Cotas e limites

Neste documento, são listadas as cotas e os limites de sistema válidos para o Google Cloud Armor.

  • As cotas têm valores definidos por padrão, porém geralmente é possível solicitar ajustes.
  • Os limites do sistema são valores fixos que não podem ser alterados.

OGoogle Cloud usa cotas para garantir a distribuição justa e reduzir sobrecargas no uso e na disponibilidade dos recursos. Uma cota restringe a alocação de um recurso doGoogle Cloud para uso do seu projeto do Google Cloud . As cotas se aplicam a vários tipos de recursos, incluindo hardware, software e componentes de rede. Por exemplo, elas podem restringir o número de chamadas de API para um serviço, o número de balanceadores de carga usados simultaneamente pelo projeto ou o número de projetos que podem ser criados. As cotas protegem a comunidade de usuários doGoogle Cloud , impedindo a sobrecarga de serviços. Elas também ajudam você a gerenciar seus próprios recursos do Google Cloud .

O sistema de cotas do Cloud faz o seguinte:

Na maioria dos casos, quando você tenta consumir mais de um recurso do que a cota permite, o sistema bloqueia o acesso ao recurso, e a tarefa que você está tentando executar falha.

As cotas geralmente se aplicam ao nível do projeto do Google Cloud . O uso de um recurso em um projeto não afeta a cota disponível em outro. Em um projeto do Google Cloud , as cotas são compartilhadas entre todos os aplicativos e endereços IP.

Saiba mais em Visão geral das cotas do Cloud.

Também existem limites do sistema para os recursos do Cloud Armor. Os limites do sistema não podem ser alterados.

Cotas

As cotas de recursos do Google Cloud Armor são organizadas segundo dois critérios:

  • O escopo da cota:
    • global
    • regional
  • O tipo de política de segurança do Cloud Armor:
    • política de segurança de back-end
    • política de segurança de borda
    • Política de segurança de borda da rede

Políticas globais de segurança de back-end e de borda

O Cloud Armor usa as cotas, apresentadas abaixo, por projeto para políticas globais de segurança de borda, políticas globais de segurança de back-end e suas respectivas regras:

Recurso Cota Descrição
Políticas globais de segurança por projeto Cota

O limite desta cota define o número máximo de políticas globais de segurança de borda e de políticas globais de segurança de back-end que um projeto pode ter, somadas.

Nome da cota: SECURITY_POLICIES

Métricas disponíveis:

  • compute.googleapis.com/quota/security_policies/limit
  • compute.googleapis.com/quota/security_policies/usage
  • compute.googleapis.com/quota/security_policies/exceeded
Regras para políticas globais de segurança por projeto Cota

O limite desta cota define o número máximo total de regras, somando as políticas globais de segurança de borda e as políticas globais de segurança de back-end, em um projeto. O uso desta cota inclui:

  • Regras simples nas políticas globais de segurança de borda
  • Regras simples nas políticas globais de segurança de back-end
  • Regras com condições avançadas de correspondência nas políticas globais de segurança de borda
  • Regras com condições avançadas de correspondência nas políticas globais de segurança de back-end

Nome da cota: SECURITY_POLICY_RULES

Métricas disponíveis:

  • compute.googleapis.com/quota/security_policy_rules/limit
  • compute.googleapis.com/quota/security_policy_rules/usage
  • compute.googleapis.com/quota/security_policy_rules/exceeded
Regras para políticas globais de segurança com condições avançadas de correspondência por projeto Cota

O limite desta cota define o número máximo total de regras, com condições avançadas de correspondência, somando as políticas globais de segurança de borda e as políticas globais de segurança de back-end, em um projeto. O uso desta cota inclui:

  • Regras com condições avançadas de correspondência nas políticas globais de segurança de borda
  • Regras com condições avançadas de correspondência nas políticas globais de segurança de back-end

Nome da cota: SECURITY_POLICY_CEVAL_RULES

Métricas disponíveis:

  • compute.googleapis.com/quota/security_policy_ceval_rules/limit
  • compute.googleapis.com/quota/security_policy_ceval_rules/usage
  • compute.googleapis.com/quota/security_policy_ceval_rules/exceeded

Cotas por políticas globais de segurança para regras com condições avançadas de correspondência

O Cloud Armor usa as cotas, apresentadas abaixo, por política de segurança para regras com condições avançadas de correspondência em políticas globais de segurança de borda e políticas globais de segurança de back-end:

Recurso Cota Descrição
Regras com condições avançadas de correspondência por política global de segurança de borda Cota

O limite desta cota define o número máximo de regras com condições avançadas de correspondência em uma política global de segurança de borda específica.

Nome da cota: SECURITY_POLICY_ADVANCED_RULES_PER_EDGE_SECURITY_POLICY

Métricas disponíveis:

  • compute.googleapis.com/quota/advanced_rules_per_edge_security_policy/limit
  • compute.googleapis.com/quota/advanced_rules_per_edge_security_policy/usage
  • compute.googleapis.com/quota/advanced_rules_per_edge_security_policy/exceeded
Regras com condições avançadas de correspondência por política global de segurança de back-end Cota

O limite desta cota define o número máximo de regras com condições avançadas de correspondência em uma política global de segurança de back-end específica.

Nome da cota: SECURITY_POLICY_ADVANCED_RULES_PER_SECURITY_POLICY

Métricas disponíveis:

  • compute.googleapis.com/quota/advanced_rules_per_security_policy/limit
  • compute.googleapis.com/quota/advanced_rules_per_security_policy/usage
  • compute.googleapis.com/quota/advanced_rules_per_security_policy/exceeded

Resumo das cotas contabilizadas para regras em políticas globais de segurança

A tabela a seguir apresenta as cotas que são contabilizadas para regras simples e regras com condições avançadas de correspondência em políticas globais de segurança:

Regra Uso contabilizado nessas cotas
Regra simples em uma política global de segurança de borda
  • Regras para políticas globais de segurança por projeto (SECURITY_POLICY_RULES)
Regra simples em uma política global de segurança de back-end
  • Regras para políticas globais de segurança por projeto (SECURITY_POLICY_RULES)
Regra com condições avançadas de correspondência em uma política global de segurança de borda
  • Regras para políticas globais de segurança por projeto (SECURITY_POLICY_RULES)
  • Regras para políticas globais de segurança com condições avançadas de correspondência por projeto (SECURITY_POLICY_CEVAL_RULES)
  • Regras com condições avançadas de correspondência por política global de segurança de borda (SECURITY_POLICY_ADVANCED_RULES_PER_EDGE_SECURITY_POLICY)
Regra com condições avançadas de correspondência em uma política global de segurança de back-end
  • Regras para políticas globais de segurança por projeto (SECURITY_POLICY_RULES)
  • Regras para políticas globais de segurança com condições avançadas de correspondência por projeto (SECURITY_POLICY_CEVAL_RULES)
  • Regras com condições avançadas de correspondência por política global de segurança de back-end (SECURITY_POLICY_ADVANCED_RULES_PER_SECURITY_POLICY)

Políticas regionais de segurança de back-end

O Cloud Armor usa as cotas, apresentadas abaixo, por região e por projeto para políticas regionais de segurança de back-end e suas respectivas regras:

Recurso Cota Descrição
Políticas regionais de segurança de back-end por região e por projeto Cota

O limite desta cota define o número máximo de políticas regionais de segurança de back-end em uma determinada região de um projeto.

Nome da cota: SECURITY_POLICIES_PER_REGION

Métricas disponíveis:

  • compute.googleapis.com/quota/regional_security_policies/limit
  • compute.googleapis.com/quota/regional_security_policies/usage
  • compute.googleapis.com/quota/regional_security_policies/exceeded
Regras para políticas regionais de segurança de back-end por região e por projeto Cota

O limite desta cota define o número máximo total de regras em políticas regionais de segurança de back-end em uma região de um projeto. O uso desta cota contabiliza tanto regras simples quanto regras com condições avançadas de correspondência.

