このドキュメントでは、Certificate Manager に適用される割り当てとシステム上限について説明します。
- 割り当ては、使用できるカウント可能な共有リソースの量を指定します。割り当ては、Certificate Manager などの Google Cloud サービスによって定義されます。
- システムの上限は固定値で、変更できません。
Google Cloud では、割り当てを使用して公平性を確保し、リソースの使用量と可用性の急増を抑えます。割り当ては、Google Cloud プロジェクトで使用できる Google Cloud リソースの量を制限します。割り当ては、ハードウェア、ソフトウェア、ネットワーク コンポーネントなど、さまざまなリソースタイプに適用されます。たとえば、割り当てによって、サービスへの API 呼び出しの数、プロジェクトで同時に使用されるロードバランサの数、作成可能なプロジェクトの数を制限できます。割り当てを適用することで、サービスの過負荷を防ぎ、Google Cloud ユーザーのコミュニティを保護します。割り当ては、自組織で使用している Google Cloud リソースの管理にも役立ちます。
Cloud Quotas システムは次のことを行います。
- Google Cloud のプロダクトとサービスの消費量をモニタリングする
- これらのリソースの消費量を制限する
- 割り当て値の変更をリクエストする方法を提供する
ほとんどの場合、割り当ての許容量を超えるリソースを消費しようとすると、システムによってリソースへのアクセスがブロックされ、実行しようとしているタスクは失敗します。
割り当ては通常、Google Cloud プロジェクト レベルで適用されます。あるプロジェクトでリソースを使用しても、別のプロジェクトで使用可能な割り当てに影響することはありません。Google Cloud プロジェクト内では、すべてのアプリケーションと IP アドレスで割り当てが共有されます。
Certificate Manager のリソースにもシステム上限があります。システムの上限は変更できません。
Certificate Manager の使用は、次のタイプの割り当てによって管理されます。
レートに基づく割り当ては、Certificate Manager API の呼び出し、Certificate Manager リソースの作成とアクセスをどれだけ迅速に行えるかを決定します。
リソース割り当ては、Google Cloud プロジェクト内で作成できる Certificate Manager リソースの合計量を決定します。
割り当ての増加手順、割り当て指標のモニタリングとアラートの設定など、割り当ての操作の詳細については、割り当ての操作をご覧ください。
レートに基づく割り当て
次の表に、Certificate Manager のレートに基づく割り当てを示します。
| 項目 | デフォルトの割り当て | 説明 |
|---|---|---|
| API リクエスト | 300/分 | Certificate Manager API へのすべての呼び出し |
| 読み取りリクエスト | 300/分 | Certificate Manager API への GET と LIST の呼び出し |
| 書き込みリクエスト | 300/分 | Certificate Manager API への CREATE、PATCH、DELETE の呼び出し |
リソースの割り当てと上限
次の表に、Certificate Manager のリソースの割り当てと上限を示します。
| 項目 | デフォルトの割り当てと上限 | 説明 |
|---|---|---|
| Google マネージド証明書 | 1000 | Google Cloud プロジェクト内の Google マネージド証明書の合計数。 |
| リージョンの Google マネージド証明書 | 30 | Google Cloud プロジェクト内のリージョンごとのリージョン Google マネージド証明書の合計数 |
| セルフマネージド証明書 | 1000 | Google Cloud プロジェクト内のセルフマネージド証明書の合計数 |
| リージョンのセルフマネージド証明書 | 30 | Google Cloud プロジェクト内のリージョンごとのリージョン セルフマネージド証明書の合計数 |
| 証明書マップ | 100 | Google Cloud プロジェクト内の証明書マップの合計数 |
| 証明書マップエントリ | 5,000 人 | Google Cloud プロジェクト内の証明書マップエントリの合計数。 証明書を関連付けることができる証明書マップエントリは最大 100 個です。 |
| 証明書マップエントリあたりの証明書 | 上限: 4 | 証明書マップエントリにアタッチできる証明書の合計数 |
| DNS 認証 | 1000 | Google Cloud プロジェクト内の DNS 認証の合計数 |
| リージョン DNS 認証 | 300 | Google Cloud プロジェクト内のリージョンごとのリージョン DNS 認証の合計数 |
| 証明書発行の構成 | 100 | Google Cloud プロジェクト内の証明書発行の構成の合計数 |
| リージョン証明書発行の構成 | 5 | Google Cloud プロジェクト内のリージョンごとのリージョン証明書発行の構成の合計数 |
| 信頼構成 | 5 | Google Cloud プロジェクト内の信頼構成の合計数 |
Google マネージド証明書のドメイン名の長さ制限
