이 문서에서는 Google Cloud Armor에 적용되는 할당량 및 시스템 한도를 설명합니다.
- 할당량에는 기본값이 있지만 일반적으로 조정을 요청할 수 있습니다.
- 시스템 한도는 변경할 수 없는 고정 값입니다.
Google Cloud 는 공정성을 보장하고 리소스 사용 및 가용성의 급증을 줄이기 위해 할당량을 사용합니다. 할당량은 Google Cloud 프로젝트에서 사용할 수 있는Google Cloud 리소스 양을 제한합니다. 할당량은 하드웨어, 소프트웨어, 네트워크 구성요소를 포함하여 다양한 리소스 유형에 적용됩니다. 예를 들어 할당량에 따라 서비스에 대한 API 호출 수, 프로젝트에서 동시에 사용하는 부하 분산기 수, 만들 수 있는 프로젝트 수가 제한될 수 있습니다. 할당량은 서비스 과부하를 방지하여Google Cloud 사용자 커뮤니티를 보호합니다. 또한 할당량은 자체 Google Cloud 리소스를 관리하는 데 도움이 됩니다.
Cloud Quotas 시스템은 다음을 수행합니다.
- Google Cloud 제품 및 서비스 소비량 모니터링
- 리소스 소비 제한
- 할당량값 변경을 요청하고 할당량 조정을 자동화하는 방법 제공
대부분의 경우 할당량이 허용하는 것보다 더 많은 리소스를 소비하려고 하면 시스템에서 리소스에 대한 액세스를 차단하고 수행하려는 작업이 실패합니다.
할당량은 일반적으로 Google Cloud 프로젝트 수준에서 적용됩니다. 한 프로젝트의 리소스를 사용해도 다른 프로젝트에서 사용 가능한 할당량에는 영향을 미치지 않습니다. Google Cloud 프로젝트 내에서 할당량은 모든 애플리케이션과 IP 주소에 공유됩니다.
자세한 내용은 Cloud Quotas 개요를 참조하세요.
Cloud Armor 리소스에도 시스템 한도가 있습니다. 한도는 변경할 수 없습니다.
할당량
Google Cloud Armor 리소스 할당량은 두 가지 기준에 따라 정해집니다.
- 할당량의 범위:
- 전역
- 리전
- Cloud Armor 보안 정책 유형:
- 백엔드 보안 정책
- 에지 보안 정책
- 네트워크 에지 보안 정책
전역 백엔드 보안 정책 및 전역 에지 보안 정책
Cloud Armor는 전역 에지 보안 정책, 전역 백엔드 보안 정책 및 규칙에 대해 다음과 같은 프로젝트별 할당량을 사용합니다.
| 리소스 | Quota | 설명 |
|---|---|---|
| 프로젝트별 전역 보안 정책 | Quota | 이 할당량의 한도는 프로젝트의 전역 에지 보안 정책 및 전역 백엔드 보안 정책의 최대 개수를 정의합니다. 할당량 이름: 사용 가능한 측정항목:
|
| 프로젝트별 전역 보안 정책 규칙 | Quota | 이 할당량의 한도는 프로젝트의 전역 에지 보안 정책과 전역 백엔드 보안 정책 모두에 대한 최대 총 규칙 수를 정의합니다. 이 할당량의 사용량은 다음을 계산합니다.
할당량 이름: 사용 가능한 측정항목:
|
| 프로젝트별 고급 일치 조건이 있는 전역 보안 정책 규칙 | Quota | 이 할당량의 한도는 프로젝트의 전역 에지 보안 정책과 전역 백엔드 보안 정책 모두에 대한 고급 일치 조건이 있는 최대 총 규칙 수를 정의합니다. 이 할당량의 사용량은 다음을 계산합니다.
