Kontingente und Limits

In diesem Dokument sind die Kontingente und Systemlimits für Google Cloud Armor aufgeführt.

  • Kontingente haben Standardwerte, aber Sie können in der Regel Anpassungen anfordern.
  • Systemlimits sind feste Werte, die nicht geändert werden können.

Google Cloud nutzt Kontingente, um für Fairness zu sorgen und Spitzen bei der Ressourcennutzung und ‑verfügbarkeit zu reduzieren. Ein Kontingent schränkt ein, wie viel von einerGoogle Cloud Ressource Ihr Google Cloud Projekt nutzen kann. Kontingente gelten für eine Reihe von Ressourcentypen, einschließlich Hardware, Software und Netzwerkkomponenten. Mit Kontingenten können Sie beispielsweise die Anzahl der API-Aufrufe an einen Dienst, die Anzahl der von Ihrem Projekt nebenläufig verwendeten Load Balancer oder die Anzahl der Projekte begrenzen, die Sie erstellen können. Kontingente sollen eine Überlastung von Diensten verhindern und dadurch die Community derGoogle Cloud Nutzer schützen. Sie helfen Ihnen auch bei der Verwaltung Ihrer eigenen Google Cloud Ressourcen.

Das Cloud-Kontingentsystem tut Folgendes:

Wenn Sie versuchen, mehr von einer Ressource zu verbrauchen, als das Kontingent zulässt, blockiert das System in den meisten Fällen den Zugriff auf die Ressource. Die Aufgabe, die Sie auszuführen versuchen, schlägt dann fehl.

Kontingente gelten in der Regel auf Google Cloud Projektebene. Die Nutzung einer Ressource in einem Projekt hat keinen Einfluss auf das verfügbare Kontingent in einem anderen Projekt. Innerhalb eines Google Cloud Projekts werden die Kontingente für alle Anwendungen und IP-Adressen gemeinsam genutzt.

Weitere Informationen finden Sie unter Cloud-Kontingente – Übersicht.

Für Cloud Armor-Ressourcen gelten außerdem Systemlimits. Systemlimits können nicht geändert werden.

Kontingente

Google Cloud Armor-Ressourcenkontingente sind nach zwei Kriterien organisiert:

  • Der Umfang des Kontingents:
    • global
    • regional
  • Der Typ der Cloud Armor-Sicherheitsrichtlinie:
    • Backend-Sicherheitsrichtlinie
    • Edge-Sicherheitsrichtlinie
    • Sicherheitsrichtlinie für Netzwerk-Edge

Globale Back-End-Sicherheitsrichtlinien und globale Edge-Sicherheitsrichtlinien

Cloud Armor verwendet die folgenden Kontingente pro Projekt für globale Edge-Sicherheitsrichtlinien, globale Back-End-Sicherheitsrichtlinien und die darin enthaltenen Regeln:

Ressource Kontingent Beschreibung
Globale Sicherheitsrichtlinien pro Projekt Kontingent

Das Limit für dieses Kontingent definiert die maximale Anzahl von globalen Edge-Sicherheitsrichtlinien und globalen Back-End-Sicherheitsrichtlinien in einem Projekt.

Kontingentname: SECURITY_POLICIES

Verfügbare Messwerte:

  • compute.googleapis.com/quota/security_policies/limit
  • compute.googleapis.com/quota/security_policies/usage
  • compute.googleapis.com/quota/security_policies/exceeded
Globale Sicherheitsrichtlinienregeln pro Projekt Kontingent

Das Limit für dieses Kontingent definiert die maximale Gesamtzahl der Regeln in globalen Edge-Sicherheitsrichtlinien und globalen Backend-Sicherheitsrichtlinien in einem Projekt. Die Nutzung für dieses Kontingent umfasst Folgendes:

  • Grundlegende Regeln in globalen Edge-Sicherheitsrichtlinien
  • Grundlegende Regeln in globalen Back-End-Sicherheitsrichtlinien
  • Regeln mit erweiterten Abgleichsbedingungen in globalen Edge-Sicherheitsrichtlinien
  • Regeln mit erweiterten Abgleichsbedingungen in globalen Back-End-Sicherheitsrichtlinien

