このドキュメントでは、Google Cloud Armor に適用される割り当てとシステム上限について説明します。
- 割り当てにより、使用できるカウント可能な共有リソースの量が指定されます。割り当ては、Google Cloud Armor などの Trusted Cloud by S3NS サービスによって定義されます。
- システム上限は固定値で、変更できません。
Trusted Cloud by S3NS では、割り当てを使用して公平性を確保し、リソースの使用量と可用性の急増を抑えます。割り当ては、 Trusted Cloud プロジェクトで使用できるTrusted Cloud リソースの量を制限します。割り当ては、ハードウェア、ソフトウェア、ネットワーク コンポーネントなど、さまざまなリソースタイプに適用されます。たとえば、割り当てによって、サービスへの API 呼び出しの数、プロジェクトで同時に使用されるロードバランサの数、作成可能なプロジェクトの数を制限できます。割り当てを適用することで、サービスの過負荷を防ぎ、Trusted Cloud ユーザーのコミュニティを保護します。割り当ては、自組織で使用している Trusted Cloud リソースの管理にも役立ちます。
Cloud Quotas システムは次のことを行います。
- Trusted Cloud のプロダクトとサービスの消費量をモニタリングする
- これらのリソースの消費量を制限する
- 割り当て値の変更をリクエストし、割り当ての調整を自動化する手段を提供する
ほとんどの場合、割り当ての許容量を超えるリソースを消費しようとすると、システムによってリソースへのアクセスがブロックされ、実行しようとしているタスクは失敗します。
割り当ては通常、 Trusted Cloud プロジェクト レベルで適用されます。あるプロジェクトでリソースを使用しても、別のプロジェクトで使用可能な割り当てに影響することはありません。 Trusted Cloud プロジェクト内では、すべてのアプリケーションと IP アドレスで割り当てが共有されます。
Cloud Armor リソースにはシステムの上限もあります。システムの上限は変更できません。
割り当て
Google Cloud Armor のリソースの割り当ては、次の 2 つの基準に従って分類されます。
- 割り当てのスコープ:
- グローバル
- リージョン
- Cloud Armor セキュリティ ポリシーのタイプ:
- バックエンド セキュリティ ポリシー
- エッジ セキュリティ ポリシー
- ネットワーク エッジ セキュリティ ポリシー
グローバル バックエンド セキュリティ ポリシーとグローバル エッジ セキュリティ ポリシー
Cloud Armor では、グローバル エッジ セキュリティ ポリシー、グローバル バックエンド セキュリティ ポリシー、およびそれらに含まれるルールについて、次のプロジェクトごとの割り当てが使用されます。
| リソース | 割り当て | 説明 |
|---|---|---|
| プロジェクトごとのグローバル セキュリティ ポリシー | 割り当て | この割り当て上限は、プロジェクト内のグローバル エッジ セキュリティ ポリシーとグローバル バックエンド セキュリティ ポリシーの合計最大数を定義します。 割り当て名: 利用可能な指標:
|
| プロジェクトごとのグローバル セキュリティ ポリシーのルール | 割り当て | この割り当て上限は、プロジェクト内のグローバル エッジ セキュリティ ポリシーとグローバル バックエンド セキュリティ ポリシーの合計最大数を定義します。この割り当ての使用量には、次の対象がカウントされます。
割り当て名: 利用可能な指標:
|
| プロジェクトごとの、高度な一致条件を含むグローバル セキュリティ ポリシー ルール | 割り当て | この割り当て上限は、プロジェクト内のグローバル エッジ セキュリティ ポリシーとグローバル バックエンド セキュリティ ポリシーにある、高度な一致条件を含むルールの合計最大数を定義します。この割り当ての使用量には、次の対象がカウントされます。
割り当て名: 利用可能な指標:
|
グローバル セキュリティ ポリシーごとの、高度な一致条件を含むルールの割り当て
Cloud Armor では、グローバル エッジ セキュリティ ポリシーとグローバル バックエンド セキュリティ ポリシーにある高度な一致条件を含むルールについて、次のセキュリティ ポリシーごとの割り当てが使用されます。
| リソース | 割り当て | 説明 |
|---|---|---|
