割り当てと上限

このドキュメントでは、Google Cloud Armor に適用される割り当てと上限について説明します。 割り当ての詳細については、Virtual Private Cloud の割り当てをご覧ください。

割り当ては、Google Cloud プロジェクトで使用できる共有 Google Cloud リソース(ハードウェア、ソフトウェア、ネットワーク コンポーネントなど)の量を制限します。つまり、割り当てはシステムの一部で、次の機能があります。

  • Google Cloud のプロダクトとサービスの使用量や消費量をモニタリングする。
  • 公平性の確保や使用量急増の抑制などのため、これらのリソースの消費量を制限する。
  • 規定の制限を自動的に適用する構成を維持する。
  • 割り当てをリクエストまたは変更する手段を提供する。

ほとんどの場合、割り当てを超過すると、システムは関連する Google リソースへのアクセスをすぐにブロックするため、ユーザーが試行しているタスクは失敗します。ほとんどの場合、割り当ては各 Google Cloud プロジェクトに適用され、その Google Cloud プロジェクトを使用するすべてのアプリケーションと IP アドレスで共有されます。

Google Cloud Armor のリソースにも上限があります。これらの上限は、割り当てシステムとは無関係です。上限は、特に明記されていない限り、変更できません。

割り当て

Google Cloud Armor リソースの割り当ては、次の 2 つの基準に従って編成されます。

  • 割り当ての範囲:
    • global
    • リージョン
  • Google Cloud Armor セキュリティ ポリシーのタイプ:
    • バックエンド セキュリティ ポリシー
    • Edge のセキュリティ ポリシー
    • ネットワーク エッジのセキュリティ ポリシー

グローバル バックエンド セキュリティ ポリシーとグローバル エッジ セキュリティ ポリシー

グローバル バックエンド セキュリティ ポリシーとグローバル エッジ セキュリティ ポリシーは、次の割り当てを使用します。

リソース 割り当て 説明
グローバル セキュリティ ポリシー 割り当て

この割り当ての上限は、プロジェクトのグローバル バックエンド セキュリティ ポリシーとグローバル エッジ セキュリティ ポリシーの最大数を定義します。

割り当て名: SECURITY_POLICIES

利用可能な指標:

  • compute.googleapis.com/quota/security_policies/limit
  • compute.googleapis.com/quota/security_policies/usage
  • compute.googleapis.com/quota/security_policies/exceeded
グローバル セキュリティ ポリシー ルール 割り当て

この割り当ての上限は、プロジェクト内のグローバル バックエンド セキュリティ ポリシーとグローバル エッジ セキュリティ ポリシーの両方のルールの最大合計数を定義します。ルールで基本一致条件と詳細一致条件のどちらが使用しているかにかかわらず、この割り当ての使用量には、プロジェクト内のすべてのグローバル セキュリティ ポリシー間のすべてのルールがカウントされます。

割り当て名: SECURITY_POLICY_RULES

利用可能な指標:

  • compute.googleapis.com/quota/security_policy_rules/limit
  • compute.googleapis.com/quota/security_policy_rules/usage
  • compute.googleapis.com/quota/security_policy_rules/exceeded
詳細一致条件を含むグローバル セキュリティ ポリシー ルール 割り当て

この割り当ての上限は、プロジェクト内のグローバル バックエンド セキュリティ ポリシーとグローバル エッジ セキュリティ ポリシーの両方について、詳細一致条件を含むルールの最大数を定義します。詳細一致条件を含むグローバル セキュリティ ポリシー ルールも、前の行で説明したグローバル セキュリティ ポリシー ルールの割り当ての使用に影響します。

割り当て名: SECURITY_POLICY_CEVAL_RULES

利用可能な指標:

  • compute.googleapis.com/quota/security_policy_ceval_rules/limit
  • compute.googleapis.com/quota/security_policy_ceval_rules/usage
  • compute.googleapis.com/quota/security_policy_ceval_rules/exceeded

リージョン バックエンド セキュリティ ポリシー

リージョン バックエンド セキュリティ ポリシーでは、次の割り当てを使用します。

リソース 割り当て 説明
リージョン バックエンド セキュリティ ポリシー 割り当て

この割り当ての上限は、プロジェクトの各リージョンにおけるリージョン バックエンド セキュリティ ポリシーの最大数を定義します。

割り当て名: SECURITY_POLICIES_PER_REGION

利用可能な指標:

  • compute.googleapis.com/quota/regional_security_policies/limit
  • compute.googleapis.com/quota/regional_security_policies/usage
  • compute.googleapis.com/quota/regional_security_policies/exceeded
リージョン バックエンド セキュリティ ポリシー ルール 割り当て

