Neste documento, listamos as cotas e os limites que se aplicam ao firewall do Cloud Next Generation.
- As cotas têm valores padrão, mas geralmente é possível solicitar ajustes.
- Os limites do sistema são valores fixos que não podem ser alterados.
OGoogle Cloud usa cotas para garantir a imparcialidade e reduzir picos no uso e na disponibilidade de recursos. Uma cota restringe a alocação de um recurso doGoogle Cloud para uso do seu projeto do Google Cloud . As cotas se aplicam a vários tipos de recursos, incluindo hardware, software e componentes de rede. Por exemplo, elas podem restringir o número de chamadas de API para um serviço, o número de balanceadores de carga usados simultaneamente pelo projeto ou o número de projetos que podem ser criados. As cotas protegem a comunidade de usuários doGoogle Cloud , impedindo a sobrecarga de serviços. Elas também ajudam você a gerenciar seus próprios recursos do Google Cloud .
O sistema de cotas do Cloud faz o seguinte:
- Monitora o consumo de produtos e serviços do Google Cloud .
- Restringe o consumo desses recursos.
- Possibilita a solicitação de mudanças no valor das cotas e a automatização de ajustes de cotas.
Na maioria dos casos, quando você tenta consumir mais de um recurso do que a cota permite, o sistema bloqueia o acesso ao recurso, e a tarefa que você está tentando executar falha.
As cotas geralmente se aplicam ao nível do projeto do Google Cloud . O uso de um recurso em um projeto não afeta a cota disponível em outro. Em um projeto do Google Cloud , as cotas são compartilhadas entre todos os aplicativos e endereços IP.
Saiba mais em Visão geral das cotas do Cloud.Também há limites de sistema para os recursos do Cloud Interconnect. Não é possível alterar os limites.
Cotas
Nesta seção, listamos as cotas que se aplicam ao Cloud Next Generation Firewall.
Para monitorar cotas por projeto que usam o Cloud Monitoring, configure o monitoramento
da métrica serviceruntime.googleapis.com/quota/allocation/usage no
tipo de recurso Consumer Quota. Defina outros filtros de rótulo (service, quota_metric) para chegar ao tipo de cota. Para informações sobre como monitorar métricas de cota, consulte Gráfico e monitoramento de métricas de cota.
Cada cota tem um limite e um valor de uso.
Salvo indicação em contrário, para mudar uma cota, consulte Solicitar um ajuste de cota.
Por projeto
A tabela a seguir destaca as cotas de NGFW do Cloud que são por projeto.
| Cota | Descrição |
|---|---|
| Regras de firewall da VPC | O número de regras de firewall da VPC que podem ser criadas em um projeto, independentemente da rede VPC em que cada regra de firewall se aplica. |
| Políticas globais de firewall de rede | O número de políticas de firewall de rede global em um projeto, não importa quantas redes VPC são associadas a cada política. |
| Políticas de firewall da rede regional | O número de Políticas regionais de firewall de rede em cada região de um projeto, seja qual for a quantidade de redes VPC associadas a cada política. |
| Grupos de endereços globais por projeto | O número de grupos de endereços globais com escopo no projeto que você pode definir em um projeto. |
| Grupos de endereços regionais por projeto e por região | O número de grupos de endereços regionais com escopo no projeto que você pode definir em cada região de um projeto. |
Por organização
A tabela a seguir destaca as cotas de NGFW do Cloud que são por organização. Para alterar uma cota no nível da organização, registre uma consulta ao suporte.
