本文档列出了适用于 Certificate Manager 的配额和系统限制。
- 配额用于指定您可以使用的可计数共享资源的数量。配额由 Google Cloud 证书管理器等服务定义。
- 系统限制是无法更改的固定值。
Google Cloud 使用配额来帮助确保公平性并减少资源使用和可用性的激增。配额用于限制您的 Google Cloud 项目可使用的Google Cloud 资源的数量。配额适用于一系列资源类型,包括硬件、软件和网络组件。例如,配额可以限制对某项服务的 API 调用次数、您的项目并发使用的负载均衡器数量或者您可以创建的项目数量。配额可以防止服务过载,从而保护Google Cloud 用户社区。配额还可帮助您管理自己的 Google Cloud 资源。
Cloud 配额系统执行以下操作:
- 监控 Google Cloud 产品和服务的消耗情况
- 限制这些资源的消耗量
- 提供请求更改配额值的方法
在大多数情况下,当您尝试消耗的资源超出其配额允许的范围时,系统会阻止对资源的访问,并且您尝试执行的任务会失败。
配额通常在 Google Cloud 项目级层应用。您在一个项目中使用资源不会影响您在另一个项目中的可用配额。在 Google Cloud 项目中,配额在所有应用和 IP 地址间共享。
Certificate Manager 资源也有系统限制。系统限制不能更改。
您对 Certificate Manager 的使用受以下类型的配额的约束:
速率配额用于确定您可以调用 Certificate Manager API 的速度,以及创建和访问 Certificate Manager 资源的速度。
资源配额决定您可以在 Google Cloud 项目中创建的 Certificate Manager 资源的总量。
如需详细了解如何使用配额(包括增加配额的步骤),以及如何设置配额指标的监控和提醒,请参阅使用配额。
速率配额
下表列出了证书管理器的速率配额。
| 项 | 默认配额 | 说明 |
|---|---|---|
| API 请求 | 每分钟 300 次 | 对 Certificate Manager API 的所有调用 |
| 读请求次数 | 每分钟 300 次 | 对 Certificate Manager API 的 GET 和 LIST 调用 |
| 写请求次数 | 每分钟 300 次 | 对 Certificate Manager API 的 CREATE、PATCH 和 DELETE 调用 |
资源配额和限制
下表列出了 Certificate Manager 的资源配额和限制。
| 项 | 默认配额和限制 | 说明 |
|---|---|---|
| Google 管理的证书 | 1000 | Google Cloud 项目中 Google 管理的证书的总数 |
| Google 管理的区域级证书 | 30 | Google Cloud 项目中每个区域的 Google 管理的区域级证书总数 |
| 自行管理的证书 | 1000 | Google Cloud 项目中的自行管理证书总数 |
| 自行管理的区域级证书 | 30 | Google Cloud 项目中每个区域的自行管理的区域级证书的总数 |
| 证书映射 | 100 | Google Cloud 项目中的证书映射总数 |
| 证书映射条目 | 5000 | Google Cloud 项目中的证书映射条目总数。 您最多可以将一个证书与 100 个证书映射条目相关联。 |
| 每个证书映射条目的证书数量 | 限制:4 | 您可以附加到证书映射条目的证书总数 |
| DNS 授权 | 1000 | Google Cloud 项目中的 DNS 授权总数 |
| 区域 DNS 授权 | 300 | Google Cloud 项目中每个区域的区域 DNS 授权总数 |
| 证书颁发配置 | 100 | Google Cloud 项目中的证书颁发配置的总数 |
| 区域证书颁发配置 | 5 | Google Cloud 项目中每个区域的区域证书颁发配置的总数 |
| 信任配置 | 5 | Google Cloud 项目中的信任配置总数 |
Google 管理的证书的域名长度限制
下表列出了 Certificate Manager 中特定于 Google 管理的证书的域名长度限制。
| 项 | 角色 | 网域 |
|---|---|---|
| 负载平衡器授权 | 253 | 全部 |
| DNS 授权 | 237 | 全部 |
| 使用 Google CA 进行项目级 DNS 授权 | 220 | 全部 |
Google 管理的证书的其他资源限制
下表列出了 Certificate Manager 中特定于 Google 管理的证书的其他资源限制。这些限制无法提高。
| 项 | 限制 | 说明 |
|---|---|---|
| 每张证书可包含的网域数(具有负载平衡器授权) | 5 | 每个具有负载平衡器授权的 Google 管理的证书允许的网域数量上限。 |
| 每个具有 DNS 授权的证书可包含的网域数量 | 100 | 每个具有 DNS 授权的 Google 管理的证书允许的网域数量上限。 |
适用于公共 CA 操作的额外请求配额
公共 CA 操作的配额与用于管理 Google 管理的证书的 Certificate Manager 操作的配额无关。它们还独立于任何其他产品对 Google 管理的证书执行的操作所受的配额限制。 Google Cloud
Certificate Manager 会对公共 CA 操作强制执行本部分列出的配额限制。请谨记以下准则:
- Certificate Manager 可以对每分钟的请求数进行速率限制。
- Certificate Manager 可以返回 HTTP 429 响应代码,要求 ACME 客户端在等待几秒钟后重试请求。您的 ACME 客户端必须支持此响应代码,并遵循 Certificate Manager 随响应发送的
Retry-After标头。
生产环境和预演环境具有相同的限制,但彼此独立。对正式版环境和预演版环境的请求只会消耗各自的配额。
公共 CA 请求配额
下表列出了适用于 ACME 证书管理操作的公共 CA 请求配额。
| 项 | 默认配额 | 说明 |
|---|---|---|
| 创建 ACME 账号 ( newAccount) |
每分钟 25 次,每小时 100 次 | 账号创建请求的数量上限 |
| 创建授权 ( newAuthz) |
每小时 300 封 | 授权创建请求的数量上限 |
| 轮询授权 ( authz) |
每分钟 600 | 授权轮询请求的数量上限 |
| 验证或轮询质询 ( challenge) |
每分钟 100 次 | 质询验证或轮询请求的数量上限 |
| 请求证书 ( newOrder) |
每小时 100 次 | 新证书请求数量上限 |
| 投票证书签发 ( cert) |
每分钟 50 个 | 证书颁发轮询请求数上限 |
| 撤消证书 ( revokeCert) |
每 30 秒 25 个 | 证书撤消请求数量上限 |
信任配置
此处所述的限制无法提高,适用于传统应用负载均衡器和全球外部应用负载均衡器。
| 项 | 配额和限制 | 备注 |
|---|---|---|
| 信任库数量 | 限制:1 | 这是每个 TrustConfig 资源的限制。 |
| 信任锚和中间证书的总数 | 限制:200 | 这是每个信任库的限制。 |
| 中间证书数量 | 限制:100 | 这是每个信任库的限制。 |
| 根证书和中间证书验证期间允许的名称限制条件数量 | 限制:10 | |
| 共享相同主体和主体公钥信息的中间证书数量 | 限制:10 | 这是每个信任库的限制。 |
| 证书链深度 | 限制:10 | 证书链的深度上限,包括根证书和客户端证书。 |
| 在尝试构建信任链时,评估中间证书的最大次数。 | 限制:100 | |
| 从客户端上传或传递的证书密钥 | 限制:RSA 密钥可为 2048 位到 4096 位。 ECDSA 证书必须使用 P-256 或 P-384 曲线 |