In diesem Dokument sind die Kontingente und Systemlimits für Certificate Manager aufgeführt.
- Kontingente geben an, wie viel einer zählbaren, freigegebenen Ressource Sie verwenden können. Kontingente werden von Google Cloud Diensten wie Certificate Manager definiert.
- Systemlimits sind feste Werte, die nicht geändert werden können.
Google Cloud nutzt Kontingente, um Fairness zu gewährleisten und Spitzen bei Ressourcennutzung und -verfügbarkeit zu reduzieren. Ein Kontingent schränkt ein, wie viel von einerGoogle Cloud -Ressource Ihr Google Cloud -Projekt nutzen darf. Kontingente gelten für eine Reihe von Ressourcentypen, einschließlich Hardware, Software und Netzwerkkomponenten. Mit Kontingenten können Sie beispielsweise die Anzahl der API-Aufrufe an einen Dienst, die Anzahl der von Ihrem Projekt gleichzeitig verwendeten Load Balancer oder die Anzahl der Projekte begrenzen, die Sie erstellen können. Die Kontingente sollen eine Überlastung von Diensten verhindern und dadurch die Community derGoogle Cloud -Nutzer schützen. Sie helfen Ihnen auch bei der Verwaltung Ihrer eigenen Google Cloud -Ressourcen.
Das Cloud-Kontingentsystem ermöglicht Folgendes:
- Ihren Verbrauch von Google Cloud Produkten und ‑Diensten überwachen
- Ihren Verbrauch dieser Ressourcen einschränken
- Eine Möglichkeit bieten, Änderungen am Kontingentwert anzufordern und Kontingentanpassungen zu automatisieren
Wenn Sie versuchen, mehr von einer Ressource zu verbrauchen, als das Kontingent zulässt, blockiert das System in den meisten Fällen den Zugriff auf die Ressource. Die Aufgabe, die Sie ausführen möchten, schlägt fehl.
Kontingente gelten in der Regel auf Google Cloud Projektebene. Ihre Nutzung einer Ressource in einem Projekt hat keinen Einfluss auf Ihr verfügbares Kontingent in einem anderen Projekt. Innerhalb eines Google Cloud -Projekts werden die Kontingente für alle Anwendungen und IP-Adressen gemeinsam genutzt.
Für Certificate Manager-Ressourcen gelten außerdem Systemlimits. Systemlimits können nicht geändert werden.
Die Verwendung von Certificate Manager unterliegt den folgenden Arten von Kontingenten:
Ratenkontingente bestimmen, wie schnell Sie die Certificate Manager API aufrufen sowie Certificate Manager-Ressourcen erstellen und darauf zugreifen können.
Ressourcenkontingente bestimmen die Gesamtzahl der Certificate Manager-Ressourcen, die Sie in Ihrem Google Cloud Projekt erstellen können.
Weitere Informationen zum Arbeiten mit Kontingenten, einschließlich der Schritte zum Erhöhen von Kontingenten und zum Einrichten von Überwachung und Benachrichtigungen für Kontingentmesswerte, finden Sie unter Mit Kontingenten arbeiten.
Ratenkontingente
In der folgenden Tabelle sind die Ratenkontingente für Certificate Manager aufgeführt.
| Element | Standardkontingent | Beschreibung |
|---|---|---|
| API-Anfragen | 300 pro Minute | Alle Aufrufe der Certificate Manager API |
| Leseanfragen | 300 pro Minute | GET- und LIST-Aufrufe an die Certificate Manager API |
| Schreibanfragen | 300 pro Minute | CREATE-, PATCH- und DELETE-Aufrufe der Certificate Manager API |
Ressourcenkontingente und ‑limits
In der folgenden Tabelle sind die Ressourcenkontingente und ‑limits für Certificate Manager-Zertifikate aufgeführt.
