這份文件列出 Cloud IDS 的配額和系統限制。
- 「配額」有預設值,但通常可以申請調整。
- 「系統限制」是固定值,無法變更。
Google Cloud 使用配額來確保公平性,並減少資源使用量和可用性出現劇烈波動的情況。配額會限制 Google Cloud 專案可使用的Google Cloud 資源數量,且適用多種資源類型,包括軟硬體和網路元件。舉例來說,配額可能會限制能向特定服務發出的 API 呼叫次數、專案可同時使用的負載平衡器數量,或是可建立的專案數量。配額機制可防止服務過載,保障Google Cloud 使用者社群的權益,同時也有助於您管理自己的 Google Cloud 資源。
Cloud Quotas 系統具備以下功能:
如果嘗試使用的資源量超過配額限制,系統通常會阻擋該資源的存取活動,您所執行的工作就會失敗。
配額的計算通常是以 Google Cloud 專案為基準。在某個專案中使用資源,不會影響另一個專案的可用配額。在同一個 Google Cloud 專案內,所有應用程式和 IP 位址會共用配額。
詳情請參閱「Cloud Quotas 總覽」。
Cloud DNS 資源也有「系統限制」,而且無法變更。
配額
如要變更配額,請參閱「申請更多配額」一節。
下表列出各專案中 Cloud DNS 資源的重要全域配額。如需其他配額資訊,請前往 Google Cloud 控制台的「Quotas」(配額) 頁面。
| 項目 | 說明 |
|---|---|
| 區域每分鐘讀取限制 | IAM 使用者在一分鐘內,最多能向 Cloud DNS API 發送要求的次數。這項配額僅適用於 API 呼叫,DNS 查詢處理則無配額限制。 |
| 每個代管區域的 DNSSEC 金鑰數量 | 每個代管區域的 DNSSEC 金鑰數量上限。 |
| 每項專案的代管區域數量 | 專案中的代管區域數量上限。 |
| 每個虛擬私有雲網路的代管區域數量 | 可連接虛擬私有雲網路的代管區域數量上限。 |
| 每項專案的政策資源數量 | 每項專案的 DNS 伺服器政策數量上限。 |
| 每項回應政策的網路數量 | 每項回應政策可設定的虛擬私有雲網路數量上限。 |
| 每項專案的網際網路健康狀態檢查轉送政策數量 | 每項專案可設定的網際網路健康狀態檢查 DNS 轉送政策數量上限。 |
| 每項轉送政策的項目數 | 每項轉送政策可設定的項目數量上限。 |
| 每個代管區域的 GKE 叢集數 | 單一私有區域可連接的 Google Kubernetes Engine (GKE) 叢集數量上限。 |
| 每項政策的 GKE 叢集數 | 每項政策可設定的 GKE 叢集數量上限。 |
| 每個 GKE 叢集的代管區域數量 | 單一 GKE 叢集可連接的代管區域數量上限。 |
| 每次變更新增的資源記錄數 | 每次執行 ChangesCreateRequest,最多可新增多少個 ResourceRecordSets。 |
| 每次變更刪除的資源記錄數 | 每次執行 ChangesCreateRequest,最多可刪除多少個 ResourceRecordSets。 |
| 每個代管區域的資源記錄集數 | 專案中各區域的 ResourceRecordSets 數量上限。 |
| 每個資源記錄集的資源記錄數 | 每個 ResourceRecordSet 的 ResourceRecords 數量上限。每個委派項目 (NS 類型的資源記錄集) 最多可列出八個名稱伺服器。 |
| 每項專案的回應政策數 | 每項專案可設定的回應政策數量上限。 |
| 單一區域每分鐘回應政策規則寫入數量上限 | 各區域每分鐘可寫入的回應政策規則數量上限。 |
| 每次批次操作的回應政策規則數量 | 每分鐘每批次可執行的回應政策管理動作數量上限。 |
| 每項政策的回應政策規則數量 | 每項政策可建立的回應政策規則數量上限。 |
| 每項轉送政策的目標名稱伺服器數量 | 每項轉送政策可設定的目標名稱伺服器數量上限。 |
| 每個代管區域的目標名稱伺服器數量 | 每個代管轉送區域可設定的目標名稱伺服器數量上限。 |
| 每次變更的資源記錄集資料總大小 (位元組) | 單一 ChangesCreateRequest 中所有 rrdata 的總大小上限,以位元組為單位。 |
| 每個代管區域的虛擬私有雲網路數量 | 單一私用區域可連接的虛擬私有雲網路數量上限。 |
| 每項政策的虛擬私有雲網路數量 | 每項 Cloud DNS 伺服器政策可套用的虛擬私有雲網路數量上限。 |
| 單一區域每分鐘的寫入次數上限 | 各區域每分鐘可執行的 DNS 寫入次數上限。任何建立、修改或刪除 DNS 記錄的寫入作業,都會計入配額用量。 |
上限
「上限」與「配額」不同。您可以申請提高配額,但除非另有註明,否則「上限」通常無法提高。
API 使用量
每日 API 要求數 (查詢數) 是以專案為單位計算。所有 API 要求都會計入此上限,包括透過 Google Cloud CLI 或 Google Cloud 控制台提出的要求。
資源限制
| 項目 | 限制 |
|---|---|
| 如要申請更新這些限制,請洽詢 Cloud Customer Care 團隊。 | |
| 每個網路的對接區域數量 | 1,000 |
| 每個委派項目的名稱伺服器數 | 8 |
| 每次變更新增的項目數 | 1,000 |
| 刪除/每一變更 | 1,000 |
| 每次變更的資源記錄資料大小 | 100,000 位元組 |
