Kontingente und Limits

In diesem Dokument werden die quotas und quotas aufgeführt, die für Google Cloud Armor gelten.

Ein Kontingent schränkt ein, wie viel von einer bestimmten gemeinsam genutzten Google Cloud-Ressource Ihr Google Cloud-Projekt nutzen kann, einschließlich Hardware, Software und Netzwerkkomponenten. Daher sind Kontingente Teil eines Systems, das Folgendes tut:

  • Ihre Nutzung oder Ihren Verbrauch von Google Cloud-Produkten und -Diensten überwachen.
  • Ihren Verbrauch dieser Ressourcen einschränken, um u. a. für Fairness zu sorgen und Nutzungsspitzen zu reduzieren.
  • Konfigurationen verwalten, die automatisch vorgeschriebene Einschränkungen erzwingen.
  • Möglichkeit, das Kontingent anzufordern oder zu ändern.

Wenn ein Kontingentlimit überschritten wird, blockiert das System in den meisten Fällen den Zugriff auf die entsprechende Google-Ressource und die Aufgabe, die Sie ausführen möchten, schlägt fehl. In den meisten Fällen gelten Kontingente für jedes Google Cloud-Projekt und werden von allen Anwendungen und IP-Adressen geteilt, die dieses Google Cloud-Projekt verwenden.

Es gibt auch Limits für Google Cloud Armor-Ressourcen. Diese Limits stehen nicht im Zusammenhang mit dem Kontingentsystem. Limits können nur geändert werden, wenn etwas anderes angegeben ist.

Kontingente

Google Cloud Armor-Ressourcenkontingente sind nach zwei Kriterien organisiert:

  • Der Umfang des Kontingents:
    • global
    • regional
  • Der Typ der Google Cloud Armor-Sicherheitsrichtlinie:
    • Backend-Sicherheitsrichtlinie
    • Edge-Sicherheitsrichtlinie
    • Sicherheitsrichtlinie für Netzwerk-Edge

Globale Backend-Sicherheitsrichtlinien und globale Edge-Sicherheitsrichtlinien

Globale Back-End-Sicherheitsrichtlinien und globale Edge-Sicherheitsrichtlinien verwenden die folgenden Kontingente:

Ressource Kontingent Beschreibung
Globale Sicherheitsrichtlinien Kontingent

Das Limit für dieses Kontingent definiert die maximale Anzahl globaler Back-End-Sicherheitsrichtlinien und globale Edge-Sicherheitsrichtlinien eines Projekts.

Kontingentname: SECURITY_POLICIES

Verfügbare Messwerte:

  • compute.googleapis.com/quota/security_policies/limit
  • compute.googleapis.com/quota/security_policies/usage
  • compute.googleapis.com/quota/security_policies/exceeded
Globale Sicherheitsrichtlinienregeln Kontingent

Das Limit für dieses Kontingent definiert die maximale Gesamtzahl von Regeln für globale Back-End-Sicherheitsrichtlinien und globale Edge-Sicherheitsrichtlinien zusammen in einem Projekt. Für die Nutzung dieses Kontingents wird jede Regel unter allen globalen Sicherheitsrichtlinien in einem Projekt gezählt, unabhängig davon, ob für eine Regel einfache oder erweiterte Abgleichsbedingungen verwendet werden.

Kontingentname: SECURITY_POLICY_RULES

Verfügbare Messwerte:

  • compute.googleapis.com/quota/security_policy_rules/limit
  • compute.googleapis.com/quota/security_policy_rules/usage
  • compute.googleapis.com/quota/security_policy_rules/exceeded
Globale Sicherheitsrichtlinienregeln mit erweiterten Abgleichsbedingungen Kontingent

Das Limit für dieses Kontingent definiert die maximale Gesamtzahl der Regeln mit erweiterten Abgleichsbedingungen für globale Back-End-Sicherheitsrichtlinien und globale Edge-Sicherheitsrichtlinien zusammen in einem Projekt. Globale Sicherheitsrichtlinienregeln mit erweiterten Abgleichsbedingungen tragen auch zur Nutzung des Kontingents für globale Sicherheitsrichtlinienregeln bei, das in der vorherigen Zeile beschrieben wurde.

