配额和限制

本文档列出了适用于 VPC Service Controls 的配额和限制。本主题中指定的配额和限制随时可能更改。

配额利用率计算是基于强制模式和模拟运行模式的利用率总和。例如,如果服务边界在实施模式下保护五个资源,在试运行模式下保护七个资源,则系统会根据相应的限制对两者的总和(即 12 个)进行测试。此外,每个条目计为一个,即使该条目出现在政策的其他位置也是如此。例如,如果项目包含在一个常规边界和五个网桥边界内,则系统会计算所有六个实例,并且不会执行去重操作。

不过,VPC Service Controls 计算服务边界限制的方式有所不同。如需了解详情,请参阅本文档的服务边界限制部分。

在 Google Cloud 控制台中查看配额

  1. 在 Google Cloud 控制台导航菜单中,点击安全,然后点击 VPC Service Controls

    转到 VPC Service Controls

  2. 如果出现提示,请选择您的组织、文件夹或项目。

  3. VPC Service Controls 页面上,选择要查看配额的访问权限政策。

  4. 点击查看配额

    配额页面会显示以下访问权限政策限制的用量指标,这些限制会累计适用于给定访问权限政策中的所有服务边界:

    • 服务边界
    • 受保护资源
    • 访问权限级别
    • 入站流量和出站流量属性总数

服务边界限制

以下限制适用于每个服务边界配置。也就是说,此限制分别适用于边界的试运行配置和实施配置:

类型 限制 备注
特性 6,000 此限制适用于入站流量和出站流量规则中指定的属性总数。该属性限制包括对这些规则中项目、VPC 网络、访问权限级别、方法选择器、身份和角色的引用。属性总数还包括方法、服务和项目属性中使用的通配符 *

属性限制注意事项

VPC Service Controls 会将以下入站流量规则和出站流量规则字段中的每个条目计为一个属性:

规则块 字段
ingressFrom
  • sources
  • identities
ingressTo
  • resources
  • methodSelectors
  • roles
egressFrom
  • sources
  • identities
egressTo
  • resources
  • methodSelectors
  • externalResources
  • roles

如需详细了解这些字段,请参阅入站流量规则参考出站流量规则参考

VPC Service Controls 会考虑以下规则来检查边界是否超出属性限制:

  • 入站流量规则和出站流量规则中的每个字段都可以包含多个条目,并且每个条目都计入限制。

    例如,如果您在 egressFrom 规则块的 identities 字段中提及服务账号和用户账号,VPC Service Controls 会将这两个属性计入限制。

  • 即使您在多个规则中重复使用同一资源,VPC Service Controls 也会分别统计规则中资源的每一次出现。

    例如,如果您在两个不同的入站流量或出站流量规则 rule-1rule-2 中提及项目 project-1,VPC Service Controls 会将两个属性计入限制。

  • 每个服务边界可以分别设置实施试运行配置。VPC Service Controls 会为每个配置单独应用属性限制。

    例如,如果边界的强制配置和模拟运行配置的属性总数分别为 3,500 个和 3,000 个,则 VPC Service Controls 会认为该边界仍在属性上限范围内。

访问权限政策限制

以下访问权限政策限制累计适用于给定访问权限政策中的所有服务边界:

类型 限制 备注
服务边界 10000 服务边界网桥会计入此限额。
受保护资源 40,000 仅在入站流量和出站流量政策中引用的项目不计入此限额。请仅以 1 万个或更少的资源的批量为政策添加受保护资源,以防止政策修改请求超时。建议您等待 30 秒,然后再进行下一次政策修改。
身份群组 1000 此限制适用于入站流量和出站流量规则中配置的身份群组的数量。
VPC 网络 500 此限制适用于实施模式、试运行模式和入站规则中引用的 VPC 网络的计数。
所有规则标题的总字符数 240,000 所有入站流量和出站流量规则标题的总长度不得超过此限制。规则标题中的空白字符也会计入此限制。不过,如果您未为某条规则提供标题,则该规则不会计入此限制。

以下访问权限政策限制累计适用于给定访问权限政策中的所有访问权限级别:

类型 限制 备注
VPC 网络 500 此限制适用于访问权限级别中引用的 VPC 网络的数量。

组织限制

以下限制适用于给定组织中的所有访问权限政策:

类型 限制
组织级访问权限政策 1
文件夹级和项目级访问权限政策 50

Access Context Manager 配额和限制

您还需要遵循 Access Context Manager 配额和限制,因为 VPC Service Controls 会使用 Access Context Manager API。