割り当てと上限

このドキュメントでは、Google Cloud Armor に適用される割り当てとシステムの上限について説明します。

  • 割り当ては、使用できるカウント可能な共有リソースの量を指定します。割り当ては、Google Cloud Armor などの Google Cloud サービスによって定義されます。
  • システムの上限は固定値で、変更できません。

Google Cloud では、割り当てを使用して公平性を確保し、リソースの使用量と可用性の急増を抑えます。割り当ては、Google Cloud プロジェクトで使用できる Google Cloud リソースの量を制限します。割り当ては、ハードウェア、ソフトウェア、ネットワーク コンポーネントなど、さまざまなリソースタイプに適用されます。たとえば、割り当てによって、サービスへの API 呼び出しの数、プロジェクトで同時に使用されるロードバランサの数、作成可能なプロジェクトの数を制限できます。割り当てを適用することで、サービスの過負荷を防ぎ、Google Cloud ユーザーのコミュニティを保護します。割り当ては、自組織で使用している Google Cloud リソースの管理にも役立ちます。

Cloud Quotas システムは次のことを行います。

  • Google Cloud のプロダクトとサービスの消費量をモニタリングする
  • これらのリソースの消費量を制限する
  • 割り当て値の変更をリクエストする方法を提供する

ほとんどの場合、割り当ての許容量を超えるリソースを消費しようとすると、システムによってリソースへのアクセスがブロックされ、実行しようとしているタスクは失敗します。

割り当ては通常、Google Cloud プロジェクト レベルで適用されます。あるプロジェクトでリソースを使用しても、別のプロジェクトで使用可能な割り当てに影響することはありません。Google Cloud プロジェクト内では、すべてのアプリケーションと IP アドレスで割り当てが共有されます。

Google Cloud Armor のリソースにも上限があります。システムの上限は変更できません。

割り当て

Google Cloud Armor リソース割り当ては、次の 2 つの基準に従って編成されます。

  • 割り当ての範囲:
    • global
    • リージョン
  • Google Cloud Armor セキュリティ ポリシーのタイプ:
    • バックエンド セキュリティ ポリシー
    • Edge のセキュリティ ポリシー
    • ネットワーク エッジのセキュリティ ポリシー

グローバル バックエンド セキュリティ ポリシーとグローバル エッジ セキュリティ ポリシー

Google Cloud Armor は、グローバル エッジ セキュリティ ポリシー、グローバル バックエンド セキュリティ ポリシー、およびそれらのルールに次のプロジェクトごとの割り当てを使用します。

リソース 割り当て 説明
プロジェクトごとのグローバル セキュリティ ポリシー 割り当て

この割り当ての上限は、プロジェクト内のグローバル エッジ セキュリティ ポリシーとグローバル バックエンド セキュリティ ポリシーの最大数を定義します。

割り当て名: SECURITY_POLICIES

利用可能な指標:

  • compute.googleapis.com/quota/security_policies/limit
  • compute.googleapis.com/quota/security_policies/usage
  • compute.googleapis.com/quota/security_policies/exceeded
プロジェクトごとのグローバル セキュリティ ポリシーのルール 割り当て

この割り当ての上限は、プロジェクト内のグローバル エッジ セキュリティ ポリシーとグローバル バックエンド セキュリティ ポリシーの両方のルールの最大合計数を定義します。この割り当ての使用量には、次の対象がカウントされます。

  • グローバル エッジ セキュリティ ポリシーの基本ルール
  • グローバル バックエンド セキュリティ ポリシーの基本ルール
  • グローバル エッジ セキュリティ ポリシーの詳細一致条件を含むルール
  • グローバル バックエンド セキュリティ ポリシーの詳細一致条件を含むルール

割り当て名: SECURITY_POLICY_RULES

利用可能な指標:

  • compute.googleapis.com/quota/security_policy_rules/limit
  • compute.googleapis.com/quota/security_policy_rules/usage
  • compute.googleapis.com/quota/security_policy_rules/exceeded
プロジェクトごとの詳細一致条件を含むグローバル セキュリティ ポリシーのルール 割り当て

この割り当ての上限は、プロジェクト内のグローバル エッジ セキュリティ ポリシーとグローバル バックエンド セキュリティ ポリシーの両方について、詳細一致条件を含むルールの最大数を定義します。この割り当ての使用量には、次の対象がカウントされます。

