設定配額指標的監控和快訊,請參閱 Cloud Quotas 說明文件。
頻率配額
下表列出 Certificate Manager 的速率配額。
| 項目 | 預設配額 | 說明 |
|---|---|---|
| API 要求 | 每分鐘 300 個 | 對 Certificate Manager API 的所有呼叫 |
| 讀取要求 | 每分鐘 300 個 | 對 Certificate Manager API 進行 GET 和 LIST 呼叫 |
| 寫入要求 | 每分鐘 300 個 | 對 Certificate Manager API 的 CREATE、PATCH 和 DELETE 呼叫 |
資源配額與限制
下表列出 Certificate Manager 憑證的資源配額和限制。
| 項目 | 預設配額和限制 | 說明 |
|---|---|---|
| Google 代管憑證 | 1000 | Google Cloud 專案中的 Google 管理憑證總數 |
| 區域性 Google 代管憑證 | 100 | 每個區域的 Google 代管憑證總數 (以 Google Cloud 專案為單位) |
| 自行管理的憑證 | 1000 | Google Cloud 專案中的自行管理憑證總數 |
| 區域性自行管理的憑證 | 100 | Google Cloud 專案中每個區域的區域性自行管理憑證總數 |
| 憑證對應組合 | 100 | Google Cloud 專案中的憑證對應總數 |
| 憑證對應項目 | 5000 | Google Cloud 專案中的憑證對應項目總數 |
| 與憑證相關聯的資源 | 上限:100 | 與憑證相關聯的資源總數,例如憑證對應項目和目標 Proxy。 |
| 每個憑證對應關係的憑證 | 上限:4 個 | 可附加至憑證對應關係的憑證總數 |
| 每個目標 Proxy 的憑證 | 上限:100 | 可直接附加至目標 HTTPS Proxy 的憑證總數 |
| 每個目標 Proxy 的憑證對應組合 | 上限:1 | 可附加至目標 HTTPS Proxy 的憑證對應總數 |
| DNS 授權 | 1000 | Google Cloud 專案中的 DNS 授權總數 |
| 區域 DNS 授權 | 300 | 專案中每個區域的區域 DNS 授權總數 Google Cloud |
| 憑證核發設定 | 100 | Google Cloud 專案中的憑證核發設定總數 |
| 區域憑證核發設定 | 5 | Google Cloud 專案中每個區域的區域憑證核發設定總數 |
| 信任設定大小 | 10000 | Google Cloud 專案中所有全域信任設定的總大小。如要瞭解大小的計算方式,請參閱「信任設定大小計算」。 |
| 區域信任設定大小 | 10000 | Google Cloud 專案中每個區域的區域信任設定總大小。如要瞭解大小的計算方式,請參閱「信任設定大小計算」。 |
| 自行管理憑證支援的金鑰類型 |
|
|
| 公開信任的 Google 代管憑證支援的金鑰類型 | RSA-2048 | |
| 私下信任的 Google 代管憑證支援的金鑰類型 |
|
Google 代管憑證的網域名稱長度限制
下表列出 Certificate Manager 中 Google 代管憑證的網域名稱長度限制。
| 項目 | 字元 | 網域 |
|---|---|---|
| 負載平衡器授權 | 253 | 全部 |
| DNS 授權 | 237 | 全部 |
| 透過 Google CA 進行專案專屬的 DNS 授權 | 220 | 全部 |
Google 代管憑證的其他資源限制
下表列出 Certificate Manager 中 Google 管理的憑證專屬資源限制。這些限制無法增加。
| 項目 | 限制 | 說明 |
|---|---|---|
| 每個憑證的網域 (須具備負載平衡器授權) | 5 | 每個 Google 代管憑證 (已授權負載平衡器) 可使用的網域數量上限。 |
| 每個憑證的網域 (透過 DNS 授權) | 100 | 每個透過 DNS 授權的 Google 代管憑證可使用的網域數量上限。 |
Public CA 作業的額外要求配額
Public CA 作業的配額與控管 Google 代管憑證的 Certificate Manager 作業配額無關。此外,這些配額與其他 Google Cloud 產品對 Google 代管憑證執行作業時適用的任何其他配額無關。
