In diesem Dokument sind die Kontingente und Limits für Certificate Manager aufgeführt.
- Kontingente geben an, wie viel einer zählbaren, freigegebenen Ressource Sie verwenden können. Kontingente werden von Diensten wie dem Google Cloud Zertifizierungsmanager definiert.
- Systemlimits sind feste Werte, die nicht geändert werden können.
Google Cloud nutzt Kontingente, um Fairness zu gewährleisten und Spitzen bei Ressourcennutzung und -verfügbarkeit zu reduzieren. Ein Kontingent schränkt ein, wie viel von einerGoogle Cloud Ressource Ihr Google Cloud Projekt nutzen darf. Kontingente gelten für eine Reihe von Ressourcentypen, einschließlich Hardware, Software und Netzwerkkomponenten. Mit Kontingenten können Sie beispielsweise die Anzahl der API-Aufrufe an einen Dienst, die Anzahl der von Ihrem Projekt gleichzeitig verwendeten Load Balancer oder die Anzahl der Projekte begrenzen, die Sie erstellen können. Die Kontingente sollen eine Überlastung von Diensten verhindern und dadurch die Community derGoogle Cloud -Nutzer schützen. Sie helfen Ihnen auch bei der Verwaltung Ihrer eigenen Google Cloud Ressourcen.
Das Cloud-Kontingentsystem ermöglicht Folgendes:
- Verbrauch von Google Cloud Produkten und Diensten überwachen
- Ihren Verbrauch dieser Ressourcen einschränken
- Eine Möglichkeit bieten, Änderungen am Kontingentwert anzufordern
Wenn Sie versuchen, mehr von einer Ressource zu verbrauchen, als das Kontingent zulässt, blockiert das System in den meisten Fällen den Zugriff auf die Ressource. Die Aufgabe, die Sie ausführen möchten, schlägt fehl.
Kontingente gelten in der Regel auf Google Cloud-Projektebene. Ihre Nutzung einer Ressource in einem Projekt hat keinen Einfluss auf Ihr verfügbares Kontingent in einem anderen Projekt. Innerhalb eines Google Cloud-Projekts werden die Kontingente für alle Anwendungen und IP-Adressen gemeinsam genutzt.
Für Zertifikatmanager-Ressourcen gelten außerdem Systemlimits. Systemlimits können nicht geändert werden.
Die Nutzung von Certificate Manager unterliegt den folgenden Arten von Kontingenten:
Mit Ratenkontingenten wird festgelegt, wie schnell Sie die Certificate Manager API aufrufen sowie Certificate Manager-Ressourcen erstellen und darauf zugreifen können.
Ressourcenkontingente geben die Gesamtzahl der Zertifikatsmanager-Ressourcen an, die Sie in Ihrem Google Cloud-Projekt erstellen können.
Weitere Informationen zur Arbeit mit Kontingenten, einschließlich Schritten zur Erhöhung von Kontingenten und zum Einrichten von Überwachung und Benachrichtigungen für Kontingentmesswerte, finden Sie unter Mit Kontingenten arbeiten.
Ratenkontingente
In der folgenden Tabelle sind die Preiskontingente für Certificate Manager aufgeführt.
| Element | Standardkontingent | Beschreibung |
|---|---|---|
| API-Anfragen | 300 pro Minute | Alle Aufrufe der Certificate Manager API |
| Leseanfragen | 300 pro Minute | GET- und LIST-Aufrufe an die Certificate Manager API |
| Schreibanfragen | 300 pro Minute | CREATE-, PATCH- und DELETE-Aufrufe an die Certificate Manager API |
Ressourcenkontingente und -limits
In der folgenden Tabelle sind die Ressourcenkontingente und -limits für Certificate Manager aufgeführt.
| Element | Standardkontingente und -limits | Beschreibung |
|---|---|---|
| Von Google verwaltete Zertifikate | 1000 | Gesamtzahl der von Google verwalteten Zertifikate im Google Cloud-Projekt |
| Regionale von Google verwaltete Zertifikate | 30 | Gesamtzahl der von Google verwalteten regionalen Zertifikate pro Region im Google Cloud-Projekt |
| Selbstverwaltete Zertifikate | 1000 | Gesamtzahl der selbstverwalteten Zertifikate im Google Cloud-Projekt |
| Selbst verwaltete regionale Zertifikate | 30 | Gesamtzahl der selbst verwalteten regionalen Zertifikate pro Region im Google Cloud-Projekt |
| Zertifikatszuordnungen | 100 | Gesamtzahl der Zertifikatszuordnungen im Google Cloud-Projekt |
| Zertifikatzuordnungseinträge | 5.000 | Gesamtzahl der Zertifikatzuordnungseinträge im Google Cloud-Projekt. Sie können einem Zertifikat maximal 100 Einträge der Zertifikatszuordnung zuordnen. |
| Zertifikate pro Zertifikatszuordnungseintrag | Limit: 4 | Gesamtzahl der Zertifikate, die Sie an einen Eintrag der Zertifikatszuordnung anhängen können |
| DNS-Autorisierungen | 1000 | Gesamtzahl der DNS-Autorisierungen im Google Cloud-Projekt |
| Regionale DNS-Autorisierungen | 300 | Gesamtzahl der regionalen DNS-Autorisierungen pro Region im Google Cloud-Projekt |
| Konfigurationen der Zertifikatsausstellung | 100 | Gesamtzahl der Konfigurationen für die Zertifikatsausstellung im Google Cloud-Projekt |
| Konfigurationen für die Ausstellung regionaler Zertifikate | 5 | Gesamtzahl der Konfigurationen für die regionale Zertifikatsausstellung pro Region im Google Cloud-Projekt |
| Vertrauenskonfigurationen | 5 | Gesamtzahl der Vertrauenskonfiguratioen im Google Cloud-Projekt |
Längenbeschränkungen für Domainnamen bei von Google verwalteten Zertifikaten
In der folgenden Tabelle sind Einschränkungen für die Länge von Domainnamen aufgeführt, die für von Google verwaltete Zertifikate im Zertifikatsmanager gelten.
