配额和限制

本文档列出了适用于 Google Cloud Armor 的配额和限制。

Google Cloud 使用配额来帮助确保公平性并减少资源使用和可用性的激增。配额用于限制您的 Google Cloud 项目可使用的 Google Cloud 资源的数量。配额适用于一系列资源类型,包括硬件、软件和网络组件。例如,配额可以限制对某项服务的 API 调用次数、您的项目并发使用的负载均衡器数量或者您可以创建的项目数量。配额可以防止服务过载,从而保护 Google Cloud 用户社区。配额还可帮助您管理自己的 Google Cloud 资源。

Cloud 配额系统执行以下操作:

  • 监控 Google Cloud 产品和服务的消耗情况
  • 限制这些资源的消耗量
  • 提供请求更改配额值的方法。

在大多数情况下,当您尝试消耗的资源超出其配额允许的范围时,系统会阻止对资源的访问,并且您尝试执行的任务会失败。

配额通常在 Google Cloud 项目级层应用。您在一个项目中使用资源不会影响您在另一个项目中的可用配额。在 Google Cloud 项目中,配额在所有应用和 IP 地址间共享。

Google Cloud Armor 资源也有限制。这些限制与配额系统无关。除非另有说明,否则无法更改限制。

配额

Google Cloud Armor 资源配额按照以下两个条件组织:

  • 配额范围:
    • 全局
    • 区域级
  • Google Cloud Armor 安全政策的类型:
    • 后端安全政策
    • 边缘安全政策
    • 网络边缘安全政策

全球后端安全政策和全球边缘安全政策

Google Cloud Armor 使用以下每个项目的全球边缘配额 安全政策、全局后端安全政策及其中的规则:

资源 配额 说明
每个项目的全局安全政策数 配额

此配额的限制定义了全球 边缘安全政策全球后端安全政策, 一起工作

配额名称:SECURITY_POLICIES

可用指标:

  • compute.googleapis.com/quota/security_policies/limit
  • compute.googleapis.com/quota/security_policies/usage
  • compute.googleapis.com/quota/security_policies/exceeded
每个项目的全局安全政策规则数 配额

此配额的限制定义了规则总数上限 包括全球边缘安全政策和全球后端安全政策, 一起工作此配额的用量计入以下各项:

  • 全球边缘安全政策中的基本规则
  • 全局后端安全政策中的基本规则
  • 全球边缘安全中具有高级匹配条件的规则 政策
  • 全局后端安全中具有高级匹配条件的规则 政策

配额名称:SECURITY_POLICY_RULES

可用指标:

  • compute.googleapis.com/quota/security_policy_rules/limit
  • compute.googleapis.com/quota/security_policy_rules/usage
  • compute.googleapis.com/quota/security_policy_rules/exceeded
具有高级匹配条件的全局安全政策规则数: 项目 配额

此配额的限制定义了规则总数上限 同时具有全球边缘安全领域的高级匹配条件 同时纳入一个项目中。通过 此配额的使用量统计以下项:

  • 全球边缘安全中具有高级匹配条件的规则 政策
  • 全局后端安全中具有高级匹配条件的规则 政策

配额名称:SECURITY_POLICY_CEVAL_RULES

可用指标:

  • compute.googleapis.com/quota/security_policy_ceval_rules/limit
  • compute.googleapis.com/quota/security_policy_ceval_rules/usage
  • compute.googleapis.com/quota/security_policy_ceval_rules/exceeded

具有高级匹配条件的规则的全球安全政策配额

Google Cloud Armor 对规则采用以下每项安全政策配额 全球边缘安全政策和全球范围内的高级匹配条件 后端安全政策:

资源 配额 说明
具有高级匹配条件的规则(按全球边缘安全性) 政策 配额

此配额的限制定义了具有 特定全球边缘安全政策中的高级匹配条件。

配额名称:SECURITY_POLICY_ADVANCED_RULES_PER_EDGE_SECURITY_POLICY

可用指标:

  • compute.googleapis.com/quota/advanced_rules_per_edge_security_policy/limit
  • compute.googleapis.com/quota/advanced_rules_per_edge_security_policy/usage
  • compute.googleapis.com/quota/advanced_rules_per_edge_security_policy/exceeded
每个全局后端安全性具有高级匹配条件的规则数 政策 配额

