Kuota dan batas

Dokumen ini mencantumkan kuota dan batas sistem yang berlaku untuk Google Cloud Armor.

  • Kuota memiliki nilai default, tetapi biasanya Anda dapat meminta penyesuaian.
  • Batas sistem adalah nilai tetap yang tidak dapat diubah.

Google Cloud menggunakan kuota untuk membantu memastikan keadilan dan mengurangi lonjakan penggunaan dan ketersediaan resource. Kuota membatasi jumlah Google Cloud resource yang dapat digunakan Google Cloud project Anda. Kuota berlaku untuk berbagai jenis resource, termasuk komponen hardware, software, dan jaringan. Misalnya, kuota dapat membatasi jumlah panggilan API ke suatu layanan, jumlah load balancer yang digunakan secara bersamaan oleh project Anda, atau jumlah project yang dapat Anda buat. Kuota melindungi komunitas penggunaGoogle Cloud dengan mencegah kelebihan beban layanan. Kuota juga membantu Anda mengelola resource Google Cloud sendiri.

Sistem Kuota Cloud melakukan hal berikut:

Dalam sebagian besar kasus, saat Anda mencoba menggunakan resource melebihi kuota yang diizinkan, sistem akan memblokir akses ke resource tersebut, dan tugas yang Anda coba lakukan akan gagal.

Kuota umumnya berlaku di level Google Cloud project. Penggunaan resource dalam satu project tidak memengaruhi kuota yang tersedia dalam project lain. Dalam project Google Cloud , kuota dibagikan ke semua aplikasi dan alamat IP.

Untuk mengetahui informasi selengkapnya, lihat Ringkasan Kuota Cloud.

Ada juga batas sistem pada resource Cloud Armor. Batas sistem tidak dapat diubah.

Kuota

Kuota resource Google Cloud Armor diatur berdasarkan dua kriteria:

  • Cakupan kuota:
    • global
    • regional
  • Jenis kebijakan keamanan Cloud Armor:
    • kebijakan keamanan backend
    • kebijakan keamanan edge
    • kebijakan keamanan edge jaringan

Kebijakan keamanan backend global dan kebijakan keamanan edge global

Cloud Armor menggunakan kuota per project berikut untuk kebijakan keamanan edge global, kebijakan keamanan backend global, dan aturan-aturan di dalamnya:

Resource Kuota Deskripsi
Kebijakan keamanan global per project Kuota

Batas untuk kuota ini menentukan jumlah maksimum kebijakan keamanan edge global dan kebijakan keamanan backend global, secara bersamaan, dalam suatu project.

Nama kuota: SECURITY_POLICIES

Metrik yang tersedia:

  • compute.googleapis.com/quota/security_policies/limit
  • compute.googleapis.com/quota/security_policies/usage
  • compute.googleapis.com/quota/security_policies/exceeded
Aturan kebijakan keamanan global per project Kuota

Batas untuk kuota ini menentukan jumlah total maksimum aturan dalam kebijakan keamanan edge global dan kebijakan keamanan backend global, secara bersamaan, dalam sebuah project. Penggunaan untuk kuota ini menghitung hal berikut:

  • Aturan dasar dalam kebijakan keamanan edge global
  • Aturan dasar dalam kebijakan keamanan backend global
  • Aturan dengan kondisi pencocokan lanjutan dalam kebijakan keamanan edge global
  • Aturan dengan kondisi pencocokan lanjutan dalam kebijakan keamanan backend global

Nama kuota: SECURITY_POLICY_RULES

Metrik yang tersedia:

  • compute.googleapis.com/quota/security_policy_rules/limit
  • compute.googleapis.com/quota/security_policy_rules/usage
  • compute.googleapis.com/quota/security_policy_rules/exceeded
Aturan kebijakan keamanan global dengan kondisi pencocokan lanjutan per project Kuota

Batas untuk kuota ini menentukan jumlah total maksimum aturan dengan kondisi pencocokan lanjutan dalam kebijakan keamanan edge global dan kebijakan keamanan backend global, secara bersamaan, dalam sebuah project. Penggunaan kuota ini mencakup hal berikut:

