할당량 및 한도

이 문서에서는 Google Cloud Armor에 적용되는 quotasquotas를 설명합니다.

할당량은 하드웨어, 소프트웨어, 네트워크 구성요소를 포함하여 Google Cloud 프로젝트에서 사용할 수 있는 공유 Google Cloud 리소스의 양을 제한합니다. 따라서 할당량은 다음을 수행하는 시스템에 속합니다.

  • Google Cloud 제품 및 서비스 사용 또는 소비를 모니터링합니다.
  • 공정성 보장 및 사용량 급증 방지 등의 이유로 리소스 소비를 제한합니다.
  • 사전 정의된 제한사항을 자동으로 적용하는 구성을 유지합니다.
  • 할당량을 요청하거나 변경할 수 있는 수단을 제공합니다.

대부분의 경우 할당량이 초과되면 시스템에서 관련 Google 리소스에 대한 액세스를 즉시 차단하고 수행하려는 작업이 실패합니다. 대부분의 경우 할당량은 각 Google Cloud 프로젝트에 적용되며 해당 Google Cloud 프로젝트를 사용하는 모든 애플리케이션과 IP 주소 전반에 공유됩니다.

Google Cloud Armor 리소스에도 한도가 있습니다. 이 한도는 할당량 시스템과 관련이 없습니다. 별도로 명시되지 않는 한 한도를 변경할 수 없습니다.

할당량

Google Cloud Armor 리소스 할당량은 두 가지 기준에 따라 정해집니다.

  • 할당량 범위:
    • 전역
    • 리전
  • Google Cloud Armor 보안 정책 유형:
    • 백엔드 보안 정책
    • 에지 보안 정책
    • 네트워크 에지 보안 정책

전역 백엔드 보안 정책 및 전역 에지 보안 정책

전역 백엔드 보안 정책과 전역 에지 보안 정책은 다음 할당량을 사용합니다.

리소스 할당량 설명
전역 보안 정책 할당량

이 할당량의 한도는 프로젝트의 전역 백엔드 보안 정책 전역 에지 보안 정책의 최대 개수를 정의합니다.

할당량 이름: SECURITY_POLICIES

사용 가능한 측정항목:

  • compute.googleapis.com/quota/security_policies/limit
  • compute.googleapis.com/quota/security_policies/usage
  • compute.googleapis.com/quota/security_policies/exceeded
전역 보안 정책 규칙 할당량

이 할당량의 한도는 프로젝트의 전역 백엔드 보안 정책과 전역 에지 보안 정책 모두에 대한 최대 총 규칙 수를 정의합니다. 이 할당량의 사용량은 규칙이 기본 일치 조건을 사용하는지 또는 고급 일치 조건을 사용하는지에 관계없이 프로젝트에서 모든 전역 보안 정책의 모든 규칙을 계산합니다.

할당량 이름: SECURITY_POLICY_RULES

사용 가능한 측정항목:

  • compute.googleapis.com/quota/security_policy_rules/limit
  • compute.googleapis.com/quota/security_policy_rules/usage
  • compute.googleapis.com/quota/security_policy_rules/exceeded
고급 일치 조건이 있는 전역 보안 정책 규칙 할당량

이 할당량의 한도는 프로젝트의 전역 백엔드 보안 정책과 전역 에지 보안 정책 모두에 대한 고급 일치 조건이 있는 최대 총 규칙 수를 정의합니다. 고급 일치 조건이 있는 전역 보안 정책 규칙은 이전 행에 설명된 전역 보안 정책 규칙 할당량의 사용량에도 영향을 줍니다.

할당량 이름: SECURITY_POLICY_CEVAL_RULES

사용 가능한 측정항목:

  • compute.googleapis.com/quota/security_policy_ceval_rules/limit
  • compute.googleapis.com/quota/security_policy_ceval_rules/usage
  • compute.googleapis.com/quota/security_policy_ceval_rules/exceeded

리전 백엔드 보안 정책

리전 백엔드 보안 정책은 다음 할당량을 사용합니다.

리소스 할당량 설명
리전 백엔드 보안 정책 할당량

이 할당량의 한도는 프로젝트의 각 리전에 있는 리전 백엔드 보안 정책의 최대 개수를 정의합니다.

할당량 이름: SECURITY_POLICIES_PER_REGION

사용 가능한 측정항목:

  • compute.googleapis.com/quota/regional_security_policies/limit
  • compute.googleapis.com/quota/regional_security_policies/usage
  • compute.googleapis.com/quota/regional_security_policies/exceeded
리전 백엔드 보안 정책 규칙 할당량

이 할당량의 한도는 프로젝트의 각 리전에 있는 리전 백엔드 보안 정책의 최대 총 규칙 수를 정의합니다. 이 할당량의 사용량은 규칙이 기본 일치 조건을 사용하는지 또는 고급 일치 조건을 사용하는지에 관계없이 프로젝트의 리전에 있는 모든 리전 백엔드 보안 정책의 모든 규칙을 계산합니다.