Kontingentname: SECURITY_POLICY_CEVAL_RULES

Verfügbare Messwerte:

  • compute.googleapis.com/quota/security_policy_ceval_rules/limit
  • compute.googleapis.com/quota/security_policy_ceval_rules/usage
  • compute.googleapis.com/quota/security_policy_ceval_rules/exceeded

Regionale Back-End-Sicherheitsrichtlinien

Regionale Back-End-Sicherheitsrichtlinien verwenden die folgenden Kontingente:

Ressource Kontingent Beschreibung
Regionale Back-End-Sicherheitsrichtlinien Kontingent

Das Limit für dieses Kontingent definiert die maximale Anzahl regionaler Back-End-Sicherheitsrichtlinien in jeder Region eines Projekts.

Kontingentname: SECURITY_POLICIES_PER_REGION

Verfügbare Messwerte:

  • compute.googleapis.com/quota/regional_security_policies/limit
  • compute.googleapis.com/quota/regional_security_policies/usage
  • compute.googleapis.com/quota/regional_security_policies/exceeded
Regionale Back-End-Sicherheitsrichtlinienregeln Kontingent

Das Limit für dieses Kontingent definiert die maximale Gesamtzahl von Regeln für regionale Back-End-Sicherheitsrichtlinien in jeder Region eines Projekts. Für die Nutzung dieses Kontingents wird jede Regel jeder regionalen Back-End-Sicherheitsrichtlinie in einer Region eines Projekts gezählt, unabhängig davon, ob für eine Regel einfache oder erweiterte Abgleichsbedingungen verwendet werden.

Kontingentname: SECURITY_POLICY_RULES_PER_REGION

Verfügbare Messwerte:

  • compute.googleapis.com/quota/regional_security_policy_rules/limit
  • compute.googleapis.com/quota/regional_security_policy_rules/usage
  • compute.googleapis.com/quota/regional_security_policy_rules/exceeded
Regionale Back-End-Sicherheitsrichtlinienregeln mit erweiterten Abgleichsbedingungen Kontingent

Das Limit für dieses Kontingent definiert die maximale Gesamtzahl von Regeln mit erweiterten Abgleichsbedingungen für regionale Back-End-Sicherheitsrichtlinien in jeder Region eines Projekts. Regionale Back-End-Sicherheitsrichtlinienregeln mit erweiterten Abgleichsbedingungen tragen auch zur Nutzung des Kontingents für regionale Back-End-Sicherheitsrichtlinienregeln der Region bei, das in der vorherigen Zeile beschrieben wurde.

Kontingentname: SECURITY_POLICY_ADVANCED_RULES_PER_REGION

Verfügbare Messwerte:

  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/limit
  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/usage
  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/exceeded

Regionale Sicherheitsrichtlinien für Netzwerk-Edge

Regionale Sicherheitsrichtlinien für Netzwerk-Edges verwenden die folgenden Kontingente:

Ressource Kontingent Beschreibung
Regionale Sicherheitsrichtlinien für Netzwerk-Edge Kontingent

Das Limit für dieses Kontingent definiert die maximale Anzahl regionaler Sicherheitsrichtlinien für den Netzwerk-Edge in jeder Region eines Projekts.

Kontingentname: NET_LB_SECURITY_POLICIES_PER_REGION

Verfügbare Messwerte:

  • compute.googleapis.com/quota/regional_net_lb_security_policies/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policies/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policies/exceeded
Regeln für regionale Sicherheitsrichtlinien für Netzwerk-Edges Kontingent

Das Limit für dieses Kontingent definiert die maximale Gesamtzahl von Regeln für regionale Sicherheitsrichtlinien des Netzwerk-Edges in jeder Region eines Projekts.

