VPC 资源配额

配额和限制

以下各部分介绍了 VPC 网络的配额和限制。如需更改配额,只需使用 Cloud Console 申请更多配额。 一般情况下,除非明确说明,否则无法提高限额。

每个组织

以下限制适用于组织。

资源项 限额 备注
每个组织的分层防火墙政策数量 10 如需提高此限额,请与您的 Google Cloud 销售团队联系。
分层防火墙政策中的分层防火墙规则特性数量 250 分层防火墙政策中所有规则的规则特性数量规则数量无关紧要,重要的是政策中所有规则的特性总数。

规则“特性”是指 IP 范围、协议或协议和端口范围。示例:
  • 如果一条规则指定来源 IP 范围为 10.100.0.1/32,目的地端口为 tcp:5000-6000,则计为有两个特性:一个是 IP 范围,另一个是协议和端口范围。
  • 指定来源范围为 10.100.0.1/3210.100.1.1/32 以及指定目标协议和端口为 tcp:80tcp:443udp:4000-5000icmp 的规则计为六个特性:两个 IP 范围各计为一个特性,四个协议或协议和端口范围各计为一个特性。
要查看您的政策有多少个特性,请参阅描述政策。如需提高此限制,请与您的 Google Cloud 销售团队联系。

每个项目

下表重点列出了每个项目的 VPC 资源的重要全球配额。如需了解其他配额,请参阅配额页面

资源项 配额 备注
网络 配额 此配额包括您可以移除的 default 网络。
子网 配额 适用于相应项目中所有网络的所有子网。
系统生成的路由和
自定义静态路由
配额 此配额包括 Cloud Router 学习的自定义动态路由。
Cloud Router 路由器 配额 此配额表示您可以在自己项目内的任意网络和地区中创建的 Cloud Router 路由器数。此外,网络还对任意给定地区中 Cloud Router 路由器的数量设定了限制。请参阅 Cloud Router 路由器配额和限制了解更多详情。
防火墙规则 配额 此配额表示您可以为自己项目中所有的 VPC 网络创建的防火墙规则的数量。
转发规则 配额 此配额包括内部和外部转发规则。内部转发规则还有其他限制。如需了解详情,请参阅每个网络的内部负载平衡器转发规则VPC 网络对等互连限制
内部 IP 地址 配额 此配额表示您可在项目的每个地区中预留的静态地区内部 IP 地址的数量。
全球内部 IP 地址 配额 此配额表示可为专用服务访问通道预留的分配范围的数量。每个范围都是一组连续的内部 IP 地址。
静态 IP 地址 配额 此配额表示您可在项目的每个地区中预留的静态地区外部 IP 地址的数量。
全球静态 IP 地址 配额 此配额表示您可在项目中预留的全球静态外部 IP 地址的数量。
数据包镜像政策 配额 此限额表示您可在项目内的任意网络和地区中创建的数据包镜像政策的数量。如需提高此限额,请与您的 Google Cloud 销售团队联系。

共享 VPC 项目限制

以下限额适用于参与共享 VPC 的项目。

资源项 限额 备注
可以关联到每个宿主项目的服务项目数 1000 如需提高此限额,请与您的 Google Cloud 销售团队联系。
单个组织中共享 VPC 宿主项目的数量 100 如需提高此限额,请与您的 Google Cloud 销售团队联系。
每个服务项目可以关联的宿主项目数 1 此限额无法提高。

每个网络

以下限额适用于 VPC 网络。除非另有说明,否则您可联系 Google Cloud 销售团队来提高相应限额。

资源项 限额 备注
实例
每个网络的虚拟机实例数上限 15000 如果您使用 VPC 网络对等互连将该网络与其他网络连接,则此限额可能低于此数值。如需了解详情,请参阅 VPC 网络对等互连限制
每个子网的虚拟机实例数上限 没有单独的限制。
分配的别名 IP 范围数上限 15000 别名 IP 范围是分配给虚拟机网络接口的单个 IP 地址 (/32) 或 CIDR 地址块(例如 /24 或 /16)。别名 IP 地址可以来自子网的主要或次要 IP 范围

