配额和限制

本文档列出了适用于 Google Cloud Armor 的配额和系统限制。

  • 配额具有默认值,但您通常可以申请调整。
  • 系统限制是无法更改的固定值。

Google Cloud 使用配额来帮助确保公平性并减少资源使用和可用性的激增。配额用于限制您的 Google Cloud 项目可使用多少Google Cloud 资源。配额适用于一系列资源类型,包括硬件、软件和网络组件。例如,配额可以限制对某项服务的 API 调用次数、您的项目并发使用的负载均衡器数量或者您可以创建的项目数量。配额可以防止服务过载,从而保护Google Cloud 用户社区。配额还可以帮助您管理自己的 Google Cloud 资源。

Cloud 配额系统执行以下操作:

在大多数情况下,当您尝试消耗的资源超出其配额允许的范围时,系统会阻止对资源的访问,并且您尝试执行的任务会失败。

配额通常在 Google Cloud 项目级别应用。您在一个项目中使用资源不会影响您在另一个项目中的可用配额。在 Google Cloud 项目中,配额在所有应用和 IP 地址间共享。

如需了解详情,请参阅 Cloud 配额概览

Cloud Armor 资源也有系统限制。系统限制不能更改。

配额

Google Cloud Armor 资源配额根据以下两个条件进行组织:

  • 配额的范围:
    • 全局
    • 区域级
  • Cloud Armor 安全政策的类型:
    • 后端安全政策
    • 边缘安全政策
    • 网络边缘安全政策

全球后端安全政策和全球边缘安全政策

Cloud Armor 对全球边缘安全政策、全球后端安全政策以及其中的规则使用以下按项目计算的配额:

资源 Quota 说明
每个项目的全球安全政策 Quota

此配额的限制定义了项目中全球边缘安全政策和全球后端安全政策的总数上限。

配额名称:SECURITY_POLICIES

可用指标:

  • compute.googleapis.com/quota/security_policies/limit
  • compute.googleapis.com/quota/security_policies/usage
  • compute.googleapis.com/quota/security_policies/exceeded
每个项目的全球安全政策规则 Quota

此配额的限制定义了项目中全球边缘安全政策和全球后端安全政策的规则总数上限。此配额的用量会统计以下各项:

  • 全球边缘安全政策中的基本规则
  • 全球后端安全政策中的基本规则
  • 全球边缘安全政策中具有高级匹配条件的规则
  • 全球后端安全政策中具有高级匹配条件的规则

配额名称:SECURITY_POLICY_RULES

可用指标:

  • compute.googleapis.com/quota/security_policy_rules/limit
  • compute.googleapis.com/quota/security_policy_rules/usage
  • compute.googleapis.com/quota/security_policy_rules/exceeded
每个项目具有高级匹配条件的全球安全政策规则 Quota

此配额的限制定义了项目中全球边缘安全政策和全球后端安全政策的具有高级匹配条件的规则总数上限。此配额的用量会统计以下各项:

  • 全球边缘安全政策中具有高级匹配条件的规则
  • 全球后端安全政策中具有高级匹配条件的规则

配额名称:SECURITY_POLICY_CEVAL_RULES

可用指标:

  • compute.googleapis.com/quota/security_policy_ceval_rules/limit
  • compute.googleapis.com/quota/security_policy_ceval_rules/usage
  • compute.googleapis.com/quota/security_policy_ceval_rules/exceeded

具有高级匹配条件的规则的按全球安全政策配额

Cloud Armor 对全球边缘安全政策和全球后端安全政策中具有高级匹配条件的规则使用以下按安全政策计算的配额:

资源 Quota 说明
每个全球边缘安全政策具有高级匹配条件的规则 Quota

此配额的限制定义了特定全球边缘安全政策中具有高级匹配条件的规则数上限。

配额名称:SECURITY_POLICY_ADVANCED_RULES_PER_EDGE_SECURITY_POLICY

可用指标:

  • compute.googleapis.com/quota/advanced_rules_per_edge_security_policy/limit
  • compute.googleapis.com/quota/advanced_rules_per_edge_security_policy/usage
  • compute.googleapis.com/quota/advanced_rules_per_edge_security_policy/exceeded
每个全球后端安全政策具有高级匹配条件的规则 Quota

