במאמר הזה מוסבר על מכסות ומגבלות המערכת של Certificate Manager.
- המכסות נקבעות כברירת מחדל, אבל בדרך כלל אפשר לבקש לשנות אותן.
- מגבלות המערכת קבועות ואי אפשר לשנות אותן.
המכסות שלGoogle Cloud עוזרות לשמור על הוגנות ולצמצם עליות חדות בשימוש במשאבים ובזמינות שלהם. הן מגבילות את כמות המשאבים שלGoogle Cloud שאפשר להשתמש בהם בפרויקט ב- Google Cloud . המכסות רלוונטיות למגוון רחב של סוגי משאבים, כולל רכיבי חומרה, תוכנה ורשתות. לדוגמה, המכסות יכולות להגביל את מספר הקריאות ל-API בשירות מסוים, את מספר מאזני העומסים שאפשר להשתמש בהם בו-זמנית בפרויקט או את מספר הפרויקטים שאפשר ליצור. בשורה התחתונה, המכסות מגינות על משתמשיGoogle Cloud בכך שהן מונעות עומס יתר על השירותים, אבל גם עוזרות לשלוט על השימוש במשאבי Google Cloud .
מערכת המכסות ב-Cloud:
- עוקבת אחרי השימוש במוצרים ובשירותים של Google Cloud
- מגבילה את השימוש במשאבים האלה
- כוללת כלי שבאמצעותו אפשר לשלוח בקשות לשינוי המכסות ולשנות אותן אוטומטית
ברוב המקרים, כשאתם מנסים להשתמש ביותר משאבים מהמכסה, הגישה למשאב נחסמת ומה שאתם מנסים לעשות נכשל.
בדרך כלל, המכסות ב- Google Cloud הן ברמת הפרויקט. כלומר, השימוש במשאב מסוים בפרויקט כלשהו לא משפיע על המכסה שלכם בפרויקטים אחרים. ברמת הפרויקט ב- Google Cloud , המכסות משותפות לכל האפליקציות וכתובות ה-IP.
למשאבים של Certificate Manager יש גם מגבלות מערכת. שאי אפשר לשנות.
השימוש שלכם ב-Certificate Manager כפוף למכסות מהסוגים הבאים:
מכסות קצב קובעות את המהירות שבה אפשר לבצע קריאות ל-Certificate Manager API, וגם ליצור משאבים של Certificate Manager ולגשת אליהם.
מכסות משאבים קובעות את הכמות הכוללת של משאבים ב-Certificate Manager שאפשר ליצור ב Google Cloud פרויקט.
מידע נוסף על עבודה עם מכסות, כולל שלבים להגדלת המכסות והגדרת מעקב והתראות על מדדי מכסות, זמין במאמרי העזרה בנושא מכסות ב-Cloud.
מכסות לקצב שליחת בקשות
בטבלה הבאה מפורטות מכסות התעריפים של Certificate Manager.
| פריט | מכסת ברירת מחדל | תיאור |
|---|---|---|
| בקשות API | 300 לדקה | כל הקריאות ל-Certificate Manager API |
| קריאת בקשות | 300 לדקה | קריאות ל-API של Certificate Manager: GET ו-LIST |
| בקשות כתיבה | 300 לדקה | קריאות ל-API של Certificate Manager: CREATE, PATCH ו-DELETE |
מכסות ומגבלות על משאבים
בטבלה הבאה מפורטות המכסות והמגבלות של משאבים עבור אישורים ב-Certificate Manager.
