מכסות ומגבלות

במאמר הזה מוסבר על מכסות ומגבלות המערכת של Certificate Manager.

  • המכסות נקבעות כברירת מחדל, אבל בדרך כלל אפשר לבקש לשנות אותן.
  • מגבלות המערכת קבועות ואי אפשר לשנות אותן.

המכסות שלGoogle Cloud עוזרות לשמור על הוגנות ולצמצם עליות חדות בשימוש במשאבים ובזמינות שלהם. הן מגבילות את כמות המשאבים שלGoogle Cloud שאפשר להשתמש בהם בפרויקט ב- Google Cloud . המכסות רלוונטיות למגוון רחב של סוגי משאבים, כולל רכיבי חומרה, תוכנה ורשתות. לדוגמה, המכסות יכולות להגביל את מספר הקריאות ל-API בשירות מסוים, את מספר מאזני העומסים שאפשר להשתמש בהם בו-זמנית בפרויקט או את מספר הפרויקטים שאפשר ליצור. בשורה התחתונה, המכסות מגינות על משתמשיGoogle Cloud בכך שהן מונעות עומס יתר על השירותים, אבל גם עוזרות לשלוט על השימוש במשאבי Google Cloud .

מערכת המכסות ב-Cloud:

ברוב המקרים, כשאתם מנסים להשתמש ביותר משאבים מהמכסה, הגישה למשאב נחסמת ומה שאתם מנסים לעשות נכשל.

בדרך כלל, המכסות ב- Google Cloud הן ברמת הפרויקט. כלומר, השימוש במשאב מסוים בפרויקט כלשהו לא משפיע על המכסה שלכם בפרויקטים אחרים. ברמת הפרויקט ב- Google Cloud , המכסות משותפות לכל האפליקציות וכתובות ה-IP.

לסקירה כללית על מכסות ב-Cloud

למשאבים של Certificate Manager יש גם מגבלות מערכת. שאי אפשר לשנות.

השימוש שלכם ב-Certificate Manager כפוף למכסות מהסוגים הבאים:

  • מכסות קצב קובעות את המהירות שבה אפשר לבצע קריאות ל-Certificate Manager API, וגם ליצור משאבים של Certificate Manager ולגשת אליהם.

  • מכסות משאבים קובעות את הכמות הכוללת של משאבים ב-Certificate Manager שאפשר ליצור ב Google Cloud פרויקט.

מידע נוסף על עבודה עם מכסות, כולל שלבים להגדלת המכסות והגדרת מעקב והתראות על מדדי מכסות, זמין במאמרי העזרה בנושא מכסות ב-Cloud.

מכסות לקצב שליחת בקשות

בטבלה הבאה מפורטות מכסות התעריפים של Certificate Manager.

פריט מכסת ברירת מחדל תיאור
בקשות API 300 לדקה כל הקריאות ל-Certificate Manager API
קריאת בקשות 300 לדקה קריאות ל-API של Certificate Manager‏: GET ו-LIST
בקשות כתיבה 300 לדקה קריאות ל-API של Certificate Manager‏: CREATE,‏ PATCH ו-DELETE

מכסות ומגבלות על משאבים

בטבלה הבאה מפורטות המכסות והמגבלות של משאבים עבור אישורים ב-Certificate Manager.

