Cotas e limites

Este documento lista as cotas e limites que se aplicam ao VPC Service Controls. As cotas e os limites especificados neste tópico estão sujeitos a alterações.

O cálculo da utilização da cota é baseado na soma da utilização nos modos de execução forçada e de simulação. Por exemplo, se um perímetro de serviço proteger cinco recursos no modo aplicado e sete recursos no modo de simulação, a soma de ambos, que é 12, será testada contra o limite correspondente. Além disso, cada entrada individual é contada como uma, mesmo que ocorra em outro lugar da política. Por exemplo, se um projeto for incluído em um perímetro regular e em cinco perímetros de ponte, as seis instâncias serão contadas e nenhuma eliminação de duplicação será executada.

No entanto, o VPC Service Controls calcula os limites do perímetro de serviço de maneira diferente. Para mais informações, consulte a seção Limites do perímetro de serviço deste documento.

Ver cotas no Console do Google Cloud

  1. No menu de navegação do console do Google Cloud, clique em Segurança e depois em VPC Service Controls.

    Acessar o VPC Service Controls

  2. Se solicitado, selecione a organização, a pasta ou o projeto.

  3. Na página VPC Service Controls, selecione a política de acesso cujas cotas você quer ver.

  4. Clique em Ver cota.

    A página Cota exibe as métricas de uso para os seguintes limites da política de acesso que se aplicam de maneira cumulativa em todos os perímetros de serviço em uma determinada política de acesso:

    • Perímetros de serviço
    • Recursos protegidos
    • Níveis de acesso
    • Total de atributos de entrada e saída

Limites do perímetro de serviço

O limite a seguir se aplica a cada configuração de perímetro de serviço. Ou seja, esse limite se aplica separadamente às configurações de simulação e de aplicação de um perímetro:

Tipo Limite Observações
Atributos 6.000 Esse limite se aplica ao número total de atributos especificados nas regras de entrada e saída. O limite de atributo inclui as referências a projetos, redes VPC, níveis de acesso, seletores de método e identidades nessas regras. A contagem total de atributos também inclui o uso de caracteres curinga, *, nos atributos de métodos, serviços e projetos.

Considerações sobre o limite de atributos

O VPC Service Controls conta cada entrada nos seguintes campos de regra de entrada e saída como um atributo:

Bloco de regras Campos
ingressFrom
  • sources
  • identities
ingressTo
  • resources
  • methodSelectors
egressFrom
  • sources
  • identities
egressTo
  • resources
  • methodSelectors
  • externalResources

Para mais informações sobre esses campos, consulte a Referência de regras de entrada e a Referência de regras de saída.

O VPC Service Controls considera as seguintes regras para verificar se um perímetro excede o limite de atributos:

  • Cada campo em uma regra de entrada e saída pode ter várias entradas, e cada entrada conta para o limite.

    Por exemplo, se você mencionar uma conta de serviço e uma conta de usuário no campo identities de um bloco de regras egressFrom, o VPC Service Controls vai contar dois atributos para o limite.

  • O VPC Service Controls conta cada ocorrência de um recurso nas regras separadamente, mesmo que você repita o mesmo recurso em várias regras.

    Por exemplo, se você mencionar um projeto, project-1, em duas regras de entrada ou saída diferentes, rule-1 e rule-2, o VPC Service Controls vai contar dois atributos para o limite.

  • Cada perímetro de serviço pode ter uma configuração aplicada e uma simulação. O VPC Service Controls aplica o limite de atributo separadamente para cada configuração.

    Por exemplo, se as contagens de atributos totais das configurações de execução forçada e de teste de um perímetro forem 3.500 e 3.000, respectivamente, o VPC Service Controls considera que o perímetro ainda está dentro do limite de atributos.

Limites da política de acesso

Os limites da política de acesso a seguir se aplicam de maneira cumulativa a todos os perímetros de serviço em uma determinada política de acesso:

Tipo Limite Observações
Perímetros de serviço 10.000 As pontes do perímetro de serviço contam para esse limite.
Recursos protegidos 40.000 Os projetos que são referenciados apenas em políticas de entrada e saída não contam para esse limite. Adicione recursos protegidos a uma política apenas em lotes de 10.000 recursos ou menos para evitar que as solicitações de modificação da política expirem. Recomendamos que você aguarde 30 segundos antes de fazer a próxima modificação da política.
Grupos de identidade 1.000 Esse limite é a contagem de grupos de identidade configurados nas regras de entrada e saída.
Redes VPC 500 Esse limite é a contagem de redes VPC referenciadas no modo restrito, no modo de teste e nas regras de entrada.

Os limites da política de acesso a seguir se aplicam de maneira cumulativa a todos os níveis de acesso em uma determinada política de acesso:

Tipo Limite Observações
Redes VPC 500 Esse limite é referente à contagem de redes VPC referenciadas nos níveis de acesso.

Limites da organização

Os limites a seguir se aplicam a todas as políticas de acesso em uma determinada organização:

Tipo Limite
Política de acesso no nível da organização 1
Políticas de acesso com escopo de pasta e projeto 50

Cotas e limites do Access Context Manager

Você também está sujeito às cotas e limites do Access Context Manager, já que o VPC Service Controls usa as APIs do Access Context Manager.