本文档列出了适用于 Certificate Manager 的配额和系统限制。
- 配额用于指定您可以使用的可计数共享资源的数量。配额由 Certificate Manager 等 Google Cloud 服务定义。
- 系统限制是无法更改的固定值。
Google Cloud 使用配额来帮助确保公平性并减少资源使用和可用性的激增。配额用于限制您的 Google Cloud 项目可使用的Google Cloud 资源的数量。配额适用于一系列资源类型,包括硬件、软件和网络组件。例如,配额可以限制对某项服务的 API 调用次数、您的项目并发使用的负载均衡器数量或者您可以创建的项目数量。配额可以防止服务过载,从而保护Google Cloud 用户社区。配额还可以帮助您管理自己的 Google Cloud 资源。
Cloud 配额系统执行以下操作:
在大多数情况下,当您尝试消耗的资源超出其配额允许的范围时,系统会阻止对资源的访问,并且您尝试执行的任务会失败。
配额通常在 Google Cloud 项目级层应用。您在一个项目中使用资源不会影响您在另一个项目中的可用配额。在 Google Cloud 项目中,配额在所有应用和 IP 地址间共享。
Certificate Manager 资源也有系统限制。系统限制不能更改。
您对 Certificate Manager 的使用受以下类型的配额限制:
速率配额决定了您可以调用 Certificate Manager API 以及创建和访问 Certificate Manager 资源的速度。
资源配额决定了您可以在 Google Cloud 项目中创建的证书管理服务资源的总量。
如需详细了解如何使用配额(包括增加配额的步骤),以及如何设置配额指标监控和提醒,请参阅使用配额。
速率配额
下表列出了 Certificate Manager 的速率配额。
| 项 | 默认配额 | 说明 |
|---|---|---|
| API 请求 | 每分钟 300 次 | 对 Certificate Manager API 的所有调用 |
| 读请求次数 | 每分钟 300 次 | 对 Certificate Manager API 的 GET 和 LIST 调用 |
| 写请求次数 | 每分钟 300 次 | 对 Certificate Manager API 的 CREATE、PATCH 和 DELETE 调用 |
资源配额和限制
下表列出了 Certificate Manager 证书的资源配额和限制。
| 项 | 默认配额和限制 | 说明 |
|---|---|---|
| Google 管理的证书 | 1000 | Google Cloud 项目中的 Google 管理的证书总数 |
| Google 管理的区域级证书 | 100 | Google Cloud 项目内每个区域的 Google 管理的区域级证书总数 |
| 自行管理的证书 | 1000 | Google Cloud 项目中的自管理证书总数 |
| 自行管理的区域级证书 | 100 | Google Cloud 项目内每个区域的自行管理的区域级证书总数 |
| 证书映射 | 100 | Google Cloud 项目中的证书映射总数 |
| 证书映射条目 | 5000 | Google Cloud 项目中的证书映射条目总数。 您可以将一个证书与最多 100 个证书映射条目相关联。 |
| 每个证书映射条目的证书数量 | 限制:4 | 可附加到证书映射条目的证书总数 |
| 每个目标代理的证书数量 | 限制:100 | 可直接附加到目标 HTTPS 代理的证书总数 |
| 每个目标代理的证书映射数 | 限制:1 | 可附加到目标 HTTPS 代理的证书映射总数 |
| DNS 授权 | 1000 | Google Cloud 项目中的 DNS 授权总数 |
| 区域 DNS 授权 | 300 | Google Cloud 项目内每个区域的区域级 DNS 授权总数 |
| 证书颁发配置 | 100 | Google Cloud 项目中的证书颁发配置总数 |
| 区域证书颁发配置 | 5 | Google Cloud 项目内每个区域的区域级证书签发配置总数 |
| 信任配置 | 5 | Google Cloud 项目中的信任配置总数 |
| 自行管理的证书支持的密钥类型 |
|
|
| 公开受信任的 Google 管理的证书支持的密钥类型 | RSA-2048 | |
| 私下信任的 Google 管理的证书支持的密钥类型 |
|
Google 管理的证书的域名长度限制
下表列出了 Certificate Manager 中特定于 Google 管理的证书的域名长度限制。
| 项 | 字符 | 网域 |
|---|---|---|
| 负载平衡器授权 | 253 | 全部 |
| DNS 授权 | 237 | 全部 |
| 使用 Google CA 进行每个项目的 DNS 授权 | 220 | 全部 |
Google 管理的证书的其他资源限制
下表列出了 Certificate Manager 中特定于 Google 管理的证书的其他资源限制。这些限制无法提高。
| 项 | 限制 | 说明 |
|---|---|---|
| 具有负载均衡器授权的每个证书的网域数 | 5 | 每个具有负载均衡器授权的 Google 管理的证书允许的网域数量上限。 |
| 具有 DNS 授权的证书所支持的网域数量 | 100 | 每个具有 DNS 授权的 Google 管理的证书允许的网域数量上限。 |
Public CA 操作的额外请求配额
Public CA 操作的配额独立于管理 Google 管理的证书的证书管理器操作的配额。它们还独立于任何其他 Google Cloud 产品对 Google 管理的证书执行操作时所受的任何其他配额。
Certificate Manager 会针对 Public CA 操作强制执行本部分列出的配额限制。请谨记以下准则:
- Certificate Manager 可以限制您每分钟的请求数。
- 证书管理器可能会返回 HTTP 429 响应代码,要求 ACME 客户端在等待几秒钟后重试请求。您的 ACME 客户端必须支持此响应代码,并遵守 Certificate Manager 随响应发送的
Retry-After标头。
生产环境和预演环境具有相同的限制,但它们彼此独立。对生产环境和预发布环境的请求仅消耗各自的配额。
Public CA 请求配额
下表列出了适用于 ACME 证书管理操作的 Public CA 请求配额。
| 项 | 默认配额 | 说明 |
|---|---|---|
| 创建 ACME 账号 ( newAccount) |
每分钟 25 次,每小时 100 次 | 账号创建请求数上限 |
| 创建授权 ( newAuthz) |
每小时 300 次 | 授权创建请求数上限 |
| 轮询授权 ( authz) |
每分钟 600 | 授权轮询请求数上限 |
| 验证或轮询挑战 ( challenge) |
每分钟 100 次 | 身份验证或轮询请求数上限 |
| 申请证书 ( newOrder) |
每小时 100 次 | 新证书请求数上限 |
| 轮询证书颁发 ( cert) |
每分钟 50 次 | 证书签发轮询请求数上限 |
| 撤消证书 ( revokeCert) |
每 30 秒 25 个 | 证书吊销请求数上限 |
信任配置
此处所述的限制无法提高,适用于传统应用负载均衡器和全球外部应用负载均衡器。
| 项 | 配额和限制 | 备注 |
|---|---|---|
| 信任库数量 | 限制:1 | 这是每个 TrustConfig 资源的限制。 |
| 信任锚和中间证书的总数 | 限制:200 | 这是每个信任库的限制。 |
| 中间证书数量 | 限制:100 | 这是每个信任库的限制。 |
| 根证书和中间证书验证期间允许的名称限制条件数量 | 限制:10 | |
| 共享相同主体和主体公钥信息的中间证书数量 | 限制:10 | 这是每个信任库的限制。 |
| 证书链深度 | 限制:10 | 证书链的深度上限,包括根证书和客户端证书。 |
| 在尝试构建信任链时,评估中间证书的最大次数。 | 限制:100 | |
| 支持的密钥类型 |
|
|
| 许可名单中的证书数量(“allowlistedCertificates”) | 限制:500 |