对于此限制而言,Google Cloud 不会考虑范围的网络掩码大小,只计算分配给网络中所有虚拟机的别名 IP 范围数量。

除了这项配额之外,每个虚拟机每个网络接口的别名 IP 范围数量也存在限制。
子网 IP 范围
每个子网的主要 IP 范围数 1 每个子网必须且只有一个主要 IP 范围(CIDR 地址块)。此范围用于虚拟机主要内部 IP 地址、虚拟机别名 IP 范围和内部负载平衡器的 IP 地址。此限额无法提高。
每个子网的次要 IP 范围数上限 30 (可选)您最多可以为每个子网指定 30 个次要 CIDR 地址块。这些次要 IP 范围只能用于别名 IP 范围。 此限额无法提高。
子网 IP 范围数上限(主要和次要) 300 分配给 VPC 网络中所有子网的主要和次要子网 IP 范围总数。
每个防火墙规则的源标记数上限 30 此限额是创建入站防火墙规则时可指定为源标记的最大网络标记数。此限额无法提高。
每个防火墙规则的目标标记数量上限 70 此限额是创建出站或入站防火墙规则时可指定为目标标记的最大网络标记数。此限额无法提高。
每个防火墙规则的源服务帐号数量上限 10 此限额是创建入站防火墙规则时可指定的最大源服务帐号数。此限额无法提高。
每个防火墙规则的目标服务帐号数量上限 10 此限额是创建出站或入站防火墙规则时可指定的最大目标服务帐号数。此限额无法提高。
每个防火墙规则的来源范围数量上限 256 此限额是创建入站防火墙规则时可指定的来源 IP 地址范围数量上限。此限额无法提高。
每个防火墙规则的目标范围数量上限 256 此限额是创建出站防火墙规则时可指定的目标 IP 地址范围数量上限。此限额无法提高。
内部负载平衡
用于如下用途的转发规则数上限:
- 内部 TCP/UDP 负载平衡
- 内部 HTTP(S) 负载平衡
75 此限制表示内部负载平衡器的转发规则数上限。

此限制适用于内部负载平衡转发规则的总数量,不适用于单独的每个地区。

如果您使用 VPC 网络对等互连将网络连接到其他网络,请参阅 VPC 网络对等互连限制了解其他重要详细信息。
协议转发
用于内部协议转发的转发规则数上限 50 此限额表示用于内部协议转发的转发规则数上限。

此限制适用于内部协议转发的转发规则总数量,不适用于单独的每个地区。

如果您使用 VPC 网络对等互连将网络连接到其他网络,请参阅 VPC 网络对等互连限制了解其他重要详细信息。

VPC 网络对等互连限制

以下限额适用于使用 VPC 网络对等互连连接的 VPC 网络。每个限额适用于一个对等互连组,即一组彼此直接对等互连的 VPC 网络。从一个给定的 VPC 网络的角度来看,该网络及其所有对等网络都在一个对等互连组中。对等互连组不包含对等网络的对等方。