할당량 이름: SECURITY_POLICY_RULES_PER_REGION

사용 가능한 측정항목:

  • compute.googleapis.com/quota/regional_security_policy_rules/limit
  • compute.googleapis.com/quota/regional_security_policy_rules/usage
  • compute.googleapis.com/quota/regional_security_policy_rules/exceeded
고급 일치 조건이 있는 리전 백엔드 보안 정책 규칙 할당량

이 할당량의 한도는 프로젝트의 각 리전에 있는 리전 백엔드 보안 정책에 대한 고급 일치 조건이 있는 최대 총 규칙 수를 정의합니다. 고급 일치 조건이 있는 리전 백엔드 보안 정책 규칙은 이전 행에 설명된 리전의 리전 백엔드 보안 정책 규칙 할당량의 사용량에도 영향을 줍니다.

할당량 이름: SECURITY_POLICY_ADVANCED_RULES_PER_REGION

사용 가능한 측정항목:

  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/limit
  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/usage
  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/exceeded

리전 네트워크 에지 보안 정책

리전 네트워크 에지 보안 정책은 다음 할당량을 사용합니다.

리소스 할당량 설명
리전 네트워크 에지 보안 정책 할당량

이 할당량의 한도는 프로젝트의 각 리전에 있는 리전 네트워크 에지 보안 정책의 최대 개수를 정의합니다.

할당량 이름: NET_LB_SECURITY_POLICIES_PER_REGION

사용 가능한 측정항목:

  • compute.googleapis.com/quota/regional_net_lb_security_policies/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policies/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policies/exceeded
리전 네트워크 에지 보안 정책 규칙 할당량

이 할당량의 한도는 프로젝트의 각 리전에 있는 리전 네트워크 에지 보안 정책의 최대 총 규칙 수를 정의합니다.

할당량 이름: NET_LB_SECURITY_POLICY_RULES_PER_REGION

사용 가능한 측정항목:

  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/exceeded
리전 네트워크 에지 보안 정책 규칙 일치 값 할당량

이 할당량의 한도는 프로젝트의 각 리전에 있는 리전 네트워크 에지 보안 정책의 최대 총 규칙 속성 수를 정의합니다. 이 할당량의 사용량은 프로젝트의 리전에 있는 모든 네트워크 에지 보안 정책의 모든 규칙에서 SecurityPolicy.NetworkMatch 속성의 합계입니다.

할당량 이름: NET_LB_SECURITY_POLICY_RULE_ATTRIBUTES_PER_REGION

사용 가능한 측정항목:

  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/exceeded

주소 그룹

Google Cloud Armor 주소 그룹은 다음 할당량을 사용합니다.

리소스 할당량 설명
조직당 누적 용량 할당량 IPv4IPv6 IP 주소 범위를 포함하여 조직의 모든 주소 그룹에서 조직당 최대 용량. 이 한도는 150,000개 범위로 간주되며 여기서 IPv4 주소 범위는 하나의 범위로 계산되고 IPv6 IP 주소 범위는 3개의 범위로 계산됩니다.

예를 들어 IPv6 IP 주소 범위가 40,000개인 경우 IPv4 IP 주소 범위는 120,000개로 계산됩니다. 한도에 도달하기 전에 IPv4 IP 주소 범위 30,000개 또는 IPv6 IP 주소 범위 10,000개를 추가할 수 있습니다.
프로젝트당 누적 용량 할당량 IPv4IPv6 IP 주소 범위를 포함하여 프로젝트의 모든 주소 그룹에서 프로젝트당 최대 용량. 이 한도는 150,000개 범위로 간주되며 여기서 IPv4 주소 범위는 하나의 범위로 계산되고 IPv6 IP 주소 범위는 3개의 범위로 계산됩니다.

예를 들어 IPv6 IP 주소 범위가 40,000개인 경우 IPv4 IP 주소 범위는 120,000개로 계산됩니다. 한도에 도달하기 전에 IPv4 IP 주소 범위 30,000개 또는 IPv6 IP 주소 범위 10,000개를 추가할 수 있습니다.

Google Cloud Armor 할당량 외에 Google Cloud Armor를 사용하는 제품에도 자체 할당량이 있습니다. 예시는 Cloud Load Balancing 할당량 및 한도를 참조하세요.

Google Cloud는 다양한 이유로 리소스 사용량에 할당량을 적용합니다. 예를 들어 할당량은 사용량이 예기치 않게 급증하는 것을 방지하여 Google Cloud 사용자 커뮤니티를 보호합니다. Google Cloud는 프로젝트를 제한적으로 이용할 수 있는 무료 체험판 할당량도 제공하므로 무료로 Google Cloud를 살펴볼 수 있습니다.