| Cota | Descrição |
|---|---|
| Políticas de firewall hierárquicas não associadas em uma organização | O número de Políticas de firewall hierárquicas em uma organização que não estão associadas a qualquer recurso de pasta ou organização. Não há limite para o número de políticas hierárquicas de firewall em uma organização que estão associadas a um recurso. |
| Grupos de endereços globais por organização | O número de grupos de endereços globais no escopo da organização que você pode definir em uma organização. |
| Grupos de endereços regionais por organização e região | O número de grupos de endereços regionais com escopo da organização que você pode definir em cada região de uma organização. |
Por rede
As cotas a seguir se aplicam a redes VPC:
| Cota | Descrição |
|---|---|
| Associações de políticas regionais de firewall de rede por região por rede VPC | O número máximo de políticas de firewall de rede regional que podem ser associadas a uma região de uma rede VPC. |
| Atributos de regra de firewall por região por rede VPC | O número máximo de atributos de regra de todas as políticas de firewall de rede regionais associadas na região de uma rede VPC. |
| FQDNs de regras de firewall por região por rede VPC | O número máximo de FQDNs de regras em todas as políticas de firewall de rede regionais associadas na região de uma rede VPC. |
Por política de firewall
A tabela a seguir destaca as cotas de NGFW do Cloud que são por recurso de política de firewall.
| Cota | Descrição |
|---|---|
| Políticas de firewall hierárquicas | |
| Atributos de regra por política hierárquica de firewall | Essa cota é a soma dos atributos de todas as regras em uma política hierárquica de firewall. Saiba mais em Detalhes da contagem de atributos de regras. |
| Nomes de domínio (FQDNs) por política hierárquica de firewall | O número de nomes de domínio que podem ser incluídos em todas as regras de uma política hierárquica de firewall. Essa cota é a soma de todos os nomes de domínio de origem de todas as regras de entrada na política mais a soma de todos os nomes de domínio de destino de todas as regras de saída na política. |
| Políticas globais de firewall de rede | |
| Atributos de regra por política de firewall de rede global | A soma dos atributos de todas as regras em uma política de firewall de rede global. Saiba mais em Detalhes da contagem de atributos de regras. |
| Nomes de domínio (FQDNs) por política de firewall de rede global | O número de nomes de domínio que podem ser incluídos em todas as regras de uma política de firewall de rede global. Essa cota é a soma de todos os nomes de domínio de origem de todas as regras de entrada na política mais a soma de todos os nomes de domínio de destino de todas as regras de saída na política. |
| Políticas de firewall da rede regional | |
| Atributos de regra por política de firewall de rede regional | A soma dos atributos de todas as regras em uma política de firewall de rede regional. Saiba mais em Detalhes da contagem de atributos de regras. |
| Nomes de domínio (FQDNs) por política de firewall de rede regional | O número de nomes de domínio (FQDNs) que você pode incluir em todas as regras de uma política de firewall de rede regional: essa cota é a soma de todos os nomes de domínio de origem de todas as regras de entrada na política mais a soma de todos nomes de domínio de destino de todas as regras de saída da política. |
Detalhes da contagem de atributos da regra
Cada política de firewall é compatível com um número total máximo de atributos de todas as regras na política. Determinar a contagem de atributos de regra para um determinado firewall descreva a política. Para ver instruções, consulte:
- Descrever uma política na documentação de políticas hierárquicas de firewall
- Descrever uma política de firewall de rede global
- Descrever uma política de firewall de rede regional
A tabela a seguir lista exemplos de regras e a contagem de atributos para cada exemplo regra de firewall.
| Exemplo de regra de firewall | Contagem de atributos da regra | Explicação |
|---|---|---|
Regra de firewall de permissão de entrada com intervalo de endereços IP de origem
10.100.0.1/32, protocolo tcp e
intervalo de portas 5000-6000.
|
3 | Um intervalo de origem. um protocolo, um intervalo de portas. |
Regra de firewall de negação de entrada com intervalos de endereços IP de origem
10.0.0.0/8, 192.168.0.0/16, intervalo de endereços IP
de destino 100.64.0.7/32, protocolos tcp e
udp, intervalos de portas 53-53 e 5353-5353.