Certificate Manager 會對 Public CA 作業強制執行本節列出的配額限制。請注意下列規範:
- Certificate Manager 可能會限制每分鐘的要求數。
- Certificate Manager 可能會傳回 HTTP 429 回應代碼,要求 ACME 用戶端等待幾秒後再重試要求。ACME 用戶端必須支援這個回應代碼,並遵守 Certificate Manager 隨回應傳送的
Retry-After標頭。
正式環境和測試環境的限制相同,但彼此獨立。正式環境和測試環境的要求只會消耗各自的配額。
公開 CA 要求配額
下表列出適用於 ACME 憑證管理作業的 Public CA 要求配額。
| 項目 | 預設配額 | 說明 |
|---|---|---|
| 建立 ACME 帳戶 ( newAccount) |
每分鐘 25 個,每小時 100 個 | 帳戶建立要求數量上限 |
| 建立授權 ( newAuthz) |
每小時 300 封 | 授權建立要求數量上限 |
| 輪詢授權 ( authz) |
每分鐘 600 | 授權輪詢要求的數量上限 |
| 驗證或投票表決挑戰 ( challenge) |
每分鐘 100 次 | 驗證或輪詢要求次數上限 |
| 要求憑證 ( newOrder) |
每小時 100 次 | 新憑證要求數量上限 |
| 核發投票證書 ( cert) |
每分鐘 50 個 | 憑證核發輪詢要求的數量上限 |
| 撤銷憑證 ( revokeCert) |
每 30 秒 25 個 | 憑證撤銷要求數量上限 |
信任設定
本文所述限制無法增加,且適用於傳統版應用程式負載平衡器和全域外部應用程式負載平衡器。
| 項目 | 配額與限制 | 附註 |
|---|---|---|
| 信任存放區數量 | 上限:1 | 這項限制適用於每個 TrustConfig 資源。 |
| 信任錨點和中繼憑證的總數 | 上限:200 | 這項限制適用於每個信任存放區。 |
| 中繼憑證數量 | 上限:100 | 這項限制適用於每個信任存放區。 |
| 驗證根憑證和中繼憑證時允許的名稱限制條件數量 | 上限:10 | |
| 共用相同主體和主體公開金鑰資訊的中繼憑證 | 上限:10 | 這項限制適用於每個信任存放區。 |
| 憑證鏈結深度 | 上限:10 | 憑證鏈結的深度上限,包括根憑證和用戶端憑證。 |
| 嘗試建立信任鏈結時,可評估中繼憑證的次數 | 上限:100 | |
| 支援的金鑰類型 |
|
|
| 許可清單中的憑證數量 (`allowlistedCertificates`) | 上限:500 個 |
信任設定大小計算
下列配額會追蹤信任設定的大小限制:
certificatemanager.googleapis.com/trust-config-size:適用於全域信任設定。certificatemanager.googleapis.com/regional-trust-config-size,即可查看區域信任設定。
Certificate Manager 會根據信任設定的總大小判斷配額用量,並依下列規則計算:
- 憑證 PEM:您納入為信任錨點或中繼 CA 憑證的每個 Privacy-Enhanced Mail (PEM) 憑證,每 1 KB 大小會使用 1 個配額單位,並無條件進位至最接近的 1 KB。
許可清單中的憑證:許可清單中每 32 個憑證 (向上取整) 會使用 1 個配額單位。
適用於所有人的安全生產身分架構 (SPIFFE) 信任網域:每 4 個 SPIFFE 信任網域 (無條件進位) 會使用 1 個配額單位。
額外負荷:即使信任設定為空白,每項信任設定仍會使用 2 個單位的配額。
範例
- 空白的
TrustConfig資源會使用 2 個配額單位。 - 小型
TrustConfig資源 (單一 3 KB 憑證) 會使用 5 個配額單位 (3 個用於憑證 + 2 個用於額外負荷)。 - 複雜的
TrustConfig資源會使用:- 4 個憑證,大小分別為 3.5 KB、5 KB、4.5 KB 和 6 KB:(4 + 5 + 5 + 6) = 20 個配額單位。
- 已加入許可清單的憑證數量:10 個 = 1 個配額單位。
- 5 個 SPIFFE 信任網域:2 個配額單位。
- 固定額外負荷:2 個配額單位。
- 配額用量總計:20 + 1 + 2 + 2 = 25 個配額單位。