모든 프로젝트의 할당량이 동일하지는 않습니다. Google Cloud 사용량이 점차 늘어나면 할당량도 이에 따라 늘릴 수 있습니다. 앞으로 사용량이 현저하게 늘어날 것으로 예상되는 경우 Google Cloud Console의 할당량 페이지에서 사전에 할당량 조정을 요청할 수 있습니다.

추가 할당량을 요청하려면 serviceusage.quotas.update 권한이 있어야 합니다. 이 권한은 사전 정의된 역할인 소유자, 편집자, 할당량 관리자에 기본적으로 포함되어 있습니다. 요청을 이행하는 데 충분한 시간을 확보할 수 있도록 최소 일주일 전에 리소스 추가를 계획하고 요청하시기 바랍니다. 추가 할당량을 요청하려면 추가 할당량 요청을 참조하세요.

한도

Google Cloud Armor의 한도는 다음과 같습니다.

항목 한도
규칙당 IP 주소 또는 IP 주소 범위 수 10
커스텀 표현식이 있는 각 규칙의 하위 표현식 수 5
커스텀 표현식의 각 하위 표현식 문자 수 1024
커스텀 표현식의 문자 수 2048
각 맞춤 표현식과 일치하는 정규 표현식 수 1

Google Cloud Armor 보안 정책을 사용하는 모든 백엔드에서 프로젝트별 초당 요청 수

이 한도는 적용되지 않습니다. Google은 모든 보안 정책에서 처리할 수 있는 트래픽 양을 프로젝트별로 제한할 수 있는 권리를 보유합니다. 계정팀에 직접 QPS 할당량 상향을 요청하세요.

 20,000
리전별 프로젝트당 네트워크 에지 보안 서비스 수 1

주소 그룹

Google Cloud Armor 주소 그룹의 한도는 다음과 같습니다.

인터넷 프로토콜 버전 단일 주소 그룹의 최대 용량 API 명령어 하나로 변경되는 최대 주소(예: add-items)
IPv4 150,000개의 IPv4 IP 주소 범위 50,000개의 IPv4 IP 주소 범위
IPv6 50,000개의 IPv6 IP 주소 범위 20,000개의 IPv6 IP 주소 범위

Manage quotas

Google Cloud Armor enforces quotas on resource usage for various reasons. For example, quotas protect the community of Google Cloud users by preventing unforeseen spikes in usage. Quotas also help users who are exploring Google Cloud with the free tier to stay within their trial.

All projects start with the same quotas, which you can change by requesting additional quota. Some quotas might increase automatically based on your use of a product.

Permissions

To view quotas or request quota increases, Identity and Access Management (IAM) principals need one of the following roles.

Task Required role
Check quotas for a project One of the following:
Modify quotas, request additional quota One of the following:
  • Project Owner (roles/owner)
  • Project Editor (roles/editor)
  • Quota Administrator (roles/servicemanagement.quotaAdmin)
  • A custom role with the serviceusage.quotas.update permission

Check your quota

Console

  1. In the Google Cloud console, go to the Quotas page.

    Go to Quotas

  2. To search for the quota that you want to update, use the Filter table. If you don't know the name of the quota, use the links on this page instead.

gcloud

Using the Google Cloud CLI, run the following command to check your quotas. Replace PROJECT_ID with your own project ID.

      gcloud compute project-info describe --project PROJECT_ID

To check your used quota in a region, run the following command:

    gcloud compute regions describe example-region

Errors when exceeding your quota

If you exceed a quota with a gcloud command, gcloud outputs a quota exceeded error message and returns with the exit code 1.

If you exceed a quota with an API request, Google Cloud returns the following HTTP status code: 413 Request Entity Too Large.

Request additional quota

To increase or decrease most quotas, use the Google Cloud console. For more information, see Request a higher quota.

Console

  1. In the Google Cloud console, go to the Quotas page.

    Go to Quotas

  2. On the Quotas page, select the quotas that you want to change.
  3. At the top of the page, click Edit quotas.
  4. For Name, enter your name.
  5. Optional: For Phone, enter a phone number.
  6. Submit your request. Quota requests take 24 to 48 hours to process.

Resource availability

Each quota represents a maximum number for a particular type of resource that you can create, if that resource is available. It's important to note that quotas don't guarantee resource availability. Even if you have available quota, you can't create a new resource if it is not available.

For example, you might have sufficient quota to create a new regional, external IP address in the us-central1 region. However, that is not possible if there are no available external IP addresses in that region. Zonal resource availability can also affect your ability to create a new resource.

Situations where resources are unavailable in an entire region are rare. However, resources within a zone can be depleted from time to time, typically without impact to the service level agreement (SLA) for the type of resource. For more information, review the relevant SLA for the resource.