|
11 | Há quatro combinações de protocolo e porta: tcp:53-53,
tcp:5353-5353, udp:53-53 e
udp:5353-5353. Cada combinação de protocolo e porta usa dois atributos. Um atributo para os dois intervalos de endereços IP de origem, um
atributo para o intervalo de endereços IP de destino e oito atributos para as combinações
de protocolo e porta produz uma contagem de atributos de 11. |
Regra de firewall de negação de saída com intervalo de endereços IP de origem
100.64.0.7/32, intervalo de endereços IP de destino
10.100.0.1/32, 10.100.1.1/32, tcp:80,
tcp:443 e udp:4000-5000.
|
9 | As combinações de protocolo e porta se expandem para três: tcp:80-80,
tcp:443-443 e udp:4000-5000. Cada combinação de protocolo e porta usa dois atributos. Um atributo para o intervalo de origem,
um atributo para os dois intervalos de endereços IP de destino e seis
atributos para as combinações de protocolo e porta produzem uma contagem
de atributos de nove. |
Limites
Não é possível aumentar os limites a menos que especificado de outra maneira.
Por organização
Os limites a seguir se aplicam a organizações.
| Item | limit | Observações |
|---|---|---|
| Máximo de chaves de tag seguras por organização | 1.000 | O número máximo de chaves de tag seguras que têm uma organização principal. Para mais informações, consulte Limites de tags. |
Máximo de valores de tags seguras usados por todas as chaves de tag cujo purpose
é GCE_FIREWALL e purpose-data é uma organização
|
16384 | Esse limite é aplicado a todos os valores de tag usados por chaves de tag criadas na organização que correspondem aos dados de finalidade, incluindo chaves de tag cujo pai é a organização ou um projeto nela. |
| Perfis de segurança de filtragem de URL por organização | 40 | O número máximo de perfis de segurança de filtragem de URL que você pode criar por organização. |
| Perfis de segurança da prevenção de ameaças por organização | 40 | O número máximo de perfis de segurança do tipo prevenção de ameaças que você pode criar por organização. |
| Grupos de perfis de segurança com prevenção de ameaças por organização | 40 | O número máximo de grupos de perfil de segurança que usam um perfil de segurança contra prevenção de ameaças que pode ser criado por organização. |
| Grupos de perfis de segurança com filtragem de URL por organização | 40 | O número máximo de grupos de perfil de segurança que usam um perfil de segurança de filtragem de URL que pode ser criado por organização. |
| Endpoints de firewall por zona e organização | 50 | O número máximo de endpoints de firewall que podem ser criados por zona e organização. |
Por projeto
Os seguintes limites se aplicam ao projeto:
| Item | limit | Observações |
|---|---|---|
| Máximo de chaves de tag seguras por projeto | 1.000 | O número máximo de chaves de tag seguras que têm um projeto principal. Para mais informações, consulte Limites de tags. |
Por rede
Os limites a seguir se aplicam a redes VPC.
| Item | Limite | Observações |
|---|---|---|
| Política máxima de firewall de rede global por rede | 1 | O número máximo de políticas de firewall de rede global que podem ser associadas a uma rede VPC. |
| Número máximo de nomes de domínio (FQDNs) por rede | 1.000 | O número máximo total de nomes de domínio que podem ser usados em regras de firewall que vêm de políticas hierárquicas de firewall, políticas de firewall de rede global e políticas de firewall de rede regional associadas a uma rede VPC. |
Número máximo de valores de tag segura usados por todas as chaves de tag cujo purpose
é GCE_FIREWALL e purpose-data é uma
rede VPC
|
16383 | Esse limite é aplicado a todos os valores de tag usados por chaves de tag cujo
purpose-data corresponde à rede VPC especificada,
incluindo chaves de tag cujo pai é a organização ou um projeto.
|
| Endpoints de firewall por zona e rede | 1 | O número máximo de endpoints de firewall que podem ser atribuídos por zona e rede. |
Por regra de firewall
Os limites a seguir se aplicam aos endpoints de firewall.