| Element | Zeichen | Domain |
|---|---|---|
| Load-Balancer-Autorisierung | 253 | Alle |
| DNS-Autorisierung | 237 | Alle |
| Projektspezifische DNS-Autorisierung mit der Google-Zertifizierungsstelle | 220 | Alle |
Zusätzliche Ressourcenlimits für von Google verwaltete Zertifikate
In der folgenden Tabelle sind zusätzliche Ressourcenlimits aufgeführt, die für von Google verwaltete Zertifikate im Zertifikatsmanager gelten. Diese Limits können nicht erhöht werden.
| Element | Limit | Beschreibung |
|---|---|---|
| Domains pro Zertifikat mit Load Balancer-Autorisierung | 5 | Die maximale Anzahl von Domains pro von Google verwaltetem Zertifikat mit Load Balancer-Autorisierung. |
| Domains pro Zertifikat mit DNS-Autorisierung | 100 | Maximale Anzahl von Domains pro von Google verwaltetem Zertifikat mit DNS-Autorisierung. |
Zusätzliche Anfragekontingente für öffentliche Zertifizierungsstellen
Die Kontingente für Public-CA-Vorgänge sind unabhängig von den Kontingenten, die für Certificate Manager-Vorgänge für von Google verwaltete Zertifikate gelten. Sie sind auch unabhängig von anderen Kontingenten, die für Vorgänge an von Google verwalteten Zertifikaten gelten, die von anderen Google Cloud Produkten ausgeführt werden.
Certificate Manager erzwingt die in diesem Abschnitt aufgeführten Kontingentlimits für öffentliche Zertifizierungsstellen. Beachten Sie die folgenden Richtlinien:
- Der Zertifikatsmanager kann die Anzahl Ihrer Anfragen pro Minute begrenzen.
- Certificate Manager kann den HTTP-Antwortcode 429 zurückgeben, um einen ACME-Client aufzufordern, nach einigen Sekunden eine Anfrage zu wiederholen. Ihre ACME-Clients müssen diesen Antwortcode unterstützen und den
Retry-After-Header einhalten, den Certificate Manager mit der Antwort sendet.
Für die Produktions- und die Staging-Umgebung gelten dieselben Limits, sie sind jedoch unabhängig voneinander. Anfragen an die Produktions- und die Staging-Umgebung beanspruchen nur die jeweiligen Kontingente.
Kontingente für Anfragen an öffentliche Zertifizierungsstellen
In der folgenden Tabelle sind die Kontingente für Anfragen an öffentliche Zertifizierungsstellen aufgeführt, die für ACME-Zertifizierungsverwaltungsvorgänge gelten.
| Element | Standardkontingent | Beschreibung |
|---|---|---|
| ACME-Konto erstellen ( newAccount) |
25 pro Minute, 100 pro Stunde | Maximale Anzahl von Anfragen zur Kontoerstellung |
| Autorisierung erstellen ( newAuthz) |
300 pro Stunde | Maximale Anzahl von Anfragen zur Autorisierungserstellung |
| Autorisierung abfragen ( authz) |
600 pro Minute | Maximale Anzahl von Anfragen zum Abfragen der Autorisierung |
| Herausforderung prüfen oder abfragen ( challenge) |
100 pro Minute | Maximale Anzahl von Bestätigungsanfragen oder Polling-Anfragen |
| Zertifikat anfordern ( newOrder) |
100 pro Stunde | Maximale Anzahl neuer Zertifikatsanfragen |
| Ausstellung von Umfragezertifikaten ( cert) |
50 pro Minute | Maximale Anzahl von Anfragen zum Abfragen der Zertifikatsausstellung |
| Zertifikat widerrufen ( revokeCert) |
25 pro 30 Sekunden | Maximale Anzahl von Zertifikatswiderrufsanfragen |
Vertrauenskonfiguration
Die hier dokumentierten Limits können nicht erhöht werden und gelten für klassische Application Load Balancer und für globale externe Application Load Balancer.
| Element | Kontingente und Limits | Hinweise |
|---|---|---|
| Anzahl der vertrauenswürdigen Shops | Limit: 1 | Dieses Limit gilt pro TrustConfig-Ressource. |
| Kombinierte Anzahl von Trust-Anchors und Zwischenzertifikaten | Limit: 200 | Dieses Limit gilt pro Trust-Anchor. |
| Anzahl der Zwischenzertifikate | Limit: 100 | Dieses Limit gilt pro Trust Store. |
| Anzahl der Namenseinschränkungen, die bei der Validierung von Stamm- und Zwischenzertifikaten zulässig sind | Limit: 10 | |
| Zwischenzertifikate, die dieselben Informationen zum Subjekt und zum öffentlichen Schlüssel des Subjekts haben | Limit: 10 | Dieses Limit gilt pro Trust-Anchor. |
| Tiefe der Zertifikatskette | Limit: 10 | Die maximale Tiefe für eine Zertifikatskette, einschließlich der Root- und Clientzertifikate. |
| Die Häufigkeit, mit der Zwischenzertifikate ausgewertet werden können, wenn versucht wird, die Vertrauenskette zu erstellen | Limit: 100 | |
| Schlüssel der hochgeladenen oder vom Kunden übergebenen Zertifikate | Limit: RSA-Schlüssel können von 2.048 bis 4.096 Bit sein ECDSA-Zertifikate müssen entweder P-256- oder P-384-Kurven verwenden |