Ce document liste les quotas et les limites du système qui s'appliquent Google Cloud Armor. Les quotas spécifient la quantité d'une ressource partagée dénombrable que vous pouvez utiliser. Ils sont définis par des services Google Cloud tels que Google Cloud Armor. Les limites du système sont des valeurs fixes qui ne peuvent pas être modifiées.
Google Cloud utilise des quotas pour garantir l'équité et réduire les pics d'utilisation et de disponibilité des ressources. Un quota limite la quantité de ressources Google Cloud que votre projet Google Cloud peut utiliser. Les quotas s'appliquent à différents types de ressources, y compris les composants matériels, logiciels et réseau. Par exemple, les quotas peuvent limiter le nombre d'appels d'API à un service, le nombre d'équilibreurs de charge utilisés simultanément par votre projet ou le nombre de projets que vous pouvez créer. Les quotas protègent la communauté des utilisateurs de Google Cloud en empêchant la surcharge des services. Les quotas vous aident également à gérer vos propres ressources Google Cloud.
Le système Cloud Quotas effectue les opérations suivantes :
- Surveille votre consommation de produits et services Google Cloud
- Limite votre consommation de ces ressources
- Permet de demander des modifications de la valeur du quota
Dans la plupart des cas, lorsque vous tentez d'utiliser plus d'une ressource que son quota ne le permet, le système bloque l'accès à la ressource et la tâche que vous essayez d'effectuer échoue.
Les quotas s'appliquent généralement au niveau du projet Google Cloud. Votre utilisation d'une ressource dans un projet n'affecte pas votre quota disponible dans un autre projet. Dans un projet Google Cloud, les quotas sont partagés entre toutes les applications et adresses IP.
Des limites du système s'appliquent également aux ressources Google Cloud Armor. Les limites système ne peuvent pas être modifiées.
Quotas
Les quotas de ressources Google Cloud Armor sont organisés selon deux critères :
- Portée du quota :
- global
- régional
- Type de stratégie de sécurité Google Cloud Armor:
- stratégie de sécurité du backend
- stratégie de sécurité périphérique
- stratégie de sécurité de périphérie de réseau
Règles de sécurité de backend globales et règles de sécurité Edge globales
Google Cloud Armor utilise les quotas par projet suivants pour les stratégies de sécurité de bord globales, les stratégies de sécurité de backend globales et les règles qui y sont incluses :
| Ressource | Quota | Description |
|---|---|---|
| Règles de sécurité globales par projet | Quota | La limite de ce quota définit le nombre maximal les stratégies de sécurité Edge et les stratégies de sécurité de backend globales, ensemble, dans un projet. Nom du quota : Métriques disponibles :
|
| Règles de stratégie de sécurité globales par projet | Quota | La limite de ce quota définit le nombre total maximal de règles dans les stratégies de sécurité de bord globales et les stratégies de sécurité de backend globales, dans un projet. L'utilisation de ce quota inclut les éléments suivants :
Nom du quota : Métriques disponibles :
|
| Les règles de stratégie de sécurité globales avec des conditions de correspondance avancées par projet | Quota | La limite de ce quota définit le nombre total maximal de règles avec des conditions de correspondance avancées pour la sécurité périphérique mondiale et les stratégies globales de sécurité des backends, dans un projet. La l'utilisation de ce quota compte:
Nom du quota : Métriques disponibles :
|
Quotas par règle de stratégie de sécurité globale pour les règles avec des conditions de correspondance avancées
Google Cloud Armor utilise les quotas par stratégie de sécurité suivants pour les règles avec des conditions de correspondance avancées dans les stratégies de sécurité de périphérie globale et les stratégies de sécurité de backend globale :
| Ressource | Quota | Description |
|---|---|---|
| Règles avec des conditions de correspondance avancées par stratégie de sécurité périphérique globale | Quota | La limite de ce quota définit le nombre maximal de règles avec des conditions de correspondance avancées dans une stratégie de sécurité périphérique globale spécifique. Nom du quota : Métriques disponibles :
|
