このドキュメントでは、Certificate Manager に適用される割り当てとシステム上限について説明します。割り当ては、使用できるカウント可能な共有リソースの量を指定します。割り当ては、Certificate Manager などの Google Cloud サービスによって定義されます。システムの上限は、変更できない固定値です。
Google Cloud では、割り当てを使用して公平性を確保し、リソースの使用量と可用性の急増を抑えます。割り当ては、Google Cloud プロジェクトで使用できる Google Cloud リソースの量を制限します。割り当ては、ハードウェア、ソフトウェア、ネットワーク コンポーネントなど、さまざまなリソースタイプに適用されます。たとえば、割り当てによって、サービスへの API 呼び出しの数、プロジェクトで同時に使用されるロードバランサの数、作成可能なプロジェクトの数を制限できます。割り当てを適用することで、サービスの過負荷を防ぎ、Google Cloud ユーザーのコミュニティを保護します。割り当ては、自組織で使用している Google Cloud リソースの管理にも役立ちます。
Cloud Quotas システムは次のことを行います。
- Google Cloud のプロダクトとサービスの消費量をモニタリングする
- これらのリソースの消費量を制限する
- 割り当て値の変更をリクエストする方法を提供する
ほとんどの場合、割り当ての許容量を超えるリソースを消費しようとすると、システムによってリソースへのアクセスがブロックされ、実行しようとしているタスクは失敗します。
割り当ては通常、Google Cloud プロジェクト レベルで適用されます。あるプロジェクトでリソースを使用しても、別のプロジェクトで使用可能な割り当てに影響することはありません。Google Cloud プロジェクト内では、すべてのアプリケーションと IP アドレスで割り当てが共有されます。
Certificate Manager のリソースにもシステム上限があります。システムの上限は変更できません。
Certificate Manager の使用は、次のタイプの割り当てによって管理されます。
レートに基づく割り当ては、Certificate Manager API の呼び出し、Certificate Manager リソースの作成とアクセスをどれだけ迅速に行えるかを決定します。
リソースの割り当てによって、Google Cloud プロジェクト内で作成できる Certificate Manager リソースの合計量が決まります。
割り当てを増やす手順や、割り当て指標のモニタリングとアラートの設定など、割り当ての操作の詳細については、割り当ての操作をご覧ください。
レートに基づく割り当て
次の表に、Certificate Manager のレートに基づく割り当てを示します。
| 割り当て | デフォルトの上限 | 説明 |
|---|---|---|
| API リクエスト | 300/分 | Certificate Manager API へのすべての呼び出し |
| 読み取りリクエスト | 300/分 | Certificate Manager API への GET と LIST の呼び出し |
| 書き込みリクエスト | 300/分 | Certificate Manager API への CREATE、PATCH、DELETE の呼び出し |
リソースの割り当て
次の表に、Certificate Manager のリソースの割り当てを示します。
| 割り当て | デフォルトの上限 | 説明 |
|---|---|---|
| Google マネージド証明書 | 1000 | Google Cloud プロジェクト内の Google マネージド証明書の合計数。 |
| リージョンの Google マネージド証明書 | 30 | Google Cloud プロジェクト内のリージョンごとのリージョン Google マネージド証明書の合計数 |
| セルフマネージド証明書 | 1000 | Google Cloud プロジェクト内のセルフマネージド証明書の合計数 |
| リージョンのセルフマネージド証明書 | 30 | Google Cloud プロジェクト内のリージョンごとのリージョン セルフマネージド証明書の合計数 |
| 証明書マップ | 100 | Google Cloud プロジェクト内の証明書マップの合計数 |
| 証明書マップエントリ | 5,000 人 | Google Cloud プロジェクト内の証明書マップエントリの合計数。 証明書を関連付けることができる証明書マップエントリは最大 100 個です。 |
| DNS 認証 | 1000 | Google Cloud プロジェクト内の DNS 認証の合計数 |