| 標籤組合數 | 1,000 |
| 每項回應政策的規則數量 | 10,000 |
| 每項轉送政策的項目數量 | 100 |
| 與單一虛擬私有雲網路繫結的代管區域數量 | 10,000 |
| DNS 回應封包大小上限 (UDP) | 1,440 位元組 |
| DNS 回應封包大小上限 (TCP) | 65,533 位元組 |
| 這些上限無法提高。 | |
| 每個虛擬私有雲網路在單一區域的查詢速率上限 | 在單一 Google Cloud 區域 (例如 us-central1-a),每 10 秒 100,000 次查詢 |
| 每個虛擬私有雲網路的回應政策數量 | 1 |
| 每個代管區域的標籤數 | 每個鍵或值最多可設定 64 個標籤,大小限制為 128 位元組 |
| 轉送區域中的轉送目標數 | 50 |
| 替代名稱伺服器中的轉送目標數 | 50 |
名稱伺服器限制
Cloud DNS 會將每個公開代管區域指派至五個名稱伺服器資料分割的其中一個。shard 取決於權威名稱伺服器名稱中「數字前面的字母」。舉例來說,ns-cloud-e1 至 ns-cloud-e4 都屬於「E」 shard。
當您在某個網域 (例如 domain.example.tld) 建立新的代管區域時,如果目標 shard 已存在下列任何項目,新區域將無法指派至該 shard:
- DNS 名稱相同的代管區域,例如
domain.example.tld - 該 DNS 名稱的子網域,例如
sub.domain.example.tld - 該 DNS 名稱的上層網域,例如
example.tld
基於上述限制,公開代管區域須遵守以下規範:
- 同一 DNS 名稱最多能建立五個區域。
- 每個上層網域最多能建立五層子網域。
這些限制適用於 Google Cloud中的所有專案和使用者。不過,未委派的子網域和託管於其他 DNS 服務的委派網域,皆不計入此限。如果 Cloud DNS 建立的區域會占用最後一個可用的名稱伺服器 shard,您必須使用 TXT 記錄驗證該區域網域的擁有權。
同一上層網域下的多個子網域 (例如 domain.example.tld 和 otherdomain.example.tld) 可以分配至同一個 shard,但 Cloud DNS 仍可能在考量限制後選擇其他可用 shard。如果您在每個 shard 都建立了這類子網域,就無法再建立上層網域 example.tld 的區域。
為避免上述限制造成影響,建議一律「先」建立上層網域的代管區域,再建立子網域的區域。
如果子網域已占滿所有 shard,導致上層網域無法建立代管區域,請按照以下步驟釋出 shard:
- 檢查每個子網域區域的名稱伺服器,確定其所屬 shard。
- 找出代管區域數量最少 (或重要性最低) 的 shard (暫稱「X」)。
- 將 shard X 中的區域匯出,並委派給其他 DNS 服務。
- 待原委派設定的「存留時間結束後」,刪除屬於 shard X 的子網域代管區域。
- 建立上層網域的代管區域;該區域將指派給 shard X。
- 如要為子網域復原遭到刪除的代管區域,「請先復原子網域,再復原子網域下的子網域」。這時代管區域就會位在新的資料分割,因此需要更新代管區域的委派設定。
查看限制
您可以執行下列指令,查詢專案的可用資源上限。以下範例列出了 my-project 專案中各種物件的額度上限。其中 totalRrdataSizePerChange 配額以位元組計算,代表每次變更中新增與刪除的資料總量。
gcloud dns project-info describe my-project
雖然這些算是限制,但在 Google Cloud 內部是當成「配額」追蹤,因此輸出結果會顯示為配額。
id: my-project,
kind: "dns#project",
number: "123456789012",
quota:
kind: dns#quota,
managedZones: 10000,
resourceRecordsPerRrset: 10000,
rrsetAdditionsPerChange: 3000,
rrsetDeletionsPerChange: 3000,
rrsetsPerManagedZone: 10000,
totalRrdataSizePerChange: 100000,
labelSets: 1000
您可以在 Google Cloud console「首頁」頂端,查看預設專案和其他專案的名稱。
Manage quotas
Cloud DNS enforces quotas on resource usage for various reasons. For example, quotas protect the community of Google Cloud users by preventing unforeseen spikes in usage. Quotas also help users who are exploring Google Cloud with the free tier to stay within their trial.
All projects start with the same quotas, which you can change by requesting additional quota. Some quotas might increase automatically based on your use of a product.