할당량 이름: 사용 가능한 측정항목:
|
고급 일치 조건이 있는 규칙의 전역 보안 정책별 할당량
Cloud Armor는 전역 에지 보안 정책 및 전역 백엔드 보안 정책의 고급 일치 조건이 있는 규칙에 다음 보안 정책별 할당량을 사용합니다.
| 리소스 | Quota | 설명 |
|---|---|---|
| 전역 에지 보안 정책별 고급 일치 조건이 있는 규칙 | Quota | 이 할당량의 한도는 특정 전역 에지 보안 정책의 고급 일치 조건이 있는 최대 규칙 수를 정의합니다. 할당량 이름: 사용 가능한 측정항목:
|
| 전역 백엔드 보안 정책별 고급 일치 조건이 있는 규칙 | Quota | 이 할당량의 한도는 특정 전역 백엔드 보안 정책의 고급 일치 조건이 있는 최대 규칙 수를 정의합니다. 할당량 이름: 사용 가능한 측정항목:
|
전역 보안 정책의 규칙에 대해 계산된 할당량 요약
다음 표에는 전역 보안 정책의 기본 규칙 및 고급 일치 조건이 있는 규칙에 대해 계산되는 할당량이 나와 있습니다.
| 규칙 | 이 할당량에 포함되는 사용량 |
|---|---|
| 전열 에지 보안 정책의 기본 규칙 |
|
| 전역 백엔드 보안 정책의 기본 규칙 |
|
| 전역 에지 보안 정책의 고급 일치 조건이 있는 규칙 |
|
| 전역 백엔드 보안 정책의 고급 일치 조건이 있는 규칙 |
|
리전 백엔드 보안 정책
Cloud Armor는 리전 백엔드 보안 정책 및 규칙에 대해 다음과 같은 리전별 프로젝트당 할당량을 사용합니다.
| 리소스 | Quota | 설명 |
|---|---|---|
| 리전별 프로젝트당 리전 백엔드 보안 정책 | Quota | 이 할당량의 한도는 프로젝트의 리전에 있는 리전 백엔드 보안 정책의 최대 개수를 정의합니다. 할당량 이름: 사용 가능한 측정항목:
|
| 리전별 프로젝트당 리전 백엔드 보안 정책 규칙 | Quota | 이 할당량의 한도는 프로젝트의 리전에 있는 리전 백엔드 보안 정책의 최대 총 규칙 수를 정의합니다. 이 할당량의 사용량은 기본 규칙과 고급 일치 조건이 있는 규칙을 모두 계산합니다. 할당량 이름: 사용 가능한 측정항목:
|
| 리전별 프로젝트당 고급 일치 조건이 있는 리전 백엔드 보안 정책 규칙 | Quota | 이 할당량의 한도는 프로젝트의 리전에 있는 리전 백엔드 보안 정책의 고급 일치 조건이 있는 최대 총 규칙 수를 정의합니다. 이 할당량의 사용량은 고급 일치 조건이 있는 규칙만 계산합니다. 할당량 이름: 사용 가능한 측정항목:
|
고급 일치 조건이 있는 규칙의 리전 백엔드 보안 정책별 할당량
Cloud Armor는 리전 백엔드 보안 정책의 고급 일치 조건이 있는 규칙에 다음과 같은 보안 정책별 할당량을 사용합니다.
| 리소스 | Quota | 설명 |
|---|---|---|
| 리전 백엔드 보안 정책별 고급 일치 조건이 있는 규칙 | Quota | 이 할당량의 한도는 특정 리전 백엔드 보안 정책의 고급 규칙의 최대 개수를 정의합니다. 할당량 이름: 사용 가능한 측정항목:
|
리전 백엔드 보안 정책의 규칙에 대해 계산된 할당량 요약
다음 표에는 리전 백엔드 보안 정책의 기본 규칙 및 고급 일치 조건이 있는 규칙에 대해 계산되는 할당량이 나와 있습니다.