次の表に、Certificate Manager の Google マネージド証明書に固有のドメイン名の長さの制限を示します。
| 項目 | 文字数 | ドメイン |
|---|---|---|
| Google CA によるロードバランサの承認 | 253 | すべて |
| Google CA を使用した DNS 認証 | 237 | すべて |
| Google CA を使用したプロジェクトごとの DNS 認証 | 220 | すべて |
| Let's Encrypt によるロードバランサの承認 | 253 | 最初のドメインを除くすべてのドメイン |
| Let's Encrypt による DNS 認証 | 237 | 最初のドメインを除くすべてのドメイン |
| Let's Encrypt を使用したロードバランサの承認と DNS 認証 | 64 | 最初のドメイン |
Google マネージド証明書の追加のリソースの上限
次の表に、Certificate Manager の Google 管理証明書に固有の追加のリソース上限を示します。これらの上限を増やすことはできません。
| 項目 | 上限 | 説明 |
|---|---|---|
| ロードバランサの承認を使用した証明書あたりのドメイン数 | 5 | ロードバランサの承認で Google マネージド証明書ごとに許可されるドメインの最大数。 |
| DNS 認証を使用した証明書あたりのドメイン数 | 100 | DNS 認証で Google マネージド証明書ごとに許可されるドメインの最大数。 |
Public CA オペレーションに対する追加のリクエスト割り当て
Public CA オペレーションの割り当ては、Google マネージド証明書に対する Certificate Manager のオペレーションを管理する割り当てから独立しています。また、他の Google Cloud プロダクトによって実行される Google マネージド証明書に対するオペレーションを管理する他の割り当てとは独立しています。
Certificate Manager では、Public CA のオペレーションに対して、このセクションに記載されている割り当て上限が適用されます。次のガイドラインに注意してください。
- Certificate Manager では、1 分あたりのリクエストをレート制限できます。
- Certificate Manager は、数秒待ってからリクエストを再試行するよう ACME クライアントに求める HTTP 429 レスポンス コードを返す場合があります。ACME クライアントは、このレスポンス コードをサポートし、Certificate Manager がレスポンスで送信する
Retry-Afterヘッダーを尊重する必要があります。
本番環境とステージング環境には同じ上限がありますが、互いに独立しています。本番環境とステージング環境へのリクエストは、それぞれの割り当てのみを使用します。
Public CA リクエストの割り当て
次の表に、ACME 証明書管理オペレーションに適用される Public CA リクエストの割り当てを示します。
| 項目 | デフォルトの割り当て | 説明 |
|---|---|---|
| ACME アカウントを作成する ( newAccount) |
1 分あたり 25 回、1 時間あたり 100 回 | アカウント作成リクエストの最大数 |
| 認証を作成する ( newAuthz) |
300/時間 | 認証作成リクエストの最大数 |
| 認証をポーリングする ( authz) |
600/分 | 承認のポーリング リクエストの最大数 |
| チャレンジを確認またはポーリングする ( challenge) |
100/分 | チャレンジの確認またはポーリング リクエストの最大数 |
| 証明書をリクエスト ( newOrder) |
100/時間 | 新しい証明書リクエストの最大数 |
| 証明書発行のポーリング ( cert) |
50/分 | 証明書発行のポーリング リクエストの最大数 |
| 証明書の取り消し ( revokeCert) |
30 秒あたり 25 | 証明書の取り消しリクエストの最大数 |
信頼構成
ここで説明する上限を引き上げることはできません。これは、従来のアプリケーション ロードバランサとグローバル外部アプリケーション ロードバランサに適用されます。
| 項目 | 割り当てと上限 | 注 |
|---|---|---|
| トラストストアの数 | 上限: 1 | これは TrustConfig リソースあたりの上限です。 |
| トラスト アンカーと中間証明書の合計数 | 上限: 200 | これは、トラストストアあたりの上限です。 |
| 中間証明書の数 | 上限: 100 | これは、トラストストアあたりの上限です。 |
| ルート証明書と中間証明書の検証中に許可される名前の制約の数 | 上限: 10 | |
| サブジェクトとサブジェクトの公開鍵情報を共有する中間証明書 | 上限: 10 | これは、トラストストアあたりの上限です。 |
| 証明書チェーンの深さ | 上限: 10 | ルート証明書とクライアント証明書を含む証明書チェーンの最大深度。 |
| 信頼チェーンを構築する際に中間証明書を評価できる回数 | 上限: 100 | |
| クライアントからアップロードまたは渡される証明書の鍵 | 上限: RSA 鍵の長さは 2,048~4,096 ビットにできます。 ECDSA 証明書には、P-256 または P-384 の楕円曲線暗号を使用する必要があります。 |