本文档列出了适用于 VPC Service Controls 的配额和限制。本主题中指定的配额和限制随时可能更改。
配额用量计算基于强制执行模式和模拟运行模式的用量之和。例如,如果服务边界在实施模式下保护五个资源,在试运行模式下保护七个资源,则系统会根据相应的限制对两者的总和(即 12 个)进行测试。此外,每个条目计为一个,即使该条目出现在政策的其他位置也是如此。例如,如果项目包含在一个常规边界和五个网桥边界内,则系统会计算所有六个实例,并且不会执行去重操作。
在 Google Cloud 控制台中查看配额
在 Google Cloud 控制台导航菜单中,点击安全性,然后点击 VPC Service Controls。
如果出现提示,请选择您的组织、文件夹或项目。
在 VPC Service Controls 页面上,选择要查看其配额的访问权限政策。
点击查看配额。
配额页面会显示以下访问权限政策限制的使用情况指标,这些限制累计适用于给定访问权限政策中的所有服务边界:
- 服务边界
- 受保护资源
- 访问权限级别
- 入站流量和出站流量属性总数
服务边界限制
以下限制适用于每个服务边界:
| 类型 | 限制 | 备注 |
|---|---|---|
| 访问权限级别 | 500 | 此限制针对的是服务中的访问权限级别引用数量 其中包括入站流量和 与服务边界关联的出站规则 |
访问权限政策限制
以下访问权限政策限制累计适用于给定访问权限政策中的所有服务边界:
| 类型 | 限制 | 备注 |
|---|---|---|
| 服务边界 | 10000 | 服务边界网桥会计入此限制。 |
| 受保护资源 | 40,000 | 仅在入站和出站政策中引用的项目不计入此限额。请仅以 1 万个资源或更少的批量向政策添加受保护资源,以防止政策修改请求超时。 我们建议您等待 30 秒,然后再进行下一个 政策修改。 |
| 特性 | 6,000 次 | 此限制适用于入站和出站规则中指定的所有属性的计数。该属性限制包括项目、VPC 网络、访问权限级别、方法选择器和身份。方法、服务或项目属性中值“*”的出现次数包含在总计中。 |
| 身份群组 | 1000 | 此限制针对的是入站流量和出站流量规则中配置的身份组数量。 |
| VPC 网络 | 500 | 此限制适用于实施模式、试运行模式和入站规则中引用的 VPC 网络的计数。 |
以下访问权限政策限制累计适用于给定访问权限政策中的所有访问权限级别:
| 类型 | 限制 | 备注 |
|---|---|---|
| VPC 网络 | 500 | 此限制适用于访问权限级别中引用的 VPC 网络的计数。 |
组织限制
以下限制适用于指定组织中的所有访问权限政策:
| 类型 | 限制 |
|---|---|
| 组织级访问权限政策 | 1 |
| 文件夹级和项目级访问权限政策 | 50 |
Access Context Manager 配额和限制
您还需要遵守 Access Context Manager 配额和 限制,因为 VPC Service Controls Access Context Manager API。