配额和限制
本文档列出了适用于 Virtual Private Cloud (VPC) 网络的配额和限制。
配额用于限制您的 Google Cloud 项目可使用的共享 Google Cloud 资源(包括硬件、软件和网络组件)的数量。因此,有以下功能的系统具有配额:
- 监控 Google Cloud 产品和服务的使用情况或消耗情况。
- 出于某些原因限制这些资源的消耗量,包括确保公平性和减少使用量高峰。
- 维护可自动强制执行规定限制的配置。
- 提供请求或更改配额的方法。
在大多数情况下,当超过配额时,系统会立即阻止对相关 Google 资源的访问,并且您尝试执行的任务将失败。在大多数情况下,配额适用于每个 Google Cloud 项目,并由使用该 Google Cloud 项目的所有应用和 IP 地址共享。
VPC 资源也有限制。这些限制与配额系统无关。除非另有说明,否则无法更改限制。
配额
如需更改配额,请参阅申请额外的配额。
每个项目
下表重点介绍了每个项目的 VPC 资源的重要全球配额。如需了解其他配额,您可以查看 Google Cloud 控制台中的配额页面。
如需使用 Cloud Monitoring 监控每个项目的配额,请对 Consumer Quota 资源类型中的指标 serviceruntime.googleapis.com/quota/allocation/usage 设置监控。设置其他标签过滤条件(service、quota_metric)以获取配额类型。如需详细了解如何监控配额指标,请参阅使用配额指标。 每个配额都有一个限制和一个用量值。
| 配额 | 说明 |
|---|---|
| 网络带宽 | |
| GCE 虚拟机到互联网的出站流量带宽 Mbps | 从一个区域中的 Google Cloud 虚拟机到 VPC 网络外部的目标(使用默认互联网网关)的总出站带宽。此配额的使用会计入包含发出数据包的 Compute Engine 虚拟机的项目。 排除使用专用 Google 访问通道发送到 Google API 和服务的流量。 不包括从具有外部 IP 地址的虚拟机发送到 Google API 和服务的流量。 |
| 来自计算实例的区域间网络出站流量带宽 (Mbps) | 从一个区域中的 Google Cloud 虚拟机到可在 VPC 网络中路由的目的地的出站带宽总量(使用不是默认互联网网关的下一个跃点)。此配额的使用会计入包含发出数据包的 Compute Engine 虚拟机的项目。 |
| 共享 VPC | |
| 跨项目网络服务项目 | 可以关联到共享 VPC 宿主项目的共享 VPC 服务项目数。 除了此配额之外,请参阅共享 VPC 项目限制。 |
| 常规 | |
| 网络 | 包括您可以移除的 default 网络。 |
| 基于政策的路由 | 您可以在项目中创建的基于政策的路由数。 |
| 路由器 | 您可以在项目内的任意网络和区域中创建的 Cloud Router 路由器数。 此外,网络还对任意给定区域中 Cloud Router 路由器的数量设定了限制。如需了解详情,请参阅 Cloud Router 配额和限制。 |
| 数据包镜像 | 您可在自己项目内的任意网络和区域中创建的数据包镜像政策的数量。 |
| 负载均衡器和协议转发规则 请参阅负载均衡配额文档中的转发规则。 | |
| IP 地址和 BYOIP | |
| 每分钟地址移动请求数 | 您每分钟可以发出的全局地址移动请求数量。 |
| 每个区域每分钟的地址移动请求数 | 每个区域每分钟可发出的地址移动请求数。 |
| 内部 IP 地址 | 您可在项目的每个区域中预留的静态区域内部 IPv4 地址的数量。 |
| 区域静态内部 IPv6 地址范围 | 您可在项目的每个区域中预留的静态区域内部 IPv6 地址范围。 |
| 全球内部 IP 地址 | 您可为专用服务访问通道预留的分配范围的数量。每个范围都是一组连续的内部 IP 地址。 |
| 内部范围 | 您可在项目中预留的内部范围资源的数量。 |
| 静态 IP 地址 | 您可在项目的每个区域中预留的静态区域外部 IPv4 地址的数量。 |
| 区域静态外部 IPv6 地址范围 | 您可在项目的每个区域中预留的静态区域外部 IPv6 地址范围的数量。 |
| 全球静态 IP 地址 | 您可在项目中预留的全球静态外部 IP 地址的数量。 |
| 使用中的 IP 地址数 | 您可在项目中同时使用的静态和临时区域外部 IP 地址的数量。 |
| 使用中的全球 IP 地址数 | 您可在项目中同时使用的静态和临时全球外部 IP 地址的数量。 |