| Règles avec des conditions de correspondance avancées par stratégie de sécurité de backend globale | Quota | La limite de ce quota définit le nombre maximal de règles avec des conditions de correspondance avancées dans une stratégie de sécurité de backend globale spécifique. Nom du quota : Métriques disponibles :
|
Résumé des quotas comptabilisés pour les règles dans les stratégies de sécurité globales
Le tableau suivant indique les quotas pris en compte pour les règles de base et les règles avec des conditions de correspondance avancées dans les règles de sécurité globales:
| Règle | Utilisation comptabilisée dans ces quotas |
|---|---|
| Règle de base dans une stratégie de sécurité de périphérie globale |
|
| Règle de base dans une stratégie de sécurité de backend globale |
|
| Règle avec des conditions de correspondance avancées dans une stratégie de sécurité périphérique globale |
|
| Règle avec des conditions de correspondance avancées dans une stratégie de sécurité backend globale |
|
Règles de sécurité de backend régionales
Google Cloud Armor utilise les quotas par région et par projet suivants pour les règles et les stratégies de sécurité de backend régionales :
| Ressource | Quota | Description |
|---|---|---|
| Stratégies de sécurité de backend régionales par région et par projet | Quota | La limite de ce quota définit le nombre maximal d'enregistrements régionaux des stratégies de sécurité de backend dans une région d'un projet. Nom du quota : Métriques disponibles :
|
| Règles de stratégie de sécurité de backend régionales par région et par projet | Quota | La limite de ce quota définit le nombre total maximal de règles dans les stratégies de sécurité de backend régionales d'une région d'un projet. L'utilisation pour ce quota incluent à la fois les règles de base et les règles avec correspondance avancée et conditions d'exploitation. Nom du quota : Métriques disponibles :
|
| Règles de stratégie de sécurité des backends régionaux avec des conditions de correspondance avancées par région et par projet | Quota | La limite de ce quota définit le nombre maximal total de règles avec des conditions de correspondance avancées dans les stratégies de sécurité du backend régional d'une région d'un projet. L'utilisation de ce quota ne compte que les règles avec des conditions de correspondance avancées. Nom du quota : Métriques disponibles :
|
Quotas par stratégie de sécurité du backend régional pour les règles avec des conditions de correspondance avancées
Google Cloud Armor utilise les quotas suivants selon la stratégie de sécurité suivants pour les règles avec des conditions de correspondance avancées dans les règles de sécurité des backends régionaux:
| Ressource | Quota | Description |
|---|---|---|
| Règles avec des conditions de correspondance avancées par stratégie de sécurité de backend régionale | Quota | La limite de ce quota définit le nombre maximal de règles avancées dans une stratégie de sécurité de backend régionale spécifique. Nom du quota : Métriques disponibles :
|
Récapitulatif des quotas comptabilisés pour les règles dans les stratégies de sécurité backend régionales
Le tableau suivant indique les quotas pris en compte pour les règles de base et les règles avec des conditions de correspondance avancées dans les règles de sécurité des backends régionaux:
| Règle | Utilisation comptabilisée dans ces quotas |
|---|---|
| Règle de base dans une stratégie de sécurité de backend régionale |
|
| Règle avec des conditions de correspondance avancées dans une stratégie de sécurité de backend régionale |
|
Règles de sécurité régionales en périphérie du réseau
Google Cloud Armor utilise les quotas suivants par région et par projet pour y compris les stratégies et règles de sécurité régionales du réseau périphérique:
| Ressource | Quota | Description |
|---|---|---|
| Stratégies de sécurité de périphérie de réseau régionales par région et par projet | Quota | La limite de ce quota définit le nombre maximal d'enregistrements régionaux les stratégies de sécurité en périphérie du réseau dans chaque région d'un projet. Nom du quota : Métriques disponibles :
|
| Règles de stratégie de sécurité de périphérie de réseau régionales par région et par projet | Quota | La limite de ce quota définit le nombre total maximal de règles pour les stratégies de sécurité de périphérie de réseau régionales dans chaque région d'un projet. Nom du quota : Métriques disponibles :