| Element | Standardkontingente und ‑limits | Beschreibung |
|---|---|---|
| Von Google verwaltete Zertifikate | 1000 | Gesamtzahl der von Google verwalteten Zertifikate im Projekt Google Cloud |
| Regionale von Google verwaltete Zertifikate | 100 | Gesamtzahl der regionalen von Google verwalteten Zertifikate pro Region im Google Cloud -Projekt |
| Selbstverwaltete Zertifikate | 1000 | Gesamtzahl der selbstverwalteten Zertifikate im Projekt Google Cloud |
| Regionale, selbstverwaltete Zertifikate | 100 | Gesamtzahl der selbst verwalteten regionalen Zertifikate pro Region im Google Cloud -Projekt |
| Zertifikatszuordnungen | 100 | Gesamtzahl der Zertifikatszuordnungen im Google Cloud -Projekt |
| Einträge zu Zertifikatszuordnungen | 5.000 | Gesamtzahl der Einträge in Zertifikatszuordnungen im Google Cloud -Projekt. Sie können ein Zertifikat mit maximal 100 Einträgen der Zertifikatszuordnung verknüpfen. |
| Zertifikate pro Eintrag der Zertifikatszuordnung | Limit: 4 | Gesamtzahl der Zertifikate, die Sie an einen Eintrag der Zertifikatszuordnung anhängen können |
| Zertifikate pro Ziel-Proxy | Limit: 100 | Gesamtzahl der Zertifikate, die Sie direkt an einen HTTPS-Zielproxy anhängen können |
| Zertifikatszuordnung pro Zielproxy | Limit: 1 | Gesamtzahl der Zertifikatszuordnungen, die Sie an einen HTTPS-Zielproxy anhängen können |
| DNS-Autorisierungen | 1000 | Gesamtzahl der DNS-Autorisierungen im Google Cloud -Projekt |
| Regionale DNS-Autorisierungen | 300 | Gesamtzahl der regionalen DNS-Autorisierungen pro Region im Google Cloud -Projekt |
| Konfigurationen von Zertifikatsausstellungen | 100 | Gesamtzahl der Konfigurationen für die Zertifikatsausstellung im Google Cloud -Projekt |
| Konfigurationen für die Ausstellung regionaler Zertifikate | 5 | Gesamtzahl der regionalen Konfigurationen für die Zertifikatausstellung pro Region im Google Cloud -Projekt |
| Vertrauenskonfigurationen | 5 | Gesamtzahl der Vertrauenskonfigurationen im Google Cloud -Projekt |
| Unterstützte Schlüsseltypen für selbstverwaltete Zertifikate |
|
|
| Unterstützter Schlüsseltyp für öffentlich vertrauenswürdige, von Google verwaltete Zertifikate | RSA-2048 | |
| Unterstützte Schlüsseltypen für privat vertrauenswürdige, von Google verwaltete Zertifikate |
|
Längenbeschränkungen für Domainnamen für von Google verwaltete Zertifikate
In der folgenden Tabelle sind die Längenbeschränkungen für Domainnamen aufgeführt, die speziell für von Google verwaltete Zertifikate in Certificate Manager gelten.
| Element | Zeichen | Domain |
|---|---|---|
| Load-Balancer-Autorisierung | 253 | Alle |
| DNS-Autorisierung | 237 | Alle |
| DNS-Autorisierung pro Projekt mit Google CA | 220 | Alle |
Zusätzliche Ressourcenlimits für von Google verwaltete Zertifikate
In der folgenden Tabelle sind zusätzliche Ressourcenlimits aufgeführt, die für von Google verwaltete Zertifikate in Certificate Manager gelten. Diese Limits können nicht erhöht werden.
| Element | Limit | Beschreibung |
|---|---|---|
| Domains pro Zertifikat mit Load Balancer-Autorisierung | 5 | Maximale Anzahl von Domains, die pro von Google verwaltetem Zertifikat mit Load Balancer-Autorisierung zulässig sind. |
| Domains pro Zertifikat mit DNS-Autorisierung | 100 | Maximale Anzahl von Domains, die pro von Google verwaltetem Zertifikat mit DNS-Autorisierung zulässig sind. |
Zusätzliche Anfragekontingente für Vorgänge mit Public CA
Kontingente für Public CA-Vorgänge sind unabhängig von Kontingenten für Certificate Manager-Vorgänge für von Google verwaltete Zertifikate. Sie sind auch unabhängig von anderen Kontingenten, die für Vorgänge für von Google verwaltete Zertifikate gelten, die von anderen Google Cloud Produkten ausgeführt werden.
