配额和限制

以下部分介绍 Virtual Private Cloud (VPC) 网络的配额和限制。

配额

使用 Google Cloud Console 申请更多配额

每个项目

下表重点介绍了每个项目的 VPC 资源的重要全球配额。如需了解其他配额,请参阅 Cloud Console 中的配额页面

如需使用 Cloud Monitoring 监控每个项目的配额,请对 Consumer Quota 资源类型中的指标 serviceruntime.googleapis.com/quota/allocation/usage 设置监控。设置其他标签过滤条件(servicequota_metric)以获取配额类型。如需详细了解如何监控配额指标,请参阅使用配额指标

配额 说明
互联网出站流量带宽 来自项目内所有 VPC 网络中的 Google Cloud 虚拟机的互联网出站带宽(按区域划分)
网络 包括您可以移除的 default 网络。
子网 适用于相应项目中所有网络的所有子网。
路由 项目内所有 VPC 网络中定义的自定义静态路由计数。其中不包括以下类型的路由:
  • 项目内的 VPC 网络中的子网路由
  • 项目内 Cloud Router 路由器学习的自定义动态路由
  • 导入到项目内的 VPC 网络中的对等互连子网路由
  • 导入到项目内的 VPC 网络中的对等互连自定义路由
Cloud Router 路由器 您可以在项目内的任意网络和区域中创建的 Cloud Router 路由器数。 此外,网络还对任意给定区域中 Cloud Router 路由器的数量设定了限制。如需了解详情,请参阅 Cloud Router 配额和限制
防火墙规则 您可以为项目中的所有 VPC 网络创建的防火墙规则的数量。
转发规则 此配额仅适用于外部 HTTP(S) 负载平衡、SSL 代理负载平衡、TCP 代理负载平衡和传统 VPN 网关的转发规则。
对于除上述情况之外的其他转发规则用例,请参阅以下行。
外部 TCP/UDP 网络负载平衡转发规则 外部 TCP/UDP 网络负载平衡器(后端服务和目标池架构)使用的转发规则。
外部协议转发规则 针对外部实例的外部协议转发的转发规则。
Traffic Director 转发规则 Traffic Director 的转发规则
内部转发规则 如需了解内部 HTTP(S) 负载平衡、内部 TCP/UDP 负载平衡和内部使用的内部转发规则的每种网络配额协议转发。
内部 IP 地址 您可在项目的每个区域中预留的静态区域内部 IP 地址的数量。
全球内部 IP 地址 您可为专用服务访问通道预留的分配范围的数量。每个范围都是一组连续的内部 IP 地址。
静态 IP 地址 您可在项目的每个区域中预留的静态区域外部 IP 地址的数量。
全球静态 IP 地址 您可在项目中预留的全球静态外部 IP 地址的数量。
数据包镜像政策 您可在自己项目内的任意网络和区域中创建的数据包镜像政策的数量。如需增加此配额,请联系您的 Google Cloud 销售团队。

每个网络

下表重点列出了重要的网络配额。如需了解其他配额,请参阅 Cloud Console 中的配额页面

如需了解如何使用 Cloud Monitoring 监控可用指标,请参阅使用配额指标

配额 说明
每个网络的虚拟机实例数

使用 VPC 网络对等互连将网络连接到其他网络时,此限额可能低于此数值。如需了解详情,请参阅 VPC 网络对等互连限制

配额名称:
INSTANCES_PER_NETWORK_GLOBAL

可用指标

  • compute.googleapis.com/quota/instances_per_vpc_network/limit
  • compute.googleapis.com/quota/instances_per_vpc_network/usage
  • compute.googleapis.com/quota/instances_per_vpc_network/exceeded
每个子网的虚拟机实例数上限 没有单独的限制。
每个网络分配的别名 IP 地址范围

别名 IP 范围是分配给虚拟机网络接口的单个 IP 地址 (/32) 或 CIDR 地址块(例如 /24 或 /16)。别名 IP 地址可以来自子网的主要或次要 IP 范围。