| グローバル エッジ セキュリティ ポリシーごとの、高度な一致条件を含むルール | 割り当て | この割り当て上限は、特定のグローバル エッジ セキュリティ ポリシーにある高度な一致条件を含むルールの最大数を定義します。 割り当て名: 利用可能な指標:
|
| グローバル バックエンド セキュリティ ポリシーごとの、高度な一致条件を含むルール | 割り当て | この割り当て上限は、特定のグローバル バックエンド セキュリティ ポリシーにある高度な一致条件を含むルールの最大数を定義します。 割り当て名: 利用可能な指標:
|
グローバル セキュリティ ポリシー内のルールに対してカウントされる割り当ての概要
次の表に、グローバル セキュリティ ポリシー内の基本ルールと高度な一致条件を含むルールに対してカウントされる割り当てを示します。
| ルール | 使用量がカウントされる割り当て |
|---|---|
| グローバル エッジ セキュリティ ポリシー内の基本ルール |
|
| グローバル バックエンド セキュリティ ポリシー内の基本ルール |
|
| グローバル エッジ セキュリティ ポリシー内の高度な一致条件を含むルール |
|
| グローバル バックエンド セキュリティ ポリシー内の高度な一致条件を含むルール |
|
リージョン バックエンド セキュリティ ポリシー
Cloud Armor では、リージョン バックエンド セキュリティ ポリシーとそこに含まれるルールについて、次のリージョンごと、プロジェクトごとの割り当てが使用されます。
| リソース | 割り当て | 説明 |
|---|---|---|
| リージョンごと、プロジェクトごとのリージョン バックエンド セキュリティ ポリシー | 割り当て | この割り当て上限は、プロジェクトのリージョンにおけるリージョン バックエンド セキュリティ ポリシーの最大数を定義します。 割り当て名: 利用可能な指標:
|
| リージョンごと、プロジェクトごとのリージョン バックエンド セキュリティ ポリシー ルール | 割り当て | この割り当て上限は、プロジェクトのリージョンにおけるリージョン バックエンド セキュリティ ポリシー ルールの合計最大数を定義します。この割り当ての使用量には、基本ルールと高度な一致条件を含むルールの両方がカウントされます。 割り当て名: 利用可能な指標:
|
| リージョンごと、プロジェクトごとの、高度な一致条件を含むリージョン バックエンド セキュリティ ポリシー ルール | 割り当て | この割り当て上限は、プロジェクトのリージョンにおけるリージョン バックエンド セキュリティ ポリシー内の高度な一致条件を含むルールの合計最大数を定義します。この割り当ての使用量には、高度な一致条件を含むルールのみがカウントされます。 割り当て名: 利用可能な指標:
|
リージョン バックエンド セキュリティ ポリシーごとの、高度な一致条件を含むルールの割り当て
Cloud Armor では、リージョン バックエンド セキュリティ ポリシー内の高度な一致条件を含むルールについて、次のセキュリティ ポリシーごとの割り当てが使用されます。
| リソース | 割り当て | 説明 |
|---|---|---|
| リージョン バックエンド セキュリティ ポリシーごとの、高度な一致条件を含むルール | 割り当て | この割り当て上限は、特定のリージョン バックエンド セキュリティ ポリシー内の高度な一致条件を含むルールの最大数を定義します。 割り当て名: 利用可能な指標:
|
リージョン バックエンド セキュリティ ポリシー内のルールに対してカウントされる割り当ての概要
次の表に、リージョン バックエンド セキュリティ ポリシー内の基本ルールと高度な一致条件を含むルールに対してカウントされる割り当てを示します。
| ルール | 使用量がカウントされる割り当て |
|---|---|
| リージョン バックエンド セキュリティ ポリシー内の基本ルール |
|
| リージョン バックエンド セキュリティ ポリシー内の高度な一致条件を含むルール |
|
リージョン ネットワーク エッジ セキュリティ ポリシー
Cloud Armor では、リージョン ネットワーク エッジ セキュリティ ポリシーとそこに含まれるルールについて、次のリージョンごと、プロジェクトごとの割り当てが使用されます。
| リソース | 割り当て | 説明 |
|---|---|---|
| リージョンごと、プロジェクトごとのリージョン ネットワーク エッジ セキュリティ ポリシー | 割り当て | この割り当て上限は、プロジェクトの各リージョンにおけるリージョン ネットワーク エッジ セキュリティ ポリシーの最大数を定義します。 割り当て名: 利用可能な指標:
|
| リージョンごと、プロジェクトごとのリージョン ネットワーク エッジ セキュリティ ポリシー ルール | 割り当て | この割り当て上限は、プロジェクトの各リージョンにおけるリージョン ネットワーク エッジ セキュリティ ポリシー ルールの合計最大数を定義します。 割り当て名: 利用可能な指標:
|
| リージョンごと、プロジェクトごとのリージョン ネットワーク エッジ セキュリティ ポリシー ルールの一致値 | 割り当て | この割り当て上限は、プロジェクトの各リージョンにおけるリージョン ネットワーク エッジ セキュリティ ポリシーのルール内の属性の合計最大数を定義します。この割り当ての使用量は、プロジェクトのリージョンにおけるすべてのネットワーク エッジ セキュリティ ポリシーのすべてのルールの 割り当て名: 利用可能な指標:
|
アドレス グループ
Cloud Armor のアドレス グループでは次の割り当てが使用されます。
| リソース | 割り当て | 説明 |
|---|---|---|
| 組織ごとのプロジェクト スコープのアドレス グループの IP アドレス範囲の累積容量 | 割り当て | この割り当て上限は、組織内のすべてのプロジェクト スコープのアドレス グループで使用される合計最大容量を定義します。 この割り当ての使用量は たとえば、割り当て上限が 50,000 の場合、次のように
割り当て名: |
| プロジェクトごとのプロジェクト スコープのアドレス グループの IP アドレス範囲の累積容量 | 割り当て | この割り当て上限は、プロジェクト内のすべてのプロジェクト スコープのアドレス グループで使用される合計最大容量を定義します。 この割り当ての使用量は 割り当て名: |
| 組織ごとの組織スコープのアドレス グループの IP アドレス範囲の累積容量 | 割り当て | この割り当て上限は、組織内のすべての組織スコープのアドレス グループで使用される合計最大容量を定義します。 この割り当ての使用量は 割り当て名: |
Cloud Armor の割り当てに加えて、Cloud Armor を使用するプロダクトにも固有の割り当てがあります。例については、Cloud Load Balancing の割り当てと上限をご覧ください。
Trusted Cloud by S3NS では、さまざまな理由から、リソースの使用量に関する割り当てが設定されています。たとえば、割り当てによって予期しない使用量の急増を防ぎ、 Trusted Cloud ユーザーのコミュニティを保護しています。また、無料トライアル用の割り当てにより、Trusted Cloud の無料トライアル用プロジェクトへの制限付きアクセスが提供されています。
割り当て量はすべてのプロジェクトで同じとは限りません。 Trusted Cloudの使用量の増加に伴って引き上げられることもあります。使用量の大幅な増加が見込まれる場合は、事前に Trusted Cloud コンソールの [割り当て] ページから割り当て量の調整をリクエストできます。
追加の割り当てをリクエストするには、serviceusage.quotas.update 権限が必要です。この権限は、事前定義ロールのオーナー、編集者、割り当て管理者にはデフォルトで含まれています。リクエストの完了に十分な時間があることを確認できるように、少なくとも 1 週間前に追加のリソースを計画してリクエストしてください。追加の割り当てをリクエストする方法については、追加の割り当てをリクエストするをご覧ください。
上限
Google Cloud Armor には以下の上限が設定されています。
| 項目 | 上限 |
|---|---|
| ルールごとの IP アドレスまたは IP アドレス範囲の数 | 10 |
| カスタム式を定義する 1 つのルールに含めることができるサブ式の数 | 5 |
| カスタム式内の各サブ式の文字数 | 1024 |
| カスタム式内の文字数 | 2048 |
Cloud Armor セキュリティ ポリシーを使用したすべてのバックエンドにわたるプロジェクトごとの 1 秒あたりのリクエスト数。 この上限は適用されません。Google は、すべてのセキュリティ ポリシーで処理できるトラフィック量をプロジェクトごとに制限する権限を有します。QPS の割り当てを増加するには、リクエストをアカウント チームに送信してください。 |
20,000 |
