配額與限制

本文列出 Google Cloud Armor 適用的配額和系統限制。

  • 配額會指定您可使用的可計數共用資源數量。配額是由 Google Cloud Armor 等 Google Cloud 服務定義。
  • 系統限制是無法變更的固定值。

Google Cloud 會使用配額來確保公平性,並減少資源使用量和可用性暴增的情況。配額會限制專案可使用的Google Cloud 資源 Google Cloud 數量。配額適用於各種資源類型,包括硬體、軟體和網路元件。舉例來說,配額可以限制對服務發出的 API 呼叫數、專案並行使用的負載平衡器數量,或是可建立的專案數量。配額可以預防服務過載,進而保障Google Cloud 使用者社群的權益。配額也能協助您管理自己的 Google Cloud 資源。

Cloud Quotas 系統會執行下列操作:

在大多數情況下,如果您嘗試使用的資源超過配額,系統會封鎖資源存取權,導致您嘗試執行的工作失敗。

配額通常是在 Google Cloud 專案 層級套用。在一個專案中使用資源,不會影響另一個專案的可用配額。在 Google Cloud 專案中,所有應用程式和 IP 位址會共用配額。

Google Cloud Armor 資源也有系統限制。 系統限制無法變更。

配額

Google Cloud Armor 資源配額會依據下列兩項條件分類:

  • 配額範圍:
    • 全球
    • 區域
  • Google Cloud Armor 安全性政策類型:
    • 後端安全性政策
    • 邊緣安全性政策
    • 網路邊緣安全性政策

全域後端安全性政策和全域邊緣安全性政策

Google Cloud Armor 會使用下列每專案配額,適用於全域邊緣安全性政策、全域後端安全性政策和其中的規則:

資源 配額 說明
每項專案的全域安全性政策 配額

這項配額的上限定義了專案中全域邊緣安全政策全域後端安全政策的總數上限。

配額名稱:SECURITY_POLICIES

可用指標:

  • compute.googleapis.com/quota/security_policies/limit
  • compute.googleapis.com/quota/security_policies/usage
  • compute.googleapis.com/quota/security_policies/exceeded
每項專案的全域安全性政策規則 配額

這項配額的上限定義了專案中全域邊緣安全性政策和全域後端安全性政策的規則總數上限。這項配額的使用量包含下列項目:

  • 全域邊緣安全性政策中的基本規則
  • 全域後端安全性政策中的基本規則
  • 全域邊緣安全性政策中含有進階比對條件的規則
  • 全域後端安全性政策中含有進階比對條件的規則

配額名稱:SECURITY_POLICY_RULES

可用指標:

  • compute.googleapis.com/quota/security_policy_rules/limit
  • compute.googleapis.com/quota/security_policy_rules/usage
  • compute.googleapis.com/quota/security_policy_rules/exceeded
每項專案的進階比對條件全域安全性政策規則 配額

這項配額的上限定義了專案中,全域邊緣安全性政策和全域後端安全性政策中,具有進階比對條件的規則總數上限。這項配額的使用量包含下列項目:

  • 全域邊緣安全性政策中含有進階比對條件的規則
  • 全域後端安全性政策中含有進階比對條件的規則

配額名稱:SECURITY_POLICY_CEVAL_RULES

可用指標:

  • compute.googleapis.com/quota/security_policy_ceval_rules/limit
  • compute.googleapis.com/quota/security_policy_ceval_rules/usage
  • compute.googleapis.com/quota/security_policy_ceval_rules/exceeded

每個全域安全性政策的配額,適用於含有進階比對條件的規則

Google Cloud Armor 會對全域邊緣安全性政策和全域後端安全性政策中,具有進階比對條件的規則,套用下列每個安全性政策配額:

資源 配額 說明
每個全域邊緣安全性政策中含有進階比對條件的規則數 配額

這項配額的上限定義了特定全域邊緣安全政策中,含有進階比對條件的規則數量上限。

配額名稱:SECURITY_POLICY_ADVANCED_RULES_PER_EDGE_SECURITY_POLICY

可用指標:

  • compute.googleapis.com/quota/advanced_rules_per_edge_security_policy/limit
  • compute.googleapis.com/quota/advanced_rules_per_edge_security_policy/usage
  • compute.googleapis.com/quota/advanced_rules_per_edge_security_policy/exceeded
每個全域後端安全政策中含有進階比對條件的規則數 配額