有时可以提高这些限额。如需提高这些限额,请与您的 Google Cloud 销售团队联系。

资源项 限额 备注
对等互连组
单个 VPC 网络的连接数上限 25 此限额表示可以使用 VPC 网络对等互连连接到指定 VPC 网络的网络数上限。
对等互连组中子网路由数上限 没有单独的限制 可交换子网路由数量受每个对等互连组子网 IP 范围数上限(主要和次要)的限制,具体如下所述。
一个对等互连组中的静态路由数上限 300 此限额表示在导入和导出自定义路由时,可以在对等互连组的网络之间进行交换的静态路由数上限。如果创建一个网络的对等互连连接会导致相应对等互连组超出此限额,Google Cloud 将阻止您创建连接。
一个对等互连组中的动态路由数上限 300 此限额表示在导入和导出自定义路由时,Cloud Router 路由器可以应用于对等互连组的所有网络的动态路由数上限。如果动态路由的数量超过此限额,Google Cloud 会调整导入指定网络的动态路由的方式。
  • Google Cloud 会丢弃从对等网络中导入的动态路由。 Google Cloud 使用一种内部算法来选择要丢弃的动态路由,这可能导致 Google Cloud 丢弃较早的动态路由,而不仅仅是最近添加的路由。您无法预测系统究竟会丢弃哪些已导入的动态路由。这种情况下,您应该减少对等互连组中的动态路由数量。
  • 根据 Cloud Router 限制,Google Cloud 绝不会丢弃 Cloud Router 路由器在本地网络中学习的动态路由。
  • 如果对等互连连接导致超过此限额,Google Cloud 仍会允许您创建对等互连连接且不显示警告消息。
实例
虚拟机实例数上限 每个网络 15000 个
每个对等互连组 15500 个
只要满足以下所有条件,Google Cloud 就允许您在指定 VPC 网络中创建新实例:
  • 您未超过此限额针对每个网络指定的上限。
  • 您未超过此限额针对每个对等互连组指定的上限。
如需查看示例,请参阅 VPC 网络对等互连和最大虚拟机数
子网 IP 范围
子网 IP 范围数上限(主要和次要) 400 可向一个对等互连组中所有网络的子网分配的主要和次要子网 IP 范围数上限。
内部负载平衡
用于如下用途的转发规则数上限:
- 内部 TCP/UDP 负载平衡
- 内部 HTTP(S) 负载平衡
每个网络 75 个
每个对等互连组 175 个
如果满足以下所有条件,即可新建用于内部负载平衡的地区级内部转发规则:
协议转发
用于内部协议转发的转发规则数上限 每个网络 50 个
每个对等互连组 100 个
如果满足以下所有条件,即可新建用于协议转发的地区级内部转发规则:
  • 给定网络项目中的转发规则总数(不仅仅是内部转发规则)小于每个项目的转发规则配额
  • 您未超过此限额针对每个网络指定的上限。
  • 对等互连组中用于协议转发的内部转发规则数量小于对等互连组中转发规则的有效数量。该有效数量的计算方法请见 VPC 网络对等互连和内部转发规则

VPC 网络对等互连和最大虚拟机数

对等互连组的网络中最多可以有 15500 个虚拟机实例。举例说明,假设 network-b 已与另外两个网络(network-anetwork-c)建立对等互连:

  • 如果 network-b 有 5000 个虚拟机,则您在 network-a network-c 中创建的虚拟机总数必须小于或等于 10500。
  • 如果 network-b 有 500 个虚拟机,则您在 network-a network-c 中创建的虚拟机总数必须小于或等于 15000。

VPC 网络对等互连和内部转发规则

从一个给定的 VPC 网络的角度来看,Google Cloud 使用以下方法计算对等互连组中内部负载平衡器转发规则的有效数量:

  • 第 1 步:针对给定网络,找出以下两个限额中数值较大的那一个:

    • 给定网络中内部负载平衡器转发规则的数量上限
    • 对等互连组中内部负载平衡器的转发规则数
  • 第 2 步。对于对等互连组中其余的每个网络,找出以下两个限制中数值较大者:

    • 对等互连网络中内部负载平衡器的转发规则数上限
    • 对等互连组中内部负载平衡器的转发规则数
  • 第 3 步。从第 2 步获得的列表中找出最小值

  • 第 4 步:从第 1 步和第 3 步获得的两个数字中取数值较大者。 此数字就是可在对等互连组(从给定网络的角度)中创建的内部负载平衡器转发规则的有效数量。

假设您有 4 个 VPC 网络,分别是 network-anetwork-bnetwork-cnetwork-d

  • network-anetwork-b 对等互连,network-bnetwork-a 对等互连
  • network-anetwork-c 对等互连,network-cnetwork-a 对等互连
  • network-cnetwork-d 对等互连,network-dnetwork-c 对等互连

