本文档列出了适用于 Google Cloud Armor 的配额和系统限制。
- 配额用于指定您可以使用的可计数共享资源的数量。配额由 Google Cloud Armor 等 Google Cloud 服务定义。
- 系统限制是无法更改的固定值。
Google Cloud 使用配额来帮助确保公平性并减少资源使用和可用性的激增。配额用于限制您的 Google Cloud 项目可使用的Google Cloud 资源的数量。配额适用于一系列资源类型,包括硬件、软件和网络组件。例如,配额可以限制对某项服务的 API 调用次数、您的项目并发使用的负载均衡器数量或者您可以创建的项目数量。配额可以防止服务过载,从而保护Google Cloud 用户社区。配额还可以帮助您管理自己的 Google Cloud 资源。
Cloud 配额系统执行以下操作:
在大多数情况下,当您尝试消耗的资源超出其配额允许的范围时,系统会阻止对资源的访问,并且您尝试执行的任务会失败。
配额通常在 Google Cloud 项目级层应用。您在一个项目中使用资源不会影响您在另一个项目中的可用配额。在 Google Cloud 项目中,配额在所有应用和 IP 地址间共享。
Cloud Armor 资源也有系统限制。系统限制不能更改。
配额
Google Cloud Armor 资源配额根据以下两个条件进行组织:
- 配额的范围:
- 全局
- 区域级
- Cloud Armor 安全政策的类型:
- 后端安全政策
- 边缘安全政策
- 网络边缘安全政策
全球后端安全政策和全球边缘安全政策
Cloud Armor 对全球边缘安全政策、全球后端安全政策以及其中的规则使用以下按项目计算的配额:
| 资源 | 配额 | 说明 |
|---|---|---|
| 每个项目的全球安全政策 | 配额 | 此配额的限制定义了项目中全球边缘安全政策和全球后端安全政策的总数上限。 配额名称: 可用指标:
|
| 每个项目的全球安全政策规则 | 配额 | 此配额的限制定义了项目中全球边缘安全政策和全球后端安全政策的规则总数上限。此配额的用量会统计以下各项:
配额名称: 可用指标:
|
| 每个项目具有高级匹配条件的全球安全政策规则 | 配额 | 此配额的限制定义了项目中全球边缘安全政策和全球后端安全政策的具有高级匹配条件的规则总数上限。此配额的用量会统计以下各项:
配额名称: 可用指标:
|
具有高级匹配条件的规则的按全球安全政策配额
Cloud Armor 对全球边缘安全政策和全球后端安全政策中具有高级匹配条件的规则使用以下按安全政策计算的配额:
| 资源 | 配额 | 说明 |
|---|---|---|
| 每个全球边缘安全政策具有高级匹配条件的规则 | 配额 | 此配额的限制定义了特定全球边缘安全政策中具有高级匹配条件的规则数上限。 配额名称: 可用指标:
|
| 每个全球后端安全政策具有高级匹配条件的规则 | 配额 | 此配额的限制定义了特定全球后端安全政策中具有高级匹配条件的规则数上限。 配额名称: 可用指标:
|
针对全球安全政策中的规则统计的配额摘要
下表展示了针对全球安全政策中的基本规则和具有高级匹配条件的规则统计哪些配额:
| 规则 | 这些配额中统计的用量 |
|---|---|
| 全球边缘安全政策中的基本规则 |
|
| 全球后端安全政策中的基本规则 |
|
| 全球边缘安全政策中具有高级匹配条件的规则 |
|
| 全球后端安全政策中具有高级匹配条件的规则 |
|
区域级后端安全政策
Cloud Armor 对区域级后端安全政策以及其中的规则使用以下按区域、按项目计算的配额:
| 资源 | 配额 | 说明 |
|---|---|---|
| 每个区域、每个项目的区域级后端安全政策 | 配额 | 此配额的限制定义了项目所在区域的区域级后端安全政策的数量上限。 配额名称: 可用指标:
|
| 每个区域、每个项目的区域级后端安全政策规则 | 配额 | 此配额的限制定义了项目所在区域的区域级后端安全政策的规则总数上限。此配额的用量会同时统计基本规则和具有高级匹配条件的规则。 配额名称: 可用指标:
|
| 每个区域、每个项目具有高级匹配条件的区域级后端安全政策规则 | 配额 | 此配额的限制定义了项目所在区域的区域级后端安全政策中具有高级匹配条件的规则总数上限。此配额的用量仅会统计具有高级匹配条件的规则。 配额名称: 可用指标:
|
具有高级匹配条件的规则的按区域级后端安全政策配额
Cloud Armor 对区域级后端安全政策中具有高级匹配条件的规则使用以下按安全政策计算的配额:
| 资源 | 配额 | 说明 |
|---|---|---|
| 每个区域级后端安全政策具有高级匹配条件的规则 | 配额 | 此配额的限制定义了特定区域级后端安全政策中的高级规则数量上限。 配额名称: 可用指标:
|
针对区域级后端安全政策中的规则统计的配额摘要
下表展示了针对区域级后端安全政策中的基本规则和具有高级匹配条件的规则统计哪些配额:
| 规则 | 这些配额中统计的用量 |
|---|---|
| 区域级后端安全政策中的基本规则 |
|
| 区域级后端安全政策中具有高级匹配条件的规则 |
|
区域级网络边缘安全政策
Cloud Armor 对区域级网络边缘安全政策以及其中的规则使用以下按区域、按项目计算的配额:
| 资源 | 配额 | 说明 |
|---|---|---|
| 每个区域、每个项目的区域级网络边缘安全政策 | 配额 | 此配额的限制定义了项目所在每个区域的区域级网络边缘安全政策的数量上限。 配额名称: 可用指标:
|
| 每个区域、每个项目的区域级网络边缘安全政策规则 | 配额 | 此配额的限制定义了项目所在每个区域的区域级网络边缘安全政策的规则总数上限。 配额名称: 可用指标:
|
| 每个区域、每个项目的区域级网络边缘安全政策规则匹配值 | 配额 | 此配额的限制定义了项目所在每个区域的区域级网络边缘安全政策规则的属性总数上限。此配额的用量是项目所在区域的每个网络边缘安全政策的每个规则中的 配额名称: 可用指标:
|
地址组
Cloud Armor 地址组使用以下配额:
| 资源 | 配额 | 说明 |
|---|---|---|
| 每个组织的项目级地址组的累计 IP 地址范围容量 | 配额 | 此配额的限制定义了组织中所有项目级地址组累计使用的容量上限。 每个 例如,配额限制为 50,000 时,支持多种
配额名称: |
| 每个项目的项目级地址组的累计 IP 地址范围容量 | 配额 | 此配额的限制定义了项目中所有项目级地址组累计使用的容量上限。 每个 配额名称: |
| 每个组织的组织级地址组的累计 IP 地址范围容量 | 配额 | 此配额的限制定义了组织中所有组织级地址组累计使用的容量上限。 每个 配额名称: |
除了 Cloud Armor 配额之外,使用 Cloud Armor 的产品具有自己的配额。例如,请参阅 Cloud Load Balancing 配额和限制。
出于多种原因,Google Cloud 会对资源用量实施配额限制。例如,配额可避免用量意外激增,从而为 Google Cloud 用户社区提供保护。 Google Cloud 还提供免费试用配额,为刚刚开始免费试用Google Cloud 的用户提供一定用量,让他们可以在项目中进行体验。
并非所有项目的配额都完全相同。随着 Google Cloud用量逐步增加,您的配额可能会相应地增加。如果您预计用量即将显著增加,可以在 Google Cloud 控制台的配额页面中主动申请调整配额。
如需申请额外的配额,您必须具有 serviceusage.quotas.update 权限。默认情况下,以下预定义角色包含此权限:Owner、Editor 和 Quota Administrator。请至少提前一周时间来规划并申请更多资源,以确认我们有足够的时间来处理您的申请。如需申请额外的配额,请参阅申请更多配额。
限制
Google Cloud Armor 的限制如下:
| 项 | 限制 |