  • Aturan dengan kondisi pencocokan lanjutan dalam kebijakan keamanan edge global
  • Aturan dengan kondisi pencocokan lanjutan dalam kebijakan keamanan backend global

Nama kuota: SECURITY_POLICY_CEVAL_RULES

Metrik yang tersedia:

  • compute.googleapis.com/quota/security_policy_ceval_rules/limit
  • compute.googleapis.com/quota/security_policy_ceval_rules/usage
  • compute.googleapis.com/quota/security_policy_ceval_rules/exceeded

Kuota per kebijakan keamanan global untuk aturan dengan kondisi pencocokan lanjutan

Cloud Armor menggunakan kuota per kebijakan keamanan berikut untuk aturan dengan kondisi pencocokan lanjutan dalam kebijakan keamanan edge global dan kebijakan keamanan backend global:

Resource Kuota Deskripsi
Aturan dengan kondisi pencocokan lanjutan per kebijakan keamanan edge global Kuota

Batas untuk kuota ini menentukan jumlah maksimum aturan dengan kondisi pencocokan lanjutan dalam kebijakan keamanan edge global tertentu.

Nama kuota: SECURITY_POLICY_ADVANCED_RULES_PER_EDGE_SECURITY_POLICY

Metrik yang tersedia:

  • compute.googleapis.com/quota/advanced_rules_per_edge_security_policy/limit
  • compute.googleapis.com/quota/advanced_rules_per_edge_security_policy/usage
  • compute.googleapis.com/quota/advanced_rules_per_edge_security_policy/exceeded
Aturan dengan kondisi pencocokan lanjutan per kebijakan keamanan backend global Kuota

Batas untuk kuota ini menentukan jumlah maksimum aturan dengan kondisi pencocokan lanjutan dalam kebijakan keamanan backend global tertentu.

Nama kuota: SECURITY_POLICY_ADVANCED_RULES_PER_SECURITY_POLICY

Metrik yang tersedia:

  • compute.googleapis.com/quota/advanced_rules_per_security_policy/limit
  • compute.googleapis.com/quota/advanced_rules_per_security_policy/usage
  • compute.googleapis.com/quota/advanced_rules_per_security_policy/exceeded

Ringkasan kuota yang dihitung untuk aturan dalam kebijakan keamanan global

Tabel berikut menunjukkan kuota yang dihitung untuk aturan dasar dan aturan dengan kondisi pencocokan lanjutan dalam kebijakan keamanan global:

Aturan Penggunaan yang dihitung dalam kuota ini
Aturan dasar dalam kebijakan keamanan edge global
  • Aturan kebijakan keamanan global per project (SECURITY_POLICY_RULES)
Aturan dasar dalam kebijakan keamanan backend global
  • Aturan kebijakan keamanan global per project (SECURITY_POLICY_RULES)
Aturan dengan kondisi pencocokan lanjutan dalam kebijakan keamanan edge global
  • Aturan kebijakan keamanan global per project (SECURITY_POLICY_RULES)
  • Aturan kebijakan keamanan global dengan kondisi pencocokan lanjutan per project (SECURITY_POLICY_CEVAL_RULES)
  • Aturan dengan kondisi pencocokan lanjutan per kebijakan keamanan edge global (SECURITY_POLICY_ADVANCED_RULES_PER_EDGE_SECURITY_POLICY)
Aturan dengan kondisi pencocokan lanjutan dalam kebijakan keamanan backend global
  • Aturan kebijakan keamanan global per project (SECURITY_POLICY_RULES)
  • Aturan kebijakan keamanan global dengan kondisi pencocokan lanjutan per project (SECURITY_POLICY_CEVAL_RULES)
  • Aturan dengan kondisi pencocokan lanjutan per kebijakan keamanan backend global (SECURITY_POLICY_ADVANCED_RULES_PER_SECURITY_POLICY)

Kebijakan keamanan backend regional

Cloud Armor menggunakan kuota per region, per project berikut untuk kebijakan keamanan backend regional dan aturan di dalamnya:

Resource Kuota Deskripsi
Kebijakan keamanan backend regional per region, per project Kuota

Batas untuk kuota ini menentukan jumlah maksimum kebijakan keamanan backend regional di region project.

