Este documento lista as quotas e os limites do sistema que se aplicam ao Certificate Manager.
- As quotas têm valores predefinidos, mas normalmente pode pedir ajustes.
- Os limites do sistema são valores fixos que não podem ser alterados.
Google Cloud usa quotas para ajudar a garantir a equidade e reduzir os picos na utilização e disponibilidade de recursos. Uma quota restringe a quantidade de um Google Cloud recurso que o seu Google Cloud projeto pode usar. As quotas aplicam-se a uma variedade de tipos de recursos, incluindo componentes de hardware, software e rede. Por exemplo, as quotas podem restringir o número de chamadas API para um serviço, o número de balanceadores de carga usados em simultâneo pelo seu projeto ou o número de projetos que pode criar. As quotas protegem a comunidade de Google Cloud utilizadores, impedindo a sobrecarga dos serviços. As quotas também ajudam a gerir os seus próprios Google Cloud recursos.
O sistema de quotas da nuvem faz o seguinte:
- Monitoriza o seu consumo de Google Cloud produtos e serviços
- Restringe o seu consumo desses recursos
- Oferece uma forma de pedir alterações ao valor da quota e automatizar os ajustes de quotas
Na maioria dos casos, quando tenta consumir mais de um recurso do que a respetiva quota permite, o sistema bloqueia o acesso ao recurso e a tarefa que está a tentar realizar falha.
Geralmente, as quotas aplicam-se ao nível do Google Cloud projeto A sua utilização de um recurso num projeto não afeta a sua quota disponível noutro projeto. Num Google Cloud projeto, as quotas são partilhadas por todas as aplicações e endereços IP.
Para mais informações, consulte a vista geral das quotas da nuvem.Existem também limites do sistema nos recursos do Gestor de certificados. Não é possível alterar os limites do sistema.
A sua utilização do Gestor de certificados é regida pelos seguintes tipos de quotas:
As cotas de taxa determinam a rapidez com que pode chamar a API Certificate Manager, bem como criar e aceder aos recursos do Certificate Manager.
As quotas de recursos determinam a quantidade total de recursos do Certificate Manager que pode criar no seu Google Cloud projeto.
Para mais informações sobre como trabalhar com quotas, incluindo os passos para as aumentar, e para configurar a monitorização e os alertas sobre métricas de quotas, consulte a documentação das quotas da nuvem.
Quotas de tarifas
A tabela seguinte apresenta as quotas de taxa para o Gestor de certificados.
Item | Quota predefinida | Descrição |
---|---|---|
Pedidos API | 300 por minuto | Todas as chamadas para a API Certificate Manager |
Leia pedidos | 300 por minuto | GET e LIST chamadas para a API Certificate Manager |
Escrever pedidos | 300 por minuto | CREATE , PATCH e DELETE chamadas para a API Certificate Manager |
Quotas e limites de recursos
A tabela seguinte lista as quotas e os limites de recursos para os certificados do Certificate Manager.
Item | Quotas e limites predefinidos | Descrição |
---|---|---|
Certificados geridos pela Google | 1000 | Número total de certificados geridos pela Google no Google Cloud projeto |
Certificados regionais geridos pela Google | 100 | Número total de certificados geridos pela Google regionais por região no Google Cloud projeto |
Certificados autogeridos | 1000 | Número total de certificados autogeridos no projeto Google Cloud |
Certificados autogeridos regionais | 100 | Número total de certificados autogeridos regionais por região no Google Cloud projeto |
Mapas de certificados | 100 | Número total de mapeamentos de certificados no projeto Google Cloud |
Entradas do mapa de certificados | 5000 | Número total de entradas do mapa de certificados no projeto Google Cloud |
Recursos associados a um certificado | Limite: 100 | Número total de recursos, como entradas de mapas de certificados e proxies de destino, associados a um certificado. |
Certificados por entrada do mapa de certificados | Limite: 4 | Número total de certificados que pode anexar a uma entrada do mapa de certificados |
Certificados por proxy de destino | Limite: 100 | Número total de certificados que pode anexar diretamente a um proxy https de destino |
Mapeamento de certificados por proxy de destino | Limite: 1 | O número total de mapeamentos de certificados que pode anexar a um proxy https de destino |
Autorizações de DNS | 1000 | Número total de autorizações de DNS no projeto Google Cloud |
Autorizações de DNS regionais | 300 | Número total de autorizações de DNS regionais por região no Google Cloud projeto |
Configurações de emissão de certificados | 100 | Número total de configurações de emissão de certificados no projeto Google Cloud |
Configurações de emissão de certificados regionais | 5 | Número total de configurações de emissão de certificados regionais por região no projeto Google Cloud |
Configurações de confiança | 5 | Número total de configurações de confiança no projeto Google Cloud |
Tipos de chaves suportados para certificados autogeridos |
|
|
Tipo de chave suportado para certificados geridos pela Google fidedignos publicamente | RSA-2048 | |
Tipos de chaves suportados para certificados geridos pela Google com confiança privada |
|
Limitações de comprimento do nome de domínio para certificados geridos pela Google
A tabela seguinte indica as limitações de comprimento dos nomes de domínio específicos dos certificados geridos pela Google no Gestor de certificados.