对于此配额而言,Google Cloud 不会考虑范围的网络掩码大小。只计算分配给网络中所有虚拟机的别名 IP 范围数量。

除了这项配额之外,每个虚拟机每个网络接口的别名 IP 范围数量也存在限制。

配额名称:
ALIASES_PER_NETWORK_GLOBAL

可用指标

  • compute.googleapis.com/quota/ip_aliases_per_vpc_network/limit
  • compute.googleapis.com/quota/ip_aliases_per_vpc_network/usage
  • compute.googleapis.com/quota/ip_aliases_per_vpc_network/exceeded
每个 VPC 网络的子网 IP 地址范围(主要和次要)

分配给 VPC 网络中所有子网的主要和次要子网 IP 范围总数。

配额名称:
SUBNET_RANGES_PER_NETWORK

可用指标

  • compute.googleapis.com/quota/subnet_ranges_per_vpc_network/limit
  • compute.googleapis.com/quota/subnet_ranges_per_vpc_network/usage
  • compute.googleapis.com/quota/subnet_ranges_per_vpc_network/exceeded
每个 VPC 网络的内部负载平衡器转发规则

内部负载平衡器的转发规则数上限。

  • 内部 TCP/UDP 负载平衡
  • 内部 HTTP(S) 负载平衡

此配额适用于内部负载平衡转发规则的总数量,不适用于单独的每个区域。

如果您的网络使用 VPC 网络对等互连连接到其他网络,请参阅 VPC 网络对等互连限制

配额名称:
INTERNAL_FORWARDING_RULES_PER_NETWORK

可用指标

  • compute.googleapis.com/quota/internal_lb_forwarding_rules_per_vpc_network/limit
  • compute.googleapis.com/quota/internal_lb_forwarding_rules_per_vpc_network/usage
  • compute.googleapis.com/quota/internal_lb_forwarding_rules_per_vpc_network/exceeded
用于内部协议转发的转发规则

用于内部协议转发的转发规则数上限。

此限制适用于内部协议转发的转发规则总数量,不适用于单独的每个区域。

如果您的网络使用 VPC 网络对等互连连接到其他网络,请参阅 VPC 网络对等互连限制

配额名称:
INTERNAL_FORWARDING_RULES_WITH_TARGET_INSTANCE_PER_NETWORK

可用指标

  • compute.googleapis.com/quota/internal_protocol_forwarding_rules_per_vpc_network/limit
  • compute.googleapis.com/quota/internal_protocol_forwarding_rules_per_vpc_network/usage
  • compute.googleapis.com/quota/internal_protocol_forwarding_rules_per_vpc_network/exceeded
Google API 专用 Service Connect 的转发规则

Private Service Connect 的转发规则数上限。

此限制适用于所有区域中 Private Service Connect 的转发规则总数

此限制无法提高。

如需详细了解您可以创建多少个全球内部地址,请参阅每个项目

配额名称:
PSC_GOOGLE_APIS_FORWARDING_RULES_PER_NETWORK

可用指标

  • compute.googleapis.com/quota/psc_google_apis_forwarding_rules_per_vpc_network/limit
  • compute.googleapis.com/quota/psc_google_apis_forwarding_rules_per_vpc_network/usage
  • compute.googleapis.com/quota/psc_google_apis_forwarding_rules_per_vpc_network/exceeded

限制

一般情况下,除非明确说明,否则无法提高限制。

每个组织

以下限制适用于组织。

资源项 限额 备注
每个组织的未关联的分层防火墙政策 50

关联政策是您的 Google Cloud 组织中存在的政策,但与节点无关。虽然您的组织可以拥有与节点关联的政策数量没有限制,但每个节点只能有一个关联的政策。

如需提高此限额,请联系您的 Google Cloud 销售团队。

分层防火墙政策中的分层防火墙规则特性数量 2000

分层防火墙政策中所有规则的规则特性数量规则数量无关紧要,重要的是政策中所有规则的特性总数。

规则属性是 IP 范围、协议、端口或端口范围、目标服务帐号或目标资源。示例:

  • 指定来源 IP 地址范围为 10.100.0.1/32 以及指定目标端口为 tcp:5000-6000 的规则计为 3 个特性:IP 地址范围计为一个特性、协议计为一个特性,以及端口范围计为一个。
  • 指定来源范围为 10.100.0.1/3210.100.1.1/32 以及指定目标协议和端口为 tcp:80tcp:443udp:4000-5000icmp 的规则计为 9 个特性:两个 IP 范围各计为一个特性,四个协议各计为一个特性,以及三个端口或端口范围各计为一个特性。

