このドキュメントでは、Google Cloud Armor に適用される割り当てとシステム上限について説明します。
- 割り当てにはデフォルト値がありますが、通常は調整をリクエストできます。
- システムの上限は固定値で、変更できません。
Google Cloud では、割り当てを使用して公平性を確保し、リソースの使用量と可用性の急増を抑えます。割り当ては、 Google Cloud プロジェクトで使用できるGoogle Cloud リソースの量を制限します。割り当ては、ハードウェア、ソフトウェア、ネットワーク コンポーネントなど、さまざまなリソースタイプに適用されます。たとえば、割り当てによって、サービスへの API 呼び出しの数、プロジェクトで同時に使用されるロードバランサの数、作成可能なプロジェクトの数を制限できます。割り当てを適用することで、サービスの過負荷を防ぎ、Google Cloud ユーザーのコミュニティを保護します。割り当ては、自組織で使用している Google Cloud リソースの管理にも役立ちます。
Cloud Quotas システムは次のことを行います。
- Google Cloud のプロダクトとサービスの消費量をモニタリングする
- これらのリソースの消費量を制限する
- 割り当て値の変更をリクエストし、割り当ての調整を自動化する手段を提供する
ほとんどの場合、割り当ての許容量を超えるリソースを消費しようとすると、システムによってリソースへのアクセスがブロックされ、実行しようとしているタスクは失敗します。
割り当ては通常、 Google Cloud プロジェクト レベルで適用されます。あるプロジェクトでリソースを使用しても、別のプロジェクトで使用可能な割り当てに影響することはありません。 Google Cloud プロジェクト内では、すべてのアプリケーションと IP アドレスで割り当てが共有されます。
詳細については、Cloud Quotas の概要をご覧ください。
Cloud Armor リソースにはシステムの上限もあります。システムの上限は変更できません。
割り当て
Google Cloud Armor のリソースの割り当ては、次の 2 つの基準に従って分類されます。
- 割り当てのスコープ:
- グローバル
- リージョン
- Cloud Armor セキュリティ ポリシーのタイプ:
- バックエンド セキュリティ ポリシー
- エッジ セキュリティ ポリシー
- ネットワーク エッジ セキュリティ ポリシー
グローバル バックエンド セキュリティ ポリシーとグローバル エッジ セキュリティ ポリシー
Cloud Armor では、グローバル エッジ セキュリティ ポリシー、グローバル バックエンド セキュリティ ポリシー、およびそれらに含まれるルールについて、次のプロジェクトごとの割り当てが使用されます。
| リソース | 割り当て | 説明 |
|---|---|---|
| プロジェクトごとのグローバル セキュリティ ポリシー | 割り当て | この割り当て上限は、プロジェクト内のグローバル エッジ セキュリティ ポリシーとグローバル バックエンド セキュリティ ポリシーの合計最大数を定義します。 割り当て名: 利用可能な指標:
|
| プロジェクトごとのグローバル セキュリティ ポリシーのルール | 割り当て | この割り当て上限は、プロジェクト内のグローバル エッジ セキュリティ ポリシーとグローバル バックエンド セキュリティ ポリシーの合計最大数を定義します。この割り当ての使用量には、次の対象がカウントされます。
割り当て名: 利用可能な指標:
|
| プロジェクトごとの、高度な一致条件を含むグローバル セキュリティ ポリシー ルール | 割り当て | この割り当て上限は、プロジェクト内のグローバル エッジ セキュリティ ポリシーとグローバル バックエンド セキュリティ ポリシーにある、高度な一致条件を含むルールの合計最大数を定義します。この割り当ての使用量には、次の対象がカウントされます。
割り当て名: 利用可能な指標:
|
グローバル セキュリティ ポリシーごとの、高度な一致条件を含むルールの割り当て
Cloud Armor では、グローバル エッジ セキュリティ ポリシーとグローバル バックエンド セキュリティ ポリシーにある高度な一致条件を含むルールについて、次のセキュリティ ポリシーごとの割り当てが使用されます。
| リソース | 割り当て | 説明 |
|---|---|---|
| グローバル エッジ セキュリティ ポリシーごとの、高度な一致条件を含むルール | 割り当て | この割り当て上限は、特定のグローバル エッジ セキュリティ ポリシーにある高度な一致条件を含むルールの最大数を定義します。 割り当て名: 利用可能な指標:
|
| グローバル バックエンド セキュリティ ポリシーごとの、高度な一致条件を含むルール | 割り当て | この割り当て上限は、特定のグローバル バックエンド セキュリティ ポリシーにある高度な一致条件を含むルールの最大数を定義します。 割り当て名: 利用可能な指標:
|
グローバル セキュリティ ポリシー内のルールに対してカウントされる割り当ての概要