Nama kuota: SECURITY_POLICIES_PER_REGION

Metrik yang tersedia:

  • compute.googleapis.com/quota/regional_security_policies/limit
  • compute.googleapis.com/quota/regional_security_policies/usage
  • compute.googleapis.com/quota/regional_security_policies/exceeded
Aturan kebijakan keamanan backend regional per region, per project Kuota

Batas untuk kuota ini menentukan jumlah total maksimum aturan dalam kebijakan keamanan backend regional di region project. Penggunaan untuk kuota ini menghitung aturan dasar dan aturan dengan kondisi pencocokan lanjutan.

Nama kuota: SECURITY_POLICY_RULES_PER_REGION

Metrik yang tersedia:

  • compute.googleapis.com/quota/regional_security_policy_rules/limit
  • compute.googleapis.com/quota/regional_security_policy_rules/usage
  • compute.googleapis.com/quota/regional_security_policy_rules/exceeded
Aturan kebijakan keamanan backend regional dengan kondisi pencocokan lanjutan per region, per project Kuota

Batas untuk kuota ini menentukan jumlah total maksimum aturan dengan kondisi pencocokan lanjutan dalam kebijakan keamanan backend regional di region project. Penggunaan untuk kuota ini hanya menghitung aturan dengan kondisi pencocokan lanjutan.

Nama kuota: SECURITY_POLICY_ADVANCED_RULES_PER_REGION

Metrik yang tersedia:

  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/limit
  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/usage
  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/exceeded

Kuota per kebijakan keamanan backend regional untuk aturan dengan kondisi pencocokan lanjutan

Cloud Armor menggunakan kuota per kebijakan keamanan berikut untuk aturan dengan kondisi pencocokan lanjutan dalam kebijakan keamanan backend regional:

Resource Kuota Deskripsi
Aturan dengan kondisi pencocokan lanjutan per kebijakan keamanan backend regional Kuota

Batas untuk kuota ini menentukan jumlah maksimum aturan lanjutan dalam kebijakan keamanan backend regional tertentu.

Nama kuota: SECURITY_POLICY_ADVANCED_RULES_PER_REGIONAL_SECURITY_POLICY

Metrik yang tersedia:

  • compute.googleapis.com/quota/advanced_rules_per_regional_security_policy/limit
  • compute.googleapis.com/quota/advanced_rules_per_regional_security_policy/usage
  • compute.googleapis.com/quota/advanced_rules_per_regional_security_policy/exceeded

Ringkasan kuota yang dihitung untuk aturan dalam kebijakan keamanan backend regional

Tabel berikut menunjukkan kuota yang dihitung untuk aturan dasar dan aturan dengan kondisi pencocokan lanjutan dalam kebijakan keamanan backend regional:

Aturan Penggunaan yang dihitung dalam kuota ini
Aturan dasar dalam kebijakan keamanan backend regional
  • Aturan kebijakan keamanan backend regional per wilayah, per project (SECURITY_POLICY_RULES_PER_REGION)
Aturan dengan kondisi pencocokan lanjutan dalam kebijakan keamanan backend regional
  • Aturan kebijakan keamanan backend regional per wilayah, per project (SECURITY_POLICY_RULES_PER_REGION)
  • Aturan kebijakan keamanan backend regional dengan kondisi pencocokan lanjutan per region, per project (SECURITY_POLICY_ADVANCED_RULES_PER_REGION )
  • Aturan dengan kondisi pencocokan lanjutan per kebijakan keamanan backend regional (SECURITY_POLICY_ADVANCED_RULES_PER_REGIONAL_SECURITY_POLICY)

Kebijakan keamanan edge jaringan regional

Cloud Armor menggunakan kuota per region, per project berikut untuk kebijakan keamanan edge jaringan regional dan aturan di dalamnya:

Resource Kuota Deskripsi
Kebijakan keamanan edge jaringan regional per region, per project Kuota

Batas untuk kuota ini menentukan jumlah maksimum kebijakan keamanan edge jaringan regional di setiap region project.

Nama kuota: NET_LB_SECURITY_POLICIES_PER_REGION

Metrik yang tersedia:

  • compute.googleapis.com/quota/regional_net_lb_security_policies/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policies/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policies/exceeded
Aturan kebijakan keamanan edge jaringan regional per region, per project Kuota

Batas untuk kuota ini menentukan jumlah total maksimum aturan untuk kebijakan keamanan edge jaringan regional di setiap region project.

