配额和限制
本文档列出了适用于 Virtual Private Cloud (VPC) 网络的配额和限制。
Google Cloud 使用配额来帮助确保公平性并减少资源使用和可用性的激增。配额用于限制您的 Google Cloud 项目可使用的 Google Cloud 资源的数量。配额适用于一系列资源类型,包括硬件、软件和网络组件。例如,配额可以限制对某项服务的 API 调用次数、您的项目并发使用的负载均衡器数量或者您可以创建的项目数量。配额可以防止服务过载,从而保护 Google Cloud 用户社区。配额还可帮助您管理自己的 Google Cloud 资源。
Cloud 配额系统执行以下操作:
- 监控 Google Cloud 产品和服务的消耗情况
- 限制这些资源的消耗量
- 提供请求更改配额值的方法
在大多数情况下,当您尝试消耗的资源超出其配额允许的范围时,系统会阻止对资源的访问,并且您尝试执行的任务会失败。
配额通常在 Google Cloud 项目级层应用。您在一个项目中使用资源不会影响您在另一个项目中的可用配额。在 Google Cloud 项目中,配额在所有应用和 IP 地址间共享。
VPC 资源也有系统限制。这些系统限制与配额系统无关。除非另有说明,否则无法更改系统限制。
配额
如需更改配额,请参阅申请额外的配额。
每个项目
下表重点介绍了每个项目的 VPC 资源的重要全球配额。如需了解其他配额,您可以查看 Google Cloud 控制台中的配额页面。
如需使用 Cloud Monitoring 监控每个项目的配额,请对 Consumer Quota 资源类型中的指标 serviceruntime.googleapis.com/quota/allocation/usage 设置监控。设置其他标签过滤条件(service、quota_metric)以获取配额类型。如需了解如何监控配额指标(包括查找限制名称和指标名称),请参阅使用配额指标。每个配额都有限制值和用量值。
| 配额 | 说明 |
|---|---|
| 网络带宽 | |
| GCE 虚拟机到互联网的出站流量带宽 Mbps | 来自某个区域的 Google Cloud 虚拟机到 VPC 网络外部目的地的总出站流量带宽(使用默认互联网网关)。此配额的用量会计入包含发出数据包的 Compute Engine 虚拟机的项目。不包括使用专用 Google 访问通道发送到 Google API 和服务的流量。不包括从具有外部 IP 地址的虚拟机发送到 Google API 和服务的流量。 |
| 来自计算实例的区域间网络出站流量带宽 (Mbps) | 来自某个区域的 Google Cloud 虚拟机到可在 VPC 网络中路由的目的地的总出站流量带宽(使用非默认互联网网关的下一个跃点)。此配额的用量会计入包含发出数据包的 Compute Engine 虚拟机的项目。 |
| 共享 VPC | |
| 跨项目网络服务项目 | 可以关联到共享 VPC 宿主项目的共享 VPC 服务项目数。 除了此配额之外,请参阅共享 VPC 项目限制。 |
| 常规 | |
| 网络 | 包括您可以移除的 default 网络。 |
| 基于政策的路由 | 您可以在项目中创建的基于政策的路由数量。 |
| 路由器 | 您可以在项目内的任意网络和区域中创建的 Cloud Router 路由器数。 此外,网络还对任意给定区域中 Cloud Router 路由器的数量设定了限制。如需了解详情,请参阅 Cloud Router 配额和限制。 |
| 数据包镜像 | 您可在自己项目内的任意网络和区域中创建的数据包镜像政策的数量。 |
| 负载均衡器和协议转发规则 请参阅负载均衡配额文档中的转发规则。 | |
| 内部 IP 地址 | |
| 内部 IP 地址 | 您可在项目的每个区域中预留的静态区域内部 IPv4 地址的数量。 |
| 区域静态内部 IPv6 地址范围 | 您可在项目的每个区域中预留的静态区域内部 IPv6 地址范围。 |
| 静态全球内部 IPv4 地址 | 您可以在项目中预留的静态全球内部 IPv4 地址范围的数量,例如,为专用服务访问通道分配的 IPv4 地址范围以及为用于访问全球 Google API 的 Private Service Connect 端点预留的 IPv4 地址。对于 IP 地址范围,每个范围都是一组连续的内部 IP 地址范围。 |
| 内部范围 | 您可在项目中预留的内部范围资源的数量。 |
| 外部 IP 地址 | |
| 静态 IP 地址 | 您可在项目的每个区域中预留的静态区域外部 IPv4 地址的数量。 |
| 区域静态外部 IPv6 地址范围 | 您可在项目的每个区域中预留的静态区域外部 IPv6 地址范围的数量。 |
| 全球静态 IP 地址 | 您可在项目中预留的全球静态外部 IP 地址的数量。 |