Nome da cota: SECURITY_POLICY_RULES_PER_REGION

Métricas disponíveis:

  • compute.googleapis.com/quota/regional_security_policy_rules/limit
  • compute.googleapis.com/quota/regional_security_policy_rules/usage
  • compute.googleapis.com/quota/regional_security_policy_rules/exceeded
Regras para políticas regionais de segurança de back-end com condições avançadas de correspondência por região e por projeto Cota

O limite desta cota define o número máximo total de regras com condições avançadas de correspondência em políticas regionais de segurança de back-end em uma região de um projeto. O uso desta cota contabiliza somente regras com condições avançadas de correspondência.

Nome da cota: SECURITY_POLICY_ADVANCED_RULES_PER_REGION

Métricas disponíveis:

  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/limit
  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/usage
  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/exceeded

Cotas por políticas regionais de segurança de back-end para regras com condições avançadas de correspondência

O Cloud Armor usa as cotas, apresentadas abaixo, por política de segurança para regras com condições avançadas de correspondência em políticas regionais de segurança de back-end:

Recurso Cota Descrição
Regras com condições avançadas de correspondência por política regional de segurança de back-end Cota

O limite desta cota define o número máximo de regras avançadas em uma política regional de segurança de back-end específica.

Nome da cota: SECURITY_POLICY_ADVANCED_RULES_PER_REGIONAL_SECURITY_POLICY

Métricas disponíveis:

  • compute.googleapis.com/quota/advanced_rules_per_regional_security_policy/limit
  • compute.googleapis.com/quota/advanced_rules_per_regional_security_policy/usage
  • compute.googleapis.com/quota/advanced_rules_per_regional_security_policy/exceeded

Resumo das cotas contabilizadas para regras em políticas regionais de segurança de back-end

A tabela a seguir apresenta as cotas que são contabilizadas para regras simples e regras com condições avançadas de correspondência em políticas regionais de segurança de back-end:

Regra Uso contabilizado nessas cotas
Regra simples em uma política regional de segurança de back-end
  • Regras para políticas regionais de segurança de back-end por região e por projeto (SECURITY_POLICY_RULES_PER_REGION)
Regra com condições avançadas de correspondência em uma política regional de segurança de back-end
  • Regras para políticas regionais de segurança de back-end por região e por projeto (SECURITY_POLICY_RULES_PER_REGION)
  • Regras para políticas regionais de segurança de back-end com condições avançadas de correspondência por região e por projeto (SECURITY_POLICY_ADVANCED_RULES_PER_REGION )
  • Regras com condições avançadas de correspondência por política regional de segurança de back-end (SECURITY_POLICY_ADVANCED_RULES_PER_REGIONAL_SECURITY_POLICY)

Políticas regionais de segurança de borda da rede

O Cloud Armor usa as cotas, apresentadas abaixo, por região e por projeto para políticas regionais de segurança de borda da rede e suas respectivas regras:

Recurso Cota Descrição
Políticas regionais de segurança de borda da rede por região e por projeto Cota

O limite desta cota define o número máximo de políticas regionais de segurança de borda da rede em cada região de um projeto.

Nome da cota: NET_LB_SECURITY_POLICIES_PER_REGION

Métricas disponíveis:

  • compute.googleapis.com/quota/regional_net_lb_security_policies/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policies/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policies/exceeded
Regras para políticas regionais de segurança de borda da rede por região e por projeto Cota

O limite desta cota define o número máximo total de regras para políticas regionais de segurança de borda da rede em cada região de um projeto.

Nome da cota: NET_LB_SECURITY_POLICY_RULES_PER_REGION

Métricas disponíveis:

  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/exceeded
Valores de correspondência de regras para políticas regionais de segurança de borda da rede por região e por projeto Cota

O limite desta cota define o número máximo total de atributos em regras de políticas regionais de segurança de borda da rede em cada região de um projeto. O uso desta cota corresponde à soma dos atributos SecurityPolicy.NetworkMatch em todas as regras de cada política de segurança de borda da rede em uma região de um projeto.

