這份文件列出 Certificate Manager 適用的配額與系統限制。
- 配額會指定您可使用的可計數共用資源數量。配額是由 Certificate Manager 等 Google Cloud 服務定義。
- 系統限制是無法變更的固定值。
Google Cloud 會使用配額來確保公平性,並減少資源使用量和可用性暴增的情況。配額會限制專案可使用的Google Cloud 資源 Google Cloud 數量。配額適用於各種資源類型,包括硬體、軟體和網路元件。舉例來說,配額可以限制對服務發出的 API 呼叫數、專案並行使用的負載平衡器數量,或是可建立的專案數量。配額可以預防服務過載,進而保障Google Cloud 使用者社群的權益。配額也能協助您管理自己的 Google Cloud 資源。
Cloud Quotas 系統會執行下列操作:
在大多數情況下,如果您嘗試使用的資源超過配額,系統會封鎖資源存取權,導致您嘗試執行的工作失敗。
配額通常是在 Google Cloud 專案 層級套用。在一個專案中使用資源,不會影響另一個專案的可用配額。在 Google Cloud 專案中,所有應用程式和 IP 位址會共用配額。
Certificate Manager 資源也有系統限制。 系統限制無法變更。
使用 Certificate Manager 時,必須遵守下列配額類型:
頻率配額決定了呼叫 Certificate Manager API 的速度,以及建立和存取 Certificate Manager 資源的速度。
資源配額會決定您可以在 Google Cloud 專案中建立的 Certificate Manager 資源總量。
如要進一步瞭解如何處理配額,包括增加配額的步驟,以及如何設定配額指標的監控和警報,請參閱「處理配額」一文。
頻率配額
下表列出 Certificate Manager 的速率配額。
| 項目 | 預設配額 | 說明 |
|---|---|---|
| API 要求 | 每分鐘 300 個 | 對 Certificate Manager API 的所有呼叫 |
| 讀取要求 | 每分鐘 300 個 | 對 Certificate Manager API 進行 GET 和 LIST 呼叫 |
| 寫入要求 | 每分鐘 300 個 | 對 Certificate Manager API 進行 CREATE、PATCH 和 DELETE 呼叫 |
資源配額與限制
下表列出 Certificate Manager 憑證的資源配額和限制。
| 項目 | 預設配額和限制 | 說明 |
|---|---|---|
| Google 代管憑證 | 1000 | Google Cloud 專案中的 Google 管理憑證總數 |
| 區域性 Google 代管憑證 | 100 | 每個 Google Cloud 專案區域的區域性 Google 代管憑證總數 |
| 自行管理的憑證 | 1000 | Google Cloud 專案中的自管憑證總數 |
| 區域性自行管理憑證 | 100 | Google Cloud 專案中每個區域的區域性自行管理憑證總數 |
| 憑證對應 | 100 | Google Cloud 專案中的憑證對應總數 |
| 憑證對應項目 | 5000 | 專案中的憑證對應項目總數。 Google Cloud 憑證最多可與 100 個憑證對應項目建立關聯。 |
| 每個憑證對應項目可用的憑證 | 上限:4 個 | 可附加至憑證對應項目的憑證總數 |
| 每個目標 Proxy 的憑證 | 上限:100 | 可直接附加至目標 HTTPS Proxy 的憑證總數 |
| 每個目標 Proxy 的憑證對應 | 限制:1 | 可附加至目標 HTTPS Proxy 的憑證對應總數 |
| DNS 授權 | 1000 | Google Cloud 專案中的 DNS 授權總數 |
| 區域 DNS 授權 | 300 | 專案中每個區域的區域 DNS 授權總數 Google Cloud |
| 憑證核發設定 | 100 | Google Cloud 專案中的憑證核發設定總數 |
| 區域憑證核發設定 | 5 | Google Cloud 專案中每個區域的區域憑證核發設定總數 |