此配额的限制定义了特定全球后端安全政策中具有高级匹配条件的规则数上限。

配额名称:SECURITY_POLICY_ADVANCED_RULES_PER_SECURITY_POLICY

可用指标:

  • compute.googleapis.com/quota/advanced_rules_per_security_policy/limit
  • compute.googleapis.com/quota/advanced_rules_per_security_policy/usage
  • compute.googleapis.com/quota/advanced_rules_per_security_policy/exceeded

针对全球安全政策中的规则统计的配额摘要

下表展示了针对全球安全政策中的基本规则和具有高级匹配条件的规则统计哪些配额:

规则 这些配额中统计的用量
全球边缘安全政策中的基本规则
  • 每个项目的全球安全政策规则 (SECURITY_POLICY_RULES)
全球后端安全政策中的基本规则
  • 每个项目的全球安全政策规则 (SECURITY_POLICY_RULES)
全球边缘安全政策中具有高级匹配条件的规则
  • 每个项目的全球安全政策规则 (SECURITY_POLICY_RULES)
  • 每个项目具有高级匹配条件的全球安全政策规则 (SECURITY_POLICY_CEVAL_RULES)
  • 每个全球边缘安全政策具有高级匹配条件的规则 (SECURITY_POLICY_ADVANCED_RULES_PER_EDGE_SECURITY_POLICY)
全球后端安全政策中具有高级匹配条件的规则
  • 每个项目的全球安全政策规则 (SECURITY_POLICY_RULES)
  • 每个项目具有高级匹配条件的全球安全政策规则 (SECURITY_POLICY_CEVAL_RULES)
  • 每个全球后端安全政策具有高级匹配条件的规则 (SECURITY_POLICY_ADVANCED_RULES_PER_SECURITY_POLICY)

区域级后端安全政策

Cloud Armor 对区域级后端安全政策以及其中的规则使用以下按区域、按项目计算的配额:

资源 Quota 说明
每个区域、每个项目的区域级后端安全政策 Quota

此配额的限制定义了项目所在区域的区域级后端安全政策的数量上限。

配额名称:SECURITY_POLICIES_PER_REGION

可用指标:

  • compute.googleapis.com/quota/regional_security_policies/limit
  • compute.googleapis.com/quota/regional_security_policies/usage
  • compute.googleapis.com/quota/regional_security_policies/exceeded
每个区域、每个项目的区域级后端安全政策规则 Quota

此配额的限制定义了项目所在区域的区域级后端安全政策的规则总数上限。此配额的用量会同时统计基本规则和具有高级匹配条件的规则。

配额名称:SECURITY_POLICY_RULES_PER_REGION

可用指标:

  • compute.googleapis.com/quota/regional_security_policy_rules/limit
  • compute.googleapis.com/quota/regional_security_policy_rules/usage
  • compute.googleapis.com/quota/regional_security_policy_rules/exceeded
每个区域、每个项目具有高级匹配条件的区域级后端安全政策规则 Quota

此配额的限制定义了项目所在区域的区域级后端安全政策中具有高级匹配条件的规则总数上限。此配额的用量仅会统计具有高级匹配条件的规则。

配额名称:SECURITY_POLICY_ADVANCED_RULES_PER_REGION

可用指标:

  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/limit
  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/usage
  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/exceeded

具有高级匹配条件的规则的按区域级后端安全政策配额

Cloud Armor 对区域级后端安全政策中具有高级匹配条件的规则使用以下按安全政策计算的配额:

资源 Quota 说明
每个区域级后端安全政策具有高级匹配条件的规则 Quota

此配额的限制定义了特定区域级后端安全政策中的高级规则数量上限。

配额名称:SECURITY_POLICY_ADVANCED_RULES_PER_REGIONAL_SECURITY_POLICY

可用指标:

  • compute.googleapis.com/quota/advanced_rules_per_regional_security_policy/limit
  • compute.googleapis.com/quota/advanced_rules_per_regional_security_policy/usage
  • compute.googleapis.com/quota/advanced_rules_per_regional_security_policy/exceeded