次の表に、グローバル セキュリティ ポリシー内の基本ルールと高度な一致条件を含むルールに対してカウントされる割り当てを示します。
| ルール | 使用量がカウントされる割り当て |
|---|---|
| グローバル エッジ セキュリティ ポリシー内の基本ルール |
|
| グローバル バックエンド セキュリティ ポリシー内の基本ルール |
|
| グローバル エッジ セキュリティ ポリシー内の高度な一致条件を含むルール |
|
| グローバル バックエンド セキュリティ ポリシー内の高度な一致条件を含むルール |
|
リージョン バックエンド セキュリティ ポリシー
Cloud Armor では、リージョン バックエンド セキュリティ ポリシーとそこに含まれるルールについて、次のリージョンごと、プロジェクトごとの割り当てが使用されます。
| リソース | 割り当て | 説明 |
|---|---|---|
| リージョンごと、プロジェクトごとのリージョン バックエンド セキュリティ ポリシー | 割り当て | この割り当て上限は、プロジェクトのリージョンにおけるリージョン バックエンド セキュリティ ポリシーの最大数を定義します。 割り当て名: 利用可能な指標:
|
| リージョンごと、プロジェクトごとのリージョン バックエンド セキュリティ ポリシー ルール | 割り当て | この割り当て上限は、プロジェクトのリージョンにおけるリージョン バックエンド セキュリティ ポリシー ルールの合計最大数を定義します。この割り当ての使用量には、基本ルールと高度な一致条件を含むルールの両方がカウントされます。 割り当て名: 利用可能な指標:
|
| リージョンごと、プロジェクトごとの、高度な一致条件を含むリージョン バックエンド セキュリティ ポリシー ルール | 割り当て | この割り当て上限は、プロジェクトのリージョンにおけるリージョン バックエンド セキュリティ ポリシー内の高度な一致条件を含むルールの合計最大数を定義します。この割り当ての使用量には、高度な一致条件を含むルールのみがカウントされます。 割り当て名: 利用可能な指標:
|
リージョン バックエンド セキュリティ ポリシーごとの、高度な一致条件を含むルールの割り当て
Cloud Armor では、リージョン バックエンド セキュリティ ポリシー内の高度な一致条件を含むルールについて、次のセキュリティ ポリシーごとの割り当てが使用されます。
| リソース | 割り当て | 説明 |
|---|---|---|
| リージョン バックエンド セキュリティ ポリシーごとの、高度な一致条件を含むルール | 割り当て | この割り当て上限は、特定のリージョン バックエンド セキュリティ ポリシー内の高度な一致条件を含むルールの最大数を定義します。 割り当て名: 利用可能な指標:
|
リージョン バックエンド セキュリティ ポリシー内のルールに対してカウントされる割り当ての概要
次の表に、リージョン バックエンド セキュリティ ポリシー内の基本ルールと高度な一致条件を含むルールに対してカウントされる割り当てを示します。
| ルール | 使用量がカウントされる割り当て |
|---|---|
| リージョン バックエンド セキュリティ ポリシー内の基本ルール |
|
| リージョン バックエンド セキュリティ ポリシー内の高度な一致条件を含むルール |
|
リージョン ネットワーク エッジ セキュリティ ポリシー
Cloud Armor では、リージョン ネットワーク エッジ セキュリティ ポリシーとそこに含まれるルールについて、次のリージョンごと、プロジェクトごとの割り当てが使用されます。
| リソース | 割り当て | 説明 |
|---|---|---|
| リージョンごと、プロジェクトごとのリージョン ネットワーク エッジ セキュリティ ポリシー | 割り当て | この割り当て上限は、プロジェクトの各リージョンにおけるリージョン ネットワーク エッジ セキュリティ ポリシーの最大数を定義します。 割り当て名: 利用可能な指標:
|
| リージョンごと、プロジェクトごとのリージョン ネットワーク エッジ セキュリティ ポリシー ルール | 割り当て | この割り当て上限は、プロジェクトの各リージョンにおけるリージョン ネットワーク エッジ セキュリティ ポリシー ルールの合計最大数を定義します。 割り当て名: 利用可能な指標:
|
| リージョンごと、プロジェクトごとのリージョン ネットワーク エッジ セキュリティ ポリシー ルールの一致値 | 割り当て | この割り当て上限は、プロジェクトの各リージョンにおけるリージョン ネットワーク エッジ セキュリティ ポリシーのルール内の属性の合計最大数を定義します。この割り当ての使用量は、プロジェクトのリージョンにおけるすべてのネットワーク エッジ セキュリティ ポリシーのすべてのルールの 割り当て名: 利用可能な指標:
|
アドレス グループ
Cloud Armor のアドレス グループでは次の割り当てが使用されます。
| リソース | 割り当て | 説明 |
|---|---|---|