| 使用中的 IP 地址数 | 您可以在项目中同时使用的静态和临时区域级外部 IP 地址的数量。 |
| 使用中的全球 IP 地址数 | 您可以在项目中同时使用的静态和临时全球外部 IP 地址的数量。 |
| 每分钟的地址移动请求数 | 每分钟可发出的全球地址移动请求数。 |
| 每个区域每分钟的地址移动请求数 | 每个区域每分钟可发出的地址移动请求数。 |
| 自备 IP (BYOIP) | |
| 静态 BYOIP IP 地址数 | 您可以在项目的每个区域中预留的自备区域外部 IP 地址的数量。
|
| 全球静态 BYOIP IP 地址数 | 您可以在项目中创建的自备全球外部 IP 地址的数量。
|
| 公开通告前缀 | 您可以在项目中创建的公开通告前缀 (PAP) 数量。
|
| 每分钟的公开 V2 通告前缀创建请求数 | 每分钟可发出的区域级公开通告前缀的创建请求数。此配额适用于 v1 和 v2 公开通告前缀。
|
| 每分钟的公开 V2 通告前缀删除请求数 | 每分钟可发出的区域级公开通告前缀的删除请求数。此配额适用于 v1 和 v2 公开通告前缀。
|
| 每分钟的公开 V2 通告前缀公布请求数 | 每分钟可发出的区域级公开通告前缀的公布请求数。
|
| 区域级公开委派前缀数 | 您可以在每个区域创建的区域级公开委派前缀 (PDP) 的数量。
|
| 全球公开委派前缀数 | 您可以创建的全球公开委派前缀的数量。
|
| 每个区域每分钟的区域级公开委派前缀创建请求数 | 每个区域每分钟可发出的区域级公开委派前缀的创建请求数。
|
| 每个区域每分钟的区域级公开委派前缀删除请求数 | 每个区域每分钟可发出的区域级公开委派前缀的删除请求数。
|
| 每个区域每分钟的区域级公开委派前缀公告请求数 | 每个区域每分钟可发出的区域级公开委派前缀的公布请求数。此配额不适用于撤销请求。
|
| 具有可变前缀长度的公开委派前缀 | 每个区域每个项目可创建的区域级 IPv6 公开委派前缀的数量。
|
| Private Service Connect | |
| PSC 内部负载均衡器转发规则 | 服务使用方为了连接到提供方服务,可以创建的 Private Service Connect 端点(转发规则)数上限。此配额是按区域、按项目分配的。 配额名称: |
| 每个区域每个项目的区域级端点数 |
服务使用方为了连接到区域级端点,可以创建的 Private Service Connect 端点数上限。此配额是按区域、按项目分配的。 配额名称: |
| 服务连接 | 服务提供方可以创建的 Private Service Connect 服务连接数上限。此配额是按区域、按项目分配的。 配额名称: |
| 网络连接 | Private Service Connect 使用方可以创建的网络连接数上限。此配额是按区域、按项目分配的。 配额名称: |
| 每个区域每个项目的服务连接政策数 | 服务使用方可以创建的服务连接政策数上限。此配额是按区域、按项目分配的。 配额名称: |
| 每个区域每个项目的服务连接映射数 | 服务提供方可以创建的服务连接映射数上限。此配额是按区域、按项目分配的。 配额名称: |
每个网络
下表重点列出了重要的网络配额。如需了解其他配额,您可以查看 Google Cloud 控制台中的配额页面。
如需了解如何使用 Cloud Monitoring 监控可用指标,请参阅使用配额指标。 每个配额都有限制和用量值。
每个网络配额通常都有对应的每个对等互连组配额,使用 VPC 网络对等互连时适用。每个对等互连组配额都有一个有效限制概念。
| 配额 | 说明 |
|---|---|
| 实例和别名 IP 地址范围 | |
| 每个 VPC 网络的实例数 | VPC 网络中具有网络接口 (NIC) 的虚拟机实例总数。 配额名称: 可用指标:
|
| 每个对等互连组的实例数 | 从 VPC 网络的角度来看,具有 VPC 网络本身或其某个直接连接的对等体中的网络接口 (NIC) 的虚拟机实例总数。 配额名称: 可用指标:
|
| 每个 VPC 网络的 IP 地址别名 | VPC 网络中虚拟机实例的网络接口 (NIC) 使用的别名 IP 地址范围总数。此配额会计算别名 IP 范围的数量,而不考虑每个范围的大小(子网掩码)。 除了这项配额之外,每个虚拟机每个网络接口的别名 IP 地址范围数量也存在限制。 配额名称: 可用指标:
|
| 每个对等互连组的 IP 地址别名 | 从 VPC 网络的角度来看,VPC 网络本地的虚拟机实例及其直接连接的对等方的虚拟机实例的 NIC 使用的别名 IP 地址范围总数。此配额会计算别名 IP 范围的数量,而不考虑每个范围的大小(子网掩码)。 除了这项配额之外,每个虚拟机每个网络接口的别名 IP 地址范围数量也存在限制。 配额名称: 可用指标:
|
| 子网 IP 地址范围 | |
