Este documento lista as cotas e os limites do sistema que se aplicam ao Gerenciador de certificados.
- As cotas especificam a quantidade de um recurso compartilhado e contável que pode ser usado. As cotas são definidas por Google Cloud serviços, como o Certificate Manager.
- Os limites do sistema são valores fixos que não podem ser alterados.
Google Cloud usa cotas para garantir a imparcialidade e reduzir picos no uso e na disponibilidade de recursos. Uma cota restringe quanto de um Google Cloud recurso o Google Cloud projeto pode usar. As cotas se aplicam a vários tipos de recursos, incluindo hardware, software e componentes de rede. Por exemplo, as cotas podem restringir o número de chamadas de API para um serviço, o número de balanceadores de carga usados simultaneamente pelo projeto ou o número de projetos que podem ser criados. As cotas protegem a comunidade de usuários doGoogle Cloud , impedindo a sobrecarga de serviços. As cotas também ajudam você a gerenciar seus próprios recursos Google Cloud .
O sistema de cotas do Cloud faz o seguinte:
- Monitora o consumo de Google Cloud produtos e serviços
- Restringe o consumo desses recursos.
- Fornece um meio de solicitar mudanças no valor da cota
Na maioria dos casos, quando você tenta consumir mais de um recurso do que a cota permite, o sistema bloqueia o acesso ao recurso e a tarefa que você está tentando executar falha.
As cotas geralmente se aplicam ao projeto do nível Google Cloud. O uso de um recurso em um projeto não afeta a cota disponível em outro. Em um projeto do Google Cloud, as cotas são compartilhadas entre todos os aplicativos e endereços IP.
Também há limites de sistema nos recursos do Certificate Manager. Não é possível alterar os limites.
Seu uso do Gerenciador de certificados é regido pelos seguintes tipos de cotas:
As cotas de taxa determinam com que rapidez você pode chamar a API Certificate Manager e criar e acessar recursos do Certificate Manager.
As cotas de recursos determinam a quantidade total de recursos do Certificate Manager que você pode criar no seu projeto do Google Cloud.
Para mais informações sobre como trabalhar com cotas, incluindo etapas para aumentá-las e configurar o monitoramento e os alertas de métricas de cota, consulte Como trabalhar com cotas.
cotas de taxa.
A tabela a seguir lista as cotas de taxa do Gerenciador de certificados.
| Item | Cota padrão | Descrição |
|---|---|---|
| Solicitações de API | 300 por minuto | Todas as chamadas para a API Certificate Manager |
| Solicitações de leitura | 300 por minuto | Chamadas GET e LIST para a API Certificate Manager |
| Solicitações de gravação | 300 por minuto | Chamadas CREATE, PATCH e DELETE para a API Certificate Manager |
Cotas e limites de recursos
A tabela a seguir lista as cotas e os limites de recursos do Gerenciador de certificados.
| Item | Cotas e limites padrão | Descrição |
|---|---|---|
| Certificados gerenciados pelo Google | 1000 | Número total de certificados gerenciados pelo Google no projeto do Google Cloud |
| Certificados regionais gerenciados pelo Google | 30 | Número total de certificados regionais gerenciados pelo Google por região no projeto do Google Cloud |
| Certificados autogerenciados | 1000 | Número total de certificados autogerenciados no projeto do Google Cloud |
| Certificados regionais autogerenciados | 30 | Número total de certificados autogerenciados regionais por região no projeto do Google Cloud |
| Mapas de certificados | 100 | Número total de mapas de certificado no projeto do Google Cloud |
| Entradas do mapa de certificados | 5.000 | Número total de entradas do mapa de certificados no projeto do Google Cloud. É possível associar um certificado a no máximo 100 entradas do mapa de certificados. |
| Certificados por entrada do mapa de certificados | Limite: 4 | Número total de certificados que podem ser anexados a uma entrada do mapa de certificados |
| Autorizações de DNS | 1000 | Número total de autorizações de DNS no projeto do Google Cloud |
| Autorizações de DNS regionais | 300 | Número total de autorizações de DNS regionais por região no projeto do Google Cloud |
| Configurações de emissão de certificados | 100 | Número total de configurações de emissão de certificados no projeto do Google Cloud |
| Configurações de emissão de certificados regionais | 5 | Número total de configurações de emissão de certificados regionais por região no projeto do Google Cloud |
| Configurações de confiança | 5 | Número total de configurações de confiança no projeto do Google Cloud |
Limitações de comprimento do nome de domínio para certificados gerenciados pelo Google
A tabela a seguir lista as limitações de comprimento do nome de domínio específicas para certificados gerenciados pelo Google no Gerenciador de certificados.