Kontingentname: NET_LB_SECURITY_POLICY_RULES_PER_REGION

Verfügbare Messwerte:

  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/exceeded
Übereinstimmung mit Werten der Regeln der regionalen Netzwerk-Edge-Sicherheitsrichtlinie Kontingent

Das Limit für dieses Kontingent definiert die maximale Gesamtzahl von Attributen in Regeln für regionale Sicherheitsrichtlinien für Netzwerk-Edges in jeder Region eines Projekts. Die Nutzung dieses Kontingents entspricht der Summe der SecurityPolicy.NetworkMatch-Attribute in jeder Regel jeder Sicherheitsrichtlinie für den Netzwerk-Edge in einer Region eines Projekts.

Kontingentname: NET_LB_SECURITY_POLICY_RULE_ATTRIBUTES_PER_REGION

Verfügbare Messwerte:

  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/exceeded

Zusätzlich zu den Google Cloud Armor-Kontingenten haben Produkte, die Google Cloud Armor verwenden, eigene Kontingente. Weitere Informationen finden Sie unter Kontingente und Limits für Cloud Load Balancing.

Google Cloud legt aus verschiedenen Gründen Kontingente für die Ressourcennutzung fest. Diese schützen unter anderem die gesamte Google Cloud-Community vor unerwarteten Auslastungsspitzen. Google Cloud bietet außerdem kostenlose Testkontingente an, mit denen ein eingeschränkter Zugriff möglich ist. Sie können sie für Projekte nutzen, bei denen Sie Google Cloud im Rahmen einer kostenlosen Testversion kennenlernen möchten.

Es gelten nicht für alle Projekte dieselben Kontingente. Wenn Sie Google Cloud mit der Zeit stärker nutzen, können sich Ihre Kontingente entsprechend erhöhen. Falls Sie eine deutlich stärkere Auslastung erwarten, können Sie auf der Seite Kontingente der Google Cloud Console eine Anpassung Ihres Kontingents anfordern.

Damit Sie zusätzliche Kontingente anfordern können, benötigen Sie die Berechtigung serviceusage.quotas.update. Diese ist standardmäßig in den vordefinierten Rollen Inhaber, Bearbeiter und Kontingentadministrator enthalten. Sie sollten zusätzliche Ressourcen mindestens eine Woche im Voraus planen und anfordern, damit genügend Zeit bleibt, die Anfrage zu bearbeiten. Informationen zum Anfordern zusätzlicher Kontingente finden Sie unter Weitere Kontingente anfordern.

Limits

Für Google Cloud Armor gelten folgende Limits:

Element Limits
Anzahl der IP-Adressen oder IP-Adressbereiche pro Regel 10
Anzahl der Unterausdrücke für jede Regel mit einem benutzerdefinierten Ausdruck 5
Anzahl der Zeichen für jeden Unterausdruck in einem benutzerdefinierten Ausdruck 1.024
Anzahl der Zeichen in einem benutzerdefinierten Ausdruck 2.048
Anzahl der Übereinstimmungen mit einem regulären Ausdruck für jeden benutzerdefinierten Ausdruck 1

Anzahl der Anfragen pro Sekunde und Projekt über alle Back-Ends mit einer Google Cloud Armor-Sicherheitsrichtlinie hinweg.

Dieses Limit wird derzeit nicht erzwungen. Google behält sich das Recht vor, das Trafficvolumen pro Projekt zu begrenzen, das von allen Sicherheitsrichtlinien zusammen verarbeitet werden kann. Erhöhungen für Abfragen pro Sekunde können Sie bei Ihrem Account-Management-Team anfordern.

 20.000
Anzahl der Edge-Netzwerkdienste pro Region und Projekt 1

Verwalten von Kontingenten

Mit Google Cloud Armor werden Kontingente für die Ressourcennutzung aus verschiedenen Gründen festgelegt. Kontingente schützen unter anderem die gesamte Google Cloud-Community vor unerwarteten Nutzungsspitzen. Außerdem unterstützen Kontingente Nutzer, die Google Cloud mit der kostenlosen Stufe prüfen, dabei, im Rahmen der Testversion zu verbleiben.

Alle Projekte beginnen mit den gleichen Kontingenten, die Sie ändern können, indem Sie zusätzliche Kontingente anfordern. Einige Kontingente können entsprechend Ihrer Nutzung eines Produkts automatisch erhöht werden.

