本文档列出了适用于 VPC Service Controls 的配额和限制。本主题中指定的配额和限制随时可能更改。
配额利用率的计算基于强制执行模式和试运行模式的利用率总和。例如,如果服务边界在实施模式下保护五个资源,在试运行模式下保护七个资源,则系统会根据相应的限制对两者的总和(即 12 个)进行测试。此外,每个条目计为一个,即使该条目出现在政策的其他位置也是如此。例如,如果项目包含在一个常规边界和五个网桥边界内,则系统会计算所有六个实例,并且不会执行去重操作。
在 Google Cloud 控制台中查看配额
在 Google Cloud 控制台导航菜单中,点击安全性,然后点击 VPC Service Controls。
如果出现提示,请选择您的组织、文件夹或项目。
在 VPC Service Controls 页面上,选择您要查看其配额的访问权限政策。
点击查看配额。
配额页面显示以下访问权限政策限制的用量指标,这些限制累计应用于给定访问权限政策中的所有服务边界:
- 服务边界
- 受保护资源
- 访问权限级别
- 入站流量和出站流量属性总数
服务边界限制
以下限制适用于每个服务边界:
| 类型 | 限额 | Notes |
|---|---|---|
| 访问权限级别 | 500 | 此限制针对的是服务边界中的访问权限级别引用数量,其中包括与服务边界关联的入站和出站规则中的访问权限级别引用。 |
访问权限政策限制
以下访问权限政策限制累计适用于给定访问权限政策中的所有服务边界:
| 类型 | 限额 | Notes |
|---|---|---|
| 服务边界 | 10000 | 服务边界网桥会计入此限制。 |
| 受保护资源 | 40,000 | 仅在入站流量和出站流量政策中引用的项目不计入此限制。将受保护的资源添加到政策时,请确保批量添加不超过 1 万个资源,以免政策修改请求超时。我们建议您等待 30 秒,然后再进行下一次政策修改。 |
| 特性 | 6,000 | 此限制适用于入站和出站规则中指定的所有属性的计数。该属性限制包括项目、VPC 网络、访问权限级别、方法选择器和身份。方法、服务或项目属性中值“*”的出现次数包含在总计中。 |
| VPC 网络 | 500 | 此限制适用于实施模式、试运行模式和入站规则中引用的 VPC 网络的计数。 |
以下访问权限政策限制累计应用于给定访问权限政策中的所有访问权限级别:
| 类型 | 限额 | Notes |
|---|---|---|
| VPC 网络 | 500 | 此限制针对访问权限级别中引用的 VPC 网络数量。 |
组织限制
以下限制适用于指定组织中的所有访问权限政策:
| 类型 | 限额 |
|---|---|
| 组织级访问权限政策 | 1 |
| 文件夹级和项目级访问权限政策 | 50 |
Access Context Manager 配额和限制
您还需要遵守 Access Context Manager 配额和限制,因为 VPC Service Controls 使用 Access Context Manager API。