如需查看您的政策有多少个特性,请参阅描述政策。如需提高此限额,请联系您的 Google Cloud 销售团队。

共享 VPC 项目限制

以下限额适用于参与共享 VPC 的项目。

资源项 限额 备注
可以关联到每个宿主项目的服务项目数 1000 如需提高此限额,请联系您的 Google Cloud 销售团队。
单个组织中共享 VPC 宿主项目的数量 100 如需提高此限额,请联系您的 Google Cloud 销售团队。
每个服务项目可以关联的宿主项目数 1 此限额无法提高。

每个网络

以下限制适用于 VPC 网络。这些限制通过配额在内部实施。如果超过每个网络的限制,您可能会看到 QUOTA_EXCEEDED 错误以及内部配额名称。

资源项 限额 备注
子网 IP 范围
每个子网的主要 IP 范围数 1 每个子网必须有且只有一个主要 IP 范围(CIDR 地址块)。此范围用于虚拟机主要内部 IP 地址、虚拟机别名 IP 范围和内部负载平衡器的 IP 地址。此限额无法提高。
每个子网的次要 IP 范围数上限 30 (可选)您最多可以为每个子网指定 30 个次要 CIDR 地址块。这些次要 IP 范围只能用于别名 IP 范围。 此限制无法提高。
每个防火墙规则的源标记数上限 30 创建入站流量防火墙规则时可指定为源标记的网络标记数上限。此限额无法提高。
每个防火墙规则的目标标记数量上限 70 创建出站流量或入站流量防火墙规则时可指定为目标标记的网络标记数上限。此限额无法提高。
每个防火墙规则的源服务帐号数量上限 10 创建入站流量防火墙规则时可指定的来源服务帐号数上限。此限额无法提高。
每个防火墙规则的目标服务帐号数量上限 10 创建出站流量或入站流量防火墙规则时可指定的目标服务帐号数上限。此限额无法提高。
每个防火墙规则的来源范围数量上限 256 创建入站流量防火墙规则时可指定的来源 IP 地址范围数上限。此限额无法提高。
每个防火墙规则的目标范围数量上限 256 创建出站流量防火墙规则时可指定的目标 IP 地址范围数上限。此限制无法提高。

VPC 网络对等互连限制

以下限制适用于使用 VPC 网络对等互连连接的 VPC 网络。每个限制适用于一个对等互连组,即一组彼此直接对等互连的 VPC 网络。从一个给定的 VPC 网络的角度来看,该网络及其所有对等网络都在一个对等互连组中。对等互连组不包含对等网络的对等方。

有时可以提高这些限额。如需提高这些限额,请与您的 Google Cloud 销售团队联系。

资源项 限额 备注
对等互连组
单个 VPC 网络的连接数上限 25 可以使用 VPC 网络对等互连连接到指定 VPC 网络的网络数上限。
对等互连组中子网路由数上限 没有单独的限制 可交换子网路由数量受每个对等互连组子网 IP 范围数上限(主要和次要)的限制,如本文档稍后部分所述。
一个对等互连组中的静态路由数上限 300 导入和导出自定义路由时,可以在对等互连组的网络之间进行交换的静态路由数上限。如果创建一个网络的对等互连连接会导致相应对等互连组超出此限额,Google Cloud 将阻止您创建连接。
一个对等互连组中的动态路由数上限 300 导入和导出自定义路由时,Cloud Router 路由器可以应用于对等互连组的所有网络的动态路由数上限。如果动态路由的数量超过此限额,Google Cloud 会调整导入指定网络的动态路由的方式。
  • Google Cloud 会丢弃从对等网络中导入的动态路由。 Google Cloud 使用一种内部算法来选择要丢弃的动态路由,这可能导致 Google Cloud 丢弃较早的动态路由,而不仅仅是最近添加的路由。您无法预测系统究竟会丢弃哪些已导入的动态路由。这种情况下,您应该减少对等互连组中的动态路由数量。
  • 根据 Cloud Router 限制,Google Cloud 绝不会丢弃 Cloud Router 路由器在本地网络中学习的动态路由。
  • 如果对等互连连接导致超过此限额,Google Cloud 仍会允许您创建对等互连连接且不显示警告消息。
实例
虚拟机实例数量上限