|
| Valeurs de correspondance des règles de stratégie de sécurité périphériques du réseau régional par région, par projet | Quota | La limite de ce quota définit le nombre total maximal
dans les règles des stratégies de sécurité régionales en périphérie du réseau dans chaque
dans la région d'un projet. L'utilisation de ce quota correspond à la somme de
Attributs Nom du quota : Métriques disponibles :
|
Groupes d'adresses
Les groupes d'adresses Google Cloud Armor utilisent les quotas suivants:
| Ressource | Quota | Description |
|---|---|---|
| Capacité cumulée de la plage d'adresses IP par organisation | Quota | Cette limite de quota définit la capacité maximale, cumulées, utilisées dans tous les groupes d'adresses d'une organisation. Chaque plage d'adresses À titre d'illustration, une limite de quota de 50 000 utilisateurs accepte plusieurs combinaisons
des plages
|
| Capacité cumulée de la plage d'adresses IP par projet | Quota | Cette limite de ce quota définit la capacité maximale, cumulée, utilisée par tous les groupes d'adresses d'un projet. Chaque plage d'adresses |
Outre les quotas Google Cloud Armor, les produits qui utilisent Google Cloud Armor a ses propres quotas. Consultez par exemple la page Quotas et limites de Cloud Load Balancing.
Google Cloud impose des quotas sur l'utilisation des ressources pour de nombreuses raisons, par exemple pour préserver la communauté des utilisateurs de Google Cloud en empêchant les pics d'utilisation imprévus. Dans Google Cloud, des quotas d'essai gratuit sont également proposés. Ils offrent un accès limité aux projets dont le seul but est d'explorer Google Cloud à titre d'essai gratuit.
Tous les projets ne sont pas soumis aux mêmes quotas. À mesure que votre utilisation de Google Cloud s'accroît, les quotas peuvent augmenter en conséquence. Si vous prévoyez une augmentation notable de l'utilisation, vous pouvez anticiper cette évolution en demandant des ajustements de quota sur la page Quotas de Google Cloud Console.
Pour demander des quotas supplémentaires, vous devez disposer de l'autorisation serviceusage.quotas.update. Elle est incluse par défaut pour les rôles prédéfinis suivants : propriétaire, éditeur et administrateur de quotas. Effectuez votre demande de ressources supplémentaires au moins une semaine à l'avance pour que le temps de traitement soit suffisant. Pour demander un quota supplémentaire, consultez la section Demander un quota supplémentaire.
Limites
Les limites suivantes s'appliquent à Google Cloud Armor :
| Élément | Limites |
|---|---|
| Nombre d'adresses IP ou de plages d'adresses IP par règle | 10 |
| Nombre de sous-expressions pour chaque règle avec une expression personnalisée | 5 |
| Nombre de caractères pour chaque sous-expression d'une expression personnalisée | 1 024 |
| Nombre de caractères d'une expression personnalisée | 2 048 |
Nombre de requêtes par seconde et par projet dans l'ensemble des backends dotés d'une stratégie de sécurité Google Cloud Armor Cette limite n'est pas appliquée. Google se réserve le droit pour limiter le volume de trafic pouvant être traité par toutes les instances par projet. Adressez vos demandes d'augmentation de RPS à l'équipe de gestion du compte. |
20 000 |
| Nombre de services de sécurité de périphérie de réseau par région et par projet | 1 |
Groupes d'adresses
Les limites suivantes s'appliquent aux groupes d'adresses Google Cloud Armor:
| Version du protocole Internet | Capacité maximale d'un groupe d'adresses | Nombre maximal d'adresses modifiées par une commande d'API (par exemple, add-items) |
|---|---|---|
| IPv4 | 150 000 plages d'adresses IP IPv4 |
50 000 plages d'adresses IP IPv4 |
| IPv6 | 50 000 plages d'adresses IP IPv6 |
20 000 plages d'adresses IP IPv6 |
Gérer les quotas
Google Cloud Armor impose des quotas sur l'utilisation des ressources pour différentes raisons. Il s'agit, par exemple, de préserver la communauté des utilisateurs Google Cloud en empêchant les pics d'utilisation imprévus. Les quotas aident également les utilisateurs qui explorent Google Cloud avec la version gratuite à ne pas dépasser les limites de leur version d'essai.
