Questo documento descrive le quote e i limiti che si applicano ai Controlli di servizio VPC. Le quote e i limiti specificati in questo documento sono soggetti a modifiche.
Il calcolo dell'utilizzo della quota si basa sulla somma dell'utilizzo nelle modalità di applicazione forzata e dry run. Ad esempio, se un perimetro di servizio protegge cinque risorse in modalità di applicazione forzata e sette risorse in modalità dry run, viene testata la somma di entrambe, ovvero 12, rispetto al limite corrispondente. Inoltre, ogni singola voce viene conteggiata come una sola anche se presente in altre parti della policy. Ad esempio, se un progetto è incluso in un perimetro regolare e in cinque perimetri bridge, vengono conteggiate tutte e sei le istanze senza alcuna deduplicazione.
Tuttavia, i Controlli di servizio VPC calcolano i limiti del perimetro di servizio in modo diverso. Per saperne di più, consulta la sezione Limiti del perimetro di servizio di questo documento.
Visualizza le quote nella console Google Cloud
Nel menu di navigazione della console Google Cloud , fai clic su Sicurezza, quindi su Controlli di servizio VPC.
Se ti viene chiesto, seleziona l'organizzazione, la cartella o il progetto.
Nella pagina Controlli di servizio VPC, seleziona la policy di accesso di cui vuoi visualizzare le quote.
Fai clic su Visualizza quota.
La pagina Quota mostra le metriche di utilizzo per i seguenti limiti delle policy di accesso che si applicano in modo cumulativo a tutti i perimetri di servizio in una determinata policy di accesso:
- Perimetri di servizio
- Risorse protette
- Livelli di accesso
- Attributi totali in entrata e in uscita
Limiti del perimetro di servizio
Il seguente limite si applica a ogni configurazione del perimetro di servizio. In altre parole, si applica separatamente alle configurazioni dry run e forzata di un perimetro:
| Tipo | Limite | Note |
|---|---|---|
| Attributi | 6000 | Questo limite si applica al numero totale di attributi specificati nelle regole in entrata e in uscita. Il limite degli attributi include i riferimenti a progetti, reti VPC, livelli di accesso, selettori di metodi, identità e ruoli in queste regole. Il numero totale degli attributi include anche l'utilizzo di caratteri jolly, *, negli attributi di metodi, servizi e progetti.
|
Considerazioni sui limiti degli attributi
I Controlli di servizio VPC conteggiano ogni voce come un unico attributo nei seguenti campi delle regole di traffico in entrata e in uscita:
| Blocco di regole | Campi |
|---|---|
ingressFrom |
|
ingressTo |
|
egressFrom |
|
egressTo |
|
Per saperne di più su questi campi, consulta Riferimento per le regole in entrata e Riferimento per le regole in uscita.
I Controlli di servizio VPC considerano le seguenti regole per verificare se un perimetro supera il limite degli attributi:
Ogni campo di una regola in entrata e in uscita può avere più voci e ogni voce viene conteggiata ai fini del limite.
Ad esempio, se menzioni un service account e un account utente nel campo
identitiesdi un blocco di regoleegressFrom, i Controlli di servizio VPC conteggiano due attributi ai fini del limite.I Controlli di servizio VPC conteggiano separatamente ogni occorrenza di una risorsa nelle regole, anche se ripeti la stessa risorsa in più regole.
Ad esempio, se menzioni un progetto,
project-1, in due diverse regole in entrata o in uscita,rule-1erule-2, i Controlli di servizio VPC conteggiano due attributi ai fini del limite.Ogni perimetro di servizio può avere una configurazione applicata in modo forzato e una configurazione dry run. I Controlli di servizio VPC applicano il limite degli attributi separatamente per ogni configurazione.
Ad esempio, se i conteggi totali degli attributi per la configurazione applicata in modo forzato e la configurazione dry run di un perimetro sono rispettivamente 3500 e 3000 attributi, i Controlli di servizio VPC considerano che il perimetro rientra ancora nel limite degli attributi.
Limiti delle policy di accesso
I seguenti limiti delle policy di accesso si applicano in modo cumulativo a tutti i perimetri di servizio in una determinata policy di accesso:
| Tipo | Limite | Note |
|---|---|---|
| Perimetri di servizio | 10.000 | I bridge del perimetro di servizio vengono conteggiati ai fini del limite. |
| Risorse protette | 40.000 | I progetti a cui viene solo fatto riferimento nelle policy in entrata e in uscita non vengono conteggiati ai fini del limite. Aggiungi risorse protette a una policy solo in batch di non più di 10.000 risorse per evitare il timeout delle richieste di modifica della policy. Ti consigliamo di attendere 30 secondi prima di apportare la modifica successiva alla policy. |
| Gruppi di identità | 1000 | Questo limite riguarda il numero dei gruppi di identità configurati nelle regole in entrata e in uscita. |
| Reti VPC | 500 | Questo limite riguarda il numero delle reti VPC a cui viene fatto riferimento nelle regole in modalità di applicazione forzata, modalità dry run e in entrata. |
| Lunghezza totale dei caratteri di tutti i titoli di regole | 240.000 | La lunghezza combinata di tutti i titoli delle regole in entrata e in uscita non deve superare questo limite. Anche gli spazi vuoti nei titoli delle regole vengono conteggiati ai fini del limite. Tuttavia, le regole per le quali non hai fornito un titolo non vengono conteggiate ai fini del limite. |
I seguenti limiti delle policy di accesso si applicano in modo cumulativo a tutti i livelli di accesso in una determinata policy di accesso:
| Tipo | Limite | Note |
|---|---|---|
| Reti VPC | 500 | Questo limite riguarda il numero delle reti VPC a cui viene fatto riferimento nei livelli di accesso. |
Limiti dell'organizzazione
I seguenti limiti si applicano a tutte le policy di accesso di una determinata organizzazione:
| Tipo | Limite |
|---|---|
| Policy di accesso a livello di organizzazione | 1 |
| Policy di accesso con ambito a livello di cartella e di progetto | 50 |
Quote e limiti di Gestore contesto accesso
Devi inoltre rispettare le quote e i limiti di Gestore contesto accesso in quanto i Controlli di servizio VPC utilizzano le relative API.