Nome da cota: NET_LB_SECURITY_POLICY_RULE_ATTRIBUTES_PER_REGION

Métricas disponíveis:

  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/exceeded

Grupos de endereços

Os grupos de endereços do Cloud Armor usam as seguintes cotas:

Recurso Cota Descrição
Capacidade cumulativa de intervalos de endereços IP em grupos de endereços com escopo de projeto por organização Cota

O limite desta cota define a capacidade máxima, cumulativa, usada em todos os grupos de endereços com escopo de projeto em uma organização.

A utilização desta cota é aumentada em um para cada intervalo de endereços IPv4. A utilização desta cota é aumentada em três para cada intervalo de endereços IPv6.

Para ilustrar, um limite de cota de 50.000 permite diversas combinações de intervalos IPv4 e IPv6, como:

  • 50.000 intervalos IPv4 e nenhum intervalo IPv6
  • Nenhum intervalo IPv4 e 16.666 intervalos IPv6
  • 40.000 intervalos IPv4 e 3.333 intervalos IPv6

Nome da cota: CloudArmorAddressGroupsSizePerOrganization
Capacidade cumulativa de intervalos de endereços IP em grupos de endereços com escopo de projeto por projeto Cota

O limite desta cota define a capacidade máxima, cumulativa, usada em todos os grupos de endereços com escopo de projeto em um projeto.

A utilização desta cota é aumentada em um para cada intervalo de endereços IPv4. A utilização desta cota é aumentada em três para cada intervalo de endereços IPv6. Confira a linha anterior para exemplos de utilização.

Nome da cota: CloudArmorAddressGroupsSizePerProject
Capacidade cumulativa de intervalos de endereços IP em grupos de endereços com escopo de organização por organização Cota

O limite desta cota define a capacidade máxima, cumulativa, usada em todos os grupos de endereços com escopo de organização em uma organização.

A utilização desta cota é aumentada em um para cada intervalo de endereços IPv4. A utilização desta cota é aumentada em três para cada intervalo de endereços IPv6. Confira a linha anterior para exemplos de utilização.

Nome da cota: CloudArmorOrgAddressGroupsSizePerOrganization

Além das cotas do Cloud Armor, cada produto que o utiliza aplica suas próprias cotas. Para visualizar um exemplo, confira Cotas e limites do Cloud Load Balancing.

OGoogle Cloud aplica cotas ao uso de recursos por diversos motivos. Por exemplo, as cotas protegem a comunidade de usuários do Google Cloud , impedindo picos de uso inesperados. O Google Cloud também oferece cotas para testes sem custos financeiros, que permitem acesso limitado a projetos que utilizam o Google Cloud apenas durante o período de teste.

Nem todos os projetos têm as mesmas cotas. À medida que o uso do Google Cloud aumenta ao longo do tempo, as cotas podem ser ajustadas proporcionalmente. Se houver expectativa de aumento significativo no uso, é possível solicitar ajustes de cotas, de forma proativa, na página Cotas no console do Google Cloud .

Para solicitar mais cotas, é preciso ter a permissão serviceusage.quotas.update. Por padrão, essa permissão está incluída nos seguintes papéis predefinidos: Proprietário, Editor e Admin de cotas. Planeje e solicite recursos adicionais com pelo menos uma semana de antecedência para garantir que haja tempo suficiente para o atendimento à sua solicitação. Para solicitar mais cotas, confira Como solicitar mais cotas.

Limites

O Google Cloud Armour tem os seguintes limites:

Item Limites
Número de endereços IP ou intervalos de endereços IP por regra 10
Número de subexpressões de cada regra com uma expressão personalizada 5
Número de caracteres em cada subexpressão de uma expressão personalizada 1024
Número de caracteres em uma expressão personalizada 2048

Número de solicitações por segundo por projeto em todos os back-ends com uma política de segurança do Cloud Armor

Este limite não é aplicado. O Google se reserva o direito de limitar o volume de tráfego que pode ser processado por todas as políticas de segurança em cada projeto. Encaminhe quaisquer solicitações de aumento de QPS para sua equipe de conta.