此配额的限制定义了具有 特定全局后端安全政策中的高级匹配条件。

配额名称:SECURITY_POLICY_ADVANCED_RULES_PER_SECURITY_POLICY

可用指标:

  • compute.googleapis.com/quota/advanced_rules_per_security_policy/limit
  • compute.googleapis.com/quota/advanced_rules_per_security_policy/usage
  • compute.googleapis.com/quota/advanced_rules_per_security_policy/exceeded

全局安全政策中针对规则计数的配额摘要

下表显示了对基本规则和规则应用了哪些配额 具有全局安全政策中的高级匹配条件:

规则 用量计入这些配额
全球边缘安全政策中的基本规则
  • 每个项目的全局安全政策规则数 (SECURITY_POLICY_RULES)
全局后端安全政策中的基本规则
  • 每个项目的全局安全政策规则数 (SECURITY_POLICY_RULES)
在全球边缘安全政策中使用高级匹配条件的规则
  • 每个项目的全局安全政策规则数 (SECURITY_POLICY_RULES)
  • 每个项目的全局安全政策规则及高级匹配条件 (SECURITY_POLICY_CEVAL_RULES)
  • 每个全球边缘安全政策的高级匹配条件规则 (SECURITY_POLICY_ADVANCED_RULES_PER_EDGE_SECURITY_POLICY)
全局后端安全政策中包含高级匹配条件的规则
  • 每个项目的全局安全政策规则数 (SECURITY_POLICY_RULES)
  • 每个项目的全局安全政策规则及高级匹配条件 (SECURITY_POLICY_CEVAL_RULES)
  • 每个全局后端安全政策具有高级匹配条件的规则数 (SECURITY_POLICY_ADVANCED_RULES_PER_SECURITY_POLICY)

区域级后端安全政策

Google Cloud Armor 使用以下每个区域、每个项目的配额 区域级后端安全政策和规则:

资源 配额 说明
每个项目在每个区域的区域级后端安全政策 配额

此配额的限制定义了 项目区域中的后端安全政策。

配额名称:SECURITY_POLICIES_PER_REGION

可用指标:

  • compute.googleapis.com/quota/regional_security_policies/limit
  • compute.googleapis.com/quota/regional_security_policies/usage
  • compute.googleapis.com/quota/regional_security_policies/exceeded
每个项目中每个区域的区域级后端安全政策规则数 配额

此配额的限制定义了规则总数上限 区域后端安全政策的限制。用法 同时计算基本规则和高级匹配规则的数量 条件。

配额名称:SECURITY_POLICY_RULES_PER_REGION

可用指标:

  • compute.googleapis.com/quota/regional_security_policy_rules/limit
  • compute.googleapis.com/quota/regional_security_policy_rules/usage
  • compute.googleapis.com/quota/regional_security_policy_rules/exceeded
具有高级匹配条件的区域级后端安全政策规则 每个项目在每个区域 配额

此配额的限制定义了规则总数上限 在区域级后端安全性中采用高级匹配条件 政策或政策此配额的用量仅计入 具有高级匹配条件的规则。

配额名称:SECURITY_POLICY_ADVANCED_RULES_PER_REGION

可用指标:

  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/limit
  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/usage
  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/exceeded

具有高级匹配条件的规则的按区域后端安全政策配额

Google Cloud Armor 对规则采用以下每项安全政策配额 在区域级后端安全政策中使用高级匹配条件:

资源 配额 说明
每个区域后端安全性具有高级匹配条件的规则数 政策 配额

此配额的限制定义了 特定区域级后端安全政策中的规则。

配额名称:SECURITY_POLICY_ADVANCED_RULES_PER_REGIONAL_SECURITY_POLICY

可用指标:

  • compute.googleapis.com/quota/advanced_rules_per_regional_security_policy/limit
  • compute.googleapis.com/quota/advanced_rules_per_regional_security_policy/usage
  • compute.googleapis.com/quota/advanced_rules_per_regional_security_policy/exceeded