| 信任設定 | 5 | Google Cloud 專案中的信任設定總數 |
| 自行管理憑證支援的金鑰類型 |
|
|
| 公開信任的 Google 代管憑證支援的金鑰類型 | RSA-2048 | |
| 私下信任的 Google 代管憑證支援的金鑰類型 |
|
Google 代管憑證的網域名稱長度限制
下表列出 Certificate Manager 中 Google 代管憑證的網域名稱長度限制。
| 項目 | 字元 | 網域 |
|---|---|---|
| 負載平衡器授權 | 253 | 全部 |
| DNS 授權 | 237 | 全部 |
| 透過 Google CA 進行專案 DNS 授權 | 220 | 全部 |
Google 代管憑證的其他資源限制
下表列出 Certificate Manager 中 Google 管理的憑證適用的額外資源限制。這些上限無法提高。
| 項目 | 限制 | 說明 |
|---|---|---|
| 每個憑證的網域 (須具備負載平衡器授權) | 5 | 每個 Google 代管憑證 (已授權負載平衡器) 允許的網域數量上限。 |
| 每個憑證的網域 (透過 DNS 授權) | 100 | 每個 Google 代管憑證 (使用 DNS 授權) 允許的網域數量上限。 |
Public CA 作業的額外要求配額
公開 CA 作業的配額與管理 Google 代管憑證的 Certificate Manager 作業配額無關。此外,這些配額與其他 Google Cloud 產品對 Google 管理的憑證執行作業時,所適用的任何其他配額無關。
憑證管理員會對公開 CA 作業強制執行本節列出的配額限制。請注意下列規範:
- 憑證管理服務可能會限制每分鐘的要求數。
- 憑證管理工具可能會傳回 HTTP 429 回應碼,要求 ACME 用戶端等待幾秒後再重試要求。ACME 用戶端必須支援這個回應代碼,並遵守 Certificate Manager 隨回應傳送的
Retry-After標頭。
實際工作環境和測試環境的限制相同,但彼此獨立。對正式版環境和暫存環境的要求只會耗用各自的配額。
公開 CA 要求配額
下表列出適用於 ACME 憑證管理作業的公開 CA 要求配額。
| 項目 | 預設配額 | 說明 |
|---|---|---|
| 建立 ACME 帳戶 ( newAccount) |
每分鐘 25 個,每小時 100 個 | 帳戶建立要求數量上限 |
| 建立授權 ( newAuthz) |
每小時 300 封 | 授權建立要求數量上限 |
| 輪詢授權 ( authz) |
每分鐘 600 | 授權輪詢要求數量上限 |
| 驗證或投票表決挑戰 ( challenge) |
每分鐘 100 次 | 驗證或輪詢要求次數上限 |
| 要求憑證 ( newOrder) |
每小時 100 次 | 新憑證要求數量上限 |
| 核發投票證書 ( cert) |
每分鐘 50 個 | 憑證核發輪詢要求的數量上限 |
| 撤銷憑證 ( revokeCert) |
每 30 秒 25 個 | 憑證撤銷要求數量上限 |
信任設定
本文所述限制無法增加,且適用於傳統版應用程式負載平衡器和全域外部應用程式負載平衡器。
| 項目 | 配額與限制 | 附註 |
|---|---|---|
| 信任存放區數量 | 限制:1 | 這項限制適用於每個 TrustConfig 資源。 |
| 信任錨點和中繼憑證的總數 | 上限:200 | 這項限制適用於每個信任儲存區。 |
| 中繼憑證數量 | 上限:100 | 這項限制適用於每個信任儲存區。 |
| 驗證根憑證和中繼憑證時允許的名稱限制數量 | 上限:10 個 | |
| 具有相同主體和主體公開金鑰資訊的中繼憑證 | 上限:10 個 | 這項限制適用於每個信任儲存區。 |
| 憑證鏈結深度 | 上限:10 個 | 憑證鏈結的深度上限,包括根憑證和用戶端憑證。 |
| 嘗試建立信任鏈結時,可評估中繼憑證的次數 | 上限:100 | |
| 支援的金鑰類型 |
|
|
| 許可清單中的憑證數量 (`allowlistedCertificates`) | 上限:500 |