 20.000
Número de serviços de segurança de borda da rede por região e por projeto 1
Número de regras em uma política de segurança de borda da rede 100
Número de políticas de segurança hierárquicas por organização 50
Número de regras em todas as políticas de segurança hierárquicas por organização 200
Número de regras com condições avançadas de correspondência em todas as políticas de segurança hierárquicas por organização 20

Grupos de endereços

Os grupos de endereços do Cloud Armor têm os limites apresentados a seguir, que são aplicáveis tanto a grupos de endereços com escopo de projeto quanto a grupos com escopo de organização:

Versão do Protocolo de Internet Capacidade máxima de um único grupo de endereços Número máximo de endereços alterados por um comando de API (como add-items)
IPv4 150.000 intervalos de endereços IP IPv4 50.000 intervalos de endereços IP IPv4
IPv6 50.000 intervalos de endereços IP IPv6 20.000 intervalos de endereços IP IPv6

Faça a gestão de quotas

Google Cloud Armor impõe quotas na utilização de recursos por vários motivos. Por exemplo, as quotas protegem a comunidade de Google Cloud utilizadores ao impedirem picos imprevistos na utilização. As quotas também ajudam os utilizadores que estão a explorar Google Cloud com o nível gratuito a permanecerem dentro da respetiva avaliação.

Todos os projetos começam com as mesmas quotas, que pode alterar pedindo quotas adicionais. Algumas quotas podem aumentar automaticamente com base na sua utilização de um produto.

Autorizações

Para ver quotas ou pedir aumentos de quotas, os principais da gestão de identidade e de acesso (IAM) precisam de uma das seguintes funções.

Tarefa Função necessária
Verifique as quotas de um projeto Uma das seguintes opções:
Modifique quotas e peça quotas adicionais Uma das seguintes opções:

Verifique a sua quota

Consola

  1. Na Google Cloud consola, aceda à página Quotas.

    Aceder a Quotas

  2. Para pesquisar a quota que quer atualizar, use a opção Filtrar tabela. Se não souber o nome da quota, use os links nesta página.

gcloud

Usando a CLI do Google Cloud, execute o seguinte comando para verificar as suas quotas. Substitua PROJECT_ID pelo seu ID do projeto.

    gcloud compute project-info describe --project PROJECT_ID

Para verificar a quota usada numa região, execute o seguinte comando:

    gcloud compute regions describe example-region

Erros quando excede a sua quota

Se exceder uma quota com um comando gcloud, o gcloud produz uma mensagem de erro quota exceeded e regressa com o código de saída 1.

Se exceder uma quota com um pedido de API, Google Cloud é devolvido o seguinte código de estado HTTP: 413 Request Entity Too Large.

Peça quota adicional

Para ajustar a maioria das quotas, use a Google Cloud consola. Para mais informações, consulte o artigo Peça um ajuste da quota.

Disponibilidade de recursos

Cada quota representa um número máximo para um determinado tipo de recurso que pode criar, se esse recurso estiver disponível. É importante ter em atenção que as quotas não garantem a disponibilidade de recursos. Mesmo que tenha quota disponível, não pode criar um novo recurso se não estiver disponível.

Por exemplo, pode ter quota suficiente para criar um novo endereço IP externo regional numa determinada região. No entanto, isso não é possível se não existirem endereços IP externos disponíveis nessa região. A disponibilidade de recursos zonais também pode afetar a sua capacidade de criar um novo recurso.

As situações em que os recursos estão indisponíveis numa região inteira são raras. No entanto, os recursos numa zona podem esgotar-se ocasionalmente, normalmente sem impacto no contrato de nível de serviço (SLA) para o tipo de recurso. Para mais informações, reveja o SLA relevante para o recurso.