每个网络 15000 个

每个对等互连组 15500 个

只要满足以下所有条件,Google Cloud 就允许您在指定 VPC 网络中创建新实例:

  • 您未超过此限制针对每个网络指定的上限。
  • 您未超过此限制针对每个对等互连组指定的上限。

如需查看示例,请参阅 VPC 网络对等互连和最大虚拟机数

表示已超出上限的错误代码:
INSTANCES_PER_NETWORK_WITH_PEERING_LIMITS_EXCEEDED

子网 IP 范围
子网 IP 范围数上限(主要和次要) 400

可向一个对等互连组中所有网络的子网分配的主要和次要子网 IP 范围数上限。

表示已超出上限的错误代码:
SUBNET_RANGES_PER_NETWORK_LIMITS_EXCEEDED_PEERING

内部负载平衡

用于如下用途的转发规则数上限:

  • 内部 TCP/UDP 负载平衡
  • 内部 HTTP(S) 负载平衡

每个网络 75 个

每个对等互连组 175 个

如果满足以下所有条件,即可新建用于内部负载平衡的区域级内部转发规则:

  • 您未超过此限制针对每个网络指定的配额。
  • 对于内部负载平衡,内部转发规则数量必须小于对等互连组中转发规则的有效数量。 该有效数量的计算方法请见 VPC 网络对等互连和内部转发规则

表示已超出上限的错误代码:
INTERNAL_FORWARDING_RULES_WITH_PEERING_LIMITS_EXCEEDED

协议转发
用于内部协议转发的转发规则数上限

每个网络 50 个

每个对等互连组 100 个

如果满足以下所有条件,即可新建用于协议转发的区域级内部转发规则:

  • 您未超过此限制针对每个网络指定的配额。
  • 对等互连组中用于协议转发的内部转发规则数量小于对等互连组中转发规则的有效数量。该有效数量的计算方法请见 VPC 网络对等互连和内部转发规则

表示已超出上限的错误代码:
INTERNAL_FORWARDING_RULES_WITH_TARGET_INSTANCE_LIMITS_EXCEEDED_PEERING

对等互连组中分配的别名 IP 地址范围数量上限 15000

别名 IP 范围是分配给虚拟机网络接口的单个 IP 地址 (/32) 或 CIDR 地址块(例如 /24 或 /16)。别名 IP 地址可以来自子网的主要或次要 IP 范围。

对于此限制而言,Google Cloud 不会考虑范围的网络掩码大小,只计算分配给网络中所有虚拟机的别名 IP 范围数量。

除了这项配额之外,每个虚拟机每个网络接口的别名 IP 范围数量也存在限制。

表示已超出上限的错误代码:
ALIASES_PER_NETWORK_PEERING_LIMITS_EXCEEDED

VPC 网络对等互连和最大虚拟机数

对等互连组的网络中最多可以有 15500 个虚拟机实例。举例说明,假设 network-b 已与另外两个网络(network-anetwork-c)建立对等互连:

  • 如果 network-b 有 5000 个虚拟机,那么您在 network-anetwork-c 中创建的虚拟机总数加起来必须小于或等于 10500。
  • 如果 network-b 有 500 个虚拟机,那么您在 network-anetwork-c 中创建的虚拟机总数加起来必须小于或等于 15000。

VPC 网络对等互连和内部转发规则

从一个给定的 VPC 网络的角度来看,Google Cloud 使用以下方法计算对等互连组中内部负载平衡器转发规则的有效数量:

  • 第 1 步:针对给定网络,找出以下两个限额中数值较大的那一个:

    • 给定网络中内部负载平衡器转发规则的数量上限
    • 对等互连组中内部负载平衡器的转发规则数
  • 第 2 步。对于对等互连组中其余的每个网络,找出以下两个限制中数值较大者:

    • 对等互连网络中内部负载平衡器的转发规则数上限
    • 对等互连组中内部负载平衡器的转发规则数
  • 第 3 步。从第 2 步获得的列表中找出最小值

  • 第 4 步:从第 1 步和第 3 步获得的两个数字中取数值较大者。 此数字就是可在对等互连组(从给定网络的角度)中创建的内部负载平衡器转发规则的有效数量。

假设您有 4 个 VPC 网络,分别是 network-anetwork-bnetwork-cnetwork-d

  • network-anetwork-b 对等互连,network-bnetwork-a 对等互连
  • network-anetwork-c 对等互连,network-cnetwork-a 对等互连
  • network-cnetwork-d 对等互连,network-dnetwork-c 对等互连

且每个网络有以下限制:

网络 给定网络中内部负载平衡器转发规则的数量上限 对等互连组中内部负载平衡器转发规则的数量
network-a 160 150
network-b 75 80
network-c 75 75
network-d 75 95

从每个 VPC 网络的角度来看,Google Cloud 会计算该对等互连组中内部负载平衡器转发规则的有效数量:

  • network-a 的角度来看,其对等互连组包含 network-anetwork-bnetwork-c。此对等互连组中内部负载平衡器转发规则的有效数量按以下方式计算:

    1. network-amax(160,150) = 160
    2. 其余对等网络:
      • network-bmax(75,80) = 80
      • network-cmax(75,75) = 75
    3. min(80,75) = 75
    4. max(160,75) = 160
      • network-a 的角度来看,每个对等互连组的内部负载平衡器转发规则的有效数量为:160
  • network-b 的角度来看,其对等互连组包含 network-bnetwork-a。此对等互连组中内部负载平衡器转发规则的有效数量按以下方式计算:

    1. network-bmax(75,80) = 80
    2. 其余对等网络:
      • network-amax(160,150) = 160
    3. min(160) = 160
    4. max(80,160) = 160
      • network-b 的角度来看,每个对等互连组的内部负载平衡器转发规则的有效数量为:160
  • network-c 的角度来看,其对等互连组包含 network-cnetwork-anetwork-d。此对等互连组中内部负载平衡器转发规则的有效数量按以下方式计算:

    1. network-cmax(75,75) = 75
    2. 其余对等网络:
      • network-amax(160,150) = 160
      • network-dmax(75,95) = 95
    3. min(160,95) = 95
    4. max(75,95) = 95
      • network-c 的角度来看,每个对等互连组的内部负载平衡器转发规则的有效数量为:95
  • network-d 的角度来看,其对等互连组包含 network-dnetwork-c。此对等互连组中内部负载平衡器转发规则的有效数量按以下方式计算:

    1. network-dmax(75,95) = 95
    2. 其余对等网络:
      • network-cmax(75,75) = 75
    3. min(75) = 75
    4. max(95,75) = 95
      • network-d 的角度来看,每个对等互连组的内部负载平衡器转发规则的有效数量为:95

每个实例

以下限制适用于虚拟机实例。除非另有说明,否则无法提高这些限制。如需了解与虚拟机相关的配额,请参阅 Compute Engine 配额

资源项 限额 备注
最大传输单元 (MTU) 1460 或 1500 个字节,取决于 VPC 配置 如果实例使用的 MTU 超过此大小,则可能导致数据包丢失。您无法增加此 MTU 值。
网络接口数上限 8 网络接口是在创建实例时定义的,并且之后无法通过修改实例来更改。
每个网络接口的别名 IP 地址范围数量上限 10

在您不超过 VPC 网络内分配的别名 IP 地址范围总数配额的前提下,可以分配给一个网络接口的别名 IP 地址范围数量。

Google Cloud 不会考虑别名 IP 范围网络掩码的大小。例如,单独的 /24 范围是一个别名 IP 范围,单独的 /23 范围也是一个别名 IP 范围。