且每个网络有以下限制:

网络 给定网络中内部负载平衡器转发规则的数量上限 对等互连组中内部负载平衡器转发规则的数量
network-a 160 150
network-b 75 80
network-c 75 75
network-d 75 95

从每个 VPC 网络的角度来看,Google Cloud 会计算该对等互连组中内部负载平衡器转发规则的有效数量:

  • network-a 的角度来看,其对等互连组包含 network-anetwork-bnetwork-c。此对等互连组中内部负载平衡器转发规则的有效数量按以下方式计算:

    1. network-amax(160,150) = 160
    2. 其余对等网络:
      • network-bmax(75,80) = 80
      • network-cmax(75,75) = 75
    3. min(80,75) = 75
    4. max(160,75) = 160
      • network-a 的角度来看,每个对等互连组的内部负载平衡器转发规则的有效数量为:160
  • network-b 的角度来看,其对等互连组包含 network-bnetwork-a。此对等互连组中内部负载平衡器转发规则的有效数量按以下方式计算:

    1. network-bmax(75,80) = 80
    2. 其余对等网络:
      • network-amax(160,150) = 160
    3. min(160) = 160
    4. max(80,160) = 160
      • network-b 的角度来看,每个对等互连组的内部负载平衡器转发规则的有效数量为:160
  • network-c 的角度来看,其对等互连组包含 network-cnetwork-anetwork-d。此对等互连组中内部负载平衡器转发规则的有效数量按以下方式计算:

    1. network-cmax(75,75) = 75
    2. 其余对等网络:
      • network-amax(160,150) = 160
      • network-dmax(75,95) = 95
    3. min(160,95) = 95
    4. max(75,95) = 95
      • network-c 的角度来看,每个对等互连组的内部负载平衡器转发规则的有效数量为:95
  • network-d 的角度来看,其对等互连组包含 network-dnetwork-c。此对等互连组中内部负载平衡器转发规则的有效数量按以下方式计算:

    1. network-dmax(75,95) = 95
    2. 其余对等网络:
      • network-cmax(75,75) = 75
    3. min(75) = 75
    4. max(95,75) = 95
      • network-d 的角度来看,每个对等互连组的内部负载平衡器转发规则的有效数量为:95

每个实例

以下限额适用于虚拟机实例。除非另有说明,否则无法提高这些限额。如需了解与虚拟机相关的配额,请参阅 Compute Engine 配额

资源项 限额 备注
最大传输单元 (MTU) 1460 个字节 如果实例使用的 MTU 超过此大小,则可能导致数据包丢失。 您无法增加此 MTU 值。
网络接口数上限 8 网络接口是在创建实例时定义的,并且之后无法通过修改实例来更改。
每个网络接口的别名 IP 地址范围数量上限 10 在不超过 VPC 网络中分配的别名 IP 范围总数配额的前提下,可分配给网络接口的别名 IP 范围的数量。