  • グローバル エッジ セキュリティ ポリシーの詳細一致条件を含むルール
  • グローバル バックエンド セキュリティ ポリシーの詳細一致条件を含むルール

割り当て名: SECURITY_POLICY_CEVAL_RULES

利用可能な指標:

  • compute.googleapis.com/quota/security_policy_ceval_rules/limit
  • compute.googleapis.com/quota/security_policy_ceval_rules/usage
  • compute.googleapis.com/quota/security_policy_ceval_rules/exceeded

詳細一致条件を含むルールのグローバル セキュリティ ポリシーごとの割り当て

Google Cloud Armor は、グローバル エッジ セキュリティ ポリシーとグローバル バックエンド セキュリティ ポリシーの高度な一致条件を含むルールに、次のセキュリティ ポリシーごとの割り当てを使用します。

リソース 割り当て 説明
グローバル エッジ セキュリティ ポリシーごとの詳細一致条件を含むルール 割り当て

この割り当ての上限は、特定のグローバル エッジ セキュリティ ポリシーの詳細一致条件を含むルールの最大数を定義します。

割り当て名: SECURITY_POLICY_ADVANCED_RULES_PER_EDGE_SECURITY_POLICY

利用可能な指標:

  • compute.googleapis.com/quota/advanced_rules_per_edge_security_policy/limit
  • compute.googleapis.com/quota/advanced_rules_per_edge_security_policy/usage
  • compute.googleapis.com/quota/advanced_rules_per_edge_security_policy/exceeded
グローバル バックエンド セキュリティ ポリシーごとの詳細一致条件を含むルール 割り当て

この割り当ての上限は、特定のグローバル バックエンド セキュリティ ポリシーの詳細一致条件を含むルールの最大数を定義します。

割り当て名: SECURITY_POLICY_ADVANCED_RULES_PER_SECURITY_POLICY

利用可能な指標:

  • compute.googleapis.com/quota/advanced_rules_per_security_policy/limit
  • compute.googleapis.com/quota/advanced_rules_per_security_policy/usage
  • compute.googleapis.com/quota/advanced_rules_per_security_policy/exceeded

グローバル セキュリティ ポリシーのルールに対してカウントされる割り当ての概要

次の表に、グローバル セキュリティ ポリシーの基本ルールと詳細一致条件を含むルールでカウントされる割り当てを示します。

ルール これらの割り当てにカウントされる使用量
グローバル エッジ セキュリティ ポリシーの基本ルール
  • プロジェクトごとのグローバル セキュリティ ポリシーのルール(SECURITY_POLICY_RULES
グローバル バックエンド セキュリティ ポリシーの基本ルール
  • プロジェクトごとのグローバル セキュリティ ポリシーのルール(SECURITY_POLICY_RULES
グローバル エッジ セキュリティ ポリシーの詳細一致条件を含むルール
  • プロジェクトごとのグローバル セキュリティ ポリシーのルール(SECURITY_POLICY_RULES
  • プロジェクトごとの詳細一致条件を含むグローバル セキュリティ ポリシーのルール(SECURITY_POLICY_CEVAL_RULES
  • グローバル エッジ セキュリティ ポリシーごとの詳細一致条件を含むルール(SECURITY_POLICY_ADVANCED_RULES_PER_EDGE_SECURITY_POLICY
グローバル バックエンド セキュリティ ポリシーの詳細一致条件を含むルール
  • プロジェクトごとのグローバル セキュリティ ポリシーのルール(SECURITY_POLICY_RULES
  • プロジェクトごとの詳細一致条件を含むグローバル セキュリティ ポリシーのルール(SECURITY_POLICY_CEVAL_RULES
  • グローバル バックエンド セキュリティ ポリシーごとの詳細一致条件を含むルール(SECURITY_POLICY_ADVANCED_RULES_PER_SECURITY_POLICY

リージョン バックエンド セキュリティ ポリシー

Google Cloud Armor は、リージョン バックエンド セキュリティ ポリシーとそれらのルールに次のリージョンごと、プロジェクトごとの割り当てを使用します。

リソース 割り当て 説明
リージョンごと、プロジェクトごとのリージョン バックエンド セキュリティ ポリシー 割り当て

この割り当ての上限は、プロジェクトのリージョンにおけるリージョン バックエンド セキュリティ ポリシーの最大数を定義します。

割り当て名: SECURITY_POLICIES_PER_REGION

利用可能な指標:

  • compute.googleapis.com/quota/regional_security_policies/limit
  • compute.googleapis.com/quota/regional_security_policies/usage
  • compute.googleapis.com/quota/regional_security_policies/exceeded
リージョンあたり、プロジェクトあたりのリージョン バックエンド セキュリティ ポリシーのルール 割り当て

この割り当ての上限は、プロジェクトのリージョンにおけるリージョン バックエンド セキュリティ ポリシーのルールの最大合計数を定義します。この割り当ての使用量には、基本ルールと詳細一致条件を含むルールの両方がカウントされます。

割り当て名: SECURITY_POLICY_RULES_PER_REGION

利用可能な指標:

  • compute.googleapis.com/quota/regional_security_policy_rules/limit
  • compute.googleapis.com/quota/regional_security_policy_rules/usage
  • compute.googleapis.com/quota/regional_security_policy_rules/exceeded
リージョンごと、プロジェクトごとの詳細一致条件を含むリージョン バックエンド セキュリティ ポリシーのルール 割り当て

この割り当ての上限は、プロジェクトのリージョンにおけるリージョン バックエンド セキュリティ ポリシーの詳細一致条件を含むルールの最大合計数を定義します。この割り当ての使用量には、詳細一致条件を含むルールのみがカウントされます。

割り当て名: SECURITY_POLICY_ADVANCED_RULES_PER_REGION

利用可能な指標:

  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/limit
  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/usage
  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/exceeded

詳細一致条件を含むルールのリージョン バックエンド セキュリティ ポリシーごとの割り当て

Google Cloud Armor は、リージョン バックエンド セキュリティ ポリシーの高度な一致条件を含むルールに、次のセキュリティ ポリシーごとの割り当てを使用します。

リソース 割り当て 説明
リージョン バックエンド セキュリティ ポリシーあたりの詳細一致条件を含むルール 割り当て

この割り当ての上限は、特定のリージョン バックエンド セキュリティ ポリシーの詳細ルールの最大数を定義します。

割り当て名: SECURITY_POLICY_ADVANCED_RULES_PER_REGIONAL_SECURITY_POLICY

利用可能な指標:

  • compute.googleapis.com/quota/advanced_rules_per_regional_security_policy/limit
  • compute.googleapis.com/quota/advanced_rules_per_regional_security_policy/usage
  • compute.googleapis.com/quota/advanced_rules_per_regional_security_policy/exceeded

リージョン バックエンド セキュリティ ポリシーのルールに対してカウントされる割り当ての概要

次の表に、リージョン バックエンド セキュリティ ポリシーの基本ルールと詳細一致条件を含むルールでカウントされる割り当てを示します。

ルール これらの割り当てでカウントされる使用量
リージョン バックエンド セキュリティ ポリシーの基本ルール
  • リージョンあたり、プロジェクトあたりのリージョン バックエンド セキュリティ ポリシーのルール(SECURITY_POLICY_RULES_PER_REGION
リージョン バックエンド セキュリティ ポリシーの詳細一致条件を含むルール
  • リージョンあたり、プロジェクトあたりのリージョン バックエンド セキュリティ ポリシーのルール(SECURITY_POLICY_RULES_PER_REGION
  • リージョンごと、プロジェクトごとの詳細一致条件を含むリージョン バックエンド セキュリティ ポリシーのルール(SECURITY_POLICY_ADVANCED_RULES_PER_REGION
  • リージョン バックエンド セキュリティ ポリシーごとの詳細一致条件を含むルール(SECURITY_POLICY_ADVANCED_RULES_PER_REGIONAL_SECURITY_POLICY

リージョン ネットワーク エッジ セキュリティ ポリシー

Google Cloud Armor は、リージョン ネットワーク エッジのセキュリティ ポリシーとそれらのルールに次のリージョンごと、プロジェクトごとの割り当てを使用します。

リソース 割り当て 説明
リージョンあたり、プロジェクトあたりのリージョン ネットワーク エッジ セキュリティ ポリシー 割り当て

この割り当ての上限は、プロジェクトの各リージョンにおけるリージョン ネットワーク エッジ セキュリティ ポリシーの最大数を定義します。

割り当て名: NET_LB_SECURITY_POLICIES_PER_REGION

利用可能な指標:

  • compute.googleapis.com/quota/regional_net_lb_security_policies/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policies/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policies/exceeded
リージョンあたり、プロジェクトあたりのリージョン ネットワーク エッジ セキュリティ ポリシーのルール 割り当て

この割り当ての上限は、プロジェクトの各リージョンにおけるリージョン ネットワーク エッジ セキュリティ ポリシーのルールの最大合計数を定義します。

割り当て名: NET_LB_SECURITY_POLICY_RULES_PER_REGION

利用可能な指標:

  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/exceeded
リージョンあたり、プロジェクトあたりのリージョン ネットワーク エッジ セキュリティ ポリシーのルールの一致値 割り当て

この割り当ての上限は、プロジェクトの各リージョンにおけるリージョン ネットワーク エッジ セキュリティ ポリシーのルール内の属性の最大合計数を定義します。この割り当ての使用量は、プロジェクトのリージョンにおけるすべてのネットワーク エッジ セキュリティ ポリシーのすべてのルールの SecurityPolicy.NetworkMatch 属性の合計です。

割り当て名: NET_LB_SECURITY_POLICY_RULE_ATTRIBUTES_PER_REGION

利用可能な指標:

  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/exceeded

アドレス グループ

Google Cloud Armor アドレス グループは、次の割り当てを使用します。

リソース 割り当て 説明
組織あたりの IP アドレス範囲の累積容量 割り当て

この割り当ての上限は、組織内のすべてのアドレス グループで使用される累積最大容量を定義します。

IPv4 アドレス範囲で、この割り当ての使用率が 1 増加します。各 IPv6 アドレス範囲で、この割り当ての使用率が 3 倍になります。

たとえば、割り当て上限が 50,000 の場合、IPv4IPv6 の範囲の組み合わせは次のとおりです。

  • 50,000 個の IPv4 範囲と 0 個の IPv6 範囲
  • IPv4 範囲が 0 個、IPv6 範囲が 16,666 個
  • 40,000 個の IPv4 範囲と 3,333 個の IPv6 範囲
プロジェクトあたりの IP アドレス範囲の累積容量 割り当て

この割り当ての上限は、プロジェクト内のすべてのアドレス グループで使用される合計最大容量を定義します。

IPv4 アドレス範囲で、この割り当ての使用率が 1 増加します。各 IPv6 アドレス範囲で、この割り当ての使用率が 3 倍になります。使用例については、前の行をご覧ください。

Google Cloud Armor を使用するプロダクトには、Google Cloud Armor の割り当てのほかに独自の割り当てがあります。たとえば、Cloud Load Balancing の割り当てと上限をご覧ください。

Google Cloud では、さまざまな理由から、使用できるリソースの割り当て量に上限が設けられています。たとえば、割り当て量を制限して予期しない使用量の急増を防ぐことで Google Cloud ユーザーのコミュニティを保護しています。また、Google Cloud には、無料トライアル用にプロジェクトでのアクセスを制限した Google Cloud Platform の無料トライアルの割り当てもあります。

割り当て量はすべてのプロジェクトで同じとは限りません。Google Cloud の使用量の増加に応じて割り当て量を増やすことができます。使用量の大幅な増加が見込まれる場合は、事前に Google Cloud Console の [割り当て] ページから割り当て量の調整をリクエストできます。

追加の割り当てをリクエストするには、serviceusage.quotas.update 権限が必要です。この権限は、事前定義ロールのオーナー、編集者、割り当て管理者にはデフォルトで含まれています。 リクエストの完了に十分な時間が確保されるように、少なくとも 1 週間前に追加のリソースを計画してリクエストしてください。追加の割り当てをリクエストする方法については、追加の割り当てをリクエストするをご覧ください。

上限

Google Cloud Armor には以下の上限が設定されています。

項目 上限
ルールごとの IP アドレスまたは IP アドレス範囲の数 10
カスタム式を定義する 1 つのルールに含めることができるサブ式の数 5
カスタム式内の各サブ式の文字数 1024
カスタム式内の文字数 2048

Google Cloud Armor セキュリティ ポリシーを使用した、すべてのバックエンドにわたるプロジェクトごとの 1 秒あたりのリクエスト数。

この上限は適用されません。Google は、すべてのセキュリティ ポリシーで処理できるトラフィック量をプロジェクトごとに制限する権限を有します。QPS の割り当てを増加するには、リクエストをアカウント チームに送信してください。

