Ce document répertorie les quotas et limites qui s'appliquent au gestionnaire de certificats.
- Les quotas ont des valeurs par défaut, mais vous pouvez généralement demander des ajustements.
- Les limites système sont des valeurs fixes qui ne peuvent pas être modifiées.
Google Cloud utilise des quotas pour garantir l'équité et réduire les pics d'utilisation et de disponibilité des ressources. Un quota limite la quantité d'une ressourceGoogle Cloud que votre projet Google Cloud peut utiliser. Les quotas s'appliquent à différents types de ressources, y compris les composants matériels, logiciels et réseau. Par exemple, ils peuvent limiter le nombre d'appels d'API à un service, le nombre d'équilibreurs de charge utilisés simultanément par votre projet ou le nombre de projets que vous pouvez créer. Ils protègent la communauté des utilisateurs deGoogle Cloud en empêchant la surcharge des services. Les quotas vous aident également à gérer vos propres ressources Google Cloud .
Le système Cloud Quotas permet d'effectuer les opérations suivantes :
- Surveiller votre consommation de produits et services Google Cloud
- Limiter votre consommation de ces ressources
- Demander des modifications de la valeur du quota et automatiser les ajustements de quota
Dans la plupart des cas, lorsque vous tentez d'utiliser une ressource plus que son quota ne le permet, le système bloque l'accès à la ressource et la tâche que vous essayez d'effectuer échoue.
Les quotas s'appliquent généralement au niveau du projet Google Cloud . Votre utilisation d'une ressource dans un projet n'affecte pas votre quota disponible dans un autre projet. Dans un projet Google Cloud , les quotas sont partagés entre toutes les applications et adresses IP.
Pour en savoir plus, consultez la présentation des quotas Cloud.
Des limites système s'appliquent également aux ressources du gestionnaire de certificats. Elles ne peuvent pas être modifiées.
Votre utilisation du gestionnaire de certificats est régie par les types de quotas suivants :
Les quotas de débit déterminent la fréquence à laquelle vous pouvez appeler l'API du gestionnaire de certificats, ainsi que créer des ressources du gestionnaire de certificats et y accéder.
Les quotas de ressources déterminent la quantité totale de ressources du gestionnaire de certificats que vous pouvez créer dans votre Google Cloud projet.
Pour en savoir plus sur l'utilisation des quotas, y compris sur les étapes à suivre pour les augmenter, ainsi que sur la configuration de la surveillance et des alertes concernant les métriques de quota, consultez la documentation sur les quotas Cloud.
Les quotas de débit
Le tableau suivant répertorie les quotas de débit pour le gestionnaire de certificats.
| Élément | Quota par défaut | Description |
|---|---|---|
| Requêtes API | 300 par minute | Tous les appels à l'API du gestionnaire de certificats |
| Requêtes de lecture | 300 par minute | Appels GET et LIST à l'API du gestionnaire de certificats |
| Requêtes d'écriture | 300 par minute | Appels CREATE, PATCH et DELETE à l'API du gestionnaire de certificats |
Seuils et quotas de ressources
Le tableau suivant répertorie les quotas et limites de ressources pour les certificats du gestionnaire de certificats.
| Élément | Quotas et limites par défaut | Description |
|---|---|---|
| Certificats gérés par Google | 1000 | Nombre total de certificats gérés par Google dans le Google Cloud projet |
| Certificats régionaux gérés par Google | 100 | Nombre total de certificats régionaux gérés par Google par région dans le Google Cloud projet |
| Certificats autogérés | 1000 | Nombre total de certificats autogérés dans le Google Cloud projet |
| Certificats régionaux autogérés | 100 | Nombre total de certificats régionaux autogérés par région dans le Google Cloud projet |
| Mappages de certificats | 100 | Nombre total de mappages de certificats dans le Google Cloud projet |
| Entrées de mappages de certificats | 5000 | Nombre total d'entrées de mappages de certificats dans le Google Cloud projet |
| Ressources associées à un certificat | Limite : 100 | Nombre total de ressources, telles que les entrées de mappages de certificats et les proxys cibles, associées à un certificat. |
| Certificats par entrée de mappage de certificats | Limite : 4 | Nombre total de certificats que vous pouvez associer à une entrée de mappage de certificats |
| Certificats par proxy cible | Limite : 100 | Nombre total de certificats que vous pouvez associer directement à un proxy HTTPS cible |
| Mappage de certificats par proxy cible | Limite : 1 | Nombre total de mappages de certificats que vous pouvez associer à un proxy HTTPS cible |
| Autorisations DNS | 1000 | Nombre total d'autorisations DNS dans le Google Cloud projet |
| Autorisations DNS régionales | 300 | Nombre total d'autorisations DNS régionales par région dans le Google Cloud projet |
| Configurations d'émission de certificats | 100 | Nombre total de configurations d'émission de certificats dans le Google Cloud projet |
| Configurations d'émission de certificats régionales | 5 | Nombre total de configurations d'émission de certificats régionales par région dans le Google Cloud projet |
| Configurations de confiance | 5 | Nombre total de configurations de confiance dans le Google Cloud projet |
| Types de clés compatibles pour les certificats autogérés |
|
|
| Type de clé compatible pour les certificats gérés par Google approuvés publiquement | RSA-2048 | |
| Types de clés compatibles pour les certificats gérés par Google approuvés de manière privée |
|
Limites de longueur des noms de domaine pour les certificats gérés par Google
Le tableau suivant répertorie les limites de longueur des noms de domaine spécifiques aux certificats gérés par Google dans le gestionnaire de certificats.