| 규칙 | 이 할당량에 포함되는 사용량 |
|---|---|
| 리전 백엔드 보안 정책의 기본 규칙 |
|
| 리전 백엔드 보안 정책의 고급 일치 조건이 있는 규칙 |
|
리전 네트워크 에지 보안 정책
Cloud Armor는 리전 네트워크 에지 보안 정책 및 규칙에 대해 다음과 같은 리전별 프로젝트당 할당량을 사용합니다.
| 리소스 | Quota | 설명 |
|---|---|---|
| 리전별 프로젝트당 리전 네트워크 에지 보안 정책 | Quota | 이 할당량의 한도는 프로젝트의 각 리전에 있는 리전 네트워크 에지 보안 정책의 최대 개수를 정의합니다. 할당량 이름: 사용 가능한 측정항목:
|
| 리전별 프로젝트당 리전 네트워크 에지 보안 정책 규칙 | Quota | 이 할당량의 한도는 프로젝트의 각 리전에 있는 리전 네트워크 에지 보안 정책의 최대 총 규칙 수를 정의합니다. 할당량 이름: 사용 가능한 측정항목:
|
| 리전별 프로젝트당 리전 네트워크 에지 보안 정책 규칙 일치 값 | Quota | 이 할당량의 한도는 프로젝트의 각 리전에 있는 리전 네트워크 에지 보안 정책의 최대 총 규칙 속성 수를 정의합니다. 이 할당량의 사용량은 프로젝트의 리전에 있는 모든 네트워크 에지 보안 정책의 모든 규칙에서 할당량 이름: 사용 가능한 측정항목:
|
주소 그룹
Cloud Armor 주소 그룹은 다음 할당량을 사용합니다.
| 리소스 | Quota | 설명 |
|---|---|---|
| 조직별 프로젝트 범위 주소 그룹의 누적 IP 주소 범위 용량 | Quota | 이 할당량의 한도는 조직의 모든 프로젝트 범위 주소 그룹에 사용되는 최대 누적 용량을 정의합니다. 각 예를 들어 할당량 한도가 50,000이면 다음과 같이
할당량 이름: |
| 프로젝트별 프로젝트 범위 주소 그룹의 누적 IP 주소 범위 용량 | Quota | 이 할당량의 한도는 프로젝트의 모든 프로젝트 범위 주소 그룹에 사용되는 최대 누적 용량을 정의합니다. 각 할당량 이름: |
| 조직별 조직 범위 주소 그룹의 누적 IP 주소 범위 용량 | Quota | 이 할당량의 한도는 조직의 모든 조직 범위 주소 그룹에 사용되는 최대 누적 용량을 정의합니다. 각 할당량 이름: |
Cloud Armor 할당량 외에 Cloud Armor를 사용하는 제품에도 자체 할당량이 있습니다. 예를 들어 Cloud Load Balancing 할당량 및 한도를 참고하세요.
Google Cloud 는 다양한 이유로 리소스 사용량에 할당량을 적용합니다. 예를 들어 할당량은 사용량이 예기치 않게 급증하는 것을 방지하여 Google Cloud 사용자 커뮤니티를 보호합니다. Google Cloud 에서는 무료 체험판을 통해Google Cloud 를 살펴볼 수 있도록 프로젝트를 제한적으로 이용할 수 있는 무료 체험판 할당량도 제공합니다.
모든 프로젝트의 할당량이 동일하지는 않습니다. Google Cloud사용량이 점차 늘어나면 할당량도 이에 따라 늘릴 수 있습니다. 앞으로 사용량이 현저하게 늘어날 것으로 예상되는 경우 Google Cloud 콘솔의 할당량 페이지에서 사전에 할당량 조정을 요청할 수 있습니다.
추가 할당량을 요청하려면 serviceusage.quotas.update 권한이 있어야 합니다. 이 권한은 사전 정의된 역할인 소유자, 편집자, 할당량 관리자에 기본적으로 포함되어 있습니다. 요청을 이행하는 데 충분한 시간을 확보할 수 있도록 최소 일주일 전에 리소스 추가를 계획하고 요청하시기 바랍니다. 추가 할당량을 요청하려면 추가 할당량 요청을 참조하세요.