Permissions
To view quotas or request quota increases, Identity and Access Management (IAM) principals need one of the following roles.
| Task | Required role |
|---|---|
| Check quotas for a project | One of the following:
|
| Modify quotas, request additional quota | One of the following:
|
Check your quota
Console
- In the Google Cloud console, go to the Quotas page.
- To search for the quota that you want to update, use the Filter table. If you don't know the name of the quota, use the links on this page instead.
gcloud
Using the Google Cloud CLI, run the following command to check your quotas.
ReplacePROJECT_ID with your own project ID.
gcloud dns project-info describe PROJECT_ID
Errors when exceeding your quota
If you exceed a quota with a gcloud command,
gcloud outputs a quota exceeded error
message and returns with the exit code 1.
If you exceed a quota with an API request, Google Cloud returns the
following HTTP status code: 413 Request Entity Too Large.
Request additional quota
To adjust most quotas, use the Google Cloud console. For more information, see Request a quota adjustment.
Console
- In the Google Cloud console, go to the Quotas page.
- On the Quotas page, select the quotas that you want to change.
- At the top of the page, click Edit quotas.
- For Name, enter your name.
- Optional: For Phone, enter a valid phone number.
- Submit your request. Quota requests take 24 to 48 hours to process.
Resource availability
Each quota represents a maximum number for a particular type of resource that you can create, if that resource is available. It's important to note that quotas do not guarantee resource availability. Even if you have available quota, you can't create a new resource if it is not available.
For example, you might have sufficient quota to create a new regional, external IP address
in the us-central1 region. However, that is not possible if there are no
available external IP addresses in that region. Zonal resource
availability can also affect your ability to create a new resource.
Situations where resources are unavailable in an entire region are rare. However, resources within a zone can be depleted from time to time, typically without impact to the service level agreement (SLA) for the type of resource. For more information, review the relevant SLA for the resource.