このドキュメントでは、Certificate Manager に適用される割り当てとシステム上限について説明します。
- 割り当てにはデフォルト値がありますが、通常は調整をリクエストできます。
- システムの上限は固定値で、変更できません。
Google Cloud では、リソースの使用や可用性における公平性を保って急激な変動を抑えるために、割り当てが使用されています。割り当ては、 Google Cloud プロジェクトで使用できるGoogle Cloud リソースの量を制限します。割り当ては、ハードウェア、ソフトウェア、ネットワーク コンポーネントなど、さまざまなリソースタイプに適用されます。たとえば、割り当てによって、サービスへの API 呼び出しの数、プロジェクトで同時に使用されるロードバランサの数、作成可能なプロジェクトの数を制限できます。割り当てを適用することで、サービスの過負荷を防ぎ、Google Cloud ユーザーのコミュニティを保護します。割り当ては、自組織で使用している Google Cloud リソースの管理にも役立ちます。
Cloud Quotas システムは次のことを行います。
- Google Cloud のプロダクトとサービスの消費量をモニタリングする
- これらのリソースの消費量を制限する
- 割り当て値の変更をリクエストし、割り当ての調整を自動化する手段を提供する
ほとんどの場合、割り当ての許容量を超えるリソースを消費しようとすると、システムによってリソースへのアクセスがブロックされ、実行しようとしているタスクは失敗します。
割り当ては通常、 Google Cloud プロジェクト レベルで適用されます。あるプロジェクトでリソースを使用しても、別のプロジェクトで使用可能な割り当てに影響することはありません。 Google Cloud プロジェクト内では、すべてのアプリケーションと IP アドレスで割り当てが共有されます。
詳細については、Cloud Quotas の概要をご覧ください。Certificate Manager のリソースにもシステム上限があります。システムの上限は変更できません。
Certificate Manager の使用は、次のタイプの割り当てによって管理されます。
レートに基づく割り当ては、Certificate Manager API の呼び出し、Certificate Manager リソースの作成とアクセスをどれだけ迅速に行えるかを決定します。
リソース割り当ては、 Google Cloud プロジェクト内で作成できる Certificate Manager リソースの総量を決定します。
割り当ての操作(割り当ての増加の手順など)と、割り当て指標のモニタリングとアラートの設定の詳細については、Cloud Quotas のドキュメントをご覧ください。
レートに基づく割り当て
次の表に、Certificate Manager のレートに基づく割り当てを示します。
| 項目 | デフォルトの割り当て | 説明 |
|---|---|---|
| API リクエスト | 300/分 | Certificate Manager API へのすべての呼び出し |
| 読み取りリクエスト | 300/分 | Certificate Manager API への GET と LIST の呼び出し |
| 書き込みリクエスト | 300/分 | Certificate Manager API への CREATE、PATCH、DELETE の呼び出し |
リソースの割り当てと上限
次の表に、Certificate Manager 証明書のリソース割り当てと上限を示します。
| 項目 | デフォルトの割り当てと上限 | 説明 |
|---|---|---|
| Google マネージド証明書 | 1000 | Google Cloud プロジェクト内の Google マネージド証明書の合計数 |
| リージョンの Google マネージド証明書 | 100 | Google Cloud プロジェクト内のリージョンごとのリージョン Google マネージド証明書の合計数 |
| セルフマネージド証明書 | 1000 | Google Cloud プロジェクト内のセルフマネージド証明書の合計数 |
| リージョンのセルフマネージド証明書 | 100 | Google Cloud プロジェクト内のリージョンごとのリージョン セルフマネージド証明書の合計数 |
| 証明書マップ | 100 | Google Cloud プロジェクト内の証明書マップの合計数 |
| 証明書マップエントリ | 5,000 人 | Google Cloud プロジェクト内の証明書マップエントリの合計数 |
| 証明書に関連付けられているリソース | 上限: 100 | 証明書に関連付けられているリソース(証明書マップエントリやターゲット プロキシなど)の合計数。 |
| 証明書マップエントリあたりの証明書 | 上限: 4 | 証明書マップエントリに添付できる証明書の合計数 |
| ターゲット プロキシあたりの証明書数 | 上限: 100 | ターゲット HTTPS プロキシに直接添付できる証明書の合計数 |
| ターゲット プロキシあたりの証明書マップ | 上限: 1 | ターゲット HTTPS プロキシに添付できる証明書マップの合計数 |
| DNS 認証 | 1000 | プロジェクト内の DNS 認証の合計数 Google Cloud |
| リージョン DNS 認証 | 300 | Google Cloud プロジェクト内のリージョンごとのリージョン DNS 認証の合計数 |
| 証明書発行の構成 | 100 | Google Cloud プロジェクト内の証明書発行の構成の合計数 |