| 每个 VPC 网络的子网范围数 | VPC 网络中的子网使用的子网 IP 地址范围总数。 包括主要 IPv4 地址范围、次要 IPv4 地址范围和 IPv6 地址范围。 配额名称: 可用指标:
|
| 每个对等互连组的子网范围数 | 从 VPC 网络的角度来看,VPC 网络的本地子网及其直接连接的对等方中的子网使用的子网 IP 地址范围总数。包括主要 IPv4 地址范围、次要 IPv4 地址范围和 IPv6 地址范围。 配额名称: 可用指标:
|
| VPC 网络对等互连 | |
| 每个 VPC 网络的对等互连数 | 从 VPC 网络的角度来看,它可以通过使用 VPC 网络对等互连连接到的其他 VPC 网络的总数。 配额名称: 可用指标:
|
| 静态和动态路由 | |
| 每个网络的静态路由数 | 从 VPC 网络所有区域的角度来看,VPC 网络的本地静态路由总数。此配额适用于 IPv4 和 IPv6 静态路由的总和。 配额名称: 可用指标:
|
| 每个对等互连组的静态路由 | 从 VPC 网络所有区域的角度来看,VPC 网络的本地静态路由及其直接连接的对等方中的静态路由的总数。此配额适用于 IPv4 和 IPv6 静态路由的总和。 配额名称: 可用指标:
|
| 每个对等互连组每个区域的动态路由 | 从 VPC 网络中每个区域的角度来看,VPC 网络的本地动态路由及其直接连接的对等方中的动态路由的总数。此配额适用于 IPv4 和 IPv6 动态路由的总和。 配额名称: 可用指标:
如果动态路由的数量超过此限额,Google Cloud 会根据以下规则调整动态路由的导入方式:
|
| 负载均衡器和协议转发规则 请参阅负载均衡配额文档中的转发规则。 | |
| Private Service Connect | |
| 每个 VPC 网络的 PSC Google API 转发规则数 | 可用于访问 Google API 的 Private Service Connect 端点(转发规则)数上限。 此配额适用于用于访问所有区域中的 Google API 的转发规则总数。 此配额无法增加。 如需详细了解您可以创建多少个全球内部地址,请参阅每个项目。 配额名称: 可用指标:
|
| 每个 VPC 网络的 PSC 传播连接数 |
使用方 VPC 网络中可以存在的 Private Service Connect 传播连接数上限。 此配额无法增加。
配额名称: 可用指标:
|
| 每个提供方 VPC 网络的 PSC ILB 使用方转发规则数 |
可访问服务提供方 VPC 网络的 Private Service Connect 端点和 传播连接 数上限。 此配额适用于访问服务提供方 VPC 网络所有区域中的服务的端点 和传播连接 总数。 即使关联的服务连接被删除或配置为拒绝连接,端点也会计入此配额,直到被删除为止。即使 hub 上停用了连接传播或传播连接的 spoke 被删除,传播连接也会计入此配额,直到关联的端点被删除为止。 配额名称: 可用指标:
|
已弃用的配额
Google Cloud 不再实施以下配额:
子网:用于替换每个 VPC 网络的子网范围数配额。
限制
一般情况下,除非明确说明,否则无法提高限制。
共享 VPC 限制
可以连接到每个宿主项目的服务项目数是每个项目的可配置配额。除了该配额之外,以下限制适用于共享 VPC。
| 项 | 限制 | 备注 |
|---|---|---|
| 单个组织中共享 VPC 宿主项目的数量 | 100 | 如需请求更新此限制,请提交支持请求。 |
| 每个服务项目可以关联的宿主项目数 | 1 | 此限制无法提高。 |
每个网络
以下限制适用于 VPC 网络。这些限制通过配额在内部实施。如果超过每个网络的限制,您会看到 QUOTA_EXCEEDED 错误以及内部配额名称。
| 项 | 限制 | 备注 |
|---|---|---|
| 子网 IP 范围 | ||
| 每个子网的主要 IP 范围数 | 1 | 子网必须有且只有一个主要 IPv4 范围(CIDR 地址块)。此限制无法提高。如需了解详情,请参阅 IPv4 子网范围。 |
| 每个子网的次要 IP 范围数上限 | 170 | 子网可以选择性具有子网次要 IPv4 地址范围。此限制无法提高。如需了解详情,请参阅 IPv4 子网范围。 |
| 路由 | ||
| 每个路由的网络标记数上限 | 256 | 可与静态路由关联的网络标记数上限。此限制无法提高。 |
IP 地址限制
| 项 | 限制 | 备注 |
|---|---|---|
| 每个公开通告前缀的公共委派前缀数量 | 10 | 您可以从一个公开通告前缀 (PAP) 创建的公开委派前缀 (PDP) 的数量。 |
每个实例
以下限制适用于虚拟机实例。除非另有说明,否则这些限制无法提高。如需了解与虚拟机相关的配额,请参阅 Compute Engine 配额。
| 资源项 | 限制 | 备注 |
