配额和限制

本文档列出了适用于 Google Cloud Armor 的配额和限制。

配额限制了 Cloud 项目可使用的特定共享 Google Cloud 资源(包括硬件、软件和网络组件)的数量。

配额是执行以下操作的系统的一部分:

  • 监控 Google Cloud 产品和服务的使用情况或消费情况。
  • 为了确保公平性和减少使用量高峰等原因,您可以限制对这些资源的消耗。
  • 维护可自动强制执行规定限制的配置。
  • 提供更改配额或请求更改配额的方法。

超过配额时,在大多数情况下,系统会立即阻止对相关 Google 资源的访问,并且您尝试执行的任务将失败。在大多数情况下,应于每个 Cloud 项目的配额,并由使用该 Cloud 项目的所有应用和 IP 地址共享。

许多产品和服务还具有与配额系统无关的限制。这些限制(例如文件大小上限或数据库架构限制),除非另有说明,否则通常无法增加或减少限制。

配额

Google Cloud Armor 的配额如下:

设限项 配额
每个项目的安全政策数量 10
每个项目中所有安全政策的安全规则数量 200
每个项目的所有安全政策中具有高级匹配条件的规则数量 20

此外,搭配 Google Cloud Armor 使用的其他资源也可能有自己的配额。

出于多种原因,Google Cloud 对资源用量实施配额限制。例如,配额可保护 Google Cloud 用户群体,避免出现意外的用量激增。Google Cloud 还提供免费试用配额,为刚刚开始免费试用 Google Cloud 的用户提供一定用量,让他们可以在项目中进行体验。

并非所有项目的配额都完全相同。随着您的 Google Cloud 使用量逐步增加,您的配额可能会相应地增加。如果您预计用量即将显著增加,可以在 Google Cloud Console 的配额页面中主动申请调整配额。

如需申请额外的配额,您必须具有 serviceusage.quotas.update 权限。默认情况下,以下预定义角色包含此权限:Owner、Editor 和 Quota Administrator。 请至少提前一周时间安排申请更多资源,以确保我们有足够的时间来处理您的申请。如需申请额外的配额,请参阅申请更多配额

限制

Google Cloud Armor 的限制如下:

设限项 限制
每条规则的 IP 地址或 IP 地址范围数量 10
具有自定义表达式的每条规则的子表达式数量 5
自定义表达式中每个子表达式的字符数 1024
自定义表达式中的字符数 2048
每个自定义表达式的正则表达式匹配数量 1
每个项目中具有 Google Cloud Armor 安全政策的所有后端的每秒请求数。Google Cloud Armor 按项目限制所有安全政策可以处理的流量。如需申请增加 QPS 配额,请将申请提交至您的客户支持团队。 20000

管理配额

出于各种原因,Google Cloud Armor 会对资源用量实施配额限制。例如,配额可避免出现意料之外的用量突增,从而为 Google Cloud 用户社区提供保护。配额还可帮助正在通过免费层级探索 Google Cloud 的用户避免中断试用。

所有项目在开始时都具有相同的配额,您可以通过申请更多配额来进行更改。根据您使用产品的情况,一些配额可能会自动增加。

权限

如需查看配额或申请增加配额,Identity and Access Management (IAM) 主帐号需要具备以下某个角色:

任务 所需角色
检查项目的配额 以下之一:
修改配额,申请更多配额 以下之一:

查看您的配额

控制台

  1. 在 Cloud Console 中,转到配额页面。

    转到“配额”

  2. 如需搜索要更新的配额,请使用过滤表。 如果您不知道配额的名称,请使用此页面上的链接。

gcloud

使用 gcloud 命令行工具,运行以下命令来检查配额。请将 PROJECT_ID 替换为您自己的项目 ID。

      gcloud compute project-info describe --project PROJECT_ID
    

如需查看您在某一区域中已使用的配额,请运行以下命令:

      gcloud compute regions describe example-region
    

超出配额时引发的错误

如果在发出 gcloud 命令时超过了配额,gcloud 会显示一条 quota exceeded 错误消息,并返回退出代码 1

如果在发出 API 请求时超出了配额,Google Cloud 会返回以下 HTTP 状态代码:HTTP 413 Request Entity Too Large

申请更多配额

如需增加或减少大多数配额,请使用 Google Cloud Console。某些配额无法超出其默认值。

如需了解详情,请参阅使用配额的以下部分:

控制台

  1. 在 Cloud Console 中,转到配额页面。

    转到“配额”

  2. 配额页面上,选择您要更改的配额。
  3. 点击位于页面顶部的修改配额
  4. 填写您的姓名、电子邮件地址和电话号码,然后点击下一步
  5. 填写您的配额申请,然后点击完成
  6. 提交您的申请。 配额申请需要 24 到 48 小时才能完成处理。

资源可用性

每个配额代表您可以创建的特定类型资源的数量上限(如果该资源可用)。必须要注意的是,配额无法保证资源可用。即使您具有可用配额,如果新资源不可用,您也无法创建新资源。

例如,您的配额可能足以在 us-central1 区域中创建新的区域性外部 IP 地址。但是,如果该区域中没有可用的外部 IP 地址,则无法执行此操作。区域级资源可用性也会影响您能否创建新资源。

导致资源在整个区域不可用的情况非常罕见。但是,地区内的资源有时可能会耗尽,通常不会影响资源类型的服务等级协议 (SLA)。如需了解详情,请参阅资源的相关 SLA。