Nama kuota: NET_LB_SECURITY_POLICY_RULES_PER_REGION

Metrik yang tersedia:

  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/exceeded
Nilai pencocokan aturan kebijakan keamanan edge jaringan regional per region, per project Kuota

Batas untuk kuota ini menentukan jumlah total maksimum atribut dalam aturan kebijakan keamanan edge jaringan regional di setiap region project. Penggunaan untuk kuota ini adalah jumlah atribut SecurityPolicy.NetworkMatch di setiap aturan setiap kebijakan keamanan edge jaringan dalam region project.

Nama kuota: NET_LB_SECURITY_POLICY_RULE_ATTRIBUTES_PER_REGION

Metrik yang tersedia:

  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/exceeded

Grup alamat

Grup alamat Cloud Armor menggunakan kuota berikut:

Resource Kuota Deskripsi
Kapasitas rentang alamat IP kumulatif grup alamat lingkup project per organisasi Kuota

Batas kuota ini menentukan kapasitas maksimum, secara kumulatif, yang digunakan di semua grup alamat cakupan project dalam organisasi.

Setiap rentang alamat IPv4 meningkatkan penggunaan kuota ini sebanyak satu kali. Setiap rentang alamat IPv6 meningkatkan penggunaan kuota ini sebanyak tiga kali.

Sebagai ilustrasi, batas kuota sebesar 50.000 mendukung beberapa kombinasi rentang IPv4 dan IPv6, termasuk:

  • 50.000 rentang IPv4 dan nol rentang IPv6
  • Rentang IPv4 nol dan rentang IPv6 16.666
  • Rentang IPv4 40.000 dan rentang IPv6 3.333

Nama kuota: CloudArmorAddressGroupsSizePerOrganization
Kapasitas rentang alamat IP kumulatif dari grup alamat lingkup project per project Kuota

Batas kuota ini menentukan kapasitas maksimum, secara kumulatif, yang digunakan di semua grup alamat cakupan project dalam suatu project.

Setiap rentang alamat IPv4 meningkatkan penggunaan kuota ini sebanyak satu kali. Setiap rentang alamat IPv6 meningkatkan penggunaan kuota ini sebanyak tiga kali. Lihat baris sebelumnya untuk contoh pemanfaatan.

Nama kuota: CloudArmorAddressGroupsSizePerProject
Kapasitas rentang alamat IP kumulatif grup alamat lingkup organisasi per organisasi Kuota

Batas kuota ini menentukan kapasitas maksimum, secara kumulatif, yang digunakan di semua grup alamat cakupan organisasi dalam suatu organisasi.

Setiap rentang alamat IPv4 meningkatkan penggunaan kuota ini sebanyak satu kali. Setiap rentang alamat IPv6 meningkatkan penggunaan kuota ini sebanyak tiga kali. Lihat baris sebelumnya untuk contoh pemanfaatan.

Nama kuota: CloudArmorOrgAddressGroupsSizePerOrganization

Selain kuota Cloud Armor, produk yang menggunakan Cloud Armor memiliki kuota sendiri. Misalnya, lihat Kuota dan batas Cloud Load Balancing.

Google Cloud memberlakukan kuota pada penggunaan resource karena berbagai alasan. Misalnya, kuota melindungi komunitas pengguna Google Cloud dengan mencegah lonjakan penggunaan yang tidak terduga. Google Cloud juga menawarkan kuota uji coba gratis yang menyediakan akses terbatas untuk project yang menggunakanGoogle Cloud hanya dengan uji coba gratis.

Tidak semua project memiliki kuota yang sama. Seiring penggunaan Google Cloud Anda meningkat, kuota Anda mungkin meningkat. Jika Anda memperkirakan adanya peningkatan penggunaan yang signifikan di masa mendatang, Anda dapat secara proaktif meminta penyesuaian kuota dari halaman Kuota di konsol Google Cloud .