| 静态 BYOIP IP 地址数 | 您可以在项目的每个区域中预留的自备区域外部 IP 地址的数量。 |
| 全球静态 BYOIP IP 地址数 | 您可以在项目中预留的自备全球外部 IP 地址的数量。 |
| 公开通告前缀 | 您可以在项目中创建的公开通告前缀 (PAP) 数量。 |
| 区域级公开委派前缀数 | 您可以在项目的每个区域中预留的区域公开委派前缀 (PDP) 的数量。 |
| 全球公开委派前缀数 | 您可以在项目中预留的全球公开委派前缀 (PDP) 的数量。 |
| Private Service Connect | |
| PSC 内部负载均衡器转发规则 | 服务使用方为了连接到提供方服务,可以创建的 Private Service Connect 转发规则(端点)数上限。此配额是按区域、按项目分配的。 配额名称: |
| 服务连接 | 服务提供方可以创建的 Private Service Connect 服务连接数上限。此配额是按区域、按项目分配的。 配额名称: |
| 网络连接 | Private Service Connect 使用方可以创建的网络连接数上限。此配额是按区域、按项目分配的。 配额名称: |
每个网络
下表重点列出了重要的网络配额。如需了解其他配额,您可以查看 Google Cloud 控制台中的配额页面。
如需了解如何使用 Cloud Monitoring 监控可用指标,请参阅使用配额指标。 每个配额都有一个限制和一个用量值。
使用 VPC 网络对等互连时,每个网络配额通常都有对应的每个对等互连组配额。 每个对等互连组配额都有一个有效限制的概念。
| 配额 | 说明 |
|---|---|
| 实例和别名 IP 地址范围 | |
| 每个 VPC 网络的实例数 | VPC 网络中具有网络接口 (NIC) 的虚拟机实例总数。 配额名称: 可用指标:
|
| 每个对等互连组的实例数 | 从 VPC 网络的角度来看,具有 VPC 网络本身或其某个直接连接的对等体中的网络接口 (NIC) 的虚拟机实例总数。 配额名称: 可用指标:
|
| 每个 VPC 网络的 IP 地址别名 | VPC 网络中虚拟机实例的网络接口 (NIC) 使用的别名 IP 地址范围总数。此配额计算别名 IP 地址范围的数量,而不考虑每个范围的大小(子网掩码)。 除了这项配额之外,每个虚拟机每个网络接口的别名 IP 地址范围数量也存在限制。 配额名称: 可用指标:
|
| 每个对等互连组的 IP 地址别名 | 从 VPC 网络的角度来看,VPC 网络本地的虚拟机实例及其直接连接的对等方的虚拟机实例的 NIC 使用的别名 IP 地址范围总数。此配额计算别名 IP 地址范围的数量,而不考虑每个范围的大小(子网掩码)。 除了这项配额之外,每个虚拟机每个网络接口的别名 IP 地址范围数量也存在限制。 配额名称: 可用指标:
|
| 子网 IP 地址范围 | |
| 每个 VPC 网络的子网范围 | VPC 网络中子网使用的子网 IP 地址范围总数。 包括主要 IPv4 地址范围、次要 IPv4 地址范围和 IPv6 地址范围。 配额名称: 可用指标:
|
| 每个对等互连组的子网范围 | 从 VPC 网络的角度来看,VPC 网络的本地子网及其直接连接的对等方使用的 子网 IP 地址范围总数。包括主要 IPv4 地址范围、次要 IPv4 地址范围和 IPv6 地址范围。 配额名称: 可用指标:
|
| VPC 网络对等互连 | |
| 每个 VPC 网络的对等互连数 | 从 VPC 网络的角度来看,其可以使用 VPC 网络对等互连连接到的其他 VPC 网络总数。 配额名称: 可用指标:
|
| 静态和动态路由 | |
| 每个网络的静态路由数 | 从 VPC 网络所有区域的角度来看,VPC 网络本地的静态路由总数。此配额适用于 IPv4 和 IPv6 静态路由的总和。 配额名称: 可用指标:
|
| 每个对等互连组的静态路由 | 从 VPC 网络所有区域的角度来看,VPC 网络的本地静态路由及其直接连接的对等方中的静态路由的总数。此配额适用于 IPv4 和 IPv6 静态路由的总和。 配额名称: 可用指标:
|
| 每个对等互连组每个区域的动态路由 | 从 VPC 网络中每个区域的角度来看,VPC 网络的本地动态路由及其直接连接的对等方中的动态路由的总数。此配额适用于 IPv4 和 IPv6 动态路由的总和。 配额名称: 可用指标:
如果动态路由的数量超过此限额,Google Cloud 会根据以下规则调整动态路由的导入方式:
|