Kontingentname: SECURITY_POLICY_RULES

Verfügbare Messwerte:

  • compute.googleapis.com/quota/security_policy_rules/limit
  • compute.googleapis.com/quota/security_policy_rules/usage
  • compute.googleapis.com/quota/security_policy_rules/exceeded
Regeln für globale Sicherheitsrichtlinien mit erweiterten Übereinstimmungsbedingungen pro Projekt Kontingent

Das Limit für dieses Kontingent definiert die maximale Gesamtzahl von Regeln mit erweiterten Abgleichsbedingungen in globalen Edge-Sicherheitsrichtlinien und globalen Backend-Sicherheitsrichtlinien in einem Projekt. Die Nutzung für dieses Kontingent umfasst Folgendes:

  • Regeln mit erweiterten Abgleichsbedingungen in globalen Edge-Sicherheitsrichtlinien
  • Regeln mit erweiterten Abgleichsbedingungen in globalen Back-End-Sicherheitsrichtlinien

Kontingentname: SECURITY_POLICY_CEVAL_RULES

Verfügbare Messwerte:

  • compute.googleapis.com/quota/security_policy_ceval_rules/limit
  • compute.googleapis.com/quota/security_policy_ceval_rules/usage
  • compute.googleapis.com/quota/security_policy_ceval_rules/exceeded

Kontingente für globale Sicherheitsrichtlinien für Regeln mit erweiterten Abgleichsbedingungen

Cloud Armor verwendet die folgenden Kontingente pro Sicherheitsrichtlinie für Regeln mit erweiterten Übereinstimmungsbedingungen in globalen Edge-Sicherheitsrichtlinien und globalen Back-End-Sicherheitsrichtlinien:

Ressource Kontingent Beschreibung
Regeln mit erweiterten Abgleichsbedingungen pro globaler Edge-Sicherheitsrichtlinie Kontingent

Das Limit für dieses Kontingent definiert die maximale Anzahl von Regeln mit erweiterten Abgleichsbedingungen in einer bestimmten globalen Edge-Sicherheitsrichtlinie.

Kontingentname: SECURITY_POLICY_ADVANCED_RULES_PER_EDGE_SECURITY_POLICY

Verfügbare Messwerte:

  • compute.googleapis.com/quota/advanced_rules_per_edge_security_policy/limit
  • compute.googleapis.com/quota/advanced_rules_per_edge_security_policy/usage
  • compute.googleapis.com/quota/advanced_rules_per_edge_security_policy/exceeded
Regeln mit erweiterten Abgleichsbedingungen pro globaler Back-End-Sicherheitsrichtlinie Kontingent

Das Limit für dieses Kontingent definiert die maximale Anzahl von Regeln mit erweiterten Abgleichsbedingungen in einer bestimmten globalen Backend-Sicherheitsrichtlinie.

Kontingentname: SECURITY_POLICY_ADVANCED_RULES_PER_SECURITY_POLICY

Verfügbare Messwerte:

  • compute.googleapis.com/quota/advanced_rules_per_security_policy/limit
  • compute.googleapis.com/quota/advanced_rules_per_security_policy/usage
  • compute.googleapis.com/quota/advanced_rules_per_security_policy/exceeded

Zusammenfassung der Kontingente für Regeln in globalen Sicherheitsrichtlinien

In der folgenden Tabelle sehen Sie, welche Kontingente für einfache Regeln und Regeln mit erweiterten Abgleichsbedingungen in globalen Sicherheitsrichtlinien berücksichtigt werden:

Regel Nutzung, die in diesen Kontingenten berücksichtigt wird
Grundlegende Regel in einer globalen Edge-Sicherheitsrichtlinie
  • Globale Sicherheitsrichtlinienregeln pro Projekt (SECURITY_POLICY_RULES)
Einfache Regel in einer globalen Backend-Sicherheitsrichtlinie
  • Globale Sicherheitsrichtlinienregeln pro Projekt (SECURITY_POLICY_RULES)
Regel mit erweiterten Abgleichsbedingungen in einer globalen Edge-Sicherheitsrichtlinie
  • Globale Sicherheitsrichtlinienregeln pro Projekt (SECURITY_POLICY_RULES)
  • Globale Sicherheitsrichtlinienregeln mit erweiterten Bedingungen pro Projekt (SECURITY_POLICY_CEVAL_RULES)
  • Regeln mit erweiterten Bedingungen pro globaler Edge-Sicherheitsrichtlinie (SECURITY_POLICY_ADVANCED_RULES_PER_EDGE_SECURITY_POLICY)
Regel mit erweiterten Abgleichsbedingungen in einer globalen Backend-Sicherheitsrichtlinie
  • Globale Sicherheitsrichtlinienregeln pro Projekt (SECURITY_POLICY_RULES)
  • Globale Sicherheitsrichtlinienregeln mit erweiterten Bedingungen pro Projekt (SECURITY_POLICY_CEVAL_RULES)
  • Regeln mit erweiterten Abgleichsbedingungen pro globaler Backend-Sicherheitsrichtlinie (SECURITY_POLICY_ADVANCED_RULES_PER_SECURITY_POLICY)

Regionale Backend-Sicherheitsrichtlinien

Cloud Armor verwendet die folgenden Kontingente pro Region und Projekt für regionale Back-End-Sicherheitsrichtlinien und die darin enthaltenen Regeln:

Ressource Kontingent Beschreibung
Regionale Back-End-Sicherheitsrichtlinien pro Region und Projekt Kontingent

Das Limit für dieses Kontingent definiert die maximale Anzahl regionaler Back-End-Sicherheitsrichtlinien in einer Region eines Projekts.

Kontingentname: SECURITY_POLICIES_PER_REGION

Verfügbare Messwerte:

  • compute.googleapis.com/quota/regional_security_policies/limit
  • compute.googleapis.com/quota/regional_security_policies/usage
  • compute.googleapis.com/quota/regional_security_policies/exceeded
Regeln für regionale Back-End-Sicherheitsrichtlinien pro Region und Projekt Kontingent

Das Limit für dieses Kontingent definiert die maximale Gesamtzahl von Regeln in regionalen Back-End-Sicherheitsrichtlinien in einer Region eines Projekts. Die Nutzung dieses Kontingents umfasst sowohl einfache Regeln als auch Regeln mit erweiterten Abgleichsbedingungen.

Kontingentname: SECURITY_POLICY_RULES_PER_REGION

Verfügbare Messwerte:

  • compute.googleapis.com/quota/regional_security_policy_rules/limit
  • compute.googleapis.com/quota/regional_security_policy_rules/usage
  • compute.googleapis.com/quota/regional_security_policy_rules/exceeded
Regeln für regionale Back-End-Sicherheitsrichtlinien mit erweiterten Bedingungen pro Region und Projekt Kontingent

Das Limit für dieses Kontingent definiert die maximale Gesamtzahl von Regeln mit erweiterten Abgleichsbedingungen in regionalen Back-End-Sicherheitsrichtlinien in einer Region eines Projekts. Die Nutzung dieses Kontingents bezieht sich nur auf Regeln mit erweiterten Abgleichsbedingungen.

Kontingentname: SECURITY_POLICY_ADVANCED_RULES_PER_REGION

Verfügbare Messwerte:

  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/limit
  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/usage
  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/exceeded

Kontingente für Regeln mit erweiterten Abgleichsbedingungen pro regionaler Back-End-Sicherheitsrichtlinie

Cloud Armor verwendet die folgenden Kontingente pro Sicherheitsrichtlinie für Regeln mit erweiterten Abgleichsbedingungen in regionalen Back-End-Sicherheitsrichtlinien:

Ressource Kontingent Beschreibung
Regeln mit erweiterten Abgleichsbedingungen pro regionaler Backend-Sicherheitsrichtlinie Kontingent

Das Limit für dieses Kontingent definiert die maximale Anzahl von erweiterten Regeln in einer bestimmten regionalen Back-End-Sicherheitsrichtlinie.