這項配額的上限定義了特定全域後端安全政策中,含有進階比對條件的規則數量上限。

配額名稱:SECURITY_POLICY_ADVANCED_RULES_PER_SECURITY_POLICY

可用指標:

  • compute.googleapis.com/quota/advanced_rules_per_security_policy/limit
  • compute.googleapis.com/quota/advanced_rules_per_security_policy/usage
  • compute.googleapis.com/quota/advanced_rules_per_security_policy/exceeded

全域安全性政策中規則的配額計數摘要

下表列出全域安全性政策中基本規則和含有進階比對條件的規則,會計入哪些配額:

規則 計入這些配額的用量
全域邊緣安全性政策中的基本規則
  • 每個專案的全域安全政策規則 (SECURITY_POLICY_RULES)
全域後端安全性政策中的基本規則
  • 每個專案的全域安全政策規則 (SECURITY_POLICY_RULES)
全域邊緣安全性政策中含有進階比對條件的規則
  • 每個專案的全域安全政策規則 (SECURITY_POLICY_RULES)
  • 每項專案中含有進階比對條件的全球安全性政策規則 (SECURITY_POLICY_CEVAL_RULES)
  • 每個全域 Edge 安全性政策的進階比對條件規則數 (SECURITY_POLICY_ADVANCED_RULES_PER_EDGE_SECURITY_POLICY)
全域後端安全性政策中含有進階比對條件的規則
  • 每個專案的全域安全政策規則 (SECURITY_POLICY_RULES)
  • 每項專案中含有進階比對條件的全球安全性政策規則 (SECURITY_POLICY_CEVAL_RULES)
  • 每個全域後端安全政策的進階比對條件規則數 (SECURITY_POLICY_ADVANCED_RULES_PER_SECURITY_POLICY)

區域後端安全性政策

Google Cloud Armor 會使用下列每個區域、每個專案配額,處理區域後端安全性政策和其中的規則:

資源 配額 說明
每個區域每項專案的區域後端安全性政策數 配額

這項配額的限制定義了專案區域中區域後端安全政策的數量上限。

配額名稱:SECURITY_POLICIES_PER_REGION

可用指標:

  • compute.googleapis.com/quota/regional_security_policies/limit
  • compute.googleapis.com/quota/regional_security_policies/usage
  • compute.googleapis.com/quota/regional_security_policies/exceeded
每個區域每項專案的區域後端安全政策規則 配額

這項配額的限制定義了專案區域中,區域後端安全政策的規則總數上限。這項配額的用量會計入基本規則和具備進階比對條件的規則。

配額名稱:SECURITY_POLICY_RULES_PER_REGION

可用指標:

  • compute.googleapis.com/quota/regional_security_policy_rules/limit
  • compute.googleapis.com/quota/regional_security_policy_rules/usage
  • compute.googleapis.com/quota/regional_security_policy_rules/exceeded
每個區域每項專案的區域後端安全政策規則,且含有進階比對條件 配額

這項配額的上限定義了專案區域中,區域後端安全政策內含有進階比對條件的規則總數上限。這項配額的使用量只會計算含有進階比對條件的規則。

配額名稱:SECURITY_POLICY_ADVANCED_RULES_PER_REGION

可用指標:

  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/limit
  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/usage
  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/exceeded

每個區域後端安全政策的配額,適用於含有進階比對條件的規則

Google Cloud Armor 會對區域後端安全性政策中具有進階比對條件的規則,使用下列每個安全性政策配額:

資源 配額 說明
每個區域後端安全性政策中含有進階比對條件的規則數 配額

這項配額的上限定義特定區域後端安全政策中的進階規則數量上限。

配額名稱:SECURITY_POLICY_ADVANCED_RULES_PER_REGIONAL_SECURITY_POLICY

可用指標:

  • compute.googleapis.com/quota/advanced_rules_per_regional_security_policy/limit
  • compute.googleapis.com/quota/advanced_rules_per_regional_security_policy/usage
  • compute.googleapis.com/quota/advanced_rules_per_regional_security_policy/exceeded

區域後端安全政策中規則的配額計算摘要

下表列出區域後端安全政策中,基本規則和具備進階比對條件的規則所計入的配額:

規則 計入這些配額的用量
區域後端安全性政策中的基本規則
  • 每個專案在每個區域的區域後端安全政策規則 (SECURITY_POLICY_RULES_PER_REGION)
區域後端安全性政策中含有進階比對條件的規則
  • 每個專案在每個區域的區域後端安全政策規則 (SECURITY_POLICY_RULES_PER_REGION)
  • 每個專案中,每個區域的區域後端安全性政策規則,且含有進階比對條件 (SECURITY_POLICY_ADVANCED_RULES_PER_REGION )
  • 每個區域後端安全政策的進階比對條件規則數 (SECURITY_POLICY_ADVANCED_RULES_PER_REGIONAL_SECURITY_POLICY)

區域網路邊緣安全性政策

Google Cloud Armor 會對地區網路邊緣安全性政策及其規則,採用下列每個專案的每個區域配額:

資源 配額 說明
每個區域每項專案的區域網路邊緣安全性政策數 配額

這項配額的上限定義了專案中每個區域的區域網路邊緣安全政策數量上限。

配額名稱:NET_LB_SECURITY_POLICIES_PER_REGION

可用指標:

  • compute.googleapis.com/quota/regional_net_lb_security_policies/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policies/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policies/exceeded
每個區域每項專案的區域網路邊緣安全性政策規則數 配額

這項配額的限制定義了專案中每個區域的區域網路邊緣安全政策規則總數上限。

配額名稱:NET_LB_SECURITY_POLICY_RULES_PER_REGION

可用指標:

  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/exceeded
每個區域每項專案的區域網路邊緣安全性政策規則比對值 配額

這項配額的限制定義了專案中每個區域的區域網路邊緣安全政策規則,最多可包含的屬性總數。這項配額的用量是專案區域中,每個網路邊緣安全政策的每條規則中,SecurityPolicy.NetworkMatch 屬性的總和。

配額名稱:NET_LB_SECURITY_POLICY_RULE_ATTRIBUTES_PER_REGION

可用指標:

  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/exceeded

位址群組

Google Cloud Armor 位址群組使用下列配額:

資源 配額 說明
每個機構的專案範圍位址群組累計 IP 位址範圍容量 配額

這項配額的上限定義了機構中所有專案範圍位址群組使用的累計最大容量。

每增加一個 IPv4 位址範圍,這個配額的使用量就會增加一。每個 IPv6 位址範圍會使這項配額的用量增加三倍。

舉例來說,50,000 的配額上限支援多種 IPv4IPv6 範圍組合,包括:

  • 50,000 個 IPv4 範圍和零個 IPv6 範圍
  • 0 個 IPv4 範圍和 16,666 個 IPv6 範圍
  • 40,000 個 IPv4 範圍和 3,333 個 IPv6 範圍

配額名稱:CloudArmorAddressGroupsSizePerOrganization
每個專案的專案限定位址群組累計 IP 位址範圍容量 配額

這項配額的上限定義了專案中所有專案範圍位址群組使用的累計容量上限。

每增加一個 IPv4 位址範圍,這個配額的使用量就會增加一。每個 IPv6 位址範圍會使這項配額的用量增加三倍。如需使用範例,請參閱上一列。

配額名稱:CloudArmorAddressGroupsSizePerProject
每個機構組織的機構範圍地址群組累計 IP 位址範圍容量 配額

這項配額的上限定義了機構中所有機構範圍地址群組使用的累計最大容量。

每增加一個 IPv4 位址範圍,這個配額的使用量就會增加一。每個 IPv6 位址範圍會使這項配額的用量增加三倍。如需使用範例,請參閱上一列。

配額名稱:CloudArmorOrgAddressGroupsSizePerOrganization

除了 Google Cloud Armor 配額,使用 Google Cloud Armor 的產品也有自己的配額。例如,請參閱 Cloud Load Balancing 配額和限制

基於多種理由,Google Cloud 會針對資源用量實施配額限制。舉例來說,限制配額可以預防用量突然暴增的情況,進而保障 Google Cloud 使用者社群的權益。 Google Cloud 也提供免費試用配額,讓新建立的專案免費試用部分功能。Google Cloud

並非所有專案的配額都相同。隨著您的 Google Cloud使用量成長,系統可能會視情況自動提升配額。如果您預期用量將大幅攀升,可以透過 Google Cloud 控制台的「配額」頁面主動要求調整配額。