| 负载均衡器和协议转发规则 请参阅负载均衡配额文档中的转发规则。 | |
| Private Service Connect | |
| 每个 VPC 网络的 PSC Google API 转发规则 | 可用于访问 Google API 的 Private Service Connect 转发规则(端点)的数量上限。 此配额适用于用于访问所有区域中的 Google API 的转发规则总数。 此配额无法增加。 如需详细了解您可以创建多少个全球内部地址,请参阅每个项目。 配额名称: 可用指标:
|
| 每个提供方 VPC 网络的 PSC ILB 使用方转发规则 | 可用于访问服务提供方 VPC 网络中的服务的 Private Service Connect 转发规则(端点)的数量上限。 此配额适用于访问服务提供方 VPC 网络所有区域中的服务的全部使用方创建的转发规则总数。 配额名称: 可用指标:
|
已弃用的配额
Google Cloud 不再实施以下配额:
子网:用于替换每个 VPC 网络的子网范围配额。
限制
一般情况下,除非明确说明,否则无法提高限制。
共享 VPC 限制
可以连接到每个宿主项目的服务项目数是每个项目的可配置配额。除了该配额之外,以下限制适用于共享 VPC。
| 资源项 | 限额 | 备注 |
|---|---|---|
| 单个组织中共享 VPC 宿主项目的数量 | 100 | 如需请求更新此限制,请提交支持请求。 |
| 每个服务项目可以关联的宿主项目数 | 1 | 此限额无法提高。 |
每个网络
以下限制适用于 VPC 网络。这些限制通过配额在内部实施。如果超过每个网络的限制,您会看到 QUOTA_EXCEEDED 错误以及内部配额名称。
| 资源项 | 限额 | 备注 |
|---|---|---|
| 子网 IP 范围 | ||
| 每个子网的主要 IP 范围数 | 1 | 每个子网必须有且只有一个主要 IP 范围(CIDR 地址块)。此范围用于虚拟机主要内部 IP 地址、虚拟机别名 IP 范围和内部负载平衡器的 IP 地址。此限额无法提高。 |
| 每个子网的次要 IP 范围数上限 | 30 | (可选)您最多可以为每个子网指定 30 个次要 CIDR 地址块。这些次要 IP 范围只能用于别名 IP 范围。 此限制无法提高。 |
| 路由 | ||
| 每个路由的网络标记数上限 | 256 | 可与静态路由关联的网络标记数上限。此限额无法提高。 |
IP 地址限制
| 资源项 | 限额 | 备注 |
|---|---|---|
| 每个公开通告前缀的公共委派前缀数量 | 10 | 您可以从一个公开通告前缀 (PAP) 创建的公开委派前缀 (PDP) 的数量。 |
每个实例
以下限制适用于虚拟机实例。除非另有说明,否则无法提高这些限制。如需了解与虚拟机相关的配额,请参阅 Compute Engine 配额。
| 资源项 | 限额 | 备注 |
|---|---|---|
| 最大传输单元 (MTU) | 从 1460(默认)到 1500(标准以太网),或者最多 8896 个字节(巨型帧),具体取决于 VPC 网络配置。 | 如果实例使用的 MTU 大小超过 VPC 网络支持的大小,则可能导致数据包丢失。如需了解详情,请参阅最大传输单元。 |
| 网络接口数上限 | 8 | 网络接口是在创建实例时定义的,并且之后无法通过修改实例来更改。 |
| 每个网络接口的别名 IP 地址范围数量上限 | 100 | 在您不超过 VPC 网络内分配的别名 IP 地址范围总数配额的前提下,可以分配给一个网络接口的别名 IP 地址范围数量。 Google Cloud 不会考虑别名 IP 范围网络掩码的大小。例如,单独的 |
| 每个 VPC 网络的网络接口数 | 1 | 每个网络接口都必须连接到唯一的 VPC 网络。在给定的 VPC 网络中,一个实例只能有一个网络接口。 |
| 空闲 TCP 连接的时长上限 | 10 分钟 | VPC 网络会自动丢弃空闲超过十分钟的 TCP 连接。您无法更改此限制,但可以使用 TCP keepalive 消息防止与实例的连接变为空闲状态。 如需了解详情,请参阅 Compute Engine 提示和问题排查。 |
| 内部 IP 地址目标的出站数据速率上限 | 取决于虚拟机的机器类型 | 请参阅 Compute Engine 文档中的流向内部 IP 地址目标的出站流量和机器类型。 |
| 外部 IP 地址目标的出站数据速率上限 | 所有流:保持为 7 Gbps 左右或 25 Gbps(每个虚拟机 Tier_1 网络性能) 单个流:持续 3 Gbps |