Kontingentname: SECURITY_POLICY_ADVANCED_RULES_PER_REGIONAL_SECURITY_POLICY

Verfügbare Messwerte:

  • compute.googleapis.com/quota/advanced_rules_per_regional_security_policy/limit
  • compute.googleapis.com/quota/advanced_rules_per_regional_security_policy/usage
  • compute.googleapis.com/quota/advanced_rules_per_regional_security_policy/exceeded

Zusammenfassung der Kontingente für Regeln in regionalen Back-End-Sicherheitsrichtlinien

In der folgenden Tabelle sehen Sie, welche Kontingente für einfache Regeln und Regeln mit erweiterten Abgleichsbedingungen in regionalen Backend-Sicherheitsrichtlinien berücksichtigt werden:

Regel Nutzung, die auf diese Kontingente angerechnet wird
Grundlegende Regel in einer regionalen Backend-Sicherheitsrichtlinie
  • Regionale Backend-Sicherheitsrichtlinienregeln pro Region und Projekt (SECURITY_POLICY_RULES_PER_REGION)
Regel mit erweiterten Abgleichsbedingungen in einer regionalen Backend-Sicherheitsrichtlinie
  • Regionale Backend-Sicherheitsrichtlinienregeln pro Region und Projekt (SECURITY_POLICY_RULES_PER_REGION)
  • Regionale Backend-Sicherheitsrichtlinienregeln mit erweiterten Bedingungen pro Region und Projekt (SECURITY_POLICY_ADVANCED_RULES_PER_REGION )
  • Regeln mit erweiterten Bedingungen pro regionaler Backend-Sicherheitsrichtlinie (SECURITY_POLICY_ADVANCED_RULES_PER_REGIONAL_SECURITY_POLICY)

Regionale Sicherheitsrichtlinien für Netzwerk-Edge

Cloud Armor verwendet die folgenden Kontingente pro Region und Projekt für regionale Sicherheitsrichtlinien für den Netzwerkrand und die darin enthaltenen Regeln:

Ressource Kontingent Beschreibung
Regionale Edge-Netzwerksicherheitsrichtlinien pro Region und Projekt Kontingent

Das Limit für dieses Kontingent definiert die maximale Anzahl regionaler Edge-Netzwerksicherheitsrichtlinien in jeder Region eines Projekts.

Kontingentname: NET_LB_SECURITY_POLICIES_PER_REGION

Verfügbare Messwerte:

  • compute.googleapis.com/quota/regional_net_lb_security_policies/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policies/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policies/exceeded
Regionale Regeln für Sicherheitsrichtlinien für Netzwerk-Edge pro Region und Projekt Kontingent

Das Limit für dieses Kontingent definiert die maximale Gesamtzahl der Regeln für regionale Edge-Netzwerksicherheitsrichtlinien in jeder Region eines Projekts.

Kontingentname: NET_LB_SECURITY_POLICY_RULES_PER_REGION

Verfügbare Messwerte:

  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/exceeded
Abgleichswerte für regionale Edge-Netzwerksicherheitsrichtlinienregeln pro Region und Projekt Kontingent

Das Limit für dieses Kontingent definiert die maximale Gesamtzahl der Attribute in Regeln regionaler Richtlinien für die Sicherheit am Netzwerkrand in jeder Region eines Projekts. Die Nutzung für dieses Kontingent ist die Summe der SecurityPolicy.NetworkMatch-Attribute in jeder Regel jeder Network Edge Security-Richtlinie in einer Region eines Projekts.

Kontingentname: NET_LB_SECURITY_POLICY_RULE_ATTRIBUTES_PER_REGION

Verfügbare Messwerte:

  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/exceeded

Adressgruppen

Für Cloud Armor-Adressgruppen gelten die folgenden Kontingente:

Ressource Kontingent Beschreibung
Kumulative Kapazität des IP-Adressbereichs von projektbezogenen Adressgruppen pro Organisation Kontingent

Dieses Kontingentlimit definiert die maximale Kapazität, die kumulativ für alle adressgruppen auf Projektebene in einer Organisation verwendet wird.