|---|---|
| 每条规则的 IP 地址或 IP 地址范围数量 | 10 |
| 具有自定义表达式的每条规则的子表达式数量 | 5 |
| 自定义表达式中每个子表达式的字符数 | 1024 |
| 自定义表达式中的字符数 | 2048 |
每个项目中具有 Cloud Armor 安全政策的所有后端的每秒请求数 此限制不会强制执行。Google 有权按项目限制所有安全政策可以处理的流量。如需申请增加 QPS,请将申请提交至您的客户支持团队。 |
20,000 |
| 每个项目每个区域的网络边缘安全服务数量 | 1 |
| 网络边缘安全政策中的规则数量 | 100 |
| 每个组织的分层安全政策数量 | 50 |
| 每个组织的所有分层安全政策中的规则数量 | 200 |
| 每个组织的所有分层安全政策中具有高级匹配条件的规则数量 | 20 |
地址组
Cloud Armor 地址组具有以下限制,无论您使用的是项目级地址组还是组织级地址组,这些限制都相同:
| 互联网协议 (IP) 版本 | 单个地址组的容量上限 | 单个 API 命令(例如 add-items)更改的地址数量上限 |
|---|---|---|
| IPv4 | 150,000 个 IPv4 IP 地址范围 |
50,000 个 IPv4 IP 地址范围 |
| IPv6 | 50,000 个 IPv6 IP 地址范围 |
20,000 个 IPv6 IP 地址范围 |
管理配额
出于各种原因,Google Cloud Armor 会对资源用量实施配额限制。例如,配额可避免出现意料之外的用量突增,从而为 Google Cloud 用户社区提供保护。配额还可帮助正在通过免费层级探索 Google Cloud 的用户避免中断试用。
所有项目在开始时都具有相同的配额,您可以通过申请更多配额来进行更改。根据您使用产品的情况,一些配额可能会自动增加。
权限
如需查看配额或申请增加配额,Identity and Access Management (IAM) 主账号需要具备以下某个角色:
| 任务 | 所需角色 |
|---|---|
| 检查项目的配额 | 以下之一:
|
| 修改配额,申请更多配额 | 以下之一:
|
查看您的配额
控制台
- 在 Google Cloud 控制台中,进入配额页面。
- 如需搜索要更新的配额,请使用过滤表。 如果您不知道配额的名称,请使用此页面上的链接。
gcloud
使用 Google Cloud CLI 运行以下命令来查看您的配额。请将 PROJECT_ID 替换为您自己的项目 ID。
gcloud compute project-info describe --project PROJECT_ID如需查看您在某一区域中已使用的配额,请运行以下命令:
gcloud compute regions describe example-region
超出配额时引发的错误
如果在发出 gcloud 命令时超过了配额,gcloud 会显示一条 quota exceeded 错误消息,并返回退出代码 1。
如果在发出 API 请求时超出了配额, Google Cloud 会返回以下 HTTP 状态代码:413 Request Entity Too Large。
申请更多配额
如需调整大多数配额,请使用 Google Cloud 控制台。如需了解详情,请参阅申请配额调整。
资源可用性
每个配额代表您可以创建的特定类型资源的数量上限(如果该资源可用)。必须要注意的是,配额无法保证资源可用性。即使您具有可用配额,如果新资源不可用,您也无法创建新资源。
例如,您的配额可能足以在给定区域中创建新的区域级外部 IP 地址。但是,如果该区域中没有可用的外部 IP 地址,则无法执行此操作。可用区级资源可用性也会影响您能否创建新资源。
导致资源在整个区域不可用的情况非常罕见。但是,地区内的资源有时可能会耗尽,通常不会影响资源类型的服务等级协议 (SLA)。如需了解详情,请参阅资源的相关 SLA。