本文档列出了适用于 Certificate Manager 的quotas和quotas。
配额用于限制您的 Google Cloud 项目可使用的共享 Google Cloud 资源(包括硬件、软件和网络组件)的数量。因此,有以下功能的系统具有配额:
- 监控 Google Cloud 产品和服务的使用情况或消耗情况。
- 出于确保公平性和减少用量激增等原因,限制这些资源的消耗。
- 维护可自动强制执行规定限制的配置。
- 提供请求或更改配额的方法。
在大多数情况下,当超过配额时,系统会立即阻止对相关 Google 资源的访问,并且您尝试执行的任务将失败。在大多数情况下,配额适用于每个 Google Cloud 项目,并由使用该 Google Cloud 项目的所有应用和 IP 地址共享。
Certificate Manager 资源也存在限制。这些限制与配额系统无关。除非另有说明,否则无法更改限制。
您在使用证书管理器时受以下类型的配额的约束:
速率配额决定了调用 Certificate Manager API 以及创建和访问 Certificate Manager 资源的速度。
资源配额决定了您可以在 Google Cloud 项目中创建的 Certificate Manager 资源的总数。
如需详细了解如何使用配额,包括增加配额的步骤,以及如何设置配额指标监控和提醒,请参阅使用配额。
速率配额
下表列出了证书管理器的速率配额。
| 配额 | 默认上限 | 说明 |
|---|---|---|
| API 请求 | 每分钟 300 个 | 对 Certificate Manager API 的所有调用 |
| 读请求次数 | 每分钟 300 个 | 对 Certificate Manager API 的 GET 和 LIST 调用 |
| 写请求次数 | 每分钟 300 个 | 对 Certificate Manager API 的 CREATE、PATCH 和 DELETE 调用 |
资源配额
下表列出了 Certificate Manager 的资源配额。
| 配额 | 默认上限 | 说明 |
|---|---|---|
| Google 管理的证书 | 100 | Google Cloud 项目中 Google 管理的证书的总数 |
| Google 管理的区域级证书 | 30 | Google Cloud 项目中每个区域的区域级 Google 管理的证书总数 |
| 自行管理的证书 | 100 | Google Cloud 项目中自行管理的证书的总数 |
| 自行管理的区域级证书 | 5 | Google Cloud 项目中每个区域的区域级自行管理证书总数 |
| 证书映射 | 100 | Google Cloud 项目中的证书映射总数 |
| 证书映射条目 | 1,000 | Google Cloud 项目中的证书映射条目总数 |
| DNS 授权 | 1,000 | Google Cloud 项目中的 DNS 授权总数 |
| 区域 DNS 授权 | 300 个 | Google Cloud 项目中每个区域的区域级 DNS 授权总数 |
| 证书颁发配置 | 100 | Google Cloud 项目中的证书颁发配置总数 |
| 区域级证书颁发配置 | 5 | Google Cloud 项目中每个区域的区域级证书颁发配置总数 |
| 信任配置 | 5 | Google Cloud 项目中的信任配置总数 |
Google 管理的证书的域名长度限制
下表列出了证书管理器中 Google 管理的证书的特定域名长度限制。
| 配额 | 字符 | 网域 |
|---|---|---|
| 通过 Google CA 进行负载平衡器授权 | 253 | 全部 |
| Google CA 的 DNS 授权 | 237 | 全部 |
| Google CA 为每个项目进行 DNS 授权 | 220 | 全部 |
| 使用 Let's Encrypt 进行负载平衡器授权 | 253 | 除第一个网域之外的所有网域 |
| 通过 Let's Encrypt 进行 DNS 授权 | 237 | 除第一个网域之外的所有网域 |
| 使用 Let's Encrypt 进行负载平衡器授权和 DNS 授权 | 64 | 第一个网域 |
Google 管理的证书的其他资源配额
下表列出了 Certificate Manager 中 Google 管理的证书的其他资源配额。这些配额无法增加。
| 配额 | 默认上限 | 说明 |
|---|---|---|
| 每个具有负载均衡器授权的证书的网域数 | 5 | 每个具有负载均衡器授权的 Google 管理证书允许的网域数量上限。 |
| 每个具有 DNS 授权的证书的网域数 | 100 | 每个由 Google 管理且具有 DNS 授权的证书允许的网域数量上限。 |
Public CA 操作的额外请求配额
Public CA 操作的配额独立于对 Google 管理的证书执行的 Certificate Manager 操作的配额。此外,它们也独立于任何其他配额,这些配额用于约束对由任何其他 Google Cloud 产品执行的 Google 管理的证书的操作。
Certificate Manager 会针对 Public CA 操作强制执行本部分列出的配额限制。请谨记以下准则:
- Certificate Manager 可以限制每分钟请求的速率限制。
- 证书管理器可以返回 HTTP 429 响应代码,要求 ACME 客户端在等待几秒钟后重试请求。您的 ACME 客户端必须支持此响应代码,并遵循 Certificate Manager 随响应发送的
Retry-After标头。
生产环境和预演环境具有相同的限制,但它们彼此独立。对生产环境和预演环境的请求仅会消耗各自的配额。
Public CA 请求配额
下表列出了适用于 ACME 证书管理操作的 Public CA 请求配额。
| 配额 | 默认上限 | 说明 |
|---|---|---|
| 创建 ACME 账号 ( newAccount) |
每分钟 25 个,每小时 100 个 | 账号创建请求数量上限 |
| 创建授权 ( newAuthz) |
5 分钟 150 封,每小时 300 封 | 授权创建请求数量上限 |
| 轮询授权 ( authz) |
每分钟 600 次,无每小时限制 | 授权轮询请求数上限 |
| 验证挑战或投票 ( challenge) |
每分钟 100 次,无每小时限制 | 质询验证或轮询请求的数量上限 |
| 请求证书 ( newOrder) |
每分钟 25 个,每小时 100 个 | 新证书请求数量上限 |
| 轮询证书颁发 ( cert) |
每分钟 50 个,无每小时限制 | 证书颁发轮询请求的数量上限 |
| 撤消证书 ( revokeCert) |
每分钟 25 次,无每小时限制 | 证书吊销请求数量上限 |