| 組織ごとのプロジェクト スコープのアドレス グループの IP アドレス範囲の累積容量 | 割り当て | この割り当て上限は、組織内のすべてのプロジェクト スコープのアドレス グループで使用される合計最大容量を定義します。 この割り当ての使用量は たとえば、割り当て上限が 50,000 の場合、次のように
割り当て名: |
| プロジェクトごとのプロジェクト スコープのアドレス グループの IP アドレス範囲の累積容量 | 割り当て | この割り当て上限は、プロジェクト内のすべてのプロジェクト スコープのアドレス グループで使用される合計最大容量を定義します。 この割り当ての使用量は 割り当て名: |
| 組織ごとの組織スコープのアドレス グループの IP アドレス範囲の累積容量 | 割り当て | この割り当て上限は、組織内のすべての組織スコープのアドレス グループで使用される合計最大容量を定義します。 この割り当ての使用量は 割り当て名: |
Cloud Armor の割り当てに加えて、Cloud Armor を使用するプロダクトにも固有の割り当てがあります。例については、Cloud Load Balancing の割り当てと上限をご覧ください。
Google Cloud では、さまざまな理由から、リソースの使用量に関する割り当てが設定されています。たとえば、割り当てによって予期しない使用量の急増を防ぎ、 Google Cloud ユーザーのコミュニティを保護しています。また、無料トライアル用の割り当てにより、Google Cloud の無料トライアル用プロジェクトへの制限付きアクセスが提供されています。
割り当て量はすべてのプロジェクトで同じとは限りません。 Google Cloudの使用量の増加に伴って引き上げられることもあります。使用量の大幅な増加が見込まれる場合は、事前に Google Cloud コンソールの [割り当て] ページから割り当て量の調整をリクエストできます。
追加の割り当てをリクエストするには、serviceusage.quotas.update 権限が必要です。この権限は、事前定義ロールのオーナー、編集者、割り当て管理者にはデフォルトで含まれています。リクエストの完了に十分な時間があることを確認できるように、少なくとも 1 週間前に追加のリソースを計画してリクエストしてください。追加の割り当てをリクエストする方法については、追加の割り当てをリクエストするをご覧ください。
上限
Google Cloud Armor には以下の上限が設定されています。
| 項目 | 上限 |
|---|---|
| ルールごとの IP アドレスまたは IP アドレス範囲の数 | 10 |
| カスタム式を定義する 1 つのルールに含めることができるサブ式の数 | 5 |
| カスタム式内の各サブ式の文字数 | 1024 |
| カスタム式内の文字数 | 2048 |
Cloud Armor セキュリティ ポリシーを使用したすべてのバックエンドにわたるプロジェクトごとの 1 秒あたりのリクエスト数。 この上限は適用されません。Google は、すべてのセキュリティ ポリシーで処理できるトラフィック量をプロジェクトごとに制限する権限を有します。QPS の割り当てを増加するには、リクエストをアカウント チームに送信してください。 |
20,000 |
| 1 リージョン、1 プロジェクトあたりのネットワーク エッジ セキュリティ サービスの数 | 1 |
| ネットワーク エッジ セキュリティ ポリシーのルール数 | 100 |
| 組織あたりの階層型セキュリティ ポリシーの数 | 50 |
| 組織内のすべての階層型セキュリティ ポリシーのルール数 | 200 |
| 組織ごとのすべての階層型セキュリティ ポリシーの高度な一致条件を含むルールの数 | 20 |
アドレス グループ
Cloud Armor のアドレス グループには次の上限があります。これは、プロジェクト スコープのアドレス グループを使用するか、組織スコープのアドレス グループを使用するかに関係なく同じです。
| インターネット プロトコル バージョン | 1 つのアドレス グループの最大容量 | 1 つの API コマンド(add-items など)で変更できるアドレスの最大数 |
|---|---|---|
| IPv4 | 150,000 個の IPv4 IP アドレス範囲 |
50,000 個の IPv4 IP アドレス範囲 |
| IPv6 | 50,000 個の IPv6 IP アドレス範囲 |
20,000 個の IPv6 IP アドレス範囲 |
Manage quotas
Google Cloud Armor enforces quotas on resource usage for various reasons. For example, quotas protect the community of Google Cloud users by preventing unforeseen spikes in usage. Quotas also help users who are exploring Google Cloud with the free tier to stay within their trial.