| 1 リージョン、1 プロジェクトあたりのネットワーク エッジ セキュリティ サービスの数 | 1 |
| ネットワーク エッジ セキュリティ ポリシーのルール数 | 100 |
| 組織あたりの階層型セキュリティ ポリシーの数 | 50 |
| 組織内のすべての階層型セキュリティ ポリシーのルール数 | 200 |
| 組織ごとのすべての階層型セキュリティ ポリシーの高度な一致条件を含むルールの数 | 20 |
アドレス グループ
Cloud Armor のアドレス グループには次の上限があります。これは、プロジェクト スコープのアドレス グループを使用するか、組織スコープのアドレス グループを使用するかに関係なく同じです。
| インターネット プロトコル バージョン | 1 つのアドレス グループの最大容量 | 1 つの API コマンド(add-items など)で変更できるアドレスの最大数 |
|---|---|---|
| IPv4 | 150,000 個の IPv4 IP アドレス範囲 |
50,000 個の IPv4 IP アドレス範囲 |
| IPv6 | 50,000 個の IPv6 IP アドレス範囲 |
20,000 個の IPv6 IP アドレス範囲 |
割り当てを管理する
Google Cloud Armor では、さまざまな理由から、使用できるリソースの割り当て量に上限が設けられています。たとえば、割り当て量の上限を設定して予期しない使用量の急増を防ぐことで、 Trusted Cloud by S3NS ユーザーのコミュニティを保護しています。割り当て量は、無料枠で Trusted Cloud を試しているユーザーをトライアルのレベルに留めておくのにも役立ちます。
すべてのプロジェクトは同じ割り当て量で開始しますが、追加の割り当て量をリクエストすることで変更できます。割り当ては、プロダクトの使用状況に応じて自動的に増加される場合もあります。
権限
割り当ての表示や、割り当ての増加のリクエストをするには、Identity and Access Management(IAM)のプリンシパルに以下のいずれかのロールが必要です。
| タスク | 必要なロール |
|---|---|
| プロジェクトの割り当て量をチェックする | 次のいずれかが必要です。 |
| 割り当て量の変更、割り当て量の追加のリクエストを行う | 次のいずれかが必要です。 |
割り当て量を確認する
コンソール
- Trusted Cloud コンソールで、[割り当て] ページに移動します。
- 更新する割り当てを検索するには、[表をフィルタリング] を使用します。割り当ての名前がわからない場合は、このページにあるリンクを使用します。
gcloud
Google Cloud CLI で次のコマンドを実行して、割り当てを確認します。PROJECT_ID は、実際のプロジェクト ID に置き換えます。
gcloud compute project-info describe --project PROJECT_IDある特定のリージョンで使用済みの割り当て量を確認するには、次のコマンドを実行します。
gcloud compute regions describe example-region
割り当て量を超えたときのエラー
gcloud コマンドで割り当て量を超えた場合、gcloud は quota exceeded エラー メッセージを出力し、終了コード 1 を返します。
API リクエストで割り当て量を超えた場合、 Trusted Cloud は HTTP ステータス コード 413 Request Entity Too Large を返します。
追加の割り当てをリクエスト
通常、割り当てを調整するには Trusted Cloud コンソールを使用します。詳細については、割り当ての調整をリクエストするをご覧ください。
リソースの可用性
各割り当て量は、リソースが利用可能な場合に作成できる特定のリソースタイプの最大数を表します。割り当て量によってリソースの可用性が保証されるわけではありません。この点は注意が必要です。割り当て量が使用可能でも、新しいリソースを使用できなければ、そのリソースを作成することはできません。
たとえば、特定のリージョンで新しいリージョンの外部 IP アドレスを作成するための割り当て量が十分にあっても、そのリージョンに使用可能な外部 IP アドレスがない場合、外部 IP アドレスは作成できません。ゾーンリソースの可用性は、新しいリソースを作成できるかにも影響を及ぼす可能性があります。
リージョン全体でリソースを使用できない状況はまれです。ただし、ゾーン内のリソースが使い果たされることはあります。