|---|---|---|
| 最大传输单元 (MTU) | 介于 1,300 字节到 8,896 字节之间(含边界值)。 常见值包括 1,460 字节(默认值)、1,500 字节(标准以太网)和 8,896 字节(巨型帧)。 |
如需了解详情,请参阅最大传输单元。 |
| 网络接口数上限 | 8 | 网络接口是在创建实例时定义的,并且之后无法通过修改实例来更改。 |
| 每个网络接口的别名 IP 地址范围数量上限 | 150 | 在您不超过 VPC 网络内分配的别名 IP 地址范围总数配额的前提下,可以分配给一个网络接口的别名 IP 地址范围数量。 Google Cloud 不会考虑别名 IP 范围网络掩码的大小。例如,单独的 |
| 每个 VPC 网络的网络接口数 | 1 | 每个网络接口都必须连接到唯一的 VPC 网络。在给定的 VPC 网络中,一个实例只能有一个网络接口。 |
| 空闲 TCP 连接的时长上限 | 10 分钟 | VPC 网络会自动丢弃空闲超过十分钟的 TCP 连接。您无法更改此限制,但可以使用 TCP keepalive 防止与实例的连接变为空闲状态。如需了解详情,请参阅 Compute Engine 提示和问题排查。 |
| 内部 IP 地址目标的出站数据速率上限 | 取决于虚拟机的机器类型 | 请参阅 Compute Engine 文档中的流向内部 IP 地址目标的出站流量和机器类型。 |
| 外部 IP 地址目标的出站数据速率上限 | 所有流:保持为 7 Gbps 左右或 25 Gbps(每个虚拟机 Tier_1 网络性能) 单个流:持续 3 Gbps |
请参阅 Compute Engine 文档中的流向外部 IP 地址目标的出站流量。 |
| 内部 IP 地址目标的入站数据速率上限 | 没有人为限制 | 请参阅 Compute Engine 文档中的流向内部 IP 地址目标的入站流量。 |
| 外部 IP 地址目标的入站数据速率上限 | 不超过 30 Gbps 不超过 180 万个数据包/秒 |
请参阅 Compute Engine 文档中的流向外部 IP 地址目标的入站流量。 |
连接日志记录限制
每个虚拟机实例可记录的最大连接数取决于其机器类型。连接日志记录限制表示为在 5 秒间隔内可记录的最大连接数。
| 实例机器类型 | 在 5 秒间隔内记录的最大连接数 |
|---|---|
| f1-micro | 100 个连接 |
| g1-small | 250 个连接 |
| 具有 1–8 个 vCPU 的机器类型 | 每个 vCPU 500 个连接 |
| 具有 8 个以上 vCPU 的机器类型 | 4000 (500×8) 个连接 |
混合连接
访问以下链接以查看 Cloud VPN、Cloud Interconnect 和 Cloud Router 的配额和限制:
每个对等互连组配额的有效限制
每个对等互连组配额都有一个有效限制概念。本部分介绍如何计算配额的有效限制。有效限制始终大于或等于每个对等互连组配额的限制值。
大多数每个对等互连组配额都有对应的网络配额,例如 SUBNET_RANGES_PER_PEERING_GROUP 和 SUBNET_RANGES_PER_NETWORK。本部分中所述的有效限制计算适用于所有每个对等互连组配额,即使这些配额没有对应的每个网络配额也是如此。
每个对等互连组配额的有效限制计算方法如下:
第 1 步:选择 VPC 网络。使用 VPC 网络对等互连时,每个网络都有自己的对等互连组。网络的对等互连组由 VPC 网络本身以及通过 VPC 网络对等互连直接连接到该 VPC 网络的所有其他 VPC 网络组成。系统会针对每个网络逐一重复计算每个对等互连组配额的有效限制。
第 2 步:对于所选 VPC 网络,找出以下限制中的较大者:
- 每个对等互连组配额的限制
- 对应的每个网络配额的限制
如果不存在对应的每个网络配额,请使用每个对等互连组配额的限制。
第 3 步。创建一个列表,其中包含每个对等网络中以下两个限制中的较大者:
- 每个对等互连组配额的限制
- 对应的每个网络配额的限制
如果不存在对应的每个网络配额,请使用每个对等互连组配额的限制。
第 4 步:从第 3 步获得的列表中找出最小值。
第 5 步:从第 2 步和第 4 步获得的两个值中取数值较大者。此数字即为每个对等互连组配额(从所选 VPC 网络的角度)的有效限制。
有效限制示例
假设您有 4 个 VPC 网络,分别是 network-a、network-b、network-c 和 network-d。因为有四个 VPC 网络,所以还有四个对等互连组,从每个网络的角度来看,各有一个。
假设网络对等互连连接如下所示:
network-a与network-b对等互连,network-b与network-a对等互连network-a与network-c对等互连,network-c与network-a对等互连network-c与network-d对等互连,network-d与network-c对等互连
