このドキュメントでは、Google Cloud Armor に適用される割り当てと上限について説明します。
割り当ては、Google Cloud プロジェクトで使用できる共有 Google Cloud リソース(ハードウェア、ソフトウェア、ネットワーク コンポーネントなど)の量を制限します。つまり、割り当てはシステムの一部で、次の機能があります。
- Google Cloud のプロダクトとサービスの使用量や消費量をモニタリングする。
- 公平性の確保や使用量急増の抑制などのため、これらのリソースの消費量を制限する。
- 規定の制限を自動的に適用する構成を維持する。
- 割り当てをリクエストまたは変更する手段を提供する。
ほとんどの場合、割り当てを超過すると、システムは関連する Google リソースへのアクセスをすぐにブロックするため、ユーザーが試行しているタスクは失敗します。ほとんどの場合、割り当ては各 Google Cloud プロジェクトに適用され、その Google Cloud プロジェクトを使用するすべてのアプリケーションと IP アドレスで共有されます。
Google Cloud Armor のリソースにも上限があります。これらの上限は、割り当てシステムとは無関係です。上限は、特に明記されていない限り、変更できません。
割り当て
Google Cloud Armor のリソース割り当ては、次の 2 つの基準に従って編成されます。
- 割り当ての範囲:
- global
- リージョン
- Google Cloud Armor セキュリティ ポリシーのタイプ:
- バックエンド セキュリティ ポリシー
- Edge のセキュリティ ポリシー
- ネットワーク エッジのセキュリティ ポリシー
グローバル バックエンド セキュリティ ポリシーとグローバル エッジ セキュリティ ポリシー
グローバル バックエンド セキュリティ ポリシーとグローバル エッジ セキュリティ ポリシーでは、次の割り当てを使用します。
| リソース | 割り当て | 説明 |
|---|---|---|
| グローバル セキュリティ ポリシー | 割り当て | この割り当ての上限は、プロジェクトのグローバル バックエンド セキュリティ ポリシーとグローバル エッジ セキュリティ ポリシーの最大数を定義します。 割り当て名: 利用可能な指標:
|
| グローバル セキュリティ ポリシー ルール | 割り当て | この割り当ての上限は、1 つのプロジェクト内にあるグローバル バックエンド セキュリティ ポリシーとグローバル エッジ セキュリティ ポリシーの両方のルールの最大数を定義します。ルールで基本一致条件と詳細一致条件のどちらが使用しているかにかかわらず、この割り当ての使用量には、プロジェクト内のすべてのグローバル セキュリティ ポリシー間のすべてのルールがカウントされます。 割り当て名: 利用可能な指標:
|
| 詳細一致条件を含むグローバル セキュリティ ポリシー ルール | 割り当て | この割り当ての上限は、プロジェクト内のグローバル バックエンド セキュリティ ポリシーとグローバル エッジ セキュリティ ポリシーの両方の詳細一致条件を持つルールの最大数を定義します。詳細一致条件を含むグローバル セキュリティ ポリシー ルールも、前の行で説明したグローバル セキュリティ ポリシー ルールの割り当ての使用に影響します。 割り当て名: 利用可能な指標:
|
リージョン バックエンド セキュリティ ポリシー
リージョン バックエンド セキュリティ ポリシーでは、次の割り当てを使用します。
| リソース | 割り当て | 説明 |
|---|---|---|
| リージョン バックエンド セキュリティ ポリシー | 割り当て | この割り当ての上限は、プロジェクトの各リージョンにおけるリージョン バックエンド セキュリティ ポリシーの最大数を定義します。 割り当て名: 利用可能な指標:
|
| リージョン バックエンド セキュリティ ポリシー ルール | 割り当て | この割り当ての上限は、プロジェクトの各リージョンにおけるリージョン バックエンド セキュリティ ポリシーのルールの合計数を定義します。この割り当ての使用量には、ルールで基本一致条件または詳細一致条件のどちらが使用されているかにかかわらず、プロジェクトのリージョン内のすべてのリージョン バックエンド セキュリティ ポリシーのすべてのルールがカウントされます。 割り当て名: 利用可能な指標:
|
| 詳細一致条件を含むリージョン バックエンド セキュリティ ポリシー ルール | 割り当て | この割り当ての上限は、プロジェクトの各リージョンのリージョン バックエンド セキュリティ ポリシー用の詳細一致条件を持つルールの最大数を定義します。詳細一致条件を含むリージョン バックエンド セキュリティ ポリシー ルールも、前の行で説明したリージョンのリージョン バックエンド セキュリティ ポリシールールの割り当ての使用量に影響します。 割り当て名: 利用可能な指標:
|
リージョン ネットワーク エッジ セキュリティ ポリシー
リージョン ネットワーク エッジのセキュリティ ポリシーでは、次の割り当てを使用します。
| リソース | 割り当て | 説明 |
|---|---|---|
| リージョン ネットワーク エッジのセキュリティ ポリシー | 割り当て | この割り当ての上限は、プロジェクトの各リージョンにおけるリージョン ネットワーク エッジ セキュリティ ポリシーの最大数を定義します。 割り当て名: 利用可能な指標:
|
| リージョン ネットワーク エッジ セキュリティ ポリシー ルール | 割り当て | この割り当ての上限は、プロジェクトの各リージョンにおけるリージョン ネットワーク エッジ セキュリティ ポリシーのルールの最大合計数を定義します。 割り当て名: 利用可能な指標:
|
| リージョン ネットワーク エッジ セキュリティ ポリシー ルールの一致値 | 割り当て | この割り当ての上限は、プロジェクトの各リージョンにあるリージョン ネットワーク エッジ セキュリティ ポリシーのルールにおける属性の最大数を定義します。この割り当ての使用量は、プロジェクトのリージョンにおけるすべてのネットワーク エッジ セキュリティ ポリシーのすべてのルールの 割り当て名: 利用可能な指標:
|
Google Cloud Armor を使用するプロダクトには、Google Cloud Armor の割り当てのほかに独自の割り当てがあります。たとえば、Cloud Load Balancing の割り当てと上限をご覧ください。
Google Cloud では、さまざまな理由から、使用できるリソースの割り当て量に上限が設けられています。たとえば、割り当て量を制限して予期しない使用量の急増を防ぐことで Google Cloud ユーザーのコミュニティを保護しています。また、Google Cloud には、無料トライアル用にプロジェクトでのアクセスを制限した Google Cloud Platform の無料トライアルの割り当てもあります。
割り当て量はすべてのプロジェクトで同じとは限りません。Google Cloud の使用量の増加に応じて割り当て量を増やすことができます。使用量の大幅な増加が見込まれる場合は、事前に Google Cloud Console の [割り当て] ページから割り当て量の調整をリクエストできます。
追加の割り当てをリクエストするには、serviceusage.quotas.update 権限が必要です。この権限は、事前定義ロールのオーナー、編集者、割り当て管理者にはデフォルトで含まれています。リクエストの完了に十分な時間が確保されるように、少なくとも 1 週間前に追加のリソースを計画してリクエストしてください。追加の割り当てをリクエストする方法については、追加の割り当てをリクエストするをご覧ください。
上限
Google Cloud Armor には以下の上限が設定されています。
| 項目 | 上限 |
|---|---|
| ルールごとの IP アドレスまたは IP アドレス範囲の数 | 10 |
| カスタム式を定義する 1 つのルールに含めることができるサブ式の数 | 5 |
| カスタム式内の各サブ式の文字数 | 1024 |
| カスタム式内の文字数 | 2048 |
| 各カスタム式の一致する正規表現の数 | 1 |
Google Cloud Armor セキュリティ ポリシーを使用した、すべてのバックエンドにわたるプロジェクトごとの 1 秒あたりのリクエスト数。 この上限は現在適用されていません。Google は、すべてのセキュリティ ポリシーで処理できるトラフィック量をプロジェクトごとに制限する権限を有します。QPS の割り当てを増加するには、リクエストをアカウント チームに送信してください。 |
