割り当てと上限

このドキュメントでは、Google Cloud Armor に適用される割り当てと上限について説明します。 割り当ての詳細については、Virtual Private Cloud の割り当てをご覧ください。

割り当ては、Google Cloud プロジェクトで使用できる共有 Google Cloud リソース(ハードウェア、ソフトウェア、ネットワーク コンポーネントなど)の量を制限します。つまり、割り当てはシステムの一部で、次の機能があります。

  • Google Cloud のプロダクトとサービスの使用量や消費量をモニタリングする。
  • 公平性の確保や使用量急増の抑制などのため、これらのリソースの消費量を制限する。
  • 規定の制限を自動的に適用する構成を維持する。
  • 割り当てをリクエストまたは変更する手段を提供する。

ほとんどの場合、割り当てを超過すると、システムは関連する Google リソースへのアクセスをすぐにブロックするため、ユーザーが試行しているタスクは失敗します。ほとんどの場合、割り当ては各 Google Cloud プロジェクトに適用され、その Google Cloud プロジェクトを使用するすべてのアプリケーションと IP アドレスで共有されます。

Google Cloud Armor のリソースにも上限があります。これらの上限は、割り当てシステムとは無関係です。上限は、特に明記されていない限り、変更できません。

割り当て

Google Cloud Armor リソースの割り当ては、次の 2 つの基準に従って編成されます。

  • 割り当ての範囲:
    • global
    • リージョン
  • Google Cloud Armor セキュリティ ポリシーのタイプ:
    • バックエンド セキュリティ ポリシー
    • Edge のセキュリティ ポリシー
    • ネットワーク エッジのセキュリティ ポリシー

グローバル バックエンド セキュリティ ポリシーとグローバル エッジ セキュリティ ポリシー

グローバル バックエンド セキュリティ ポリシーとグローバル エッジ セキュリティ ポリシーは、次の割り当てを使用します。

リソース 割り当て 説明
グローバル セキュリティ ポリシー 割り当て

この割り当ての上限は、プロジェクトのグローバル バックエンド セキュリティ ポリシーとグローバル エッジ セキュリティ ポリシーの最大数を定義します。

割り当て名: SECURITY_POLICIES

利用可能な指標:

  • compute.googleapis.com/quota/security_policies/limit
  • compute.googleapis.com/quota/security_policies/usage
  • compute.googleapis.com/quota/security_policies/exceeded
グローバル セキュリティ ポリシー ルール 割り当て

この割り当ての上限は、プロジェクト内のグローバル バックエンド セキュリティ ポリシーとグローバル エッジ セキュリティ ポリシーの両方のルールの最大合計数を定義します。ルールで基本一致条件と詳細一致条件のどちらが使用しているかにかかわらず、この割り当ての使用量には、プロジェクト内のすべてのグローバル セキュリティ ポリシー間のすべてのルールがカウントされます。

割り当て名: SECURITY_POLICY_RULES

利用可能な指標:

  • compute.googleapis.com/quota/security_policy_rules/limit
  • compute.googleapis.com/quota/security_policy_rules/usage
  • compute.googleapis.com/quota/security_policy_rules/exceeded
詳細一致条件を含むグローバル セキュリティ ポリシー ルール 割り当て

この割り当ての上限は、プロジェクト内のグローバル バックエンド セキュリティ ポリシーとグローバル エッジ セキュリティ ポリシーの両方について、詳細一致条件を含むルールの最大数を定義します。詳細一致条件を含むグローバル セキュリティ ポリシー ルールも、前の行で説明したグローバル セキュリティ ポリシー ルールの割り当ての使用に影響します。

割り当て名: SECURITY_POLICY_CEVAL_RULES

利用可能な指標:

  • compute.googleapis.com/quota/security_policy_ceval_rules/limit
  • compute.googleapis.com/quota/security_policy_ceval_rules/usage
  • compute.googleapis.com/quota/security_policy_ceval_rules/exceeded

リージョン バックエンド セキュリティ ポリシー

リージョン バックエンド セキュリティ ポリシーでは、次の割り当てを使用します。

リソース 割り当て 説明
リージョン バックエンド セキュリティ ポリシー 割り当て

この割り当ての上限は、プロジェクトの各リージョンにおけるリージョン バックエンド セキュリティ ポリシーの最大数を定義します。

割り当て名: SECURITY_POLICIES_PER_REGION

利用可能な指標:

  • compute.googleapis.com/quota/regional_security_policies/limit
  • compute.googleapis.com/quota/regional_security_policies/usage
  • compute.googleapis.com/quota/regional_security_policies/exceeded
リージョン バックエンド セキュリティ ポリシー ルール 割り当て

この割り当ての上限は、プロジェクトの各リージョンにおけるリージョン バックエンド セキュリティ ポリシーのルールの最大合計数を定義します。この割り当ての使用量には、ルールで基本一致条件または詳細一致条件のどちらが使用されているかにかかわらず、プロジェクトのリージョン内のすべてのリージョン バックエンド セキュリティ ポリシーのすべてのルールがカウントされます。

割り当て名: SECURITY_POLICY_RULES_PER_REGION

利用可能な指標:

  • compute.googleapis.com/quota/regional_security_policy_rules/limit
  • compute.googleapis.com/quota/regional_security_policy_rules/usage
  • compute.googleapis.com/quota/regional_security_policy_rules/exceeded
詳細一致条件を含むリージョン バックエンド セキュリティ ポリシー ルール 割り当て

この割り当ての上限は、プロジェクトの各リージョンにおけるリージョン バックエンド セキュリティ ポリシーの詳細一致条件を含むルールの最大合計数を定義します。詳細一致条件を含むリージョン バックエンド セキュリティ ポリシー ルールも、前の行で説明したリージョンのリージョン バックエンド セキュリティ ポリシールールの割り当ての使用量に影響します。

割り当て名: SECURITY_POLICY_ADVANCED_RULES_PER_REGION

利用可能な指標:

  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/limit
  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/usage
  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/exceeded

リージョン ネットワーク エッジ セキュリティ ポリシー

リージョン ネットワーク エッジ セキュリティ ポリシーは、次の割り当てを使用します。

リソース 割り当て 説明
リージョン ネットワーク エッジ セキュリティ ポリシー 割り当て

この割り当ての上限は、プロジェクトの各リージョンにおけるリージョン ネットワーク エッジ セキュリティ ポリシーの最大数を定義します。

割り当て名: NET_LB_SECURITY_POLICIES_PER_REGION

利用可能な指標:

  • compute.googleapis.com/quota/regional_net_lb_security_policies/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policies/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policies/exceeded
リージョン ネットワーク エッジ セキュリティ ポリシー ルール 割り当て

この割り当ての上限は、プロジェクトの各リージョンにおけるリージョン ネットワーク エッジ セキュリティ ポリシーのルールの最大合計数を定義します。

割り当て名: NET_LB_SECURITY_POLICY_RULES_PER_REGION

利用可能な指標:

  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/exceeded
リージョン ネットワーク エッジ セキュリティ ポリシー ルールの一致値 割り当て

この割り当ての上限は、プロジェクトの各リージョンにおけるリージョン ネットワーク エッジ セキュリティ ポリシーのルール内の属性の最大合計数を定義します。この割り当ての使用量は、プロジェクトのリージョンにおけるすべてのネットワーク エッジ セキュリティ ポリシーのすべてのルールの SecurityPolicy.NetworkMatch 属性の合計です。

割り当て名: NET_LB_SECURITY_POLICY_RULE_ATTRIBUTES_PER_REGION

利用可能な指標:

  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/exceeded

アドレス グループ

Google Cloud Armor アドレス グループは、次の割り当てを使用します。

リソース 割り当て 説明
組織あたりの累積容量 割り当て 組織内のすべてのアドレス グループにわたる組織あたりの最大容量(IPv4IPv6 の IP アドレス範囲を含む)。 この上限は 150,000 個の範囲と見なします。IPv4 アドレス範囲は 1 つの範囲としてカウントされ、IPv6 IP アドレス範囲は 3 つの範囲としてカウントされます。

たとえば、40,000 個の IPv6 IP アドレス範囲がある場合、120,000 個の IPv4 IP アドレス範囲としてカウントされます。上限に達する前に、30,000 個の IPv4 IP アドレス範囲または 10,000 個の IPv6 IP アドレス範囲を追加できます。

プロジェクトごとの累積容量 割り当て プロジェクト内のすべてのアドレス グループ(IPv4IPv6 の IP アドレス範囲を含む)のプロジェクトあたりの最大容量。この上限は 150,000 個の範囲と見なします。IPv4 アドレス範囲は 1 つの範囲としてカウントされ、IPv6 IP アドレス範囲は 3 つの範囲としてカウントされます。

たとえば、40,000 個の IPv6 IP アドレス範囲がある場合、120,000 個の IPv4 IP アドレス範囲としてカウントされます。上限に達する前に、30,000 個の IPv4 IP アドレス範囲または 10,000 個の IPv6 IP アドレス範囲を追加できます。

Google Cloud Armor を使用するプロダクトには、Google Cloud Armor の割り当てのほかに独自の割り当てがあります。たとえば、Cloud Load Balancing の割り当てと上限をご覧ください。

Google Cloud では、さまざまな理由から、使用できるリソースの割り当て量に上限が設けられています。たとえば、割り当て量を制限して予期しない使用量の急増を防ぐことで Google Cloud ユーザーのコミュニティを保護しています。また、Google Cloud には、無料トライアル用にプロジェクトでのアクセスを制限した Google Cloud Platform の無料トライアルの割り当てもあります。

割り当て量はすべてのプロジェクトで同じとは限りません。Google Cloud の使用量の増加に応じて割り当て量を増やすことができます。使用量の大幅な増加が見込まれる場合は、事前に Google Cloud Console の [割り当て] ページから割り当て量の調整をリクエストできます。

追加の割り当てをリクエストするには、serviceusage.quotas.update 権限が必要です。この権限は、事前定義ロールのオーナー、編集者、割り当て管理者にはデフォルトで含まれています。リクエストの完了に十分な時間が確保されるように、少なくとも 1 週間前に追加のリソースを計画してリクエストしてください。追加の割り当てをリクエストする方法については、追加の割り当てをリクエストするをご覧ください。