假设两个对应配额的限制设置如下:
| 网络 | INTERNAL_FORWARDING_RULES_PER_PEERING_GROUP 的限制 |
INTERNAL_FORWARDING_RULES_PER_NETWORK 的限制 |
|---|---|---|
network-a |
500 | 600 |
network-b |
350 | 300 |
network-c |
300 | 300 |
network-d |
400 | 300 |
每个 INTERNAL_FORWARDING_RULES_PER_PEERING_GROUP 配额的有效限制如下:
network-a的对等互连组 - 直接对等方为network-b和network-c。network-a:max(500,600) = 600- 直接对等方最大值列表:
network-b:max(350,300) = 350network-c:max(300,300) = 300
- 直接对等方列表中的最小值:
min(350,300) = 300 network-a中INTERNAL_FORWARDING_RULES_PER_PEERING_GROUP的有效限制:max(600,300) = 600
network-b的对等互连组 - 一个直接对等方network-a。network-b:max(350,300) = 350- 直接对等方最大值列表:
network-a:max(500,600) = 600
- 直接对等方列表中的最小值:
min(600) = 600 network-b中INTERNAL_FORWARDING_RULES_PER_PEERING_GROUP的有效限制:max(350,600) = 600
network-c的对等互连组 - 直接对等方为network-a和network-d。network-c:max(300,300) = 300- 直接对等方最大值列表:
network-a:max(500,600) = 600network-d:max(400,300) = 400
- 直接对等方列表中的最小值:
min(600,400) = 400 network-c中INTERNAL_FORWARDING_RULES_PER_PEERING_GROUP的有效限制:max(300,400) = 400
network-d的对等互连组 - 一个直接对等方network-c。network-d:max(400,300) = 400- 直接对等方最大值列表:
network-c:max(300,300) = 300
- 直接对等方列表中的最小值:
min(300) = 300 network-d中INTERNAL_FORWARDING_RULES_PER_PEERING_GROUP的有效限制:max(400,300) = 400
Manage quotas
Virtual Private Cloud enforces quotas on resource usage for various reasons. For example, quotas protect the community of Google Cloud users by preventing unforeseen spikes in usage. Quotas also help users who are exploring Google Cloud with the free tier to stay within their trial.
All projects start with the same quotas, which you can change by requesting additional quota. Some quotas might increase automatically based on your use of a product.
Permissions
To view quotas or request quota increases, Identity and Access Management (IAM) principals need one of the following roles.
| Task | Required role |
|---|---|
| Check quotas for a project | One of the following:
|
| Modify quotas, request additional quota | One of the following:
|
Check your quota
Console
- In the Google Cloud console, go to the Quotas page.