この割り当ての上限は、プロジェクトの各リージョンにおけるリージョン バックエンド セキュリティ ポリシーのルールの最大合計数を定義します。この割り当ての使用量には、ルールで基本一致条件または詳細一致条件のどちらが使用されているかにかかわらず、プロジェクトのリージョン内のすべてのリージョン バックエンド セキュリティ ポリシーのすべてのルールがカウントされます。

割り当て名: SECURITY_POLICY_RULES_PER_REGION

利用可能な指標:

  • compute.googleapis.com/quota/regional_security_policy_rules/limit
  • compute.googleapis.com/quota/regional_security_policy_rules/usage
  • compute.googleapis.com/quota/regional_security_policy_rules/exceeded
詳細一致条件を含むリージョン バックエンド セキュリティ ポリシー ルール 割り当て

この割り当ての上限は、プロジェクトの各リージョンにおけるリージョン バックエンド セキュリティ ポリシーの詳細一致条件を含むルールの最大合計数を定義します。詳細一致条件を含むリージョン バックエンド セキュリティ ポリシー ルールも、前の行で説明したリージョンのリージョン バックエンド セキュリティ ポリシールールの割り当ての使用量に影響します。

割り当て名: SECURITY_POLICY_ADVANCED_RULES_PER_REGION

利用可能な指標:

  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/limit
  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/usage
  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/exceeded

リージョン ネットワーク エッジ セキュリティ ポリシー

リージョン ネットワーク エッジ セキュリティ ポリシーは、次の割り当てを使用します。

リソース 割り当て 説明
リージョン ネットワーク エッジ セキュリティ ポリシー 割り当て

この割り当ての上限は、プロジェクトの各リージョンにおけるリージョン ネットワーク エッジ セキュリティ ポリシーの最大数を定義します。

割り当て名: NET_LB_SECURITY_POLICIES_PER_REGION

利用可能な指標:

  • compute.googleapis.com/quota/regional_net_lb_security_policies/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policies/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policies/exceeded
リージョン ネットワーク エッジ セキュリティ ポリシー ルール 割り当て

この割り当ての上限は、プロジェクトの各リージョンにおけるリージョン ネットワーク エッジ セキュリティ ポリシーのルールの最大合計数を定義します。

割り当て名: NET_LB_SECURITY_POLICY_RULES_PER_REGION

利用可能な指標:

  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/exceeded
リージョン ネットワーク エッジ セキュリティ ポリシー ルールの一致値 割り当て

この割り当ての上限は、プロジェクトの各リージョンにおけるリージョン ネットワーク エッジ セキュリティ ポリシーのルール内の属性の最大合計数を定義します。この割り当ての使用量は、プロジェクトのリージョンにおけるすべてのネットワーク エッジ セキュリティ ポリシーのすべてのルールの SecurityPolicy.NetworkMatch 属性の合計です。

割り当て名: NET_LB_SECURITY_POLICY_RULE_ATTRIBUTES_PER_REGION

利用可能な指標:

  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/exceeded

アドレス グループ

Google Cloud Armor アドレス グループは、次の割り当てを使用します。

リソース 割り当て 説明
組織あたりの累積容量 割り当て 組織内のすべてのアドレス グループにわたる組織あたりの最大容量(IPv4IPv6 の IP アドレス範囲を含む)。 この上限は 150,000 個の範囲と見なします。IPv4 アドレス範囲は 1 つの範囲としてカウントされ、IPv6 IP アドレス範囲は 3 つの範囲としてカウントされます。

たとえば、40,000 個の IPv6 IP アドレス範囲がある場合、120,000 個の IPv4 IP アドレス範囲としてカウントされます。上限に達する前に、30,000 個の IPv4 IP アドレス範囲または 10,000 個の IPv6 IP アドレス範囲を追加できます。

プロジェクトごとの累積容量 割り当て プロジェクト内のすべてのアドレス グループ(IPv4IPv6 の IP アドレス範囲を含む)のプロジェクトあたりの最大容量。この上限は 150,000 個の範囲と見なします。IPv4 アドレス範囲は 1 つの範囲としてカウントされ、IPv6 IP アドレス範囲は 3 つの範囲としてカウントされます。

たとえば、40,000 個の IPv6 IP アドレス範囲がある場合、120,000 個の IPv4 IP アドレス範囲としてカウントされます。上限に達する前に、30,000 個の IPv4 IP アドレス範囲または 10,000 個の IPv6 IP アドレス範囲を追加できます。

Google Cloud Armor を使用するプロダクトには、Google Cloud Armor の割り当てのほかに独自の割り当てがあります。たとえば、Cloud Load Balancing の割り当てと上限をご覧ください。