| פריט | מכסות ומגבלות שמוגדרות כברירת מחדל | תיאור |
|---|---|---|
| אישורים שמנוהלים על ידי Google | 1000 | המספר הכולל של אישורים שמנוהלים על ידי Google ב Google Cloud פרויקט |
| אישורים אזוריים שמנוהלים על ידי Google | 100 | המספר הכולל של אישורים אזוריים שמנוהלים על ידי Google לכל אזור ב Google Cloud פרויקט |
| אישורים בניהול עצמי | 1000 | המספר הכולל של אישורים בניהול עצמי ב Google Cloud פרויקט |
| אישורים אזוריים בניהול עצמי | 100 | המספר הכולל של אישורים אזוריים בניהול עצמי לכל אזור בפרויקט Google Cloud |
| מיפוי אישורים | 100 | המספר הכולל של מיפויי אישורים ב Google Cloud פרויקט |
| רשומות מיפוי לאישורים | 5000 | המספר הכולל של רשומות מיפוי לאישורים ב Google Cloud פרויקט |
| משאבים שמשויכים לאישור | מגבלה: 100 | המספר הכולל של מקורות מידע, כמו רשומות מיפוי לאישורים ושרתי proxy של יעד, שמשויכים לאישור. |
| אישורים לכל רשומת מיפוי לאישורים | מגבלה: 4 | המספר הכולל של האישורים שאפשר לצרף לרשומת מיפוי לאישורים |
| אישורים לכל שרת proxy יעד | מגבלה: 100 | המספר הכולל של אישורים שאפשר לצרף ישירות לשרת proxy של יעד https |
| מיפוי אישורים לכל שרת proxy יעד | מגבלה: 1 | המספר הכולל של מיפויי אישורים שאפשר לצרף לפרוקסי HTTPS של יעד |
| הרשאות DNS | 1000 | המספר הכולל של הרשאות DNS בפרויקט Google Cloud |
| הרשאות DNS אזוריות | 300 | המספר הכולל של הרשאות DNS אזוריות לכל אזור בפרויקט Google Cloud |
| הגדרות הנפקת אישורים | 100 | המספר הכולל של הגדרות הנפקת אישורים ב Google Cloud פרויקט |
| הגדרות אזוריות להנפקת אישורים | 5 | המספר הכולל של הגדרות הנפקת אישורים אזוריות לכל אזור בפרויקט Google Cloud |
| גודל הגדרת ההרשאות | 10000 | הגודל הכולל של כל הגדרות האמון הגלובליות בפרויקט Google Cloud . פרטים על אופן החישוב של הגודל מופיעים במאמר חישוב הגודל של הגדרת הרשאות השיתוף. |
| גודל ההגדרה של אמון אזורי | 10000 | הגודל הכולל של הגדרות האמון האזוריות בכל אזור בפרויקט Google Cloud . פרטים על אופן החישוב של הגודל מופיעים במאמר חישוב הגודל של הגדרת הרשאות השיתוף. |
| סוגי מפתחות נתמכים לאישורים בניהול עצמי |
|
|
| סוג המפתח הנתמך לאישורים שמנוהלים על ידי Google ומהימנים באופן ציבורי | RSA-2048 | |
| סוגי מפתחות נתמכים לאישור שמנוהל על ידי Google ומהימן באופן פרטי |
|
מגבלות על אורך שם הדומיין עבור אישורים שמנוהלים על ידי Google
בטבלה הבאה מפורטות מגבלות אורך של שמות דומיין שספציפיות לאישורים שמנוהלים על ידי Google ��-Certificate Manager.
| פריט | תווים | דומיין |
|---|---|---|
| הרשאה של מאזן עומסים | 253 | הכול |
| אימות DNS | 237 | הכול |
| הרשאת DNS לכל פרויקט באמצעות רשות אישורים של Google | 220 | הכול |
מגבלות נוספות על משאבים באישורים שמנוהלים על ידי Google
בטבלה הבאה מפורטות מגבלות נוספות על משאבים שספציפיות לאישורים שמנוהלים על ידי Google ב-Certificate Manager. אי אפשר להגדיל את המכסות האלה.
| פריט | הגבלה | תיאור |
|---|---|---|
| דומיינים לכל אישור עם הרשאה של מאזן עומסים | 5 | המספר המקסימלי של דומיינים שמותר להשתמש בהם בכל אישור שמנוהל על ידי Google עם הרשאה של איזון עומסים. |
| דומיינים לכל אישור עם הרשאת DNS | 100 | מספר הדומיינים המקסימלי שמותר לכלול באישור שמנוהל על ידי Google עם הרשאת DNS. |
מכסות נוספות לבקשות לפעולות של רשות אישורים ציבורית
המכסות לפעולות של רשויות אישורים ציבוריות הן נפרדות מהמכסות שחלות על פעולות של מנהל האישורים באישורים שמנוהלים על ידי Google. הם גם לא קשורים למכסות אחרות שחלות על פעולות שקשורות לאישורים שמנוהלים על ידי Google, שמתבצעות על ידי מוצרים אחרים של Google Cloud Google.
מנהל האישורים אוכף את הגבלות המכסה שמפורטות בקטע הזה לפעולות של רשויות אישורים ציבוריות. חשוב לזכור:
- Certificate Manager יכול להגביל את קצב הבקשות שלכם לדקה.
- Certificate Manager יכול להחזיר קוד תגובה HTTP 429 ולבקש מלקוח ACME לנסות שוב לשלוח בקשה אחרי המתנה של כמה שניות. לקוחות ACME צריכים לתמוך בקוד התגובה הזה ולכבד את הכותרת
Retry-Afterש-Certificate Manager שולח עם התגובה.
לסביבת הייצור ולסביבת ה-Staging יש את אותן מגבלות, אבל הן לא תלויות זו בזו. בקשות לסביבת הייצור ולסביבת הבדיקה צורכות רק את המכסות שלהן.