Certificate Manager erzwingt die in diesem Abschnitt aufgeführten Kontingentlimits für Vorgänge mit Public CA. Beachten Sie die folgenden Richtlinien:
- Certificate Manager kann Ihre Anfragen pro Minute drosseln.
- Certificate Manager kann den HTTP-Antwortcode 429 zurückgeben und einen ACME-Client auffordern, eine Anfrage nach einigen Sekunden noch einmal zu versuchen. Ihre ACME-Clients müssen diesen Antwortcode unterstützen und den
Retry-After-Header berücksichtigen, den Certificate Manager mit der Antwort sendet.
Für die Produktions- und die Staging-Umgebung gelten dieselben Limits, sie sind jedoch unabhängig voneinander. Anfragen an die Produktionsumgebung und die Staging-Umgebung verbrauchen nur die entsprechenden Kontingente.
Kontingente für öffentliche Zertifizierungsstellenanfragen
In der folgenden Tabelle sind die Kontingente für Anfragen an Public CA aufgeführt, die für ACME-Zertifikatverwaltungsoperationen gelten.
| Element | Standardkontingent | Beschreibung |
|---|---|---|
| ACME-Konto erstellen ( newAccount) |
25 pro Minute, 100 pro Stunde | Maximale Anzahl von Anfragen zur Kontoerstellung |
| Autorisierung erstellen ( newAuthz) |
300 pro Stunde | Maximale Anzahl von Anfragen zur Autorisierungserstellung |
| Autorisierung abrufen ( authz) |
600 pro Minute | Maximale Anzahl von Autorisierungsanfragen |
| Herausforderung bestätigen oder Umfrage starten ( challenge) |
100 pro Minute | Maximale Anzahl von Anfragen zur Challenge-Bestätigung oder zum Polling |
| Zertifikat anfordern ( newOrder) |
100 pro Stunde | Maximale Anzahl neuer Zertifikatsanfragen |
| Zertifikatausstellung abfragen ( cert) |
50 pro Minute | Maximale Anzahl von Polling-Anfragen für die Zertifikatausstellung |
| Zertifikat widerrufen ( revokeCert) |
25 pro 30 Sekunden | Maximale Anzahl von Anträgen auf Zertifikatsperrung |
Konfiguration der Vertrauensstellung
Die hier dokumentierten Limits können nicht erhöht werden und gelten für klassische Application Load Balancer und für globale externe Application Load Balancer.
| Element | Kontingente und Limits | Hinweise |
|---|---|---|
| Anzahl der vertrauenswürdigen Shops | Limit: 1 | Dieses Limit gilt pro TrustConfig-Ressource. |
| Kombinierte Anzahl von Trust-Anchors und Zwischenzertifikaten | Limit: 200 | Dieses Limit gilt pro Trust-Anchor. |
| Anzahl der Zwischenzertifikate | Limit: 100 | Dieses Limit gilt pro Trust Store. |
| Anzahl der Namenseinschränkungen, die bei der Validierung von Stamm- und Zwischenzertifikaten zulässig sind | Limit: 10 | |
| Zwischenzertifikate, die dieselben Informationen zum Subjekt und zum öffentlichen Schlüssel des Subjekts haben | Limit: 10 | Dieses Limit gilt pro Trust-Anchor. |
| Tiefe der Zertifikatskette | Limit: 10 | Die maximale Tiefe für eine Zertifikatskette, einschließlich der Root- und Clientzertifikate. |
| Die Häufigkeit, mit der Zwischenzertifikate ausgewertet werden können, wenn versucht wird, die Vertrauenskette zu erstellen | Limit: 100 | |
| Unterstützte Schlüsseltypen |
|
|
| Anzahl der Zertifikate auf der Zulassungsliste (`allowlistedCertificates`) | Limit: 500 |