Google Cloud では、さまざまな理由から、使用できるリソースの割り当て量に上限が設けられています。たとえば、割り当て量を制限して予期しない使用量の急増を防ぐことで Google Cloud ユーザーのコミュニティを保護しています。また、Google Cloud には、無料トライアル用にプロジェクトでのアクセスを制限した Google Cloud Platform の無料トライアルの割り当てもあります。

割り当て量はすべてのプロジェクトで同じとは限りません。Google Cloud の使用量の増加に応じて割り当て量を増やすことができます。使用量の大幅な増加が見込まれる場合は、事前に Google Cloud Console の [割り当て] ページから割り当て量の調整をリクエストできます。

追加の割り当てをリクエストするには、serviceusage.quotas.update 権限が必要です。この権限は、事前定義ロールのオーナー、編集者、割り当て管理者にはデフォルトで含まれています。リクエストの完了に十分な時間が確保されるように、少なくとも 1 週間前に追加のリソースを計画してリクエストしてください。追加の割り当てをリクエストする方法については、追加の割り当てをリクエストするをご覧ください。

上限

Google Cloud Armor には以下の上限が設定されています。

項目 上限
ルールごとの IP アドレスまたは IP アドレス範囲の数 10
カスタム式を定義する 1 つのルールに含めることができるサブ式の数 5
カスタム式内の各サブ式の文字数 1024
カスタム式内の文字数 2048
各カスタム式の一致する正規表現の数 1

Google Cloud Armor セキュリティ ポリシーを使用した、すべてのバックエンドにわたるプロジェクトごとの 1 秒あたりのリクエスト数。

この上限は適用されません。Google は、すべてのセキュリティ ポリシーで処理できるトラフィック量をプロジェクトごとに制限する権限を有します。QPS の割り当てを増加するには、リクエストをアカウント チームに送信してください。

20,000
1 リージョン、1 プロジェクトあたりのネットワーク エッジ セキュリティ サービスの数 1

アドレス グループ

Google Cloud Armor アドレス グループには次の制限があります。

インターネット プロトコルのバージョン 1 つのアドレス グループの最大容量 1 つの API コマンド(add-items など)で変更される最大アドレス数
IPv4 150,000 個の IPv4 IP アドレス範囲 50,000 個の IPv4 IP アドレス範囲
IPv6 50,000 個の IPv6 IP アドレス範囲 20,000 個の IPv6 IP アドレス範囲

Manage quotas

Google Cloud Armor enforces quotas on resource usage for various reasons. For example, quotas protect the community of Google Cloud users by preventing unforeseen spikes in usage. Quotas also help users who are exploring Google Cloud with the free tier to stay within their trial.

All projects start with the same quotas, which you can change by requesting additional quota. Some quotas might increase automatically based on your use of a product.

Permissions

To view quotas or request quota increases, Identity and Access Management (IAM) principals need one of the following roles.

Task Required role
Check quotas for a project One of the following:
Modify quotas, request additional quota One of the following:
  • Project Owner (roles/owner)
  • Project Editor (roles/editor)
  • Quota Administrator (roles/servicemanagement.quotaAdmin)
  • A custom role with the serviceusage.quotas.update permission

Check your quota

Console

  1. In the Google Cloud console, go to the Quotas page.

    Go to Quotas

  2. To search for the quota that you want to update, use the Filter table. If you don't know the name of the quota, use the links on this page instead.

gcloud

Using the Google Cloud CLI, run the following command to check your quotas. Replace PROJECT_ID with your own project ID.

    gcloud compute project-info describe --project PROJECT_ID

To check your used quota in a region, run the following command:

    gcloud compute regions describe example-region
    

Errors when exceeding your quota

If you exceed a quota with a gcloud command, gcloud outputs a quota exceeded error message and returns with the exit code 1.

If you exceed a quota with an API request, Google Cloud returns the following HTTP status code: 413 Request Entity Too Large.

Request additional quota

To adjust most quotas, use the Google Cloud console. For more information, see Request a quota adjustment.

Console

  1. In the Google Cloud console, go to the Quotas page.

    Go to Quotas

  2. On the Quotas page, select the quotas that you want to change.
  3. At the top of the page, click Edit quotas.
  4. For Name, enter your name.
  5. Optional: For Phone, enter a phone number.
  6. Submit your request. Quota requests take 24 to 48 hours to process.

Resource availability

Each quota represents a maximum number for a particular type of resource that you can create, if that resource is available. It's important to note that quotas don't guarantee resource availability. Even if you have available quota, you can't create a new resource if it is not available.

For example, you might have sufficient quota to create a new regional, external IP address in the us-central1 region. However, that is not possible if there are no available external IP addresses in that region. Zonal resource availability can also affect your ability to create a new resource.

Situations where resources are unavailable in an entire region are rare. However, resources within a zone can be depleted from time to time, typically without impact to the service level agreement (SLA) for the type of resource. For more information, review the relevant SLA for the resource.