上限

Google Cloud Armor には以下の上限が設定されています。

項目 上限
ルールごとの IP アドレスまたは IP アドレス範囲の数 10
カスタム式を定義する 1 つのルールに含めることができるサブ式の数 5
カスタム式内の各サブ式の文字数 1024
カスタム式内の文字数 2048
各カスタム式の一致する正規表現の数 1

Google Cloud Armor セキュリティ ポリシーを使用した、すべてのバックエンドにわたるプロジェクトごとの 1 秒あたりのリクエスト数。

この上限は適用されません。Google は、すべてのセキュリティ ポリシーで処理できるトラフィック量をプロジェクトごとに制限する権限を有します。QPS の割り当てを増加するには、リクエストをアカウント チームに送信してください。

20,000
1 リージョン、1 プロジェクトあたりのネットワーク エッジ セキュリティ サービスの数 1

アドレス グループ

Google Cloud Armor アドレス グループには次の制限があります。

インターネット プロトコルのバージョン 1 つのアドレス グループの最大容量 1 つの API コマンド(add-items など)で変更される最大アドレス数
IPv4 150,000 個の IPv4 IP アドレス範囲 50,000 個の IPv4 IP アドレス範囲
IPv6 50,000 個の IPv6 IP アドレス範囲 20,000 個の IPv6 IP アドレス範囲

割り当てを管理する

Google Cloud Armor では、さまざまな理由から、使用できるリソースの割り当て量に上限が設けられています。たとえば、割り当て量の上限を設定して予期しない使用量の急増を防ぐことで、 Google Cloud ユーザーのコミュニティを保護しています。割り当て量は、無料枠で Google Cloud を試しているユーザーをトライアルに留めておくのにも役立ちます。

すべてのプロジェクトは同じ割り当て量で開始しますが、追加の割り当て量をリクエストすることで変更できます。割り当てによっては、プロダクトの使用状況に応じて自動的に増加される場合もあります。

権限

Identity and Access Management(IAM)のプリンシパルが割り当ての表示や、割り当ての増加のリクエストをするには、以下のいずれかのロールが必要です。

タスク 必要なロール
プロジェクトの割り当て量をチェックする 次のいずれかが必要です。
割り当て量の変更、割り当て量の追加のリクエストを行う 次のいずれかが必要です。
  • プロジェクト オーナーroles/owner
  • プロジェクト編集者roles/editor
  • 割り当て管理者roles/servicemanagement.quotaAdmin
  • serviceusage.quotas.update 権限のあるカスタムロール

割り当て量を確認する

コンソール

  1. Google Cloud コンソールで [割り当て] ページに移動します。

    [割り当て] に移動

  2. 更新する割り当てを検索するには、[表をフィルタリング] を使用します。割り当ての名前がわからない場合は、このページにあるリンクを使用します。

gcloud

Google Cloud CLI で次のコマンドを実行して、割り当てを確認します。PROJECT_ID は、実際のプロジェクト ID に置き換えます。

    gcloud compute project-info describe --project PROJECT_ID

ある特定のリージョンで使用済みの割り当て量を確認するには、次のコマンドを実行します。

    gcloud compute regions describe example-region
    

割り当て量を超えたときのエラー

gcloud コマンドで割り当て量を超えた場合、gcloudquota exceeded エラー メッセージを出力し、終了コード 1 を返します。

API リクエストで割り当て量を超えた場合、Google Cloud は HTTP ステータス コード 413 Request Entity Too Large を返します。

追加の割り当てをリクエスト

ほどんどの場合、割り当ての増減を行うには Google Cloud コンソールを使用します。詳細については、割り当ての増加をリクエストするをご覧ください。

コンソール

  1. Google Cloud コンソールで [割り当て] ページに移動します。

    [割り当て] に移動

  2. [割り当て] ページで、変更する割り当てを選択します。
  3. ページの上部にある [割り当てを編集] をクリックします。
  4. [名前] に氏名を入力します。
  5. 省略可: [電話番号] に有効な電話番号を入力します。
  6. リクエストを送信します。割り当てのリクエストが処理されるまでに、24~48 時間かかります。

リソースの可用性

各割り当て量は、リソースが利用可能な場合に作成できる特定のリソースタイプの最大数を表します。割り当て量によってリソースの可用性が保証されるわけではありません。この点は注意が必要です。割り当て量が使用可能でも、新しいリソースを使用できなければ、そのリソースを作成することはできません。

たとえば、us-central1 リージョンで新しいリージョンの外部 IP アドレスを作成するための割り当て量が十分にあっても、そのリージョンに使用可能な外部 IP アドレスがない場合、外部 IP アドレスは作成できません。ゾーンリソースの可用性は、新しいリソースを作成できるかにも影響を及ぼす可能性があります。

リージョン全体でリソースを使用できない状況はまれです。ただし、ゾーン内のリソースが使い果たされることはあります。通常、そのリソースタイプのサービスレベル契約(SLA)に影響はありません。詳細については、リソースに関連する SLA をご覧ください。