如需提高此限额,请联系您的 Google Cloud 销售团队。

每个 VPC 网络的网络接口数 1 每个网络接口都必须连接到唯一的 VPC 网络。在给定的 VPC 网络中,一个实例只能有一个网络接口。
空闲 TCP 连接的时长上限 10 分钟 VPC 网络会自动丢弃空闲超过十分钟的 TCP 连接。您无法更改此限制,但可以使用 TCP keepalive 消息防止与实例的连接变为空闲状态。 如需了解详情,请参阅 Compute Engine 提示和问题排查
内部 IP 地址目标的出站数据速率上限 取决于虚拟机的机器类型 请参阅 Compute Engine 文档中的流向内部 IP 地址目标的出站流量机器类型
外部 IP 地址目标的出站数据速率上限

所有流:持续约 7 Gbps(每秒的 gb 数)

单个流:持续 3 Gbps

请参阅 Compute Engine 文档中的流向外部 IP 地址目标的出站流量
内部 IP 地址目标的入站数据速率上限 没有人为限制 请参阅 Compute Engine 文档中的流向内部 IP 地址目标的入站流量
外部 IP 地址目标的入站数据速率上限

不超过 20 Gbps

不超过 180 万个数据包/秒

请参阅 Compute Engine 文档中的流向外部 IP 地址目标的入站流量

连接日志记录限制

每个虚拟机实例可记录的最大连接数取决于其机器类型。连接日志记录限制表示为在 5 秒间隔内可记录的最大连接数。

实例机器类型 在 5 秒间隔内记录的最大连接数
f1-micro 100 个连接
g1-small 250 个连接
具有 1–8 个 vCPU 的机器类型 每个 vCPU 500 个连接
具有 8 个以上 vCPU 的机器类型 4000 (500×8) 个连接

混合连接

访问以下链接以查看 Cloud VPN、Cloud Interconnect 和 Cloud Router 的配额和限制:

管理配额

出于各种原因,Virtual Private Cloud 会对资源用量实施配额限制。例如,配额可避免出现意料之外的用量突增,从而为 Google Cloud 用户社区提供保护。配额还可帮助正在通过免费层级探索 Google Cloud 的用户避免中断试用。

所有项目在开始时都具有相同的配额,您可以通过申请更多配额来进行更改。根据您使用产品的情况,一些配额可能会自动增加。

权限

如需查看配额或申请增加配额,Identity and Access Management (IAM) 成员需要具备以下某个角色。

任务 所需角色
检查项目的配额 以下之一:
修改配额,申请更多配额 以下之一:

查看您的配额

控制台

  1. 在 Cloud Console 中,转到配额页面。

    转到“配额”

  2. 如需搜索要更新的配额,请使用过滤表。 如果您不知道配额的名称,请使用此页面上的链接。

gcloud

使用 gcloud 命令行工具,运行以下命令来检查配额。请将 PROJECT_ID 替换为您自己的项目 ID。

      gcloud compute project-info describe --project PROJECT_ID
    

如需查看您在某一区域中已使用的配额,请运行以下命令:

      gcloud compute regions describe example-region
    

超出配额时引发的错误

如果在发出 gcloud 命令时超过了配额,gcloud 会显示一条 quota exceeded 错误消息,并返回退出代码 1

如果在发出 API 请求时超出了配额,Google Cloud 会返回以下 HTTP 状态代码:HTTP 413 Request Entity Too Large

申请更多配额

如需申请增加配额,请转到 Cloud Console 中的配额页面。配额申请需要 24 到 48 小时才能完成处理。

控制台

  1. 在 Cloud Console 中,转到配额页面。

    转到“配额”

  2. 配额页面上,选择您要更改的配额。
  3. 点击位于页面顶部的修改配额
  4. 填写您的姓名、电子邮件地址和电话号码,然后点击下一步
  5. 填写您的配额申请,然后点击完成
  6. 提交您的申请。

资源可用性

每个配额代表您可以创建的特定类型资源的数量上限(如果该资源可用)。必须要注意的是,配额无法保证资源可用。即使您具有可用配额,如果新资源不可用,您也无法创建新资源。

例如,您的配额可能足以在 us-central1 区域中创建新的区域性外部 IP 地址。但是,如果该区域中没有可用的外部 IP 地址,则无法执行此操作。区域级资源可用性也会影响您能否创建新资源。

导致资源在整个区域不可用的情况非常罕见。但是,地区内的资源有时可能会耗尽,通常不会影响资源类型的服务等级协议 (SLA)。如需了解详情,请参阅资源的相关 SLA。