20,000 |
| 1 リージョン、1 プロジェクトあたりのネットワーク エッジ セキュリティ サービスの数 | 1 |
割り当てを管理する
Google Cloud Armor では、さまざまな理由から、使用できるリソースの割り当て量に上限が設けられています。たとえば、割り当て量の上限を設定して予期しない使用量の急増を防ぐことで、Google Cloud ユーザーのコミュニティを保護しています。割り当て量は、無料枠で Google Cloud を試しているユーザーをトライアルに留めておくのにも役立ちます。
すべてのプロジェクトは同じ割り当て量で開始しますが、追加の割り当て量をリクエストすることで変更できます。一部の割り当て量は、プロダクトの使用状況に応じて自動的に増える場合があります。
権限
Identity and Access Management(IAM)のプリンシパルが割り当ての表示や、割り当ての増加のリクエストをするには、以下のいずれかのロールが必要です。
| タスク | 必要なロール |
|---|---|
| プロジェクトの割り当て量をチェックする | 次のいずれかが必要です。 |
| 割り当て量の変更、割り当て量の追加のリクエストを行う | 次のいずれかが必要です。 |
割り当て量を確認する
コンソール
- Google Cloud コンソールで [割り当て] ページに移動します。
- 更新する割り当てを検索するには、[表をフィルタリング] を使用します。割り当ての名前がわからない場合は、このページにあるリンクを使用します。
gcloud
Google Cloud CLI で次のコマンドを実行して、割り当てを確認します。PROJECT_ID は、実際のプロジェクト ID に置き換えます。
gcloud compute project-info describe --project PROJECT_ID
ある特定のリージョンで使用済みの割り当て量を確認するには、次のコマンドを実行します。
gcloud compute regions describe example-region
割り当て量を超えたときのエラー
gcloud コマンドで割り当て量を超えた場合、gcloud は quota exceeded エラー メッセージを出力し、終了コード 1 を返します。
API リクエストで割り当て量を超えた場合、Google Cloud は HTTP ステータス コード HTTP 413 Request Entity Too Large を返します。
追加の割り当てをリクエストする
ほどんどの場合、割り当ての増減を行うには Google Cloud コンソールを使用します。詳細については、割り当ての増加をリクエストするをご覧ください。
コンソール
- Google Cloud コンソールで [割り当て] ページに移動します。
- [割り当て] ページで、変更する割り当てを選択します。
- ページの上部にある [割り当てを編集] をクリックします。
- 名前、メールアドレス、電話番号を入力して、[次へ] をクリックします。
- 割り当てリクエストを入力して、[完了] をクリックします。
- リクエストを送信します。割り当てのリクエストが処理されるまでに、24~48 時間かかります。
リソースの可用性
各割り当て量は、リソースが利用可能な場合に作成できる特定のリソースタイプの最大数を表します。割り当て量によってリソースの可用性が保証されるわけではありません。この点は注意が必要です。割り当て量が使用可能でも、新しいリソースを使用できなければ、そのリソースを作成することはできません。
たとえば、us-central1 リージョンで新しいリージョンの外部 IP アドレスを作成するための割り当て量が十分にあっても、そのリージョンに使用可能な外部 IP アドレスがない場合、外部 IP アドレスは作成できません。ゾーンリソースの可用性は、新しいリソースを作成できるかにも影響を及ぼす可能性があります。
リージョン全体でリソースを使用できない状況はまれです。ただし、ゾーン内のリソースが使い果たされることはあります。通常、そのリソースタイプのサービスレベル契約(SLA)に影響はありません。詳細については、リソースに関連する SLA をご覧ください。