配额和限制

本文档列出了适用于 Certificate Manager 的配额和系统限制。

  • 配额用于指定您可以使用的可计数共享资源的数量。配额由 Certificate Manager 等 Google Cloud 服务定义。
  • 系统限制是无法更改的固定值。

Google Cloud 使用配额来帮助确保公平性并减少资源使用和可用性的激增。配额用于限制您的 Google Cloud 项目可使用的Google Cloud 资源的数量。配额适用于一系列资源类型,包括硬件、软件和网络组件。例如,配额可以限制对某项服务的 API 调用次数、您的项目并发使用的负载均衡器数量或者您可以创建的项目数量。配额可以防止服务过载,从而保护Google Cloud 用户社区。配额还可以帮助您管理自己的 Google Cloud 资源。

Cloud 配额系统执行以下操作:

在大多数情况下,当您尝试消耗的资源超出其配额允许的范围时,系统会阻止对资源的访问,并且您尝试执行的任务会失败。

配额通常在 Google Cloud 项目级层应用。您在一个项目中使用资源不会影响您在另一个项目中的可用配额。在 Google Cloud 项目中,配额在所有应用和 IP 地址间共享。

Certificate Manager 资源也有系统限制。系统限制不能更改。

您对 Certificate Manager 的使用受以下类型的配额限制:

  • 速率配额决定了您可以调用 Certificate Manager API 以及创建和访问 Certificate Manager 资源的速度。

  • 资源配额决定了您可以在 Google Cloud 项目中创建的证书管理服务资源总量。

如需详细了解如何使用配额(包括增加配额的步骤),以及如何设置配额指标监控和提醒,请参阅使用配额

速率配额

下表列出了 Certificate Manager 的速率配额。

默认配额 说明
API 请求 每分钟 300 次 对 Certificate Manager API 的所有调用
读请求次数 每分钟 300 次 对 Certificate Manager API 的 GETLIST 调用
写请求次数 每分钟 300 次 对 Certificate Manager API 的 CREATEPATCHDELETE 调用

资源配额和限制

下表列出了 Certificate Manager 证书的资源配额和限制。

默认配额和限制 说明
Google 管理的证书 1000 Google Cloud 项目中的 Google 管理的证书总数
Google 管理的区域级证书 100 Google Cloud 项目内每个区域的 Google 管理的区域级证书总数
自行管理的证书 1000 Google Cloud 项目中的自行管理的证书总数
自行管理的区域级证书 100 Google Cloud 项目内每个区域的自行管理的区域级证书总数
证书映射 100 Google Cloud 项目中的证书映射总数
证书映射条目 5000 Google Cloud 项目中的证书映射条目总数
与证书关联的资源 限制:100 与证书关联的资源(例如证书映射条目和目标代理)总数。
每个证书映射条目的证书数量 限制:4 可附加到证书映射条目的证书总数
每个目标代理的证书数量 限制:100 可直接附加到目标 HTTPS 代理的证书总数
每个目标代理的证书映射数 限制:1 可附加到目标 HTTPS 代理的证书映射总数
DNS 授权 1000 Google Cloud 项目中的 DNS 授权总数
区域 DNS 授权 300 Google Cloud 项目内每个区域的区域级 DNS 授权总数
证书颁发配置 100 Google Cloud 项目中的证书颁发配置总数
区域证书颁发配置 5 Google Cloud 项目内每个区域的区域级证书签发配置总数
信任配置 5 Google Cloud 项目中的信任配置总数
自行管理的证书支持的密钥类型
  • RSA-2048
  • RSA-3072
  • RSA-4096
  • ECDSA P-256
  • ECDSA P-384
公开受信任的 Google 管理的证书支持的密钥类型 RSA-2048
私下信任的 Google 管理的证书支持的密钥类型
  • RSA-2048
  • ECDSA P-256

Google 管理的证书的域名长度限制

下表列出了 Certificate Manager 中特定于 Google 管理的证书的域名长度限制。

字符 网域
负载平衡器授权 253 全部
DNS 授权 237 全部
使用 Google CA 进行每个项目的 DNS 授权 220 全部

Google 管理的证书的其他资源限制

下表列出了 Certificate Manager 中特定于 Google 管理的证书的其他资源限制。这些限制无法提高

限制 说明
具有负载均衡器授权的证书的网域数量 5 每个具有负载均衡器授权的 Google 管理的证书允许的网域数量上限。
具有 DNS 授权的证书所支持的网域数量 100 每个具有 DNS 授权的 Google 管理的证书允许的网域数量上限。

Public CA 操作的额外请求配额

Public CA 操作的配额独立于管理 Google 管理的证书的证书管理器操作的配额。它们还独立于任何其他 Google Cloud 产品对 Google 管理的证书执行操作时所受的任何其他配额。

Certificate Manager 会针对 Public CA 操作强制执行本部分列出的配额限制。请谨记以下准则:

  • Certificate Manager 可以限制您每分钟的请求数。
  • 证书管理器可能会返回 HTTP 429 响应代码,要求 ACME 客户端在等待几秒钟后重试请求。您的 ACME 客户端必须支持此响应代码,并遵守 Certificate Manager 随响应发送的 Retry-After 标头。

生产环境和预演环境具有相同的限制,但它们彼此独立。对生产环境和预发布环境的请求仅消耗各自的配额。

Public CA 请求配额

下表列出了适用于 ACME 证书管理操作的 Public CA 请求配额。

默认配额 说明
创建 ACME 账号
(newAccount)		 每分钟 25 次,每小时 100 次 账号创建请求数上限
创建授权
(newAuthz)		 每小时 300 次 授权创建请求数上限
轮询授权
(authz)		 每分钟 600 授权轮询请求数上限
验证或轮询挑战
(challenge)		 每分钟 100 次 身份验证或轮询请求数上限
申请证书
(newOrder)		 每小时 100 次 新证书请求数上限
Poll certificate issuance
(cert)		 每分钟 50 次 证书签发轮询请求数上限
撤消证书
(revokeCert)		 每 30 秒 25 个 证书吊销请求数上限

信任配置

此处所述的限制无法提高,适用于传统应用负载均衡器和全球外部应用负载均衡器。

配额和限制 备注
信任库数量 限制:1 这是每个 TrustConfig 资源的限制。
信任锚和中间证书的总数 限制:200 这是每个信任库的限制。
中间证书数量 限制:100 这是每个信任库的限制。
根证书和中间证书验证期间允许的名称限制条件数量 限制:10
共享相同主体和主体公钥信息的中间证书数量 限制:10 这是每个信任库的限制。
证书链深度 限制:10 证书链的深度上限,包括根证书和客户端证书。
在尝试构建信任链时,评估中间证书的最大次数。 限制:100
支持的密钥类型
  • RSA-2048
  • RSA-3072
  • RSA-4096
  • ECDSA P-256
  • ECDSA P-384
许可名单中的证书数量(“allowlistedCertificates”) 限制:500