פריט מכסות ומגבלות שמוגדרות כברירת מחדל תיאור
אישורים שמנוהלים על ידי Google 1000 המספר הכולל של אישורים שמנוהלים על ידי Google ב Google Cloud פרויקט
אישורים אזוריים שמנוהלים על ידי Google 100 המספר הכולל של אישורים אזוריים שמנוהלים על ידי Google לכל אזור ב Google Cloud פרויקט
אישורים בניהול עצמי 1000 המספר הכולל של אישורים בניהול עצמי ב Google Cloud פרויקט
אישורים אזוריים בניהול עצמי 100 המספר הכולל של אישורים אזוריים בניהול עצמי לכל אזור בפרויקט Google Cloud
מיפוי אישורים 100 המספר הכולל של מיפויי אישורים ב Google Cloud פרויקט
רשומות מיפוי לאישורים 5000 המספר הכולל של רשומות מיפוי לאישורים ב Google Cloud פרויקט
משאבים שמשויכים לאישור מגבלה: 100 המספר הכולל של מקורות מידע, כמו רשומות מיפוי לאישורים ושרתי proxy של יעד, שמשויכים לאישור.
אישורים לכל רשומת מיפוי לאישורים מגבלה: 4 המספר הכולל של האישורים שאפשר לצרף לרשומת מיפוי לאישורים
אישורים לכל שרת proxy יעד מגבלה: 100 המספר הכולל של אישורים שאפשר לצרף ישירות לשרת proxy של יעד https
מיפוי אישורים לכל שרת proxy יעד מגבלה: 1 המספר הכולל של מיפויי אישורים שאפשר לצרף לפרוקסי HTTPS של יעד
הרשאות DNS 1000 המספר הכולל של הרשאות DNS בפרויקט Google Cloud
הרשאות DNS אזוריות 300 המספר הכולל של הרשאות DNS אזוריות לכל אזור בפרויקט Google Cloud
הגדרות הנפקת אישורים 100 המספר הכולל של הגדרות הנפקת אישורים ב Google Cloud פרויקט
הגדרות אזוריות להנפקת אישורים 5 המספר הכולל של הגדרות הנפקת אישורים אזוריות לכל אזור בפרויקט Google Cloud
גודל הגדרת ההרשאות 10000 הגודל הכולל של כל הגדרות האמון הגלובליות בפרויקט Google Cloud . פרטים על אופן החישוב של הגודל מופיעים במאמר חישוב הגודל של הגדרת הרשאות השיתוף.
גודל ההגדרה של אמון אזורי 10000 הגודל הכולל של הגדרות האמון האזוריות בכל אזור בפרויקט Google Cloud . פרטים על אופן החישוב של הגודל מופיעים במאמר חישוב הגודל של הגדרת הרשאות השיתוף.
סוגי מפתחות נתמכים לאישורים בניהול עצמי
  • RSA-2048
  • RSA-3072
  • RSA-4096
  • ECDSA P-256
  • ECDSA P-384
סוג המפתח הנתמך לאישורים שמנוהלים על ידי Google ומהימנים באופן ציבורי RSA-2048
סוגי מפתחות נתמכים לאישור שמנוהל על ידי Google ומהימן באופן פרטי
  • RSA-2048
  • ECDSA P-256

מגבלות על אורך שם הדומיין עבור אישורים שמנוהלים על ידי Google

בטבלה הבאה מפורטות מגבלות אורך של שמות דומיין שספציפיות לאישורים שמנוהלים על ידי Google ��-Certificate Manager.

פריט תווים דומיין
הרשאה של מאזן עומסים 253 הכול
אימות DNS 237 הכול
הרשאת DNS לכל פרויקט באמצעות רשות אישורים של Google 220 הכול

מגבלות נוספות על משאבים באישורים שמנוהלים על ידי Google

בטבלה הבאה מפורטות מגבלות נוספות על משאבים שספציפיות לאישורים שמנוהלים על ידי Google ב-Certificate Manager. אי אפשר להגדיל את המכסות האלה.

פריט הגבלה תיאור
דומיינים לכל אישור עם הרשאה של מאזן עומסים 5 המספר המקסימלי של דומיינים שמותר להשתמש בהם בכל אישור שמנוהל על ידי Google עם הרשאה של איזון עומסים.
דומיינים לכל אישור עם הרשאת DNS 100 מספר הדומיינים המקסימלי שמותר לכלול באישור שמנוהל על ידי Google עם הרשאת DNS.

מכסות נוספות לבקשות לפעולות של רשות אישורים ציבורית

המכסות לפעולות של רשויות אישורים ציבוריות הן נפרדות מהמכסות שחלות על פעולות של מנהל האישורים באישורים שמנוהלים על ידי Google. הם גם לא קשורים למכסות אחרות שחלות על פעולות שקשורות לאישורים שמנוהלים על ידי Google, שמתבצעות על ידי מוצרים אחרים של Google Cloud Google.

מנהל האישורים אוכף את הגבלות המכסה שמפורטות בקטע הזה לפעולות של רשויות אישורים ציבוריות. חשוב לזכור:

  • Certificate Manager יכול להגביל את קצב הבקשות שלכם לדקה.
  • Certificate Manager יכול להחזיר קוד תגובה HTTP 429 ולבקש מלקוח ACME לנסות שוב לשלוח בקשה אחרי המתנה של כמה שניות. לקוחות ACME צריכים לתמוך בקוד התגובה הזה ולכבד את הכותרת Retry-After ש-Certificate Manager שולח עם התגובה.

לסביבת הייצור ולסביבת ה-Staging יש את אותן מגבלות, אבל הן לא תלויות זו בזו. בקשות לסביבת הייצור ולסביבת הבדיקה צורכות רק את המכסות שלהן.

מכסות של בקשות ל-CA ציבורי

בטבלה הבאה מפורטות מכסות הבקשות של רשויות אישורים ציבוריות שחלות על פעולות לניהול אישורי ACME.