请参阅 Compute Engine 文档中的流向外部 IP 地址目标的出站流量。 |
| 内部 IP 地址目标的入站数据速率上限 | 没有人为限制 | 请参阅 Compute Engine 文档中的流向内部 IP 地址目标的入站流量。 |
| 外部 IP 地址目标的入站数据速率上限 | 不超过 30 Gbps 不超过 180 万个数据包/秒 |
请参阅 Compute Engine 文档中的流向外部 IP 地址目标的入站流量。 |
连接日志记录限制
每个虚拟机实例可记录的最大连接数取决于其机器类型。连接日志记录限制表示为在 5 秒间隔内可记录的最大连接数。
| 实例机器类型 | 在 5 秒间隔内记录的最大连接数 |
|---|---|
| f1-micro | 100 个连接 |
| g1-small | 250 个连接 |
| 具有 1–8 个 vCPU 的机器类型 | 每个 vCPU 500 个连接 |
| 具有 8 个以上 vCPU 的机器类型 | 4000 (500×8) 个连接 |
混合连接
访问以下链接以查看 Cloud VPN、Cloud Interconnect 和 Cloud Router 的配额和限制:
每个对等互连组配额的有效限制
每个对等互连组配额都有一个有效限制概念。本部分介绍如何计算配额的有效限制。有效限制始终大于或等于每个对等互连组配额限制的值。
大多数每个对等互连组配额都有相应的网络配额,例如 SUBNET_RANGES_PER_PEERING_GROUP 和 SUBNET_RANGES_PER_NETWORK。本部分介绍的有效限制计算适用于所有对等互连组配额,即使是没有相应网络配额的配额也是如此。
每个对等互连组配额的有效限制计算方法如下:
第 1 步:选择 VPC 网络。使用 VPC 网络对等互连时,每个网络都有自己的对等互连组。网络的对等互连组由 VPC 网络本身以及通过 VPC 网络对等互连直接与之连接的所有其他 VPC 网络组成。系统会针对每个网络逐一重复计算每个对等互连组配额的有效限制。
第 2 步:对于所选 VPC 网络,找出以下限制中的较大者:
- 每个对等互连组配额的限制
- 相应网络配额的限制
如果不存在相应的网络配额,请使用每个对等互连组的配额。
第 3 步。创建一个列表,其中包含每个对等网络中以下两个限制中的较大者:
- 每个对等互连组配额的限制
- 相应网络配额的限制
如果不存在相应的网络配额,请使用每个对等互连组的配额。
第 4 步:从第 3 步获得的列表中找出最小值。
第 5 步:从第 2 步和第 4 步获得的两个值中取数值较大者。此数字是从所选 VPC 网络的角度来看,每个对等互连组配额的有效限制。
有效限制示例
假设您有 4 个 VPC 网络,分别是 network-a、network-b、network-c 和 network-d。因为有四个 VPC 网络,所以还有四个对等互连组,从每个网络的角度来看,各有一个。
假设网络对等互连连接如下所示:
network-a与network-b对等互连,network-b与network-a对等互连network-a与network-c对等互连,network-c与network-a对等互连network-c与network-d对等互连,network-d与network-c对等互连
假设两个相应配额限制设置为:
| 网络 | INTERNAL_FORWARDING_RULES_PER_PEERING_GROUP 的限制 |
INTERNAL_FORWARDING_RULES_PER_NETWORK 的限制 |
|---|---|---|
network-a |
500 | 600 |
network-b |
350 | 300 |
network-c |
300 | 300 |
network-d |
400 | 300 |
每个 INTERNAL_FORWARDING_RULES_PER_PEERING_GROUP 配额的有效限制如下:
network-a的对等互连组 - 直接对等互连为network-b和network-c。network-a:max(500,600) = 600- 直接对等方的 maxima 列表:
network-b:max(350,300) = 350network-c:max(300,300) = 300
- 直接对等方列表的下限:
min(350,300) = 300 network-a中INTERNAL_FORWARDING_RULES_PER_PEERING_GROUP的有效限制:max(600,300) = 600
