本文档列出了适用于 API 的配额和系统限制, Certificate Manager。 配额用于指定您可以使用的可计数共享资源的数量,由 Certificate Manager 等 Google Cloud 服务定义。系统限制是无法更改的固定值。
Google Cloud 使用配额来帮助确保公平性并减少资源使用和可用性的激增。配额用于限制您的 Google Cloud 项目可使用的 Google Cloud 资源的数量。配额适用于一系列资源类型,包括硬件、软件和网络组件。例如,配额可以限制对某项服务的 API 调用次数、您的项目并发使用的负载均衡器数量或者您可以创建的项目数量。配额可以防止服务过载,从而保护 Google Cloud 用户社区。配额还可帮助您管理自己的 Google Cloud 资源。
Cloud 配额系统执行以下操作:
- 监控 Google Cloud 产品和服务的消耗情况
- 限制这些资源的消耗量
- 提供请求更改配额值的方法
在大多数情况下,当您尝试消耗的资源超出其配额允许的范围时,系统会阻止对资源的访问,并且您尝试执行的任务会失败。
配额通常在 Google Cloud 项目级层应用。您在一个项目中使用资源不会影响您在另一个项目中的可用配额。在 Google Cloud 项目中,配额在所有应用和 IP 地址间共享。
证书管理器资源还存在系统限制。 系统限制不能更改。
使用 Certificate Manager 时,须遵守以下类型的 配额:
速率配额决定了您可以以多快的速度调用 Certificate Manager API 还可以创建和访问 Certificate Manager 资源。
资源配额决定了 Certificate Manager 的总量 可在 Google Cloud 项目中创建的资源。
如需详细了解如何使用配额,包括提高配额的步骤, 如需设置配额指标监控和提醒,请参阅 使用配额。
速率配额
下表列出了 Certificate Manager 的速率配额。
| 配额 | 默认限额 | 说明 |
|---|---|---|
| API 请求 | 每分钟 300 个 | 对 Certificate Manager API 的所有调用 |
| 读请求次数 | 每分钟 300 个 | 对 Certificate Manager API 的 GET 和 LIST 调用 |
| 写请求次数 | 每分钟 300 次 | 对 Certificate Manager API 的 CREATE、PATCH 和 DELETE 调用 |
资源配额
下表列出了 Certificate Manager 的资源配额。
| 配额 | 默认限额 | 说明 |
|---|---|---|
| Google 管理的证书 | 1,000 | Google Cloud 项目中 Google 管理的证书的总数 |
| Google 管理的区域级证书 | 30 | Google Cloud 项目中每个区域的 Google 管理的区域级证书总数 |
| 自行管理的证书 | 1000 | Google Cloud 项目中自行管理的证书总数 |
| 自行管理的区域级证书 | 30 | Google Cloud 项目中每个区域的自行管理的区域级证书的总数 |
| 证书映射 | 100 | Google Cloud 项目中的证书映射总数 |
| 证书映射条目 | 5000 | Google Cloud 项目中的证书映射条目总数。 您最多可以将一个证书与 100 个证书映射条目相关联。 |
| DNS 授权 | 1000 | Google Cloud 项目中的 DNS 授权总数 |
| 区域级 DNS 授权 | 300 | Google Cloud 项目中每个区域的区域 DNS 授权总数 |
| 证书颁发配置 | 100 | Google Cloud 项目中的证书颁发配置总数 |
| 区域证书颁发配置 | 5 | Google Cloud 项目中每个区域的区域级证书颁发配置总数 |
| 信任配置 | 5 | Google Cloud 项目中的信任配置总数 |
Google 管理的证书的域名长度限制
下表列出了 Google 管理的域名长度限制 证书管理器中的证书。
| 配额 | 字符 | 网域 |
|---|---|---|
| 使用 Google CA 授权负载均衡器 | 253 | 全部 |
| 使用 Google CA 进行 DNS 授权 | 237 | 全部 |
| 通过 Google CA 按项目进行 DNS 授权 | 220 | 全部 |
| 使用 Let's Encrypt 进行负载平衡器授权 | 253 | 除第一个域名之外的所有域名 |
| 通过 Let's Encrypt 进行 DNS 授权 | 237 | 除第一个域名之外的所有域名 |
| 使用 Let's Encrypt 进行负载均衡器授权和 DNS 授权 | 64 | 第一个网域 |
Google 管理的证书的额外资源配额
下表列出了专用于 Google 管理的其他资源配额 证书管理器中的证书。这些配额无法增加。
| 配额 | 默认限额 | 说明 |
|---|---|---|
| 每张证书可包含的网域数(具有负载均衡器授权) | 5 | 每个具有负载均衡器授权的 Google 管理的证书允许的网域数量上限。 |
| 每个具有 DNS 授权的证书可包含的网域数量 | 100 | 每个具有 DNS 授权的 Google 管理的证书允许的网域数量上限。 |
Public CA 操作的额外请求配额
Public CA 操作的配额独立于管理 Certificate Manager 操作的配额 Google 管理的证书它们也独立于 由任何其他 Google Cloud 产品执行的 Google 管理的证书。
Certificate Manager 会对公共 CA 操作强制执行本部分列出的配额限制。请谨记以下准则:
- 证书管理器可以对每分钟请求的速率限制。
- 证书管理器可以返回 HTTP 429 响应代码,询问
ACME 客户端在等待几秒钟后重试请求。您的 ACME 客户端必须
支持此响应代码,并遵从
Retry-After标头 证书管理器随响应一起发送。
生产环境和预演环境具有相同的限制, 相互独立对正式版环境和预演版环境的请求只会消耗各自的配额。
Public CA 请求配额
下表列出了适用于 ACME 证书管理操作的公共 CA 请求配额。
| 配额 | 默认限额 | 说明 |
|---|---|---|
| 创建 ACME 账号 ( newAccount) |
每分钟 25 个,每小时 100 个 | 账号创建请求的数量上限 |
| 创建授权 ( newAuthz) |
每小时 300 封 | 授权创建请求的数量上限 |
| 轮询授权 ( authz) |
每分钟 600 | 授权轮询请求数量上限 |
| 验证或轮询质询 ( challenge) |
每分钟 100 次 | 质询验证或轮询请求数量上限 |
| 请求证书 ( newOrder) |
每小时 100 次 | 新证书请求次数上限 |
| 投票证书签发 ( cert) |
每分钟 50 次 | 证书颁发轮询请求数上限 |
| 撤消证书 ( revokeCert) |
25/30 秒 | 证书撤消请求数量上限 |