| リージョン証明書発行の構成 | 5 | Google Cloud プロジェクト内のリージョンごとのリージョン証明書発行の構成の合計数 |
| 信頼構成 | 5 | Google Cloud プロジェクト内の信頼構成の合計数 |
| セルフマネージド証明書でサポートされている鍵の種類 |
|
|
| 公的に信頼されている Google マネージド証明書でサポートされている鍵の種類 | RSA-2048 | |
| 組織内で信頼されている Google マネージド証明書でサポートされている鍵の種類 |
|
Google マネージド証明書のドメイン名の長さ制限
次の表に、Certificate Manager の Google マネージド証明書に固有のドメイン名の長さ制限を示します。
| 項目 | 文字数 | ドメイン |
|---|---|---|
| ロードバランサ認証 | 253 | すべて |
| DNS 認証 | 237 | すべて |
| Google CA を使用したプロジェクトごとの DNS 認証 | 220 | すべて |
Google マネージド証明書の追加のリソースの上限
次の表に、Certificate Manager の Google マネージド証明書に固有の追加のリソースの上限を示します。この上限を引き上げることはできません。
| 項目 | 上限 | 説明 |
|---|---|---|
| ロードバランサの承認を使用した証明書あたりのドメイン数 | 5 | ロードバランサの承認で Google マネージド証明書ごとに許可されるドメインの最大数。 |
| DNS 認証を使用した証明書あたりのドメイン数 | 100 | DNS 認証で Google マネージド証明書ごとに許可されるドメインの最大数。 |
Public CA オペレーションに対する追加のリクエスト割り当て
Public CA オペレーションの割り当ては、Google マネージド証明書に対する Certificate Manager のオペレーションを管理する割り当てから独立しています。また、他の Google Cloud プロダクトによって実行される Google マネージド証明書に対する操作を管理する他の割り当てとは独立しています。
Certificate Manager では、Public CA のオペレーションに対して、このセクションに記載されている割り当て上限が適用されます。次のガイドラインに注意してください。
- Certificate Manager は、1 分あたりのリクエスト数をレート制限できます。
- Certificate Manager は、ACME クライアントに数秒待ってからリクエストを再試行するように求める HTTP 429 レスポンス コードを返すことができます。ACME クライアントは、このレスポンス コードをサポートし、Certificate Manager がレスポンスとともに送信する
Retry-Afterヘッダーを尊重する必要があります。
本番環境とステージング環境には同じ上限がありますが、互いに独立しています。本番環境とステージング環境へのリクエストは、それぞれの割り当てのみを消費します。
Public CA リクエストの割り当て
次の表に、ACME 証明書管理オペレーションに適用される Public CA リクエストの割り当てを示します。
| 項目 | デフォルトの割り当て | 説明 |
|---|---|---|
| ACME アカウントを作成する ( newAccount) |
1 分あたり 25 回、1 時間あたり 100 回 | アカウント作成リクエストの最大数 |
| 認証を作成する ( newAuthz) |
300/時間 | 認証作成リクエストの最大数 |
| 認証をポーリングする ( authz) |
600/分 | 承認のポーリング リクエストの最大数 |
| チャレンジを確認またはポーリングする ( challenge) |
100/分 | チャレンジの確認またはポーリング リクエストの最大数 |
| 証明書をリクエスト ( newOrder) |
100/時間 | 新しい証明書リクエストの最大数 |
| 証明書発行のポーリング ( cert) |
50/分 | 証明書発行のポーリング リクエストの最大数 |
| 証明書の取り消し ( revokeCert) |
30 秒あたり 25 | 証明書の取り消しリクエストの最大数 |
信頼構成
ここで説明する上限を引き上げることはできません。これは、従来のアプリケーション ロードバランサとグローバル外部アプリケーション ロードバランサに適用されます。
| 項目 | 割り当てと上限 | 備考 |
|---|---|---|
| トラストストアの数 | 上限: 1 | これは TrustConfig リソースあたりの上限です。 |
| トラスト アンカーと中間証明書の合計数 | 上限: 200 | これは、トラストストアあたりの上限です。 |
| 中間証明書の数 | 上限: 100 | これは、トラストストアあたりの上限です。 |
| ルート証明書と中間証明書の検証中に許可される名前の制約の数 | 上限: 10 | |
| サブジェクトとサブジェクトの公開鍵情報を共有する中間証明書 | 上限: 10 | これは、トラストストアあたりの上限です。 |
| 証明書チェーンの深さ | 上限: 10 | ルート証明書とクライアント証明書を含む証明書チェーンの最大深度。 |
| 信頼チェーンを構築する際に中間証明書を評価できる回数 | 上限: 100 | |
| サポートされている鍵の種類 |
|
|
| 許可リスト内の証明書の数(`allowlistedCertificates`) | 上限: 500 |