In diesem Dokument sind die Kontingente und Limits für VPC Service Controls aufgeführt. Die in diesem Dokument angegebenen Kontingente und Limits können sich ändern.
Die Berechnung der Kontingentnutzung basiert auf der Summe der Nutzung im erzwungenen und im Simulationsmodus. Wenn ein Dienstperimeter beispielsweise fünf Ressourcen im erzwungenen Modus und sieben Ressourcen im Modus „Trockenlauf“ schützt, wird die Summe von beiden, also 12, mit dem entsprechenden Limit verglichen. Außerdem wird jeder einzelne Eintrag gezählt, auch wenn er an anderer Stelle in der Richtlinie vorkommt. Wenn ein Projekt beispielsweise in einem regulären Perimeter und fünf Bridge-Perimetern enthalten ist, werden alle sechs Instanzen gezählt und es erfolgt keine Deduplizierung.
Bei VPC Service Controls werden die Limits für den Dienstperimeter jedoch anders berechnet. Weitere Informationen finden Sie im Abschnitt Einschränkungen für Dienstperimeter in diesem Dokument.
Kontingente in der Google Cloud Console ansehen
Klicken Sie im Navigationsmenü der Google Cloud Console auf Sicherheit und dann auf VPC Service Controls.
Wählen Sie Ihre Organisation, Ihren Ordner oder Ihr Projekt aus, wenn Sie dazu aufgefordert werden.
Wählen Sie auf der Seite VPC Service Controls die Zugriffsrichtlinie aus, für die Sie Kontingente ansehen möchten.
Klicken Sie auf Kontingent ansehen.
Auf der Seite Kontingent werden die Nutzungsmesswerte für die folgenden Zugriffsrichtlinienbeschränkungen angezeigt, die kumulativ für alle Dienstperimeter in einer bestimmten Zugriffsrichtlinie gelten:
- Dienstperimeter
- Geschützte Ressourcen
- Zugriffsebenen
- Attribute für ein- und ausgehenden Gesamttraffic
Limits für Dienstperimeter
Das folgende Limit gilt für jede Perimeterkonfiguration für Dienste. Das Limit gilt also separat für die Konfigurationen für den Probelauf und die erzwungene Konfiguration eines Perimeters:
| Typ | Limit | Hinweise |
|---|---|---|
| Attribute | 6.000 | Dieses Limit gilt für die Gesamtzahl der Attribute, die in den Regeln für eingehenden und ausgehenden Traffic angegeben sind. Das Attributlimit umfasst die Verweise auf Projekte, VPC-Netzwerke, Zugriffsebenen, Methodenauswahlen und Identitäten in diesen Regeln. Die Gesamtzahl der Attribute umfasst auch die Verwendung von Platzhalterzeichen (*) in den Methoden-, Dienst- und Projektattributen.
|
Einschränkungen bei Attributen
Bei VPC Service Controls wird jeder Eintrag in den folgenden Feldern für eingehende und ausgehende Regeln als ein Attribut gezählt:
| Regelblock | Felder |
|---|---|
ingressFrom |
|
ingressTo |
|
egressFrom |
|
egressTo |
|
Weitere Informationen zu diesen Feldern finden Sie in der Referenz zu Regeln für eingehenden Traffic und in der Referenz zu Regeln für ausgehenden Traffic.
Bei VPC Service Controls werden die folgenden Regeln berücksichtigt, um zu prüfen, ob ein Perimeter das Attributlimit überschreitet:
Jedes Feld in einer Regel für eingehenden und ausgehenden Traffic kann mehrere Einträge haben. Jeder Eintrag zählt auf das Limit an.
Wenn Sie beispielsweise ein Dienstkonto und ein Nutzerkonto im Feld
identitieseinesegressFrom-Regelblocks angeben, werden bei VPC Service Controls zwei Attribute auf das Limit angerechnet.Bei VPC Service Controls wird jedes Vorkommen einer Ressource in den Regeln einzeln gezählt, auch wenn Sie dieselbe Ressource in mehreren Regeln wiederholen.
Wenn Sie beispielsweise ein Projekt (
project-1) in zwei verschiedenen Eingangs- oder Ausgangsregeln (rule-1undrule-2) angeben, werden bei VPC Service Controls zwei Attribute auf das Limit angerechnet.Jeder Dienstperimeter kann eine erzwungene und eine Probelaufkonfiguration haben. Bei VPC Service Controls wird das Attributlimit für jede Konfiguration separat angewendet.
Wenn die Gesamtzahl der Attribute für die erzwungene und die Simulationskonfiguration eines Perimeters beispielsweise 3.500 bzw. 3.000 Attribute beträgt, liegt der Perimeter laut VPC Service Controls noch unter dem Attributlimit.
Limits für Zugriffsrichtlinien
Die folgenden Einschränkungen für Zugriffsrichtlinien gelten kumulativ für alle Dienstperimeter in einer bestimmten Zugriffsrichtlinie:
| Typ | Limit | Hinweise |
|---|---|---|
| Dienstperimeter | 10.000 | Dienstperimeter-Bridges werden auf dieses Limit angerechnet. |
| Geschützte Ressourcen | 40.000 | Projekte, auf die nur in Richtlinien für den Datenein- und ‑ausgang verwiesen wird, werden auf dieses Limit nicht angerechnet. Fügen Sie einer Richtlinie geschützte Ressourcen nur in Batches mit maximal 10.000 Ressourcen hinzu, um zu verhindern, dass Anfragen zur Richtlinienänderung wegen Zeitüberschreitung abgebrochen werden. Wir empfehlen, 30 Sekunden zu warten, bevor Sie die nächste Richtlinienänderung vornehmen. |
| Identitätsgruppen | 1.000 | Dieses Limit gilt für die Anzahl der Identitätsgruppen, die in den Regeln für eingehenden und ausgehenden Traffic konfiguriert sind. |
| VPC-Netzwerke | 500 | Dieses Limit gilt für die Anzahl der VPC-Netzwerke, auf die im erzwungenen Modus, im Probelaufmodus und in Eingangsregeln verwiesen wird. |
Die folgenden Einschränkungen der Zugriffsrichtlinie gelten kumulativ für alle Zugriffsebenen in einer bestimmten Zugriffsrichtlinie:
| Typ | Limit | Hinweise |
|---|---|---|
| VPC-Netzwerke | 500 | Dieses Limit gilt für die Anzahl der VPC-Netzwerke, auf die in Zugriffsebenen verwiesen wird. |
Limits für Organisationen
Die folgenden Limits gelten für alle Zugriffsrichtlinien in einer bestimmten Organisation:
| Typ | Limit |
|---|---|
| Zugriffsrichtlinie auf Organisationsebene | 1 |
| Zugriffsrichtlinien auf Ordner- und Projektebene | 50 |
Kontingente und Limits von Access Context Manager
Außerdem unterliegen Sie den Kontingenten und Limits für Access Context Manager, da VPC Service Controls Access Context Manager APIs verwendet.