20,000
1 リージョン、1 プロジェクトあたりのネットワーク エッジ セキュリティ サービスの数 1

アドレス グループ

Google Cloud Armor アドレス グループには次の上限があります。

インターネット プロトコルのバージョン 単一アドレス グループの最大容量 1 つの API コマンド(add-items など)で変更できるアドレスの最大数
IPv4 150,000 個の IPv4 IP アドレス範囲 50,000 個の IPv4 IP アドレス範囲
IPv6 50,000 個の IPv6 IP アドレス範囲 20,000 個の IPv6 IP アドレス範囲

割り当てを管理

Google Cloud Armor では、さまざまな理由から、使用できるリソースの割り当て量に上限が設けられています。たとえば、割り当て量の上限を設定して予期しない使用量の急増を防ぐことで、 Google Cloud ユーザーのコミュニティを保護しています。割り当て量は、無料枠で Google Cloud を試しているユーザーをトライアルに留めておくのにも役立ちます。

すべてのプロジェクトは同じ割り当て量で開始しますが、追加の割り当て量をリクエストすることで変更できます。割り当てによっては、プロダクトの使用状況に応じて自動的に増加される場合もあります。

権限

Identity and Access Management(IAM)のプリンシパルが割り当ての表示や、割り当ての増加のリクエストをするには、以下のいずれかのロールが必要です。

タスク 必要なロール
プロジェクトの割り当て量をチェックする 次のいずれかが必要です。
  • プロジェクト オーナーroles/owner
  • プロジェクト編集者roles/editor
  • 割り当て閲覧者roles/servicemanagement.quotaViewer
割り当て量の変更、割り当て量の追加のリクエストを行う 次のいずれかが必要です。
  • プロジェクト オーナーroles/owner
  • プロジェクト編集者roles/editor
  • 割り当て管理者roles/servicemanagement.quotaAdmin
  • serviceusage.quotas.update 権限のあるカスタムロール

割り当て量を確認する

Console

  1. Google Cloud コンソールで、[割り当て] ページに移動します。

    [割り当て] に移動

  2. 更新する割り当てを検索するには、[表をフィルタリング] を使用します。割り当ての名前がわからない場合は、このページにあるリンクを使用します。

gcloud

Google Cloud CLI で次のコマンドを実行して、割り当てを確認します。PROJECT_ID は、実際のプロジェクト ID に置き換えます。

    gcloud compute project-info describe --project PROJECT_ID

ある特定のリージョンで使用済みの割り当て量を確認するには、次のコマンドを実行します。

    gcloud compute regions describe example-region
    

割り当て量を超えたときのエラー

gcloud コマンドで割り当て量を超えた場合、gcloudquota exceeded エラー メッセージを出力し、終了コード 1 を返します。

API リクエストで割り当て量を超えた場合、Google Cloud は HTTP ステータス コード 413 Request Entity Too Large を返します。

追加の割り当てをリクエスト

通常、割り当てを調整するには、Google Cloud コンソールを使用します。詳細については、割り当ての調整をリクエストするをご覧ください。

Console

  1. Google Cloud コンソールで、[割り当て] ページに移動します。

    [割り当て] に移動

  2. [割り当て] ページで、変更する割り当てを選択します。
  3. ページの上部にある [割り当てを編集] をクリックします。
  4. [名前] に氏名を入力します。
  5. 省略可: [電話番号] に有効な電話番号を入力します。
  6. リクエストを送信します。割り当てのリクエストが処理されるまで、24~48 時間かかります。

リソースの可用性

各割り当て量は、リソースが利用可能な場合に作成できる特定のリソースタイプの最大数を表します。割り当て量によってリソースの可用性が保証されるわけではありません。この点は注意が必要です。割り当て量が使用可能でも、新しいリソースを使用できなければ、そのリソースを作成することはできません。

たとえば、us-central1 リージョンで新しいリージョンの外部 IP アドレスを作成するための割り当て量が十分にあっても、そのリージョンに使用可能な外部 IP アドレスがない場合、外部 IP アドレスは作成できません。ゾーンリソースの可用性は、新しいリソースを作成できるかにも影響を及ぼす可能性があります。

リージョン全体でリソースを使用できない状況はまれです。ただし、ゾーン内のリソースが使い果たされることはあります。通常、そのリソースタイプのサービスレベル契約(SLA)に影響はありません。詳細については、リソースに関連する SLA をご覧ください。