您必須具備 serviceusage.quotas.update 權限,才能要求更多配額。根據預設,擁有者、編輯者和配額管理員這些預先定義的角色都具備這項權限。請至少提前一週規劃所需的額外資源並提出申請,確保您的申請可以及時獲得核准。如要申請更多配額,請參閱申請更多配額一節。

限制

Google Cloud Armor 有下列限制:

項目 限制
每項規則的 IP 位址數或 IP 位址範圍數 10
具備自訂運算式的各項規則所含子運算式數 5
自訂運算式中每項子運算式的字元數 1024
自訂運算式的字元數 2048

在具備 Google Cloud Armor 安全性政策的所有後端中,每項專案每秒要求數

這項限制不會強制執行。Google 保留權利,可限制每項專案中所有安全性政策能夠處理的流量。請一律將提高 QPS 的要求交給帳戶團隊負責。

 20,000
每個專案在每個區域的網路邊緣安全服務數量 1
網路邊緣安全性政策中的規則數 100
每個機構的階層式安全性政策數量 50
每個機構的所有階層式安全性政策規則數 200
每個機構的所有階層式安全性政策中,含有進階比對條件的規則數 20

位址群組

Google Cloud Armor 位址群組有下列限制,無論您使用專案範圍或機構範圍的位址群組,這些限制都相同:

網際網路通訊協定版本 單一地址群組的容量上限 單一 API 指令 (例如 add-items) 可變更的地址數量上限
IPv4 150,000 個 IPv4 IP 位址範圍 50,000 個 IPv4 IP 位址範圍
IPv6 50,000 個 IPv6 IP 位址範圍 20,000 個 IPv6 IP 位址範圍

管理配額

Google Cloud Armor 會基於多種原因,對資源用量實施配額限制。舉例來說,限制配額可以預防用量突然暴增的情況,進而保障 Google Cloud 使用者社群的權益。採用 Google Cloud 免費方案探索的使用者也能透過配額,確保不會超出試用範圍。

所有專案最初的配額均相同,您可以要求額外配額來變更配額數量。某些配額可能會依據您使用產品的狀況而自動增加。

權限

如要查看配額或要求增加配額,身分與存取權管理 (IAM) 主體需要具有下列其中一種角色。

工作 必要角色
查看專案的配額 下列任一項:
修改配額,要求額外配額 下列任一項:
  • 專案業主 (roles/owner)
  • 專案編輯器 (roles/editor)
  • 配額管理員 (roles/servicemanagement.quotaAdmin)
  • 具備 serviceusage.quotas.update 權限的自訂角色

查看配額

控制台

  1. 前往 Google Cloud 控制台的「Quotas」(配額) 頁面。

    前往「配額」頁面

  2. 使用篩選表格搜尋要更新的配額。 如果不知道配額名稱,請改用本頁面上的連結。

gcloud

請使用 Google Cloud CLI 執行下列指令,查看配額。使用您自己的專案 ID 替換 PROJECT_ID

    gcloud compute project-info describe --project PROJECT_ID

如要查看特定區域的配額用量,請執行下列指令:

    gcloud compute regions describe example-region

超出配額時產生錯誤

一旦超出 gcloud 指令的配額上限,gcloud 就會輸出 quota exceeded 錯誤訊息並傳回結束代碼 1

如果您是在傳送 API 要求時超出配額, Google Cloud 會傳回下列 HTTP 狀態碼:413 Request Entity Too Large

要求增加配額

如要調整大部分配額,請使用 Google Cloud 控制台。詳情請參閱「要求配額調整」。

資源可用性

如果特定類型的資源可以使用,則每項配額代表您能針對該資源建立的最大數量。請特別留意,配額「並不」保證資源可用性。即使您有可用的配額,如果資源無法提供使用,您也無法建立新的資源。

舉例來說,您可能有足夠的配額,可以在特定區域中建立全新區域性外部 IP 位址。不過,如果該區域沒有可用的外部 IP 位址,則無法建立。區域的資源可用性也會影響您建立新資源的能力。

整個區域的資源皆無法提供使用的狀況很罕見。然而,可用區內的資源有時可能會耗盡,不過一般來說並不會對該資源類型的服務水準協議 (SLA) 造成影響。如需更多資訊,請參閱與該資源相關的 SLA。