פריט מכסת ברירת מחדל תיאור
יצירת חשבון ACME
(newAccount)
‫25 לדקה, 100 לשעה מספר מקסימלי של בקשות ליצירת חשבון
יצירת הרשאה
(newAuthz)
‫300 לשעה מספר מקסימלי של בקשות ליצירת הרשאות
שליחת בקשה לאישור הרשאה
(authz)
‫600 לדקה מספר מקסימלי של בקשות סקר הרשאות
אימות או שליחת שאילתה לגבי אתגר
(challenge)
‫100 לדקה המספר המקסימלי של בקשות לאימות אתגר או לבדיקת סטטוס
שליחת בקשה לאישור
(newOrder)
‫100 לשעה מספר מקסימלי של בקשות ��דשות לאישור
הנפקת אישורים על השתתפות בסקר
(cert)
‫50 לדקה מספר מקסימלי של בקשות סקר להנפקת אישורים
ביטול האישור
(revokeCert)
‫25 לכל 30 שניות המספר המקסימלי של בקשות לביטול אישורים

הגדרת אמון

אי אפשר להגדיל את המגבלות שמפורטות כאן, וה�� ��לות על מ��ז��י עומסים קלאסיים של אפליקציות ועל מאזני עומסים גלובליים חיצוניים של אפליקציות.

פריט מכסות ומגבלות הערות
מספר מאגרי האישורים מגבלה: 1 המגבלה הזו היא לכל משאב TrustConfig.
המספר הכולל של עוגני אמון ואישורי ביניים מגבלה: 200 המגבלה הזו חלה על כל מאגר אישורים.
מספר אישורי הביניים מגבלה: 100 המגבלה הזו חלה על כל מאגר אישורים.
מספר מגבלות השם שמותרות במהלך אימות של אישורי בסיס ואישורי ביניים מגבלה: 10
אישורים ביניים שכוללים את אותם פרטים של הנושא והמפתח הציבורי של הנושא מגבלה: 10 המגבלה הזו חלה על כל מאגר אישורים.
עומק שרשרת האישורים מגבלה: 10 העומק המקסימלי של שרשרת אישורים, כולל אישורי הבסיס והלקוח.
מספר הפעמים שאפשר להעריך אישורים ביניים כשמנסים ליצור את שרשרת האמון מגבלה: 100
סוגי מפתחות נתמכים
  • RSA-2048
  • RSA-3072
  • RSA-4096
  • ECDSA P-256
  • ECDSA P-384
מספר האישורים ברשימת ההיתרים (allowlistedCertificates) מגבלה: 500

חישוב הגודל של הגדרות האמינות

המיכסות הבאות עוקבות אחרי מגבלת הגודל של הגדרות אמון:

  • certificatemanager.googleapis.com/trust-config-size להגדרות של אמינות גלובלית.
  • certificatemanager.googleapis.com/regional-trust-config-size להגדרות אזוריות של אמון.

Certificate Manager קובע את השימוש במכסת האחסון של הגדרת אמון על סמך הגודל הכולל שלה, ומחשב אותו באמצעות הכללים הבאים:

  1. אישורי PEM: כל אישור Privacy-Enhanced Mail‏ (PEM) שאתם כוללים כנקודת אמון או כאישור ביניים של רשות אישורים (CA), צורך יחידת מיכסה אחת לכל קילובייט של גודל, עם עיגול כלפי מעלה לקילובייט הקרוב.
  2. אישורים ברשימת ההיתרים: כל 32 אישורים ברשימת ההיתרים (מעוגל כלפי מעלה) צורכים יחידת מיכסה אחת.

  3. דומיינים מהימנים של Secure Production Identity Framework for Everyone‏ (SPIFFE): כל 4 דומיינים מהימנים של SPIFFE (מעוגל כלפי מעלה) צורכים יחידת מיכסה אחת.

  4. תקורה: כל הגדרת אמון משתמשת בתקורה קבועה של 2 יחידות מכסה, גם אם הגדרת האמון ריקה.

דוגמאות

  • משאב TrustConfig ריק משתמש ב-2 יחידות מכסה.
  • משאב קטן TrustConfig (אישור יחיד בגודל 3 kB) צורך 5 יחידות של מכסת נפח (3 לאישור + 2 תקורה).
  • משאב מורכב TrustConfig משתמש ב:
    • ‫4 אישורים בגדלים 3.5 kB,‏ 5 kB,‏ 4.5 kB ו-6 kB:‏ (4 + 5 + 5 + 6) = 20 יחידות של נפח אחסון.
    • ‫10 אישורים ברשימת ההיתרים: יחידת מיכסה אחת.
    • ‫5 דומיינים מהימנים של SPIFFE: 2 יחידות של מכסת נפח.
    • תקורה קבועה: 2 יחידות מכסה.
    • השימוש הכולל במכסה: 20 + 1 + 2 + 2 = 25 יחידות מכסה.