针对区域级后端安全政策中的规则统计的配额摘要

下表显示了对基本规则和规则应用了哪些配额 在区域级后端安全政策中使用高级匹配条件:

规则 用量计入这些配额
区域级后端安全政策中的基本规则
  • 每个项目中每个区域的区域级后端安全政策规则数 (SECURITY_POLICY_RULES_PER_REGION)
区域后端安全政策中包含高级匹配条件的规则
  • 每个项目中每个区域的区域级后端安全政策规则数 (SECURITY_POLICY_RULES_PER_REGION)
  • 具有高级匹配条件的区域级后端安全政策规则数: 每个项目的区域 (SECURITY_POLICY_ADVANCED_RULES_PER_REGION) )
  • 每个区域级后端安全政策具有高级匹配条件的规则数 (SECURITY_POLICY_ADVANCED_RULES_PER_REGIONAL_SECURITY_POLICY)

区域级网络边缘安全政策

Google Cloud Armor 使用以下每个区域、每个项目的配额 区域级网络边缘安全政策和规则:

资源 配额 说明
每个项目在每个区域的区域级网络边缘安全政策 配额

此配额的限制定义了 项目每个区域的网络边缘安全政策。

配额名称:NET_LB_SECURITY_POLICIES_PER_REGION

可用指标:

  • compute.googleapis.com/quota/regional_net_lb_security_policies/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policies/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policies/exceeded
每个区域的区域级网络边缘安全政策规则数 项目 配额

此配额的限制定义了规则总数上限 每个区域的区域级网络边缘安全政策 项目。

配额名称:NET_LB_SECURITY_POLICY_RULES_PER_REGION

可用指标:

  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/exceeded
区域级网络边缘安全政策规则匹配值(每个区域,每个) 项目 配额

此配额的限制定义了 区域网络边缘安全政策的规则中, 区域。此配额的使用量为以下项的总和: 每个规则的每条规则中的 SecurityPolicy.NetworkMatch 个属性 项目区域中的网络边缘安全政策。

配额名称:NET_LB_SECURITY_POLICY_RULE_ATTRIBUTES_PER_REGION

可用指标:

  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/exceeded

地址组

Google Cloud Armor 地址组使用以下配额:

资源 配额 说明
每个组织的累积容量 配额 集群中所有地址组中每个组织的最大容量 包括 IPv4IPv6 个 IP 地址范围。 将此上限视为 150,000 个范围,其中 IPv4 系统会将相应地址范围计为 1 个范围和 IPv6 个 IP 地址范围 计为三个范围。

例如,如果您有 40,000 个 IPv6 个 IP 地址范围,计为 120,000 个IPv4 IP 地址范围。您可以添加 3 万个 IPv4 IP 地址范围 或 10,000 个IPv6 IP 地址范围,您才会达到上限。
每个项目的累计容量 配额 网络中所有地址组的每个项目的最大容量 项目,包括 IPv4IPv6 IP 地址范围。 将此上限视为 150,000 个范围,其中 IPv4 系统会将相应地址范围计为 1 个范围和 IPv6 个 IP 地址范围 计为三个范围。

例如,如果您有 40,000 个 IPv6 个 IP 地址范围,计为 120,000 个IPv4 IP 地址范围。您可以添加 3 万个 IPv4 IP 地址范围 或 10,000 个IPv6 IP 地址范围,您才会达到上限。

除了 Google Cloud Armor 配额以外 Google Cloud Armor 有自己的配额。有关示例,请参见 Cloud Load Balancing 配额和限制

出于多种原因,Google Cloud 对资源用量实施配额限制。例如,配额可保护 Google Cloud 用户群体,避免出现意外的用量激增。Google Cloud 还提供免费试用 配额 可为处于探索阶段的项目提供有限访问权限 Google Cloud 提供免费试用。

并非所有项目的配额都完全相同。随着您的 Google Cloud 使用量逐步增加,您的配额可能会相应地增加。如果您预计自己的用量即将显著增加,可以在 Google Cloud 控制台的配额页面中主动申请调整配额。