Berechtigungen

Zur Anzeige von Kontingenten oder zur Anforderung von Kontingenterhöhungen benötigen IAM-Hauptkonten (Identity and Access Management) eine der folgenden Rollen:

Aufgabe Erforderliche Rolle
Kontingente für ein Projekt prüfen Beispiele:
Kontingente ändern, zusätzliche Kontingente anfordern Beispiele:
  • Project Owner (roles/owner)
  • Project Editor (roles/editor)
  • Quota Administrator (roles/servicemanagement.quotaAdmin)
  • Eine benutzerdefinierte Rolle mit der Berechtigung serviceusage.quotas.update

Kontingent prüfen

Console

  1. Öffnen Sie in der Google Cloud Console die Seite Kontingente.

    Kontingente aufrufen

  2. Mit dem Feld Tabelle filtern können Sie nach den zu aktualisierenden Kontingenten suchen. Wenn Sie den Namen des Kontingents nicht kennen, verwenden Sie stattdessen die Links auf dieser Seite.

gcloud

Führen Sie mit der Google Cloud CLI den folgenden Befehl aus, um Ihre Kontingente zu prüfen. Ersetzen Sie PROJECT_ID durch Ihre Projekt-ID:

      gcloud compute project-info describe --project PROJECT_ID

Mit dem folgenden Befehl prüfen Sie das genutzte Kontingent in einer Region:

      gcloud compute regions describe example-region

Fehler beim Überschreiten Ihres Kontingents

Wenn Sie ein Kontingent mit einem gcloud-Befehl überschreiten, gibt gcloud eine quota exceeded-Fehlermeldung aus und liefert den Exit-Code 1.

Wenn Sie ein Kontingent mit einer API-Anfrage überschreiten, liefert Google Cloud folgenden HTTP-Statuscode: HTTP 413 Request Entity Too Large.

Weitere Kontingente anfordern

Verwenden Sie zur Erhöhung/Verringerung der meisten Kontingenten die Google Cloud Console. Weitere Informationen finden Sie unter Höheres Kontingentlimit anfordern.

Console

  1. Öffnen Sie in der Google Cloud Console die Seite Kontingente.

    Kontingente aufrufen

  2. Wählen Sie auf der Seite Kontingente die Kontingente aus, die Sie ändern möchten.
  3. Klicken Sie oben auf der Seite auf Kontingente bearbeiten.
  4. Geben Sie Ihren Namen, Ihre E-Mail-Adresse und Ihre Telefonnummer ein und klicken Sie auf Weiter.
  5. Geben Sie Ihre Kontingentanforderung ein und klicken Sie auf Fertig.
  6. Senden Sie die Anfrage. Die Bearbeitung von Kontingentanforderungen dauert 24 bis 48 Stunden.

Ressourcenverfügbarkeit

Jedes Kontingent stellt die maximale Anzahl an Ressourcen eines bestimmten Typs dar, die Sie erstellen können, sofern der Ressourcentyp verfügbar ist. Beachten Sie, dass Kontingente die Verfügbarkeit von Ressourcen nicht garantieren. Selbst wenn Sie ein verfügbares Kontingent haben, können Sie keine neue Ressource erstellen, wenn keine verfügbar ist.

Beispiel: Sie haben noch ein ausreichendes Kontingent zum Erstellen einer neuen regionalen, externen IP-Adresse in der Region us-central1. Dies ist jedoch nicht möglich, wenn in dieser Region keine externen IP-Adressen verfügbar sind. Die Verfügbarkeit von zonalen Ressourcen kann sich auch auf Ihre Fähigkeit auswirken, eine neue Ressource zu erstellen.

Es kommt nur selten vor, dass Ressourcen in einer kompletten Region nicht verfügbar sind. Ressourcen innerhalb einer Zone können aber manchmal vorübergehend ausgeschöpft sein, ohne dass sich das auf das Service Level Agreement (SLA) für den Ressourcentyp auswirkt. Weitere Informationen finden Sie im entsprechenden SLA für die Ressource.