このドキュメントでは、Certificate Manager の割り当てと上限について説明します。割り当ての詳細については、Virtual Private Cloud の割り当てをご覧ください。
割り当ては、Google Cloud プロジェクトで使用できる共有 Google Cloud リソース(ハードウェア、ソフトウェア、ネットワーク コンポーネントなど)の量を制限します。つまり、割り当てはシステムの一部で、次の機能があります。
- Google Cloud のプロダクトとサービスの使用量や消費量をモニタリングする。
- 公平性の確保や使用量急増の抑制などのため、これらのリソースの消費量を制限する。
- 規定の制限を自動的に適用する構成を維持する。
- 割り当てをリクエストまたは変更する手段を提供する。
ほとんどの場合、割り当てを超過すると、システムは関連する Google リソースへのアクセスをすぐにブロックするため、ユーザーが試行しているタスクは失敗します。ほとんどの場合、割り当ては各 Google Cloud プロジェクトに適用され、その Google Cloud プロジェクトを使用するすべてのアプリケーションと IP アドレスで共有されます。
Certificate Manager のリソースにも上限があります。これらの上限は、割り当てシステムとは無関係です。上限は、特に明記されていない限り、変更できません。
Certificate Manager の使用には、次のタイプの割り当てが適用されます。
レートに基づく割り当ては、Certificate Manager API の呼び出し、Certificate Manager リソースの作成とアクセスをどれだけ迅速に行えるかを決定します。
リソースの割り当ては、Google Cloud プロジェクト内で作成できる Certificate Manager リソースの合計量を決定します。
割り当てを増やす手順や、割り当て指標のモニタリングとアラートの設定など、割り当ての操作の詳細については、割り当ての操作をご覧ください。
レートに基づく割り当て
次の表に、Certificate Manager のレートに基づく割り当てを示します。
| 割り当て | デフォルトの上限 | 説明 |
|---|---|---|
| API リクエスト | 300/分 | Certificate Manager API に対するすべての呼び出し |
| 読み取りリクエスト | 300/分 | Certificate Manager API への GET 呼び出しと LIST 呼び出し |
| 書き込みリクエスト | 300/分 | Certificate Manager API への CREATE、PATCH、DELETE の呼び出し |
リソースの割り当て
次の表に、Certificate Manager のリソース割り当てを示します。
| 割り当て | デフォルトの上限 | 説明 |
|---|---|---|
| Google マネージド証明書 | 100 | Google Cloud プロジェクト内の Google マネージド証明書の合計数。 |
| リージョン Google マネージド証明書 | 30 | Google Cloud プロジェクト内のリージョンごとのリージョン Google マネージド証明書の合計数 |
| セルフマネージド証明書 | 100 | Google Cloud プロジェクト内のセルフマネージド証明書の合計数 |
| リージョン セルフマネージド証明書 | 5 | Google Cloud プロジェクトのリージョンごとのリージョン セルフマネージド証明書の合計数 |
| 証明書マップ | 100 | Google Cloud プロジェクト内の証明書マップの合計数 |
| 証明書マップエントリ | 1000 | Google Cloud プロジェクト内の証明書マップエントリの合計数 |
| DNS 認証 | 1000 | Google Cloud プロジェクト内の DNS 認証の合計数 |
| リージョン DNS 認証 | 300 | Google Cloud プロジェクト内のリージョンごとのリージョン DNS 認証の合計数 |
| 証明書発行の構成 | 100 | Google Cloud プロジェクト内の証明書発行の構成の合計数 |
| リージョン証明書発行の構成 | 5 | Google Cloud プロジェクト内のリージョンごとのリージョン証明書発行の構成の合計数 |
| 信頼構成 | 5 | Google Cloud プロジェクト内の信頼構成の合計数 |
Google マネージド証明書のドメイン名の長さ制限
次の表に、Certificate Manager の Google マネージド証明書に固有のドメイン名の長さの上限を示します。
| 割り当て | 文字 | ドメイン |
|---|---|---|
| Google CA によるロードバランサの承認 | 253 | すべて |
| Google CA による DNS 認証 | 237 | すべて |
| Google CA によるプロジェクトごとの DNS 認証 | 220 | すべて |
| Let's Encrypt を使用したロードバランサの承認 | 253 | 1 番目のドメインを除くすべてのドメイン |
| Let's Encrypt を使用した DNS 認証 | 237 | 1 番目のドメインを除くすべてのドメイン |
| Let's Encrypt を使用したロードバランサの承認と DNS 承認 | 64 | 最初のドメイン |
Google マネージド証明書に対する追加のリソース割り当て
次の表に、Certificate Manager の Google マネージド証明書に固有の追加のリソース割り当てを示します。これらの割り当てを引き上げることはできません。
| 割り当て | デフォルトの上限 | 説明 |
|---|---|---|
| ロードバランサの承認を使用した証明書あたりのドメイン数 | 5 | ロードバランサの承認で Google マネージド証明書ごとに許可されるドメインの最大数。 |
| DNS 認証を使用した証明書あたりのドメイン数 | 100 | DNS 認証を使用して Google マネージド証明書ごとに許可されるドメインの最大数。 |
Public CA オペレーションに対する追加のリクエスト割り当て
Public CA オペレーションの割り当ては、Google マネージド証明書に対する Certificate Manager のオペレーションを管理する割り当てから独立しています。また、他の Google Cloud プロダクトによって実行される Google マネージド証明書に対するオペレーションを管理する他の割り当てとは独立しています。
Certificate Manager では、Public CA のオペレーションに対して、このセクションに記載されている割り当て上限が適用されます。次のガイドラインに注意してください。
- Certificate Manager では、1 分あたりのリクエスト数をレート制限できます。
- Certificate Manager は HTTP 429 レスポンス コードを返し、数秒待ってから ACME クライアントにリクエストの再試行をリクエストできます。ACME クライアントはこのレスポンス コードをサポートし、Certificate Manager がレスポンスとともに送信する
Retry-Afterヘッダーを考慮する必要があります。
本番環境とステージング環境には同じ上限がありますが、互いに独立しています。本番環境とステージング環境へのリクエストは、それぞれの割り当てのみを消費します。
Public CA リクエストの割り当て
次の表に、ACME 証明書管理オペレーションに適用される Public CA リクエストの割り当てを示します。
| 割り当て | デフォルトの上限 | 説明 |
|---|---|---|
| ACME アカウントを作成する ( newAccount) |
1 分あたり 25 件、1 時間あたり 100 件 | アカウント作成リクエストの最大数 |
| 承認を作成する ( newAuthz) |
5 分あたり 150 件、1 時間あたり 300 件 | 承認作成リクエストの最大数 |
| 承認のポーリング ( authz) |
1 分あたり 600 回、1 時間あたりの制限なし | 承認のポーリング リクエストの最大数 |
| チャレンジの確認またはポーリング ( challenge) |
1 分あたり 100 回、1 時間あたりの制限なし | チャレンジの確認またはポーリング リクエストの最大数 |
| 証明書をリクエスト ( newOrder) |
1 分あたり 25 件、1 時間あたり 100 件 | 新しい証明書リクエストの最大数 |
| 証明書発行のポーリング ( cert) |
1 分あたり 50 回、1 時間あたりの上限なし | 証明書発行のポーリング リクエストの最大数 |
| 証明書の取り消し ( revokeCert) |
1 分あたり 25 回、1 時間あたりの上限なし | 証明書の取り消しリクエストの最大数 |