配额和限制

本文档列出了适用于 VPC Service Controls 的配额和限制。本主题中指定的配额和限制随时可能更改。

配额利用率的计算依据是强制模式和试运行模式的利用率总和。例如,如果服务边界在实施模式下保护五个资源,在试运行模式下保护七个资源,则系统会根据相应的限制对两者的总和(即 12 个)进行测试。此外,每个条目计为一个,即使该条目出现在政策的其他位置也是如此。例如,如果项目包含在一个常规边界和五个网桥边界内,则系统会计算所有六个实例,并且不会执行去重操作。

在 Google Cloud 控制台中查看配额

  1. 在 Google Cloud 控制台导航菜单中,点击安全性,然后点击 VPC Service Controls

    转到 VPC Service Controls

  2. 如果出现提示,请选择您的组织、文件夹或项目。

  3. VPC Service Controls 页面上,选择要查看其配额的访问权限政策。

  4. 点击查看配额

    配额页面会显示以下访问权限政策限制的用量指标,这些指标累计应用于给定访问权限政策中的所有服务边界:

    • 服务边界
    • 受保护资源
    • 访问权限级别
    • 入站流量和出站流量属性总数

服务边界限制

以下限制适用于每个服务边界:

类型 限额 Notes
访问权限级别 500 此限制针对的是服务边界内的访问权限级别引用数量,其中包括与服务边界关联的入站和出站规则中的访问权限级别引用。

访问权限政策限制

以下访问权限政策限制累计适用于给定访问权限政策中的所有服务边界:

类型 限额 Notes
服务边界 10000 服务边界网桥会计入此限额。
受保护资源 40,000 仅在入站和出站政策中引用的项目不计入此限额。
特性 4,000 此限制适用于入站和出站规则中指定的所有属性的计数。该属性限制包括项目、VPC 网络、访问权限级别、方法选择器和身份。方法、服务或项目属性中值“*”的出现次数包含在总计中。
VPC 网络 500 此限制适用于实施模式、试运行模式和入站规则中引用的 VPC 网络的计数。

组织限制

以下限制适用于给定组织中的所有访问权限政策:

类型 限额
组织级访问权限政策 1
文件夹级和项目级访问权限政策 50

Access Context Manager 配额和限制

由于 VPC Service Controls 使用 Access Context Manager API,因此您还需要遵守 Access Context Manager 配额和限制