本文档列出了适用于 Certificate Manager 的quotas和quotas。如需详细了解配额,请参阅虚拟私有云配额。
配额用于限制您的 Google Cloud 项目可使用的共享 Google Cloud 资源(包括硬件、软件和网络组件)的数量。因此,有以下功能的系统具有配额:
- 监控 Google Cloud 产品和服务的使用情况或消耗情况。
- 出于某些原因限制这些资源的消耗量,包括确保公平性和减少使用量高峰。
- 维护可自动强制执行规定限制的配置。
- 提供请求或更改配额的方法。
在大多数情况下,当超过配额时,系统会立即阻止对相关 Google 资源的访问,并且您尝试执行的任务将失败。在大多数情况下,配额适用于每个 Google Cloud 项目,并由使用该 Google Cloud 项目的所有应用和 IP 地址共享。
Certificate Manager 资源也存在限制。这些限制与配额系统无关。除非另有说明,否则无法更改限制。
您在使用 Certificate Manager 时受以下类型的配额约束:
速率配额决定了调用 Certificate Manager API 以及创建和访问 Certificate Manager 资源的速度。
资源配额决定了您可以在 Google Cloud 项目中创建的 Certificate Manager 资源总量。
如需详细了解如何使用配额(包括增加配额的步骤),以及如何设置配额指标监控和提醒,请参阅使用配额。
速率配额
下表列出了 Certificate Manager 的速率配额。
| 配额 | 默认上限 | 说明 |
|---|---|---|
| API 请求 | 每分钟 300 个 | 对 Certificate Manager API 的所有调用 |
| 读请求次数 | 每分钟 300 个 | 对 Certificate Manager API 的 GET 和 LIST 调用 |
| 写请求次数 | 每分钟 300 个 | 对 Certificate Manager API 的 CREATE、PATCH 和 DELETE 调用 |
资源配额
下表列出了 Certificate Manager 的资源配额。
| 配额 | 默认上限 | 说明 |
|---|---|---|
| Google 管理的证书 | 100 | Google Cloud 项目中 Google 管理的证书总数 |
| Google 管理的区域级证书 | 30 | Google Cloud 项目中每个区域由 Google 管理的区域级证书总数 |
| 自行管理的证书 | 100 | Google Cloud 项目中自行管理的证书总数 |
| 自行管理的区域级证书 | 5 | Google Cloud 项目中每个区域的区域级自行管理证书总数 |
| 证书映射 | 100 | Google Cloud 项目中的证书映射总数 |
| 证书映射条目 | 1,000 | Google Cloud 项目中的证书映射条目总数 |
| DNS 授权 | 1,000 | Google Cloud 项目中的 DNS 授权总数 |
| 区域级 DNS 授权 | 300 个 | Google Cloud 项目中每个区域的区域级 DNS 授权总数 |
| 证书颁发配置 | 100 | Google Cloud 项目中的证书颁发配置总数 |
| 区域级证书颁发配置 | 5 | Google Cloud 项目中每个区域的区域级证书颁发配置总数 |
| 信任配置 | 5 | Google Cloud 项目中的信任配置总数 |
Google 管理的证书的域名长度限制
下表列出了证书管理器中 Google 管理的证书的域名长度限制。
| 配额 | 字符 | 网域 |
|---|---|---|
| 通过 Google CA 授权负载平衡器 | 253 | 全部 |
| Google CA 的 DNS 授权 | 237 | 全部 |
| 通过 Google CA 按项目进行 DNS 授权 | 220 | 全部 |
| 使用 Let's Encrypt 进行负载平衡器授权 | 253 | 除第一个域名之外的所有域名 |
| 使用 Let's Encrypt 进行 DNS 授权 | 237 | 除第一个域名之外的所有域名 |
| 使用 Let's Encrypt 完成的负载平衡器授权和 DNS 授权 | 64 | 第一个网域 |
Google 管理的证书的额外资源配额
下表列出了证书管理器中 Google 管理的证书专属的额外资源配额。这些配额无法增加。
| 配额 | 默认上限 | 说明 |
|---|---|---|
| 每个具有负载均衡器授权的证书的网域数 | 5 | 每个具有负载均衡器授权的 Google 管理的证书允许的网域数上限。 |
| 每个具有 DNS 授权的证书的网域数 | 100 | 每个由 Google 管理且具有 DNS 授权的证书允许的网域数量上限。 |
Public CA 操作的额外请求配额
Public CA 操作的配额独立于用于管理 Google 管理的证书的 Certificate Manager 操作的配额。此外,它们也独立于任何其他配额,用于控制对任何其他 Google Cloud 产品执行的 Google 管理的证书的操作。
证书管理器会针对 Public CA 操作实施本部分中列出的配额限制。请谨记以下准则:
- 证书管理器可以对每分钟请求的速率限制。
- 证书管理器可以返回 HTTP 429 响应代码,要求 ACME 客户端在等待几秒钟后重试请求。您的 ACME 客户端必须支持此响应代码,并遵从证书管理器随响应一起发送的
Retry-After标头。
生产环境和预演环境具有相同的限制,但它们彼此独立。对生产环境和预演环境的请求只会消耗各自的配额。
Public CA 请求配额
下表列出了适用于 ACME 证书管理操作的 Public CA 请求配额。
| 配额 | 默认上限 | 说明 |
|---|---|---|
| 创建 ACME 账号 ( newAccount) |
每分钟 25 个,每小时 100 个 | 账号创建请求数量上限 |
| 创建授权 ( newAuthz) |
每 5 分钟 150 个,每小时 300 个 | 授权创建请求数量上限 |
| 轮询授权 ( authz) |
每分钟 600 次,无每小时上限 | 授权轮询请求数量上限 |
| 验证挑战或对挑战进行投票 ( challenge) |
每分钟 100 次,无每小时上限 | 质询验证或轮询请求数量上限 |
| 请求证书 ( newOrder) |
每分钟 25 个,每小时 100 个 | 新证书请求次数上限 |
| 投票证书颁发 ( cert) |
每分钟 50 次,无每小时限制 | 证书颁发轮询请求次数上限 |
| 撤消证书 ( revokeCert) |
每分钟 25 次,无每小时限制 | 证书吊销请求次数上限 |