מכסות של בקשות ל-CA ציבורי
בטבלה הבאה מפורטות מכסות הבקשות של רשויות אישורים ציבוריות שחלות על פעולות לניהול אישורי ACME.
| פריט | מכסת ברירת מחדל | תיאור |
|---|---|---|
| יצירת חשבון ACME ( newAccount) |
25 לדקה, 100 לשעה | מספר מקסימלי של בקשות ליצירת חשבון |
| יצירת הרשאה ( newAuthz) |
300 לשעה | מספר מקסימלי של בקשות ליצירת הרשאות |
| שליחת בקשה לאישור הרשאה ( authz) |
600 לדקה | מספר מקסימלי של בקשות סקר הרשאות |
| אימות או שליחת שאילתה לגבי אתגר ( challenge) |
100 לדקה | המספר המקסימלי של בקשות לאימות אתגר או לבדיקת סטטוס |
| שליחת בקשה לאישור ( newOrder) |
100 לשעה | מספר מקסימלי של בקשות ��דשות לאישור |
| הנפקת אישורים על השתתפות בסקר ( cert) |
50 לדקה | מספר מקסימלי של בקשות סקר להנפקת אישורים |
| ביטול האישור ( revokeCert) |
25 לכל 30 שניות | המספר המקסימלי של בקשות לביטול אישורים |
הגדרת אמון
אי אפשר להגדיל את המגבלות שמפורטות כאן, וה�� ��לות על מ��ז��י עומסים קלאסיים של אפליקציות ועל מאזני עומסים גלובליים חיצוניים של אפליקציות.
| פריט | מכסות ומגבלות | הערות |
|---|---|---|
| מספר מאגרי האישורים | מגבלה: 1 | המגבלה הזו היא לכל משאב TrustConfig. |
| המספר הכולל של עוגני אמון ואישורי ביניים | מגבלה: 200 | המגבלה הזו חלה על כל מאגר אישורים. |
| מספר אישורי הביניים | מגבלה: 100 | המגבלה הזו חלה על כל מאגר אישורים. |
| מספר מגבלות השם שמותרות במהלך אימות של אישורי בסיס ואישורי ביניים | מגבלה: 10 | |
| אישורים ביניים שכוללים את אותם פרטים של הנושא והמפתח הציבורי של הנושא | מגבלה: 10 | המגבלה הזו חלה על כל מאגר אישורים. |
| עומק שרשרת האישורים | מגבלה: 10 | העומק המקסימלי של שרשרת אישורים, כולל אישורי הבסיס והלקוח. |
| מספר הפעמים שאפשר להעריך אישורים ביניים כשמנסים ליצור את שרשרת האמון | מגבלה: 100 | |
| סוגי מפתחות נתמכים |
|
|
| מספר האישורים ברשימת ההיתרים (allowlistedCertificates) | מגבלה: 500 |
חישוב הגודל של הגדרות האמינות
המיכסות הבאות עוקבות אחרי מגבלת הגודל של הגדרות אמון:
certificatemanager.googleapis.com/trust-config-sizeלהגדרות של אמינות גלובלית.certificatemanager.googleapis.com/regional-trust-config-sizeלהגדרות אזוריות של אמון.
Certificate Manager קובע את השימוש במכסת האחסון של הגדרת אמון על סמך הגודל הכולל שלה, ומחשב אותו באמצעות הכללים הבאים:
- אישורי PEM: כל אישור Privacy-Enhanced Mail (PEM) שאתם כוללים כנקודת אמון או כאישור ביניים של רשות אישורים (CA), צורך יחידת מיכסה אחת לכל קילובייט של גודל, עם עיגול כלפי מעלה לקילובייט הקרוב.
אישורים ברשימת ההיתרים: כל 32 אישורים ברשימת ההיתרים (מעוגל כלפי מעלה) צורכים יחידת מיכסה אחת.
דומיינים מהימנים של Secure Production Identity Framework for Everyone (SPIFFE): כל 4 דומיינים מהימנים של SPIFFE (מעוגל כלפי מעלה) צורכים יחידת מיכסה אחת.
תקורה: כל הגדרת אמון משתמשת בתקורה קבועה של 2 יחידות מכסה, גם אם הגדרת האמון ריקה.
דוגמאות
- משאב
TrustConfigריק משתמש ב-2 יחידות מכסה. - משאב קטן
TrustConfig(אישור יחיד בגודל 3 kB) צורך 5 יחידות של מכסת נפח (3 לאישור + 2 תקורה). - משאב מורכב
TrustConfigמשתמש ב:- 4 אישורים בגדלים 3.5 kB, 5 kB, 4.5 kB ו-6 kB: (4 + 5 + 5 + 6) = 20 יחידות של נפח אחסון.
- 10 אישורים ברשימת ההיתרים: יחידת מיכסה אחת.
- 5 דומיינים מהימנים של SPIFFE: 2 יחידות של מכסת נפח.
- תקורה קבועה: 2 יחידות מכסה.
- השימוש הכולל במכסה: 20 + 1 + 2 + 2 = 25 יחידות מכסה.