| リージョン DNS 認証 | 300 | Google Cloud プロジェクト内のリージョンごとのリージョン DNS 認証の合計数 |
| 証明書発行の構成 | 100 | Google Cloud プロジェクト内の証明書発行の構成の合計数 |
| リージョン証明書発行の構成 | 5 | Google Cloud プロジェクト内のリージョンごとのリージョン証明書発行の構成の合計数 |
| 信頼構成 | 5 | Google Cloud プロジェクト内の信頼構成の合計数 |
Google マネージド証明書のドメイン名の長さ制限
次の表に、Certificate Manager の Google マネージド証明書に固有のドメイン名の長さ制限を示します。
| 割り当て | 文字数 | ドメイン |
|---|---|---|
| Google CA によるロードバランサの承認 | 253 | すべて |
| Google CA による DNS 認証 | 237 | すべて |
| Google CA によるプロジェクトごとの DNS 認証 | 220 | すべて |
| Let's Encrypt によるロードバランサの承認 | 253 | 1 番目のドメインを除くすべてのドメイン |
| Let's Encrypt による DNS 認証 | 237 | 1 番目のドメインを除くすべてのドメイン |
| Let's Encrypt によるロードバランサの承認と DNS 認証 | 64 | 1 番目のドメイン |
Google マネージド証明書の追加リソース割り当て
次の表に、Certificate Manager の Google マネージド証明書に固有の追加のリソース割り当てを示します。これらの割り当てを増やすことはできません。
| 割り当て | デフォルトの上限 | 説明 |
|---|---|---|
| ロードバランサの承認を使用した証明書あたりのドメイン数 | 5 | ロードバランサの承認で Google マネージド証明書ごとに許可されるドメインの最大数。 |
| DNS 認証を使用した証明書あたりのドメイン数 | 100 | DNS 認証を使用して Google マネージド証明書ごとに許可されるドメインの最大数。 |
Public CA オペレーションに対する追加のリクエスト割り当て
Public CA オペレーションの割り当ては、Google マネージド証明書に対する Certificate Manager のオペレーションを管理する割り当てから独立しています。また、他の Google Cloud プロダクトによって実行される Google マネージド証明書に対するオペレーションを管理する他の割り当てとは独立しています。
Certificate Manager では、Public CA のオペレーションに対して、このセクションに記載されている割り当て上限が適用されます。次のガイドラインに注意してください。
- Certificate Manager では、1 分あたりのリクエストにレート制限を設定できます。
- Certificate Manager は、数秒待ってからリクエストを再試行するように ACME クライアントに依頼する HTTP 429 レスポンス コードを返すことができます。ACME クライアントは、このレスポンス コードをサポートし、Certificate Manager がレスポンスとともに送信する
Retry-Afterヘッダーを考慮する必要があります。
本番環境とステージング環境には同じ上限がありますが、互いに独立しています。本番環境とステージング環境へのリクエストは、それぞれの割り当てのみを消費します。
Public CA リクエストの割り当て
次の表に、ACME 証明書管理オペレーションに適用される Public CA リクエストの割り当てを示します。
| 割り当て | デフォルトの上限 | 説明 |
|---|---|---|
| ACME アカウントを作成する ( newAccount) |
1 分あたり 25 回、1 時間あたり 100 回 | アカウント作成リクエストの最大数 |
| 認証を作成する ( newAuthz) |
300/時間 | 認証作成リクエストの最大数 |
| 認証をポーリングする ( authz) |
600/分 | 承認のポーリング リクエストの最大数 |
| チャレンジを確認またはポーリングする ( challenge) |
100/分 | チャレンジの確認またはポーリング リクエストの最大数 |
| 証明書をリクエスト ( newOrder) |
100/時間 | 新しい証明書リクエストの最大数 |
| 証明書発行のポーリング ( cert) |
50/分 | 証明書発行のポーリング リクエストの最大数 |
| 証明書の取り消し ( revokeCert) |
30 秒あたり 25 | 証明書の取り消しリクエストの最大数 |