| Item | Caracteres | Domínio |
|---|---|---|
| Autorização do balanceador de carga | 253 | Todos |
| Autorização de DNS | 237 | Todos |
| Autorização de DNS por projeto com a AC do Google | 220 | Todos |
Limites de recursos adicionais para certificados gerenciados pelo Google
A tabela a seguir lista outros limites de recursos específicos para certificados gerenciados pelo Google no Gerenciador de certificados. Esses limites não podem ser aumentados.
| Item | Limite | Descrição |
|---|---|---|
| Domínios por certificado com autorização do balanceador de carga | 5 | Número máximo de domínios permitidos por certificado gerenciado pelo Google com autorização do balanceador de carga. |
| Domínios por certificado com autorização de DNS | 100 | Número máximo de domínios permitidos por certificado gerenciado pelo Google com autorização de DNS. |
Cotas de solicitação adicionais para operações de ACs públicas
As cotas para operações de AC públicas são independentes das cotas que regem as operações do Gerenciador de certificados em certificados gerenciados pelo Google. Elas também são independentes de qualquer outra cota que rege as operações em certificados gerenciados pelo Google realizados por outros Google Cloud produtos.
O Gerenciador de certificados aplica os limites de cota listados nesta seção para operações de AC públicas. Tenha as seguintes diretrizes em mente:
- O Gerenciador de certificados pode limitar a taxa de solicitações por minuto.
- O Gerenciador de certificados pode retornar o código de resposta HTTP 429 solicitando que um
cliente ACME tente novamente uma solicitação após aguardar alguns segundos. Seus clientes ACME precisam
oferecer suporte a esse código de resposta e respeitar o cabeçalho
Retry-Afterque o Gerenciador de certificados envia com a resposta.
O ambiente de produção e o ambiente de pré-produção têm os mesmos limites, mas são independentes um do outro. As solicitações para o ambiente de produção e o ambiente de preparação consomem apenas as respectivas cotas.
Cotas de solicitações de ACs públicas
A tabela a seguir lista as cotas de solicitação de AC pública que se aplicam às operações de gerenciamento de certificados ACME.
| Item | Cota padrão | Descrição |
|---|---|---|
| Criar uma conta ACME ( newAccount) |
25 por minuto, 100 por hora | Número máximo de solicitações de criação de conta |
| Criar uma autorização ( newAuthz) |
300 por hora | Número máximo de solicitações de criação de autorização |
| Solicitar uma autorização ( authz) |
600 por minuto | Número máximo de solicitações de pesquisa de autorização |
| Verificar ou consultar um desafio ( challenge) |
100 por minuto | Número máximo de solicitações de verificação de desafio ou de pesquisa |
| Solicitar um certificado ( newOrder) |
100 por hora | Número máximo de solicitações de novos certificados |
| Emissão de certificado de enquete ( cert) |
50 por minuto | Número máximo de solicitações de pesquisa de emissão de certificados |
| Revogar certificado ( revokeCert) |
25 por 30s | Número máximo de solicitações de revogação de certificado |
Configuração de confiança
Os limites documentados aqui não podem ser aumentados e se aplicam a balanceadores de carga de aplicativo clássicos e balanceadores de carga de aplicativo externos globais.
| Item | Cotas e limites | Observações |
|---|---|---|
| Número de repositórios de confiança | Limite: 1 | Esse limite é definido pelo recurso TrustConfig. |
| Número combinado de âncoras de confiança e certificados intermediários | Limite: 200 | Esse limite é por repositório de confiança. |
| Número de certificados intermediários | Limite: 100 | Esse limite é por repositório de confiança. |
| Número de restrições de nome permitidas durante a validação de certificados raiz e intermediários | Limite: 10 | |
| Certificados intermediários que compartilham as mesmas informações de Assunto e de Chave pública do assunto | Limite: 10 | Esse limite é por repositório de confiança. |
| Profundidade da cadeia de certificados | Limite: 10 | A profundidade máxima de uma cadeia de certificados, incluindo os certificados raiz e do cliente. |
| Número de vezes que os certificados intermediários podem ser avaliados ao tentar criar a cadeia de confiança | Limite: 100 | |
| Chaves de certificados enviados ou passados do cliente | Limite: as chaves RSA podem ter de 2.048 a 4.096 bits Os certificados ECDSA precisam usar curvas P-256 ou P-384 |