针对区域级后端安全政策中的规则统计的配额摘要

下表展示了针对区域级后端安全政策中的基本规则和具有高级匹配条件的规则统计哪些配额:

规则 这些配额中统计的用量
区域级后端安全政策中的基本规则
  • 每个区域、每个项目的区域级后端安全政策规则 (SECURITY_POLICY_RULES_PER_REGION)
区域级后端安全政策中具有高级匹配条件的规则
  • 每个区域、每个项目的区域级后端安全政策规则 (SECURITY_POLICY_RULES_PER_REGION)
  • 每个区域、每个项目具有高级匹配条件的区域级后端安全政策规则 (SECURITY_POLICY_ADVANCED_RULES_PER_REGION)
  • 每个区域级后端安全政策具有高级匹配条件的规则 (SECURITY_POLICY_ADVANCED_RULES_PER_REGIONAL_SECURITY_POLICY)

区域级网络边缘安全政策

Cloud Armor 对区域级网络边缘安全政策以及其中的规则使用以下按区域、按项目计算的配额:

资源 Quota 说明
每个区域、每个项目的区域级网络边缘安全政策 Quota

此配额的限制定义了项目所在每个区域的区域级网络边缘安全政策的数量上限。

配额名称:NET_LB_SECURITY_POLICIES_PER_REGION

可用指标:

  • compute.googleapis.com/quota/regional_net_lb_security_policies/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policies/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policies/exceeded
每个区域、每个项目的区域级网络边缘安全政策规则 Quota

此配额的限制定义了项目所在每个区域的区域级网络边缘安全政策的规则总数上限。

配额名称:NET_LB_SECURITY_POLICY_RULES_PER_REGION

可用指标:

  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/exceeded
每个区域、每个项目的区域级网络边缘安全政策规则匹配值 Quota

此配额的限制定义了项目所在每个区域的区域级网络边缘安全政策规则的属性总数上限。此配额的用量是项目所在区域的每个网络边缘安全政策的每个规则中的 SecurityPolicy.NetworkMatch 属性总和。

配额名称:NET_LB_SECURITY_POLICY_RULE_ATTRIBUTES_PER_REGION

可用指标:

  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/exceeded

地址组

Cloud Armor 地址组使用以下配额:

资源 Quota 说明
每个组织的项目级地址组的累计 IP 地址范围容量 Quota

此配额的限制定义了组织中所有项目级地址组累计使用的容量上限。

每个 IPv4 地址范围都会使此配额的利用率增加 1。每个 IPv6 地址范围都会使此配额的利用率增加 3。

例如,配额限制为 50,000 时,支持多种 IPv4IPv6 范围组合,包括:

  • 50,000 个 IPv4 范围和零个 IPv6 范围
  • 0 个 IPv4 范围和 16,666 个 IPv6 范围
  • 40,000 个 IPv4 范围和 3,333 个 IPv6 范围

配额名称:CloudArmorAddressGroupsSizePerOrganization
每个项目的项目级地址组的累计 IP 地址范围容量 Quota

此配额的限制定义了项目中所有项目级地址组累计使用的容量上限。

每个 IPv4 地址范围都会使此配额的利用率增加 1。每个 IPv6 地址范围都会使此配额的利用率增加 3。如需查看利用率示例,请参阅上一行。

配额名称:CloudArmorAddressGroupsSizePerProject
每个组织的组织级地址组的累计 IP 地址范围容量 Quota

此配额的限制定义了组织中所有组织级地址组累计使用的容量上限。

每个 IPv4 地址范围都会使此配额的利用率增加 1。每个 IPv6 地址范围都会使此配额的利用率增加 3。如需查看利用率示例,请参阅上一行。

配额名称:CloudArmorOrgAddressGroupsSizePerOrganization

除了 Cloud Armor 配额之外,使用 Cloud Armor 的产品具有自己的配额。例如,请参阅 Cloud Load Balancing 配额和限制

出于多种原因,Google Cloud 会对资源用量实施配额限制。例如,配额可避免用量意外激增,从而为 Google Cloud 用户社区提供保护。 Google Cloud 还提供免费试用配额,为刚刚开始免费试用Google Cloud 的用户提供一定用量,让他们可以在项目中进行体验。