All projects start with the same quotas, which you can change by requesting additional quota. Some quotas might increase automatically based on your use of a product.
Permissions
To view quotas or request quota increases, Identity and Access Management (IAM) principals need one of the following roles.
| Task | Required role |
|---|---|
| Check quotas for a project | One of the following:
|
| Modify quotas, request additional quota | One of the following:
|
Check your quota
Console
- In the Google Cloud console, go to the Quotas page.
- To search for the quota that you want to update, use the Filter table. If you don't know the name of the quota, use the links on this page instead.
gcloud
Using the Google Cloud CLI, run the following command to
check your quotas. Replace PROJECT_ID with your own project ID.
gcloud compute project-info describe --project PROJECT_IDTo check your used quota in a region, run the following command:
gcloud compute regions describe example-region
Errors when exceeding your quota
If you exceed a quota with a gcloud command,
gcloud outputs a quota exceeded error
message and returns with the exit code 1.
If you exceed a quota with an API request, Google Cloud returns the
following HTTP status code: 413 Request Entity Too Large.
Request additional quota
To adjust most quotas, use the Google Cloud console. For more information, see Request a quota adjustment.
Resource availability
Each quota represents a maximum number for a particular type of resource that you can create, if that resource is available. It's important to note that quotas don't guarantee resource availability. Even if you have available quota, you can't create a new resource if it is not available.
For example, you might have sufficient quota to create a new regional, external IP address in a given region. However, that is not possible if there are no available external IP addresses in that region. Zonal resource availability can also affect your ability to create a new resource.
Situations where resources are unavailable in an entire region are rare. However, resources within a zone can be depleted from time to time, typically without impact to the service level agreement (SLA) for the type of resource. For more information, review the relevant SLA for the resource.