En este documento, se enumeran las quotas y los quotas que se aplican al Cloud Next Generation Firewall.
- Las cuotas tienen valores predeterminados, pero, por lo general, puedes solicitar ajustes.
- Los límites del sistema son valores fijos que no se pueden cambiar.
Google Cloud usa cuotas para garantizar la equidad y reducir los aumentos repentinos en el uso y la disponibilidad de los recursos. Una cuota restringe la cantidad de un recurso deGoogle Cloud que puede usar tu proyecto de Google Cloud . Las cuotas se aplican a una variedad de tipos de recursos, incluidos los componentes de hardware, software y red. Por ejemplo, las cuotas pueden restringir la cantidad de llamadas a la API para un servicio, la cantidad de balanceadores de cargas que se usan en simultáneo en tu proyecto o la cantidad de proyectos que puedes crear. Las cuotas protegen a la comunidad de usuarios deGoogle Cloud evitando la sobrecarga de los servicios. También te ayudan a administrar tus propios recursos de Google Cloud .
El sistema de cuotas de Cloud lleva a cabo las siguientes acciones:
- Supervisa tu consumo de productos y servicios de Google Cloud
- Restringe el consumo de esos recursos
- Proporciona una forma de solicitar cambios en el valor de la cuota y automatizar los ajustes de la cuota
En la mayoría de los casos, cuando intentas consumir más de lo que permite la cuota de un recurso, el sistema bloquea el acceso al recurso y la tarea que intentas llevar a cabo falla.
Por lo general, las cuotas se aplican a nivel de proyecto de Google Cloud . El uso de un recurso en un proyecto no afecta tu cuota disponible en otro proyecto. En un proyecto de Google Cloud , las cuotas se comparten entre todas las aplicaciones y direcciones IP.
Para obtener más información, consulta la descripción general de cuotas de Cloud.
También hay límites de sistema para los recursos de NGFW. Los límites no se pueden cambiar.
Cuotas
En esta sección se enumeran las cuotas que se aplican a Cloud Next Generation Firewall.
Para supervisar las cuotas por proyecto que usan Cloud Monitoring, configura la supervisión de la métrica serviceruntime.googleapis.com/quota/allocation/usage en el tipo de recurso Consumer Quota. Configura filtros de etiquetas adicionales (service,
quota_metric) para obtener el tipo de cuota. Para obtener información sobre la supervisión de las métricas de cuota, consulta Gráfico y supervisión de métricas de cuota.
Cada cuota tiene un límite y un valor de uso.
A menos que se indique lo contrario, para cambiar una cuota, consulta Solicita un ajuste de cuota.
Por proyecto
En la siguiente tabla, se destacan las cuotas de Cloud NGFW por proyecto:
| Cuota | Descripción |
|---|---|
| Reglas de firewall de VPC | La cantidad de reglas de firewall de VPC que puedes crear en un proyecto, independientemente de la red de VPC a la que se aplique cada regla de firewall. |
| Políticas de firewall de red globales | La cantidad de políticas de firewall de red globales en un proyecto, independientemente de la cantidad de redes de VPC asociadas con cada política. |
| Políticas de firewall de red regionales | La cantidad de políticas de firewall de red regionales en cada región de un proyecto, independientemente de la cantidad de redes de VPC asociadas con cada política. |
| Grupos de direcciones globales por proyecto | La cantidad de grupos de direcciones globales con permiso del proyecto que puedes definir en un proyecto. |
| Grupos de direcciones regionales por proyecto por región | La cantidad de grupos de direcciones regionales con permiso del proyecto que puedes definir en cada región de un proyecto. |
Por organización
En la siguiente tabla, se destacan las cuotas de Cloud NGFW por organización. Para cambiar una cuota a nivel de la organización, presenta un caso de asistencia.