Jeder IPv4-Adressbereich erhöht die Nutzung dieses Kontingents um eins. Jeder IPv6-Adressbereich erhöht die Nutzung dieses Kontingents um drei.

Ein Kontingentlimit von 50.000 unterstützt beispielsweise mehrere Kombinationen von IPv4- und IPv6-Bereichen, darunter:

  • 50.000 IPv4-Bereiche und 0 IPv6-Bereiche
  • IPv4-Bereiche und 16.666 IPv6-Bereiche
  • 40.000 IPv4-Bereiche und 3.333 IPv6-Bereiche

Kontingentname: CloudArmorAddressGroupsSizePerOrganization
Kumulative Kapazität des IP-Adressbereichs von projektbezogenen Adressgruppen pro Projekt Kontingent

Dieses Kontingentlimit definiert die maximale Kapazität, die kumulativ für alle Adressgruppen mit Projektbereich in einem Projekt verwendet wird.

Jeder IPv4-Adressbereich erhöht die Nutzung dieses Kontingents um eins. Jeder IPv6-Adressbereich erhöht die Nutzung dieses Kontingents um drei. Beispiele für die Nutzung finden Sie in der vorherigen Zeile.

Kontingentname: CloudArmorAddressGroupsSizePerProject
Kumulative Kapazität des IP-Adressbereichs von Adressgruppen auf Organisationsebene pro Organisation Kontingent

Dieses Kontingentlimit definiert die maximale Kapazität, die kumulativ für alle organisationsbezogenen Adressgruppen in einer Organisation verwendet wird.

Jeder IPv4-Adressbereich erhöht die Nutzung dieses Kontingents um eins. Jeder IPv6-Adressbereich erhöht die Nutzung dieses Kontingents um drei. Beispiele für die Nutzung finden Sie in der vorherigen Zeile.

Kontingentname: CloudArmorOrgAddressGroupsSizePerOrganization

Zusätzlich zu den Cloud Armor-Kontingenten haben Produkte, die Cloud Armor verwenden, eigene Kontingente. Ein Beispiel finden Sie unter Kontingente und Limits für Cloud Load Balancing.

Google Cloud legt aus verschiedenen Gründen Kontingente für die Ressourcennutzung fest. Kontingente schützen unter anderem die gesamte Google Cloud -Community vor unerwarteten Nutzungsspitzen. Google Cloud bietet außerdem kostenlose Testkontingente an, mit denen ein eingeschränkter Zugriff möglich ist. Sie können sie für Projekte nutzen, bei denen SieGoogle Cloud im Rahmen einer kostenlosen Testversion kennenlernen möchten.

Es gelten nicht für alle Projekte dieselben Kontingente. Bei einer intensiveren Nutzung von Google Cloudkönnen Ihre Kontingente entsprechend erhöht werden. Falls Sie eine deutlich stärkere Auslastung erwarten, können Sie auf der Seite Kontingente der Google Cloud Console eine Anpassung Ihres Kontingents anfordern.

Damit Sie zusätzliche Kontingente anfordern können, benötigen Sie die Berechtigung serviceusage.quotas.update. Diese ist standardmäßig in den vordefinierten Rollen Inhaber, Bearbeiter und Kontingentadministrator enthalten. Sie sollten zusätzliche Ressourcen mindestens eine Woche im Voraus planen und anfordern, damit genügend Zeit bleibt, die Anfrage zu bearbeiten. Informationen zum Anfordern zusätzlicher Kontingente finden Sie unter Weitere Kontingente anfordern.