한도
Google Cloud Armor의 한도는 다음과 같습니다.
| 항목 | 한도 |
|---|---|
| 규칙당 IP 주소 또는 IP 주소 범위 수 | 10 |
| 커스텀 표현식이 있는 각 규칙의 하위 표현식 수 | 5 |
| 커스텀 표현식의 각 하위 표현식 문자 수 | 1024 |
| 커스텀 표현식의 문자 수 | 2048 |
Cloud Armor 보안 정책을 사용하는 모든 백엔드에서 프로젝트별 초당 요청 수 이 한도는 시행되지 않습니다. Google은 모든 보안 정책에서 처리할 수 있는 트래픽 양을 프로젝트별로 제한할 수 있는 권리를 보유합니다. 계정팀에 직접 QPS 할당량 상향을 요청하세요. |
20,000 |
| 리전별 프로젝트당 네트워크 에지 보안 서비스 수 | 1 |
| 네트워크 에지 보안 정책의 규칙 수 | 100 |
| 조직당 계층적 보안 정책 수 | 50 |
| 조직당 모든 계층적 보안 정책의 규칙 수 | 200 |
| 조직당 모든 계층적 보안 정책에서 고급 일치 조건이 있는 규칙 수 | 20 |
주소 그룹
Cloud Armor 주소 그룹에는 다음과 같은 한도가 있으며, 프로젝트 범위 주소 그룹을 사용하는지 조직 범위 주소 그룹을 사용하는지에 관계없이 동일합니다.
| 인터넷 프로토콜 버전 | 단일 주소 그룹의 최대 용량 | API 명령어 하나로 변경되는 최대 주소(예: add-items) |
|---|---|---|
| IPv4 | IPv4 IP 주소 범위 150,000개 |
IPv4 IP 주소 범위 50,000개 |
| IPv6 | IPv6 IP 주소 범위 50,000개 |
IPv6 IP 주소 범위 20,000개 |
Manage quotas
Google Cloud Armor enforces quotas on resource usage for various reasons. For example, quotas protect the community of Google Cloud users by preventing unforeseen spikes in usage. Quotas also help users who are exploring Google Cloud with the free tier to stay within their trial.
All projects start with the same quotas, which you can change by requesting additional quota. Some quotas might increase automatically based on your use of a product.
Permissions
To view quotas or request quota increases, Identity and Access Management (IAM) principals need one of the following roles.
| Task | Required role |
|---|---|
| Check quotas for a project | One of the following:
|
| Modify quotas, request additional quota | One of the following:
|
Check your quota
Console
- In the Google Cloud console, go to the Quotas page.
- To search for the quota that you want to update, use the Filter table. If you don't know the name of the quota, use the links on this page instead.
gcloud
Using the Google Cloud CLI, run the following command to
check your quotas. Replace PROJECT_ID with your own project ID.
gcloud compute project-info describe --project PROJECT_IDTo check your used quota in a region, run the following command:
gcloud compute regions describe example-region
Errors when exceeding your quota
If you exceed a quota with a gcloud command,
gcloud outputs a quota exceeded error
message and returns with the exit code 1.
If you exceed a quota with an API request, Google Cloud returns the
following HTTP status code: 413 Request Entity Too Large.
Request additional quota
To adjust most quotas, use the Google Cloud console. For more information, see Request a quota adjustment.
Resource availability
Each quota represents a maximum number for a particular type of resource that you can create, if that resource is available. It's important to note that quotas don't guarantee resource availability. Even if you have available quota, you can't create a new resource if it is not available.
For example, you might have sufficient quota to create a new regional, external IP address in a given region. However, that is not possible if there are no available external IP addresses in that region. Zonal resource availability can also affect your ability to create a new resource.
Situations where resources are unavailable in an entire region are rare. However, resources within a zone can be depleted from time to time, typically without impact to the service level agreement (SLA) for the type of resource. For more information, review the relevant SLA for the resource.