- To search for the quota that you want to update, use the Filter table. If you don't know the name of the quota, use the links on this page instead.
gcloud
Using the Google Cloud CLI, run the following command to
check your quotas. Replace PROJECT_ID with your own project ID.
gcloud compute project-info describe --project PROJECT_IDTo check your used quota in a region, run the following command:
gcloud compute regions describe example-region
Errors when exceeding your quota
If you exceed a quota with a gcloud command,
gcloud outputs a quota exceeded error
message and returns with the exit code 1.
If you exceed a quota with an API request, Google Cloud returns the
following HTTP status code: 413 Request Entity Too Large.
Request additional quota
To adjust most quotas, use the Google Cloud console. For more information, see Request a quota adjustment.
Console
- In the Google Cloud console, go to the Quotas page.
- On the Quotas page, select the quotas that you want to change.
- At the top of the page, click Edit quotas.
- For Name, enter your name.
- Optional: For Phone, enter a phone number.
- Submit your request. Quota requests take 24 to 48 hours to process.
Resource availability
Each quota represents a maximum number for a particular type of resource that you can create, if that resource is available. It's important to note that quotas don't guarantee resource availability. Even if you have available quota, you can't create a new resource if it is not available.
For example, you might have sufficient quota to create a new regional, external IP address
in the us-central1 region. However, that is not possible if there are no
available external IP addresses in that region. Zonal resource
availability can also affect your ability to create a new resource.
Situations where resources are unavailable in an entire region are rare. However, resources within a zone can be depleted from time to time, typically without impact to the service level agreement (SLA) for the type of resource. For more information, review the relevant SLA for the resource.