如需申请额外的配额,您必须具有 serviceusage.quotas.update 权限。默认情况下,以下预定义角色包含此权限:Owner、Editor 和 Quota Administrator。请至少提前一周时间安排申请更多资源,以确保我们有足够的时间来处理您的申请。如需申请额外的配额,请参阅申请更多配额

限制

Google Cloud Armor 的限制如下:

设限项 限制
每条规则的 IP 地址或 IP 地址范围数量 10
具有自定义表达式的每条规则的子表达式数量 5
自定义表达式中每个子表达式的字符数 1024
自定义表达式中的字符数 2048
每个自定义表达式的正则表达式匹配数量 5

每个项目中具有 Google Cloud Armor 安全政策的所有后端的每秒请求数

此限制没有强制执行。Google 有权按项目限制所有安全政策可以处理的流量。如需申请增加 QPS,请将申请提交至您的客户支持团队。

 20,000
每个项目每个区域的网络边缘安全服务数量 1

地址组

Google Cloud Armor 地址组具有以下限制:

互联网协议版本 单个地址组的最大容量 通过一个 API 命令(如 add-items)更改的地址数上限
IPv4 15 万个 IPv4 IP 地址范围 50,000 个 IPv4 IP 地址范围
IPv6 50,000 个 IPv6 IP 地址范围 20,000 个 IPv6 IP 地址范围

管理配额

出于各种原因,Google Cloud Armor 会对资源用量实施配额限制。例如,配额可避免出现意料之外的用量突增,从而为 Google Cloud 用户社区提供保护。配额还可帮助正在通过免费层级探索 Google Cloud 的用户避免中断试用。

所有项目在开始时都具有相同的配额,您可以通过申请更多配额来进行更改。根据您使用产品的情况,一些配额可能会自动增加。

权限

如需查看配额或申请增加配额,Identity and Access Management (IAM) 主账号需要具备以下某个角色:

任务 所需角色
检查项目的配额 以下之一:
修改配额,申请更多配额 以下之一:
  • Project Owner (roles/owner)
  • Project Editor (roles/editor)
  • Quota Administrator (roles/servicemanagement.quotaAdmin)
  • 具有 serviceusage.quotas.update 权限的自定义角色

查看您的配额

控制台

  1. 在 Google Cloud 控制台中,转到配额页面。

    转到“配额”

  2. 如需搜索要更新的配额,请使用过滤表。 如果您不知道配额的名称,请使用此页面上的链接。

gcloud

使用 Google Cloud CLI 运行以下命令来查看您的配额。请将 PROJECT_ID 替换为您自己的项目 ID。

      gcloud compute project-info describe --project PROJECT_ID

如需查看您在某一区域中已使用的配额,请运行以下命令:

    gcloud compute regions describe example-region

超出配额时引发的错误

如果在发出 gcloud 命令时超过了配额,gcloud 会显示一条 quota exceeded 错误消息,并返回退出代码 1

如果在发出 API 请求时超出了配额,Google Cloud 会返回以下 HTTP 状态代码:413 Request Entity Too Large

申请更多配额

如需增加或减少大多数配额,请使用 Google Cloud 控制台。如需了解详情,请参阅申请更高的配额

控制台

  1. 在 Google Cloud 控制台中,转到配额页面。

    转到“配额”

  2. 配额页面上,选择您要更改的配额。
  3. 点击位于页面顶部的修改配额
  4. 名称部分,输入您的名称。
  5. 可选:在手机部分,输入手机号码。
  6. 提交您的申请。 配额申请需要 24 到 48 小时才能完成处理。

资源可用性

每个配额代表您可以创建的特定类型资源的数量上限(如果该资源可用)。请务必注意,配额保证资源可用性。即使您具有可用配额,如果新资源不可用,您也无法创建新资源。

例如,您的配额可能足以在 us-central1 区域中创建新的区域性外部 IP 地址。但是,如果该区域中没有可用的外部 IP 地址,则无法执行此操作。区域级资源可用性也会影响您能否创建新资源。

导致资源在整个区域不可用的情况非常罕见。但是,地区内的资源有时可能会耗尽,通常不会影响资源类型的服务等级协议 (SLA)。如需了解详情,请参阅资源的相关 SLA。