| Élément | Caractères | Domaine |
|---|---|---|
| Autorisation d'équilibreur de charge | 253 | Tous |
| Autorisation DNS | 237 | Tous |
| Autorisation DNS par projet avec l'autorité de certification Google | 220 | Tous |
Limites de ressources supplémentaires pour les certificats gérés par Google
Le tableau suivant répertorie les limites de ressources supplémentaires spécifiques aux certificats gérés par Google dans le gestionnaire de certificats. Ces limites ne peuvent pas être augmentées.
| Élément | Limite | Description |
|---|---|---|
| Domaines par certificat avec autorisation d'équilibreur de charge | 5 | Nombre maximal de domaines autorisés par certificat géré par Google avec autorisation d'équilibreur de charge. |
| Domaines par certificat avec autorisation DNS | 100 | Nombre maximal de domaines autorisés par certificat géré par Google avec autorisation DNS. |
Quotas de requêtes supplémentaires pour les opérations de Public CA
Les quotas pour les opérations de Public CA sont indépendants des quotas régissant les opérations du gestionnaire de certificats sur les certificats gérés par Google. Ils sont également indépendants de tout autre quota régissant les opérations sur les certificats gérés par Google effectuées par d'autres Google Cloud produits.
Le gestionnaire de certificats applique les limites de quota listées dans cette section pour les opérations de Public CA. Gardez à l'esprit les consignes suivantes :
- Le gestionnaire de certificats peut limiter le nombre de requêtes par minute.
- Le gestionnaire de certificats peut renvoyer le code de réponse HTTP 429 en demandant à un client ACME de réessayer une requête après quelques secondes. Vos clients ACME doivent être compatibles avec ce code de réponse et respecter l'en-tête
Retry-Afterque le gestionnaire de certificats envoie avec la réponse.
Les environnements de production et de préproduction ont les mêmes limites, mais ils sont indépendants l'un de l'autre. Les requêtes adressées à l'environnement de production et à l'environnement de préproduction ne consomment que leurs quotas respectifs.
Quotas de requêtes de Public CA
Le tableau suivant répertorie les quotas de requêtes de Public CA qui s'appliquent aux opérations de gestion des certificats ACME.
| Élément | Quota par défaut | Description |
|---|---|---|
| Créer un compte ACME ( newAccount) |
25 par minute, 100 par heure | Nombre maximal de requêtes de création de compte |
| Créer une autorisation ( newAuthz) |
300 par heure | Nombre maximal de requêtes de création d'autorisation |
| Interroger une autorisation ( authz) |
600 par minute | Nombre maximal de requêtes d'interrogation d'autorisation |
| Valider ou interroger un challenge ( challenge) |
100 par minute | Nombre maximal de requêtes de validation ou d'interrogation de challenge |
| Demander un certificat ( newOrder) |
100 par heure | Nombre maximal de nouvelles requêtes de certificat |
| Interroger l'émission de certificats ( cert) |
50 par minute | Nombre maximal de requêtes d'interrogation d'émission de certificats |
| Révoquer un certificat ( revokeCert) |
25 par 30 secondes | Nombre maximal de requêtes de révocation de certificats |
Configuration de confiance
Les limites décrites ici ne peuvent pas être augmentées et s'appliquent aux équilibreurs de charge d'application classiques ainsi qu'aux équilibreurs de charge d'application externes globaux.
| Élément | Quotas et limites | Remarques |
|---|---|---|
| Nombre de magasins de confiance | Limite : 1 | Cette limite est fixée par ressource TrustConfig. |
| Nombre combiné d'ancres de confiance et de certificats intermédiaires | Limite : 200 | Cette limite est fixée par magasin de confiance. |
| Nombre de certificats intermédiaires | Limite : 100 | Cette limite est fixée par magasin de confiance. |
| Nombre de contraintes de nom autorisées lors de la validation des certificats racines et intermédiaires | Limite : 10 | |
| Certificats intermédiaires partageant les mêmes informations "Objet" et "Clé publique de l'objet" | Limite : 10 | Cette limite est fixée par magasin de confiance. |
| Profondeur de la chaîne de certificats | Limite : 10 | Profondeur maximale d'une chaîne de certificats, y compris les certificats racine et client. |
| Nombre de fois que les certificats intermédiaires peuvent être évalués lors de la tentative de création de la chaîne de confiance | Limite : 100 | |
| Types de clés compatibles |
|
|
| Nombre de certificats dans la liste d'autorisation (`allowlistedCertificates`) | Limite : 500 |