In diesem Dokument sind die Kontingente und Limits für VPC Service Controls aufgeführt. Die in diesem Thema angegebenen Kontingente und Limits können sich ändern.
Die Berechnung der Kontingentnutzung basiert auf der Summe der Nutzung im Probelaufmodus und im erzwungenen Modus. Wenn ein Dienstperimeter beispielsweise fünf Ressourcen im erzwungenen Modus und sieben Ressourcen im Probelaufmodus schützt, wird die Summe aus beiden, also 12, mit dem entsprechenden Limit verglichen. Außerdem wird jeder einzelne Eintrag als einer gezählt, auch wenn er an anderer Stelle in der Richtlinie vorkommt. Wenn ein Projekt beispielsweise in einem regulären Perimeter und fünf Bridge-Perimetern enthalten ist, werden alle sechs Instanzen gezählt und es wird keine Deduplizierung durchgeführt.
Bei VPC Service Controls werden die Limits für Dienstperimeter jedoch anders berechnet. Weitere Informationen finden Sie im Abschnitt Limits für Dienstperimeter in diesem Dokument.
Kontingente in der Google Cloud Console ansehen
Klicken Sie im Navigationsmenü der Google Cloud Console auf Sicherheit und dann auf VPC Service Controls.
Wählen Sie Ihre Organisation, Ihren Ordner oder Ihr Projekt aus, wenn Sie dazu aufgefordert werden.
Wählen Sie auf der Seite VPC Service Controls die Zugriffsrichtlinie aus, für die Sie Kontingente ansehen möchten.
Klicken Sie auf Kontingent ansehen.
Auf der Seite Kontingent werden die Nutzungsmesswerte für die folgenden Zugriffsrichtlinien-Limits angezeigt, die kumulativ für alle Dienstperimeter in einer bestimmten Zugriffsrichtlinie gelten:
- Dienstperimeter
- Geschützte Ressourcen
- Zugriffsebenen
- Attribute für ein- und ausgehenden Gesamttraffic
Limits für Dienstperimeter
Das folgende Limit gilt für jede Dienstperimeterkonfiguration. Das bedeutet, dass dieses Limit separat für die erzwungenen und die Probelaufkonfigurationen eines Perimeters gilt:
| Typ | Limit | Hinweise |
|---|---|---|
| Eigenschaften | 6.000 | Dieses Limit gilt für die Gesamtzahl der Attribute, die in den Regeln für eingehenden und ausgehenden Traffic angegeben sind. Das Attributlimit umfasst die Verweise auf Projekte, VPC-Netzwerke, Zugriffsebenen, Methodenauswahlen, Identitäten und Rollen in diesen Regeln. Die Gesamtzahl der Attribute umfasst auch die Verwendung von Platzhaltern (*) in den Methoden-, Dienst- und Projektattributen.
|
Überlegungen zum Attributlimit
Bei VPC Service Controls wird jeder Eintrag in den folgenden Feldern für Regeln für eingehenden und ausgehenden Traffic als ein Attribut gezählt:
| Regelblock | Felder |
|---|---|
ingressFrom |
|
ingressTo |
|
egressFrom |
|
egressTo |
|
Weitere Informationen zu diesen Feldern finden Sie in der Referenz zu Regeln für eingehenden Traffic und der Referenz zu Regeln für ausgehenden Traffic.
VPC Service Controls berücksichtigt die folgenden Regeln, um zu prüfen, ob ein Perimeter das Attributlimit überschreitet:
Jedes Feld in einer Regel für eingehenden und ausgehenden Traffic kann mehrere Einträge haben und jeder Eintrag wird auf das Limit angerechnet.
Wenn Sie beispielsweise ein Dienstkonto und ein Nutzerkonto im Feld
identitieseinesegressFrom-Regelblocks angeben, werden von VPC Service Controls zwei Attribute auf das Limit angerechnet.Bei VPC Service Controls wird jedes Vorkommen einer Ressource in den Regeln separat gezählt, auch wenn Sie dieselbe Ressource in mehreren Regeln wiederholen.
Wenn Sie beispielsweise ein Projekt,
project-1, in zwei verschiedenen Regeln für eingehenden oder ausgehenden Traffic,rule-1undrule-2, erwähnen, werden von VPC Service Controls zwei Attribute auf das Limit angerechnet.Jeder Dienstperimeter kann eine erzwungene und eine Probelaufkonfiguration haben. Bei VPC Service Controls wird das Attributlimit für jede Konfiguration separat angewendet.
Wenn die Gesamtzahl der Attribute für die erzwungenen und Probelaufkonfigurationen eines Perimeters beispielsweise 3.500 bzw. 3.000 Attribute beträgt, geht VPC Service Controls davon aus, dass der Perimeter das Attributlimit nicht überschreitet.
Limits für Zugriffsrichtlinien
Die folgenden Limits für Zugriffsrichtlinien gelten kumulativ für alle Dienstperimeter in einer bestimmten Zugriffsrichtlinie:
| Typ | Limit | Hinweise |
|---|---|---|
| Dienstperimeter | 10.000 | Dienstperimeter-Bridges werden auf dieses Limit angerechnet. |
| Geschützte Ressourcen | 40.000 | Projekte, auf die nur in Richtlinien für eingehenden und ausgehenden Traffic verwiesen wird, werden nicht auf dieses Limit angerechnet. Fügen Sie einer Richtlinie geschützte Ressourcen nur in Batches von maximal 10.000 Ressourcen hinzu, um zu verhindern, dass Zeitüberschreitungen bei Anfragen zur Richtlinienänderung auftreten. Wir empfehlen, 30 Sekunden zu warten, bevor Sie die nächste Richtlinienänderung vornehmen. |
| Identitätsgruppen | 1.000 | Dieses Limit bezieht sich auf die Anzahl der in den Regeln für ein- und ausgehenden Traffic konfigurierten Identitätsgruppen. |
| VPC-Netzwerke | 500 | Dieses Limit bezieht sich auf die Anzahl der VPC-Netzwerke, auf die im erzwungenen Modus, im Probelaufmodus und in Regeln für eingehenden Traffic verwiesen wird. |
| Gesamtlänge aller Regeltitel | 240.000 | Die Gesamtlänge aller Titel von Regeln für eingehenden und ausgehenden Traffic darf diese Grenze nicht überschreiten. Leerzeichen in den Regeltiteln werden ebenfalls auf dieses Limit angerechnet. Regeln ohne Titel werden jedoch nicht auf dieses Limit angerechnet. |
Die folgenden Limits für Zugriffsrichtlinien gelten kumulativ für alle Zugriffsebenen in einer bestimmten Zugriffsrichtlinie:
| Typ | Limit | Hinweise |
|---|---|---|
| VPC-Netzwerke | 500 | Dieses Limit bezieht sich auf die Anzahl der VPC-Netzwerke, auf die in Zugriffsebenen verwiesen wird. |
Organisationslimits
Die folgenden Limits gelten für alle Zugriffsrichtlinien in einer bestimmten Organisation:
| Typ | Limit |
|---|---|
| Zugriffsrichtlinie auf Organisationsebene | 1 |
| Zugriffsrichtlinien auf Ordner- und Projektebene | 50 |
Kontingente und Limits für Access Context Manager
Sie unterliegen auch den Kontingenten und Limits für Access Context Manager, da VPC Service Controls Access Context Manager APIs verwendet.