Untuk meminta kuota tambahan, Anda harus memiliki izin serviceusage.quotas.update. Izin ini disertakan secara default untuk peran bawaan berikut: Pemilik, Editor, dan Administrator Kuota. Rencanakan dan minta resource tambahan setidaknya seminggu sebelumnya untuk memverifikasi bahwa tersedia cukup waktu untuk memenuhi permintaan Anda. Untuk meminta kuota tambahan, lihat meminta kuota tambahan.

Batas

Google Cloud Armor memiliki batasan berikut:

Item Batas
Jumlah alamat IP atau rentang alamat IP per aturan 10
Jumlah subekspresi untuk setiap aturan dengan ekspresi kustom 5
Jumlah karakter untuk setiap subekspresi dalam ekspresi kustom 1024
Jumlah karakter dalam ekspresi kustom 2048

Jumlah permintaan per detik per project di semua backend dengan kebijakan keamanan Cloud Armor

Batas ini tidak diberlakukan. Google berhak membatasi volume traffic yang dapat diproses oleh semua kebijakan keamanan berdasarkan per project. Arahkan semua permintaan peningkatan QPS ke tim akun Anda.

 20.000
Jumlah layanan keamanan edge jaringan per region per project 1
Jumlah aturan dalam kebijakan keamanan edge jaringan 100
Jumlah kebijakan keamanan hierarkis per organisasi 50
Jumlah aturan di semua kebijakan keamanan hierarkis per organisasi 200
Jumlah aturan dengan kondisi pencocokan lanjutan di semua kebijakan keamanan hierarkis per organisasi 20

Grup alamat

Grup alamat Cloud Armor memiliki batas berikut, yang sama terlepas dari apakah Anda menggunakan grup alamat lingkup project atau grup alamat lingkup organisasi:

Versi Internet Protocol Kapasitas maksimum satu grup alamat Jumlah maksimum alamat yang diubah oleh satu perintah API (seperti add-items)
IPv4 Rentang alamat IP IPv4 150.000 Rentang alamat IP IPv4 50.000
IPv6 Rentang alamat IP IPv6 50.000 Rentang alamat IP IPv6 20.000

Manage quotas

Google Cloud Armor enforces quotas on resource usage for various reasons. For example, quotas protect the community of Google Cloud users by preventing unforeseen spikes in usage. Quotas also help users who are exploring Google Cloud with the free tier to stay within their trial.

All projects start with the same quotas, which you can change by requesting additional quota. Some quotas might increase automatically based on your use of a product.

Permissions

To view quotas or request quota increases, Identity and Access Management (IAM) principals need one of the following roles.

Task Required role
Check quotas for a project One of the following:
Modify quotas, request additional quota One of the following:
  • Project Owner (roles/owner)
  • Project Editor (roles/editor)
  • Quota Administrator (roles/servicemanagement.quotaAdmin)
  • A custom role with the serviceusage.quotas.update permission

Check your quota

Console

  1. In the Google Cloud console, go to the Quotas page.

    Go to Quotas

  2. To search for the quota that you want to update, use the Filter table. If you don't know the name of the quota, use the links on this page instead.

gcloud

Using the Google Cloud CLI, run the following command to check your quotas. Replace PROJECT_ID with your own project ID.

    gcloud compute project-info describe --project PROJECT_ID

To check your used quota in a region, run the following command:

    gcloud compute regions describe example-region

Errors when exceeding your quota

If you exceed a quota with a gcloud command, gcloud outputs a quota exceeded error message and returns with the exit code 1.

If you exceed a quota with an API request, Google Cloud returns the following HTTP status code: 413 Request Entity Too Large.

Request additional quota

To adjust most quotas, use the Google Cloud console. For more information, see Request a quota adjustment.

Resource availability

Each quota represents a maximum number for a particular type of resource that you can create, if that resource is available. It's important to note that quotas don't guarantee resource availability. Even if you have available quota, you can't create a new resource if it is not available.

For example, you might have sufficient quota to create a new regional, external IP address in a given region. However, that is not possible if there are no available external IP addresses in that region. Zonal resource availability can also affect your ability to create a new resource.

Situations where resources are unavailable in an entire region are rare. However, resources within a zone can be depleted from time to time, typically without impact to the service level agreement (SLA) for the type of resource. For more information, review the relevant SLA for the resource.