מכסות ומגבלות

במאמר הזה מפורטות המכסות והמגבלות שחלות על VPC Service Controls. המכסות והמגבלות שמפורטות במאמר הזה עשויות להשתנות.

החישוב של ניצול המכסה מבוסס על סכום הניצול במצב אכיפה ובמצב הרצה יבשה. לדוגמה, אם גבולות גזרה לשירות מגן על חמישה משאבים במצב אכיפה ועל שבעה משאבים במצב פרימטר לבדיקות, המערכת תבדוק אם הסכום של שניהם, שהוא 12, חורג מהמכסה המתאימה. בנוסף, כל רשומה נספרת כרשומה אחת, גם אם היא מופיעה במקום אחר במדיניות. לדוגמה, אם פרויקט נכלל בגבולות גזרה רגילים אחד ובחמישה גבולות גזרה של גשר, כל ששת המקרים נספרים ולא מתבצע ביטול כפילויות.

עם זאת, המגבלות של גבולות הגזרה לשירות מחושבות ב-VPC Service Controls באופן שונה. מידע נוסף זמין בקטע מגבלות על גבולות גזרה לשירות במסמך הזה.

הצגת מכסות במסוף Google Cloud

  1. בתפריט הניווט של מסוף Google Cloud , לוחצים על Security (אבטחה) ואז על VPC Service Controls.

    מעבר אל VPC Service Controls

  2. אם מתבקשים, בוחרים את הארגון, התיקייה או הפרויקט.

  3. בדף VPC Service Controls, בוחרים את מדיניות הגישה שרוצים לראות את המכסות שלה.

  4. לוחצים על View Quota (הצגת המכסה).

    בדף Quota מוצגים מדדי השימוש במגבלות הבאות של מדיניות הגישה, שחלות באופן מצטבר על כל היקפי השירות במדיניות גישה נתונה:

    • גבולות גזרה לשירות
    • משאבים מוגנים
    • רמות גישה
    • סך המאפיינים של תעבורת נתונים נכנסת (ingress) ויוצאת (egress)

מגבלות של גבולות גזרה לשירות

המגבלה הבאה חלה על כל הגדרה של גבולות גזרה לשירות. כלומר, המכסה הזו חלה בנפרד על ההגדרות של הרצת הבדיקה ושל האכיפה של גבולות גזרה:

סוג הגבלה הערות
מאפיינים 6,000 מכסה זו חלה על המספר הכולל של מאפיינים שצוינו בכללי תעבורת נתונים נכנסת (ingress) ותעבורת נתונים יוצאת (egress). מגבלת המאפיינים כוללת את ההפניות לפרויקטים, לרשתות VPC, לרמות גישה, לסלקטורים של שיטות, לזהויות ולתפקידים בכללים האלה. ‫ מספר המאפיינים הכולל כולל גם שימוש בתווים כלליים לחיפוש, *, במאפיינים של השיטות, השירותים והפרויקטים.

שיקולים לגבי מגבלות המאפיינים

‫VPC Service Controls סופר כל ערך בשדות הכללים הבאים של תעבורת נתונים נכנסת ויוצאת כתכונה אחת:

חסימת כלל שדות
ingressFrom
  • sources
  • identities
ingressTo
  • resources
  • methodSelectors
  • roles
egressFrom
  • sources
  • identities
egressTo
  • resources
  • methodSelectors
  • externalResources
  • roles

מידע נוסף על השדות האלה מופיע במאמרים הפניה לכללי תעבורת נתונים נכנסת והפניה לכללי תעבורת נתונים יוצאת.

ב-VPC Service Controls, הכללים הבאים משמשים לבדיקה אם חלה חריגה ממגבלת המאפיינים של גבולות גזרה:

  • כל שדה בכלל כניסה ויציאה יכול להכיל כמה ערכים, וכל ערך נספר במסגרת המגבלה.

    לדוגמה, אם מציינים חשבון שירות וחשבון משתמש בשדה identities של בלוק כללים egressFrom, VPC Service Controls סופר שני מאפיינים לקראת המגבלה.

  • מערכת VPC Service Controls סופרת כל מופע של משאב בכללים בנפרד, גם אם אותו משאב מופיע בכמה כללים.

    לדוגמה, אם מציינים פרויקט, project-1, בשני כללי תעבורת נתונים נכנסת (ingress) או יוצאת (egress) שונים, rule-1 ו-rule-2, מערכת VPC Service Controls סופרת שני מאפיינים לקראת המגבלה.

  • לכל גבולות גזרה לשירות יכולות להיות הגדרות אכיפה והרצת בדיקה. מערכת VPC Service Controls מחילה את מגבלת המאפיינים בנפרד על כל הגדרה.

    לדוגמה, אם סך המאפיינים בהגדרות האכיפה והרצת בדיקה של גבולות גזרה הוא 3,500 ו-3,000 מאפיינים בהתאמה, מערכת VPC Service Controls תראה שגבולות הגזרה עדיין נמצאים במסגרת מכסה המאפיינים.

מגבלות של מדיניות גישה

ההגבלות הבאות של מדיניות הגישה מצטברות בכל אזורי השירות במדיניות גישה נתונה:

סוג הגבלה הערות
גבולות גזרה לשירות 10,000 גבולות גזרה מגושרים לשירות נספרים במגבלה הזו.
משאבים מוגנים 40,000 פרויקטים שמוזכרים רק במדיניות של תעבורת נתונים נכנסת ותעבורת נתונים יוצאת לא נכללים במכסה הזו. כדי למנוע מצב שבו בקשות לשינוי מדיניות יפסיקו לפעול בגלל חוסר זמן, צריך להוסיף משאבים מוגנים למדיניות רק בקבוצות של 10,000 משאבים או פחות. מומלץ להמתין 30 שניות לפני שמבצעים את השינוי הבא במדיניות.
קבוצות זהויות 1,000 המגבלה הזו חלה על מספר קבוצות הזהויות שהוגדרו בכללים לתעבורת נתונים נכנסת (ingress) ויוצאת (egress).
רשתות VPC 500 המגבלה הזו חלה על מספר רשתות ה-VPC שאליהן מתייחסים במצב אכיפה, במצב הרצה יבשה ובכללי תעבורת נתונים נכנסת (ingress).
האורך הכולל של כל שמות הכללים 240,000 האורך הכולל של כל הכותרות של כללי הכניסה והיציאה לא יכול לחרוג מהמגבלה הזו. גם תווים של רווחים בשמות הכללים נספרים במגבלה הזו. עם זאת, כל כלל שלא ציינתם לו שם לא נכלל במגבלה הזו.

המגבלות הבאות של מדיניות הגישה חלות באופן מצטבר על כל רמות הגישה במדיניות גישה נתונה:

סוג הגבלה הערות
רשתות VPC 500 המגבלה הזו חלה על מספר רשתות ה-VPC שמופיעות בהפניות ברמות הגישה.

מגבלות על הארגון

המגבלות הבאות חלות על כל מדיניות הגישה בארגון נתון:

סוג הגבלה
מדיניות גישה ברמת הארגון 1
מדיניות גישה בהיקף תיקייה ופרויקט 50

מכסות והגבלות ב-Access Context Manager

אתם גם כפופים למכסות ולהגבלות של Access Context Manager, כי VPC Service Controls משתמש בממשקי API של Access Context Manager.