| Cuota | Descripción |
|---|---|
| Políticas de firewall jerárquicas no asociadas en una organización | Es la cantidad de políticas de firewall jerárquicas en una organización que no están asociadas con ninguna carpeta ni recurso de la organización. No hay límite en la cantidad de políticas de firewall jerárquicas en una organización que están asociadas con un recurso. |
| Grupos de direcciones globales por organización | Es la cantidad de grupos de direcciones globales con alcance en la organización que puedes definir en una organización. |
| Grupos de direcciones regionales por organización y región | La cantidad de grupos de direcciones regionales con permiso de la organización que puedes definir en cada región de una organización. |
Por red
Las siguientes cuotas se aplican a las redes de VPC:
| Cuota | Descripción |
|---|---|
| Asociaciones de políticas de firewall de red regionales por región y por red de VPC | Es la cantidad máxima de políticas de firewall de red regionales que puedes asociar con una región de una red de VPC. |
| Atributos de regla de firewall por región y por red de VPC | Es la cantidad máxima de atributos de reglas de todas las políticas de firewall de red regionales asociadas en la región de una red de VPC. |
| FQDN de reglas de firewall por región y por red de VPC | Cantidad máxima de FQDNs de reglas en todas las políticas de firewall de red regionales asociadas en la región de una red de VPC. |
Por política de firewall
En la siguiente tabla, se destacan las cuotas de Cloud NGFW por recurso de política de firewall:
| Cuota | Descripción |
|---|---|
| Políticas jerárquicas de firewall | |
| Atributos de regla por política de firewall jerárquica | Esta cuota es la suma de los atributos de las reglas de todas las reglas de una política jerárquica de firewall. Para obtener más información, consulta Detalles del recuento de atributos de la regla. |
| Nombres de dominio (FQDN) por política de firewall jerárquica | Es la cantidad de nombres de dominio que puedes incluir en todas las reglas de una política de firewall jerárquica. Esta cuota es la suma de todos los nombres de dominio de origen de todas las reglas de entrada en la política más la suma de todos los nombres de dominio de destino de todas las reglas de salida en la política. |
| Políticas de firewall de red globales | |
| Atributos de regla por política de firewall de red global | La suma de los atributos de las reglas de todas las reglas de una política de firewall de red global. Para obtener más información, consulta Detalles del recuento de atributos de la regla. |
| Nombres de dominio (FQDN) por política de firewall de red global | Es la cantidad de nombres de dominio que puedes incluir en todas las reglas de una política de firewall de red global. Esta cuota es la suma de todos los nombres de dominio de origen de todas las reglas de entrada en la política más la suma de todos los nombres de dominio de destino de todas las reglas de salida en la política. |
| Políticas de firewall de red regionales | |
| Atributos de regla por política de firewall de red regional | La suma de los atributos de las reglas de todas las reglas de una política de firewall de red regional. Para obtener más información, consulta Detalles del recuento de atributos de la regla. |
| Nombres de dominio (FQDN) por política de firewall de red regional | La cantidad de nombres de dominio (FQDN) que puedes incluir en todas las reglas de una política de firewall de red regional: esta cuota es la suma de todos los nombres de dominio de origen de todas las reglas de entrada en la política más la suma de todos los nombres de dominio de destino de todas las reglas de salida en la política. |
Detalles del recuento de atributos de la regla
Cada política de firewall admite una cantidad total máxima de atributos de todas las reglas de la política. Para determinar el recuento de atributos de la regla de una política de firewall determinada, describe la política. Para obtener instrucciones, consulta lo siguiente:
- Describe una política en la documentación de las políticas de firewall jerárquicas
- Describe una política de firewall de red global
- Describe una política de firewall de red regional
En la siguiente tabla, se enumeran ejemplos de reglas y el recuento de atributos para cada una de ellas.
| Ejemplo de regla de firewall | Recuento de atributos de la regla | Explicación |
|---|---|---|
Regla de firewall de permiso de entrada con un rango de direcciones IP de origen 10.100.0.1/32, un protocolo tcp y un rango de puertos 5000-6000.