| Item | Limite | Observações |
|---|---|---|
| Número máximo de tags seguras de origem por regra da política de firewall de entrada | 256 | Aplicável apenas à regra da política de firewall de entrada: o número máximo de tags seguras que podem ser usadas como tags de origem na regra de firewall. Esse limite não pode ser aumentado. |
| Número máximo de tags seguras de destino por regra da política de firewall | 256 | Aplicável apenas à regra da política de firewall: o número máximo de tags seguras que podem ser usadas como tags de destino na regra de firewall. Esse limite não pode ser aumentado. |
| Número máximo de tags de rede de origem por regra de firewall VPC de entrada | 30 | Aplicável apenas a regras de firewall VPC de entrada: o número máximo de tags de rede que podem ser usadas como tags de origem na regra de firewall. Esse limite não pode ser aumentado. |
| Número máximo de tags de rede de destino por regra de firewall da VPC | 70 | Aplicável apenas a regras de firewall da VPC: o número máximo de tags de rede que podem ser usadas como tags de destino na regra de firewall. Esse limite não pode ser aumentado. |
| Número máximo de contas de serviço de origem por regra de firewall da VPC de entrada | 10 | Aplicável apenas a regras de firewall da VPC de entrada: o número máximo de contas de serviço que podem ser usadas como origens na regra de firewall. Esse limite não pode ser aumentado. |
| Número máximo de contas de serviço de destino por regra de firewall | 10 | O número máximo de contas de serviço que podem ser usadas como destinos em uma regra de firewall de VPC ou regre em uma política de firewall. Esse limite não pode ser aumentado. |
| Número máximo de intervalos de endereços IP de origem por regra de firewall | 5.000 | O número máximo de intervalos de endereços IP de origem que pode ser especificado em uma regra de firewall da VPC ou em uma política de firewall. Os intervalos de endereços IP são somente IPv4 ou somente IPv6. Esse limite não pode ser aumentado. |
| Número máximo de intervalos de endereços IP de destino por regra de firewall | 5.000 | O número máximo de intervalos de endereços IP de destino que pode ser especificado em uma regra de firewall de VPC ou em uma política de firewall. Os intervalos de endereços IP são somente IPv4 ou somente IPv6. Esse limite não pode ser aumentado. |
| Número máximo de grupos de endereços de origem por regra de firewall de entrada em uma política de firewall | 10 | O número máximo de grupos de endereços de origem que pode ser especificado em uma regra de firewall de entrada em uma política de firewall. Esse limite não pode ser aumentado. |
| Número máximo de grupos de endereços de destino por regra de firewall em uma política de firewall | 10 | O número máximo de grupos de endereços de destino que é possível especificar em uma regra de firewall de saída em uma política de firewall. Não é possível aumentar esse limite. |
| Número máximo de nomes de domínio (FQDNs) por regra de firewall em uma política de firewall | 100 | O número de nomes de domínio (FQDNs) que é possível incluir na regra de uma política de firewall. Esse limite não pode ser aumentado. |
Por grupo de endereços
Os limites a seguir se aplicam aos grupos de endereços usados pelo Cloud NGFW.
| Item | Limite | Observações |
|---|---|---|
| Número máximo de endereços IP por grupo de endereços | 1.000 | Aplica-se individualmente a cada grupo de endereços usado pelo Cloud NGFW. O grupo de endereços pode ser global, no escopo do projeto, no escopo da organização, regional no escopo do projeto ou regional no escopo da organização. |
Por endpoint de firewall
Os limites a seguir se aplicam aos endpoints de firewall.