Google Cloud 考虑别名 IP 范围网络掩码的大小。例如,单独的 /24 范围是一个别名 IP 范围,单独的 /23 范围也是一个别名 IP 范围。

如需提高此限额,请与您的 Google Cloud 销售团队联系。
每个 VPC 网络的网络接口数 1 每个网络接口都必须连接到唯一的 VPC 网络。在给定的 VPC 网络中,一个实例只能有一个网络接口。
空闲 TCP 连接的时长上限 10 分钟 VPC 网络会自动丢弃空闲超过十分钟的 TCP 连接。您无法更改此限制,但可以使用 TCP keepalive 消息防止与实例的连接变为空闲状态。 如需了解详情,请参阅 Compute Engine 提示和问题排查页面。
内部 IP 地址目标的出站数据速率上限 取决于虚拟机的机器类型 请参阅 Compute Engine 文档中的流向内部 IP 地址目标的出站流量机器类型
外部 IP 地址目标的出站数据速率上限 所有流:保持为 7 Gb/秒左右
单个流:保持为 3 Gb/秒
请参阅 Compute Engine 文档中的流向外部 IP 地址目标的出站流量
内部 IP 地址目标的入站数据速率上限 没有人为限制 请参阅 Compute Engine 文档中的流向内部 IP 地址目标的入站流量
外部 IP 地址目标的入站数据速率上限 不超过 20 Gb/秒
不超过 180 万个数据包/秒
请参阅 Compute Engine 文档中的流向外部 IP 地址目标的入站流量

连接日志记录限制

每个虚拟机实例可记录的最大连接数取决于其机器类型。连接日志记录限制表示为在 5 秒间隔内可记录的最大连接数。

实例机器类型 在 5 秒间隔内记录的最大连接数
f1-micro 100 个连接
g1-small 250 个连接
具有 1–8 个 vCPU 的机器类型 每个 vCPU 500 个连接
具有 8 个以上 vCPU 的机器类型 4000 (500×8) 个连接

混合连接

访问以下链接以查看 Cloud VPN、Cloud Interconnect 和 Cloud Router 的配额和限制:

概览

出于多种原因,Virtual Private Cloud 会对资源用量实施配额限制。例如,配额可避免出现意料之外的用量突增,从而为 Google Cloud 用户社区提供保护。配额还可帮助正在通过免费层级探索 Google Cloud 的用户避免中断试用。

所有项目在开始时都具有相同的配额,您可以通过申请更多配额来进行更改。根据您使用产品的情况,一些配额可能会自动增加。

权限

要查看配额或申请增加配额,Cloud Identity and Access Management (Cloud IAM) 成员需要具备以下某个角色。

任务 所需角色
检查项目的配额 项目 Owner 或 Editor Quota Viewer
修改配额,申请更多配额 项目 Owner 或 EditorQuota Admin 或具有 serviceusage.quotas.update 权限的自定义角色

检查配额

在 Cloud Console 中,转到配额页面。

使用 gcloud 命令行工具,运行以下命令来检查配额。请将 PROJECT_ID 替换为您自己的项目 ID。

    gcloud compute project-info describe --project PROJECT_ID

如需查看您在某一地区中已使用的配额,请运行以下命令:

    gcloud compute regions describe example-region

超出配额时引发的错误

如果在发出 gcloud 命令时超过了配额,gcloud 会显示一条 quota exceeded 错误消息,并返回退出代码 1

如果在发出 API 请求时超出了配额,Google Cloud 会返回以下 HTTP 状态代码:HTTP 413 Request Entity Too Large

申请更多配额

请从 Cloud Console 中的配额页面申请更多配额。配额申请需要 24 到 48 小时才能完成处理。

  1. 转到配额页面。

    转到“配额”页面

  2. 配额页面上,选择您要更改的配额。
  3. 点击页面顶部的修改配额按钮。
  4. 填写您的姓名、电子邮件地址和电话号码,然后点击下一步
  5. 填写您的配额申请,然后点击下一步
  6. 提交您的申请。

资源可用性

每个配额代表您可以创建的特定类型资源的数量上限,前提是该资源可用。必须要注意的是,配额无法保证资源可用。即使您有可用配额,如果新资源不可用,您也无法创建新资源。例如,即使您在 us-central1 地区有足够的配额来创建地区级外部 IP 地址,但如果该地区没有外部 IP 地址可用,您也无法进行此操作。区域级资源可用性也会影响您能否创建新资源。

某种资源在整个地区中都不可用的情况很少见;但是,一个区域中的资源可能会时不时地被耗尽,但这通常不会影响该资源类型的服务等级协议 (SLA)。如需了解详情,请参阅资源的相关 SLA。