并非所有项目的配额都完全相同。随着 Google Cloud用量逐步增加,您的配额可能会相应地增加。如果您预计用量即将显著增加,可以在 Google Cloud 控制台的配额页面中主动申请调整配额。

如需申请额外的配额,您必须具有 serviceusage.quotas.update 权限。默认情况下,以下预定义角色包含此权限:Owner、Editor 和 Quota Administrator。请至少提前一周时间来规划并申请更多资源,以确认我们有足够的时间来处理您的申请。如需申请额外的配额,请参阅申请更多配额

限制

Google Cloud Armor 的限制如下:

设限项 限制
每条规则的 IP 地址或 IP 地址范围数量 10
具有自定义表达式的每条规则的子表达式数量 5
自定义表达式中每个子表达式的字符数 1024
自定义表达式中的字符数 2048

每个项目中具有 Cloud Armor 安全政策的所有后端的每秒请求数

此限制不会强制执行。Google 有权按项目限制所有安全政策可以处理的流量。如需申请增加 QPS,请将申请提交至您的客户支持团队。

 20,000
每个项目每个区域的网络边缘安全服务数量 1
网络边缘安全政策中的规则数量 100
每个组织的分层安全政策数量 50
每个组织的所有分层安全政策中的规则数量 200
每个组织的所有分层安全政策中具有高级匹配条件的规则数量 20

地址组

Cloud Armor 地址组具有以下限制,无论您使用的是项目级地址组还是组织级地址组,这些限制都相同:

互联网协议 (IP) 版本 单个地址组的容量上限 单个 API 命令(例如 add-items)更改的地址数量上限
IPv4 150,000 个 IPv4 IP 地址范围 50,000 个 IPv4 IP 地址范围
IPv6 50,000 个 IPv6 IP 地址范围 20,000 个 IPv6 IP 地址范围

Manage quotas

Google Cloud Armor enforces quotas on resource usage for various reasons. For example, quotas protect the community of Google Cloud users by preventing unforeseen spikes in usage. Quotas also help users who are exploring Google Cloud with the free tier to stay within their trial.

All projects start with the same quotas, which you can change by requesting additional quota. Some quotas might increase automatically based on your use of a product.

Permissions

To view quotas or request quota increases, Identity and Access Management (IAM) principals need one of the following roles.

Task Required role
Check quotas for a project One of the following:
Modify quotas, request additional quota One of the following:
  • Project Owner (roles/owner)
  • Project Editor (roles/editor)
  • Quota Administrator (roles/servicemanagement.quotaAdmin)
  • A custom role with the serviceusage.quotas.update permission

Check your quota

Console

  1. In the Google Cloud console, go to the Quotas page.

    Go to Quotas

  2. To search for the quota that you want to update, use the Filter table. If you don't know the name of the quota, use the links on this page instead.

gcloud

Using the Google Cloud CLI, run the following command to check your quotas. Replace PROJECT_ID with your own project ID.

    gcloud compute project-info describe --project PROJECT_ID

To check your used quota in a region, run the following command:

    gcloud compute regions describe example-region

Errors when exceeding your quota

If you exceed a quota with a gcloud command, gcloud outputs a quota exceeded error message and returns with the exit code 1.

If you exceed a quota with an API request, Google Cloud returns the following HTTP status code: 413 Request Entity Too Large.

Request additional quota

To adjust most quotas, use the Google Cloud console. For more information, see Request a quota adjustment.

Resource availability

Each quota represents a maximum number for a particular type of resource that you can create, if that resource is available. It's important to note that quotas don't guarantee resource availability. Even if you have available quota, you can't create a new resource if it is not available.

For example, you might have sufficient quota to create a new regional, external IP address in a given region. However, that is not possible if there are no available external IP addresses in that region. Zonal resource availability can also affect your ability to create a new resource.

Situations where resources are unavailable in an entire region are rare. However, resources within a zone can be depleted from time to time, typically without impact to the service level agreement (SLA) for the type of resource. For more information, review the relevant SLA for the resource.