이 문서에서는 VPC 서비스 제어에 적용되는 할당량과 한도를 설명합니다. 이 문서에 명시된 할당량과 한도는 변경될 수 있습니다.
할당량 사용률 계산은 적용 모드와 테스트 시행 모드의 사용량 합계를 기준으로 합니다. 예를 들어 서비스 경계가 적용 모드에서 리소스 5개를 보호하고 테스트 시행 모드에서 7개의 리소스를 보호하는 경우, 두 가지의 합계인 12가 해당 제한에 대해 테스트됩니다. 또한 각 개별 항목은 정책의 다른 곳에서 발생하더라도 1개로 계산됩니다. 예를 들어 프로젝트가 1개의 일반 경계와 5개의 브리지 경계에 포함된 경우 6개 인스턴스가 모두 계산되고 중복 삭제가 수행되지 않습니다.
하지만 VPC 서비스 제어에서는 서비스 경계 한도를 다르게 계산합니다. 자세한 내용은 이 문서의 서비스 경계 한도 섹션을 참고하세요.
Google Cloud 콘솔에서 할당량 보기
Google Cloud 콘솔 탐색 메뉴에서 보안을 클릭한 다음 VPC 서비스 제어를 클릭합니다.
메시지가 표시되면 조직, 폴더 또는 프로젝트를 선택합니다.
VPC 서비스 제어 페이지에서 할당량을 보려는 액세스 정책을 선택합니다.
할당량 보기를 클릭합니다.
할당량 페이지에는 특정 액세스 정책의 모든 서비스 경계에 누적적으로 적용되는 다음 액세스 정책 한도의 사용량 측정항목이 표시됩니다.
- 서비스 경계
- 보호되는 리소스
- 액세스 수준
- 총 인그레스 및 이그레스 속성
서비스 경계 한도
각 서비스 경계 구성에는 다음과 같은 제한이 적용됩니다. 즉, 이 한도는 경계의 테스트 실행 구성과 시행된 구성에 별도로 적용됩니다.
| 유형 | 한도 | 참고 |
|---|---|---|
| 속성 | 6,000 | 이 한도는 인그레스 및 이그레스 규칙에 지정된 총 속성 수에 적용됩니다. 속성 한도에는 이러한 규칙의 프로젝트, VPC 네트워크, 액세스 수준, 메서드 선택기, ID에 대한 참조가 포함됩니다. 총 속성 수에는 메서드, 서비스, 프로젝트 속성에 사용된 와일드 카드 문자 *도 포함됩니다.
|
속성 한도 고려사항
VPC 서비스 제어는 다음 인그레스 및 이그레스 규칙 필드의 각 항목을 하나의 속성으로 계산합니다.
| 규칙 블록 | 필드 |
|---|---|
ingressFrom |
|
ingressTo |
|
egressFrom |
|
egressTo |
|
이러한 필드에 관한 자세한 내용은 인그레스 규칙 참조 및 이그레스 규칙 참조를 참고하세요.
VPC 서비스 제어는 다음 규칙을 고려하여 경계가 속성 한도를 초과하는지 확인합니다.
인그레스 및 이그레스 규칙의 각 필드에는 여러 항목이 있을 수 있으며 각 항목은 한도에 반영됩니다.
예를 들어
egressFrom규칙 블록의identities필드에서 서비스 계정과 사용자 계정을 언급하면 VPC 서비스 제어에서 한도에 대해 두 속성을 계산합니다.VPC 서비스 제어는 여러 규칙에서 동일한 리소스를 반복하더라도 규칙에서 리소스의 각 발생 횟수를 개별적으로 집계합니다.
예를 들어 두 개의 서로 다른 인그레스 또는 이그레스 규칙(
rule-1및rule-2)에서 프로젝트project-1를 언급하면 VPC 서비스 제어는 제한에 대해 두 개의 속성을 계산합니다.각 서비스 경계에는 시행 및 테스트 실행 구성이 있을 수 있습니다. VPC 서비스 제어는 각 구성에 속성 한도를 별도로 적용합니다.
예를 들어 경계의 적용 및 예행 구성의 총 속성 수가 각각 3,500개와 3,000개인 경우 VPC 서비스 제어에서는 경계가 여전히 속성 한도 내에 있다고 간주합니다.
액세스 정책 한도
다음 액세스 정책 한도는 특정 액세스 정책의 모든 서비스 경계에 누적되어 적용됩니다.
| 유형 | 한도 | 참고 |
|---|---|---|
| 서비스 경계 | 10,000 | 서비스 경계 브리지가 이 한도에 포함됩니다. |
| 보호되는 리소스 | 40,000 | 인그레스 및 이그레스 정책에서만 참조되는 프로젝트는 이 한도에 포함되지 않습니다. 정책 수정 요청이 타임아웃되는 것을 방지하려면 10,000개 이하의 리소스만 일괄적으로 정책에 보호된 리소스를 추가하세요. 다음 정책을 수정하기 전에 30초 정도 기다리는 것이 좋습니다. |
| ID 그룹 | 1,000 | 이 한도는 인그레스 및 이그레스 규칙에 구성된 ID 그룹 수에 대한 한도입니다. |
| VPC 네트워크 | 500 | 이 한도는 시행 모드, 테스트 실행 모드, 인그레스 규칙에서 참조되는 VPC 네트워크 수에 대한 한도입니다. |
다음 액세스 정책 한도는 특정 액세스 정책의 모든 액세스 수준에 누적되어 적용됩니다.
| 유형 | 한도 | 참고 |
|---|---|---|
| VPC 네트워크 | 500 | 이 한도는 액세스 수준에서 참조되는 VPC 네트워크 수에 따라 달라집니다. |
조직 한도
특정 조직의 모든 액세스 정책에는 다음 한도가 적용됩니다.
| 유형 | 한도 |
|---|---|
| 조직 수준 액세스 정책 | 1 |
| 폴더 및 프로젝트 범위 액세스 정책 | 50 |
Access Context Manager 할당량 및 한도
또한 VPC 서비스 제어는 Access Context Manager API를 사용하므로 Access Context Manager 할당량 및 한도가 적용됩니다.