| Item | Limite | Observações |
|---|---|---|
| Associações por endpoint de firewall | 50 | O número máximo de redes VPC que podem ser associadas a um endpoint de firewall. É possível criar outros endpoints de firewall na mesma zona para superar esse limite. |
| Taxa de transferência máxima por conexão com Transport Layer Security (TLS) | 250 Mbps | A capacidade máxima por conexão com inspeção de TLS. |
| Capacidade máxima por conexão sem TLS | 1,25 Gbps | A capacidade máxima por conexão sem inspeção TLS. |
| Tráfego máximo com TLS | 2 Gbps | O tráfego máximo que os endpoints de firewall podem processar com a inspeção de TLS. |
| Tráfego máximo sem TLS | 10 Gbps | O tráfego máximo que os endpoints de firewall podem processar sem inspeção de TLS. |
Por perfil de segurança
Os limites a seguir se aplicam aos perfis de segurança.
| Item | Limite | Observações |
|---|---|---|
| Número de strings de correspondência por perfil de segurança | 500 | O número máximo de strings de correspondência que podem ser adicionadas a um perfil de segurança de filtragem de URL. |
| Número de modificações de ameaças por perfil de segurança | 100 | O número máximo de modificações de ameaças que podem ser adicionadas a um perfil de segurança contra prevenção de ameaças. |
Por tag segura
Os seguintes limites se aplicam às tags seguras:
| Item | Limite | Observações |
|---|---|---|
| Máximo de valores de tags seguras por chave de tag | 1.000 | O número máximo de valores de tag seguros que podem ser adicionados por chave de tag. Para mais informações, consulte Limites de tags. |
Interface de rede por VM
Os limites a seguir se aplicam às interfaces de rede de máquina virtual (VMs):
| Item | Limite | Observações |
|---|---|---|
| Número máximo de valores de tags seguras anexados a uma interface de rede de VM | 10 | O número máximo de valores de tag segura que podem ser anexados a cada interface de rede de VM. Para mais informações sobre
as especificações das tags seguras de firewall,
consulte Especificações.
Para ver os limites de rede, consulte Limites por rede. |
Manage quotas
Cloud Next Generation Firewall enforces quotas on resource usage for various reasons. For example, quotas protect the community of Google Cloud users by preventing unforeseen spikes in usage. Quotas also help users who are exploring Google Cloud with the free tier to stay within their trial.
All projects start with the same quotas, which you can change by requesting additional quota. Some quotas might increase automatically based on your use of a product.
Permissions
To view quotas or request quota increases, Identity and Access Management (IAM) principals need one of the following roles.
| Task | Required role |
|---|---|
| Check quotas for a project | One of the following:
|
| Modify quotas, request additional quota | One of the following:
|
Check your quota
Console
- In the Google Cloud console, go to the Quotas page.
- To search for the quota that you want to update, use the Filter table. If you don't know the name of the quota, use the links on this page instead.
gcloud
Using the Google Cloud CLI, run the following command to
check your quotas. Replace PROJECT_ID with your own project ID.
gcloud compute project-info describe --project PROJECT_IDTo check your used quota in a region, run the following command:
gcloud compute regions describe example-region
Errors when exceeding your quota
If you exceed a quota with a gcloud command,
gcloud outputs a quota exceeded error
message and returns with the exit code 1.
If you exceed a quota with an API request, Google Cloud returns the
following HTTP status code: 413 Request Entity Too Large.
Request additional quota
To adjust most quotas, use the Google Cloud console. For more information, see Request a quota adjustment.
Resource availability
Each quota represents a maximum number for a particular type of resource that you can create, if that resource is available. It's important to note that quotas don't guarantee resource availability. Even if you have available quota, you can't create a new resource if it is not available.
For example, you might have sufficient quota to create a new regional, external IP address in a given region. However, that is not possible if there are no available external IP addresses in that region. Zonal resource availability can also affect your ability to create a new resource.
Situations where resources are unavailable in an entire region are rare. However, resources within a zone can be depleted from time to time, typically without impact to the service level agreement (SLA) for the type of resource. For more information, review the relevant SLA for the resource.