Tous les projets débutent avec les mêmes quotas, que vous pouvez modifier en demandant un quota supplémentaire. Certains quotas peuvent augmenter automatiquement en fonction de votre utilisation d'un produit.
Autorisations
Pour afficher les quotas ou demander des augmentations de quotas, les entités principales IAM (gestion de l'authentification et des accès) doivent disposer de l'un des rôles suivants :
| Tâche | Rôle requis |
|---|---|
| Vérifier les quotas d'un projet | Choisissez l'une des options suivantes :
|
| Modifier les quotas, demander un quota supplémentaire | Choisissez l'une des options suivantes :
|
Vérifier les quotas
Console
- Dans Google Cloud Console, accédez à la page Quotas.
- Pour rechercher le quota à mettre à jour, utilisez l'option Filtrer le tableau. Si vous ne connaissez pas le nom du quota, utilisez les liens disponibles sur cette page à la place.
gcloud
À l'aide de Google Cloud CLI, exécutez la commande suivante pour vérifier vos quotas. Remplacez PROJECT_ID par votre ID de projet :
gcloud compute project-info describe --project PROJECT_ID
Pour vérifier le quota que vous avez déjà consommé dans une région, exécutez la commande suivante :
gcloud compute regions describe example-region
Erreurs lors du dépassement de votre quota
Si vous dépassez un quota avec une commande gcloud, gcloud génère un message d'erreur quota exceeded et renvoie le code de sortie 1.
Si vous dépassez un quota avec une requête API, Google Cloud renvoie le code d'état HTTP suivant : 413 Request Entity Too Large.
Demander un quota supplémentaire
Pour demander une augmentation ou une diminution de la plupart des quotas, vous pouvez utiliser Google Cloud Console. Pour en savoir plus, consultez Demander une augmentation de quota.
Console
- Dans Google Cloud Console, accédez à la page Quotas.
- Sur la page Quotas, sélectionnez les quotas à modifier.
- En haut de la page, cliquez sur Modifier les quotas.
- Dans le champ Name (Nom), saisissez votre nom.
- Facultatif: Dans le champ Téléphone, saisissez un numéro de téléphone.
- Envoyez la demande. Le traitement des demandes de quotas nécessite un délai de 24 à 48 heures.
Disponibilité des ressources
Chaque quota représente le nombre maximal de ressources que vous pouvez créer pour un type de ressource donné, sous réserve de disponibilité. Il est important de noter que les quotas ne garantissent pas la disponibilité des ressources. Même si vous disposez d'un quota, vous ne pouvez pas créer une ressource si celle-ci n'est pas disponible.
Par exemple, vous pouvez disposer d'un quota suffisant pour créer une adresse IP régionale externe dans la région us-central1. Toutefois, cela n'est pas possible si aucune adresse IP externe n'est disponible dans cette région. La disponibilité des ressources par zone peut également avoir une incidence sur votre capacité à créer des ressources.
Les situations dans lesquelles des ressources sont indisponibles dans une région entière sont rares. Toutefois, les ressources d'une zone peuvent parfois être épuisées de temps en temps, ce qui n'a généralement pas d'incidence sur le contrat de niveau de service pour le type de ressource. Pour plus d'informations, consultez le contrat de niveau de service correspondant à la ressource.