Limits

Für Google Cloud Armor gelten folgende Limits:

Posten Limits
Anzahl der IP-Adressen oder IP-Adressbereiche pro Regel 10
Anzahl der Unterausdrücke für jede Regel mit einem benutzerdefinierten Ausdruck 5
Anzahl der Zeichen für jeden Unterausdruck in einem benutzerdefinierten Ausdruck 1.024
Anzahl der Zeichen in einem benutzerdefinierten Ausdruck 2.048

Anzahl der Anfragen pro Sekunde und Projekt über alle Back-Ends mit einer Cloud Armor-Sicherheitsrichtlinie hinweg.

Dieses Limit wird nicht erzwungen. Google behält sich das Recht vor, das Trafficvolumen pro Projekt zu begrenzen, das von allen Sicherheitsrichtlinien zusammen verarbeitet werden kann. Erhöhungen für Abfragen pro Sekunde können Sie bei Ihrem Account-Management-Team anfordern.

 20.000
Anzahl der Edge-Netzwerkdienste pro Region und Projekt 1
Anzahl der Regeln in einer Sicherheitsrichtlinie für Netzwerk-Edge 100
Anzahl der hierarchischen Sicherheitsrichtlinien pro Organisation 50
Anzahl der Regeln in allen hierarchischen Sicherheitsrichtlinien pro Organisation 200
Anzahl der Regeln mit erweiterten Bedingungen über alle hierarchischen Sicherheitsrichtlinien pro Organisation hinweg 20

Adressgruppen

Für Cloud Armor-Adressgruppen gelten die folgenden Limits. Sie sind unabhängig davon, ob Sie projektbezogene oder organisationsbezogene Adressgruppen verwenden:

Internet Protocol-Version Maximale Kapazität einer einzelnen Adressgruppe Maximale Anzahl der Adressen, die durch einen API-Befehl (z. B. add-items) geändert werden
IPv4 150.000 IPv4 IP-Adressbereiche 50.000 IPv4-IP-Adressbereiche
IPv6 50.000 IPv6-IP-Adressbereiche 20.000 IPv6-IP-Adressbereiche

Manage quotas

Google Cloud Armor enforces quotas on resource usage for various reasons. For example, quotas protect the community of Google Cloud users by preventing unforeseen spikes in usage. Quotas also help users who are exploring Google Cloud with the free tier to stay within their trial.

All projects start with the same quotas, which you can change by requesting additional quota. Some quotas might increase automatically based on your use of a product.

Permissions

To view quotas or request quota increases, Identity and Access Management (IAM) principals need one of the following roles.

Task Required role
Check quotas for a project One of the following:
Modify quotas, request additional quota One of the following:
  • Project Owner (roles/owner)
  • Project Editor (roles/editor)
  • Quota Administrator (roles/servicemanagement.quotaAdmin)
  • A custom role with the serviceusage.quotas.update permission

Check your quota

Console

  1. In the Google Cloud console, go to the Quotas page.

    Go to Quotas

  2. To search for the quota that you want to update, use the Filter table. If you don't know the name of the quota, use the links on this page instead.

gcloud

Using the Google Cloud CLI, run the following command to check your quotas. Replace PROJECT_ID with your own project ID.

    gcloud compute project-info describe --project PROJECT_ID

To check your used quota in a region, run the following command:

    gcloud compute regions describe example-region

Errors when exceeding your quota

If you exceed a quota with a gcloud command, gcloud outputs a quota exceeded error message and returns with the exit code 1.

If you exceed a quota with an API request, Google Cloud returns the following HTTP status code: 413 Request Entity Too Large.

Request additional quota

To adjust most quotas, use the Google Cloud console. For more information, see Request a quota adjustment.

Resource availability

Each quota represents a maximum number for a particular type of resource that you can create, if that resource is available. It's important to note that quotas don't guarantee resource availability. Even if you have available quota, you can't create a new resource if it is not available.

For example, you might have sufficient quota to create a new regional, external IP address in a given region. However, that is not possible if there are no available external IP addresses in that region. Zonal resource availability can also affect your ability to create a new resource.

Situations where resources are unavailable in an entire region are rare. However, resources within a zone can be depleted from time to time, typically without impact to the service level agreement (SLA) for the type of resource. For more information, review the relevant SLA for the resource.