Item | Carateres | Domínio |
---|---|---|
Autorização do balanceador de carga | 253 | Tudo |
Autorização de DNS | 237 | Tudo |
Autorização de DNS por projeto com a AC da Google | 220 | Tudo |
Limites de recursos adicionais para certificados geridos pela Google
A tabela seguinte apresenta limites de recursos adicionais específicos dos certificados geridos pela Google no Gestor de certificados. Não é possível aumentar estes limites.
Item | Limite | Descrição |
---|---|---|
Domínios por certificado com autorização do equilibrador de carga | 5 | Número máximo de domínios permitidos por certificado gerido pela Google com autorização do equilibrador de carga. |
Domínios por certificado com autorização de DNS | 100 | Número máximo de domínios permitidos por certificado gerido pela Google com autorização de DNS. |
Quotas de pedidos adicionais para operações de AC públicas
As quotas para operações da AC pública são independentes das quotas que regem as operações do Gestor de certificados em certificados geridos pela Google. Também são independentes de quaisquer outras quotas que regem as operações em certificados geridos pela Google realizadas por quaisquer outros Google Cloud produtos.
O Gestor de certificados aplica os limites de quota indicados nesta secção para operações da AC pública. Tenha em atenção as seguintes diretrizes:
- O Gestor de certificados pode limitar a taxa dos seus pedidos por minuto.
- O Gestor de certificados pode devolver o código de resposta HTTP 429 a pedir a um cliente ACME que repita um pedido após aguardar alguns segundos. Os seus clientes ACME têm de
suportar este código de resposta e respeitar o cabeçalho
Retry-After
que o Certificate Manager envia com a resposta.
Os ambientes de produção e de teste têm os mesmos limites, mas são independentes entre si. Os pedidos para o ambiente de produção e o ambiente de preparação consomem apenas as respetivas quotas.
Quotas de pedidos de CA pública
A tabela seguinte lista as quotas de pedidos de CA pública que se aplicam às operações de gestão de certificados ACME.
Item | Quota predefinida | Descrição |
---|---|---|
Crie uma conta ACME ( newAccount ) |
25 por minuto, 100 por hora | Número máximo de pedidos de criação de contas |
Crie uma autorização ( newAuthz ) |
300 por hora | Número máximo de pedidos de criação de autorizações |
Sondar uma autorização ( authz ) |
600 por minuto | Número máximo de pedidos de sondagem de autorização |
Validar ou sondar um desafio ( challenge ) |
100 por minuto | Número máximo de pedidos de validação de desafio ou sondagem |
Peça um certificado ( newOrder ) |
100 por hora | Número máximo de novos pedidos de certificados |
Emissão de certificados de sondagens ( cert ) |
50 por minuto | Número máximo de pedidos de sondagem de emissão de certificados |
Revogar certificado ( revokeCert ) |
25 por 30 s | Número máximo de pedidos de revogação de certificados |
Configuração de confiança
Não é possível aumentar os limites documentados aqui, e estes aplicam-se aos balanceadores de carga de aplicações clássicos e aos balanceadores de carga de aplicações externos globais.
Item | Quotas e limites | Notas |
---|---|---|
Número de repositórios fidedignos | Limite: 1 | Este limite é por recurso TrustConfig . |
Número combinado de âncoras de confiança e certificados intermédios | Limite: 200 | Este limite é por repositório de confiança. |
Número de certificados intermédios | Limite: 100 | Este limite é por repositório de confiança. |
Número de restrições de nomes permitidas durante a validação de certificados de raiz e intermédios | Limite: 10 | |
Certificados intermédios que partilham as mesmas informações de requerente e chave pública do requerente | Limite: 10 | Este limite é por repositório de confiança. |
Profundidade da cadeia de certificados | Limite: 10 | A profundidade máxima de uma cadeia de certificados, incluindo os certificados de raiz e de cliente. |
Número de vezes que os certificados intermédios podem ser avaliados quando se tenta criar a cadeia de confiança | Limite: 100 | |
Tipos de chaves suportados |
|
|
Número de certificados na lista de autorizações (`allowlistedCertificates`) | Limite: 500 |