network-b的对等互连组 - 一个直接对等方network-a。network-b:max(350,300) = 350- 直接对等方的 maxima 列表:
network-a:max(500,600) = 600
- 直接对等方列表的下限:
min(600) = 600 network-b中INTERNAL_FORWARDING_RULES_PER_PEERING_GROUP的有效限制:max(350,600) = 600
network-c的对等互连组 - 直接对等方为network-a和network-d。network-c:max(300,300) = 300- 直接对等方的 maxima 列表:
network-a:max(500,600) = 600network-d:max(400,300) = 400
- 直接对等方列表的下限:
min(600,400) = 400 network-c中INTERNAL_FORWARDING_RULES_PER_PEERING_GROUP的有效限制:max(300,400) = 400
network-d的对等互连组 - 一个直接对等方network-c。network-d:max(400,300) = 400- 直接对等方的 maxima 列表:
network-c:max(300,300) = 300
- 直接对等方列表的下限:
min(300) = 300 network-d中INTERNAL_FORWARDING_RULES_PER_PEERING_GROUP的有效限制:max(400,300) = 400
管理配额
出于各种原因,Virtual Private Cloud 会对资源用量实施配额限制。例如,配额可避免出现意料之外的用量突增,从而为 Google Cloud 用户社区提供保护。配额还可帮助正在通过免费层级探索 Google Cloud 的用户避免中断试用。
所有项目在开始时都具有相同的配额,您可以通过申请更多配额来进行更改。根据您使用产品的情况,一些配额可能会自动增加。
权限
如需查看配额或申请增加配额,Identity and Access Management (IAM) 主账号需要具备以下某个角色:
| 任务 | 所需角色 |
|---|---|
| 检查项目的配额 | 以下之一:
|
| 修改配额,申请更多配额 | 以下之一:
|
查看您的配额
控制台
- 在 Google Cloud 控制台中,转到配额页面。
- 如需搜索要更新的配额,请使用过滤表。 如果您不知道配额的名称,请使用此页面上的链接。
gcloud
使用 Google Cloud CLI 运行以下命令来查看您的配额。请将 PROJECT_ID 替换为您自己的项目 ID。
gcloud compute project-info describe --project PROJECT_ID
如需查看您在某一区域中已使用的配额,请运行以下命令:
gcloud compute regions describe example-region
超出配额时引发的错误
如果在发出 gcloud 命令时超过了配额,gcloud 会显示一条 quota exceeded 错误消息,并返回退出代码 1。
如果在发出 API 请求时超出了配额,Google Cloud 会返回以下 HTTP 状态代码:HTTP 413 Request Entity Too Large。
申请更多配额
如需增加或减少大多数配额,请使用 Google Cloud 控制台。如需了解详情,请参阅申请更高的配额。
控制台
- 在 Google Cloud 控制台中,转到配额页面。
- 在配额页面上,选择您要更改的配额。
- 点击位于页面顶部的修改配额。
- 填写您的姓名、电子邮件地址和电话号码,然后点击下一步。
- 填写您的配额申请,然后点击完成。
- 提交您的申请。 配额申请需要 24 到 48 小时才能完成处理。
资源可用性
每个配额代表您可以创建的特定类型资源的数量上限(如果该资源可用)。必须要注意的是,配额无法保证资源可用。即使您具有可用配额,如果新资源不可用,您也无法创建新资源。
例如,您的配额可能足以在 us-central1 区域中创建新的区域性外部 IP 地址。但是,如果该区域中没有可用的外部 IP 地址,则无法执行此操作。区域级资源可用性也会影响您能否创建新资源。
导致资源在整个区域不可用的情况非常罕见。但是,地区内的资源有时可能会耗尽,通常不会影响资源类型的服务等级协议 (SLA)。如需了解详情,请参阅资源的相关 SLA。