|
3 | Un rango de origen; un protocolo, un rango de puertos. |
Regla de firewall de denegación de entrada con rangos de direcciones IP de origen 10.0.0.0/8, 192.168.0.0/16, rango de direcciones IP de destino 100.64.0.7/32, tcp y protocolos udp, rangos de puertos 53-53 y 5353-5353.
|
11 | Hay cuatro combinaciones de protocolo y puerto: tcp:53-53, tcp:5353-5353, udp:53-53 y udp:5353-5353. Cada combinación de protocolo y puerto usa dos atributos. Un atributo para cada uno de los dos rangos de direcciones IP de origen, un atributo para el rango de direcciones IP de destino y ocho atributos para las combinaciones de protocolo y puerto produce un recuento de atributos de 11. |
Regla de firewall de denegación de salida con el rango de direcciones IP de origen 100.64.0.7/32, el rango de direcciones IP de destino 10.100.0.1/32, 10.100.1.1/32, tcp:80, tcp:443 y udp:4000-5000.
|
9 | Las combinaciones de protocolo y puerto se expanden a tres: tcp:80-80, tcp:443-443 y udp:4000-5000. Cada combinación de protocolo y puerto usa dos atributos. Un atributo para el rango de origen, uno para cada uno de los dos rangos de direcciones IP de destino y seis atributos para las combinaciones de protocolo y puerto produce un recuento de atributos de 9. |
Límites
Por lo general, los límites no se pueden aumentar, a menos que esto se indique de forma específica.
Por organización
Los siguientes límites se aplican a las organizaciones:
| Elemento | límite | Notas |
|---|---|---|
| Cantidad máxima de claves de etiquetas seguras por organización | 1,000 | Es la cantidad máxima de claves de etiquetas seguras que tienen una organización principal. Para obtener más información, consulta Límites de etiquetas. |
Cantidad máxima de valores de etiquetas seguras que usan todas las claves de etiquetas cuyo purpose es GCE_FIREWALL y purpose-data es una organización
|
16384 | Este límite se aplica a todos los valores de etiquetas que usan las claves de etiquetas creadas en la organización que coinciden con los datos de propósito, incluidas las claves de etiquetas cuyo elemento superior es la organización o un proyecto dentro de ella. |
| Perfiles de seguridad de filtrado de URLs por organización | 40 | Es la cantidad máxima de perfiles de seguridad de filtrado de URL que puedes crear por organización. |
| Perfiles de seguridad de prevención de amenazas por organización | 40 | La cantidad máxima de perfiles de seguridad de prevención de amenazas que puedes crear por organización. |
| Grupos de perfiles de seguridad con prevención de amenazas por organización | 40 | La cantidad máxima de grupos de perfil de seguridad que usan un perfil de seguridad de prevención de amenazas que puedes crear por organización. |
| Grupos de perfiles de seguridad con filtrado de URLs por organización | 40 | Es la cantidad máxima de grupos de perfiles de seguridad que usan un perfil de seguridad de filtrado de URLs que puedes crear por organización. |
| Extremos de firewall por zona por organización | 50 | Es la cantidad máxima de extremos de firewall que puedes crear por zona y por organización. |
Por proyecto
Se aplican los siguientes límites al proyecto:
| Elemento | límite | Notas |
|---|---|---|
| Cantidad máxima de claves de etiquetas seguras por proyecto | 1,000 | Es la cantidad máxima de claves de etiquetas seguras que tienen un proyecto principal. Para obtener más información, consulta Límites de etiquetas. |
Por red
Los siguientes límites se aplican a las redes de VPC:
| Elemento | Límite | Notas |
|---|---|---|
| Cantidad máxima de políticas de firewall de red globales por red | 1 | Cantidad máxima de políticas de firewall de red globales que puedes asociar a una red de VPC. |
| Cantidad máxima de nombres de dominio (FQDN) por red | 1,000 | Cantidad máxima total de nombres de dominio que se pueden usar en reglas de firewall que provienen de políticas jerárquicas de firewall, políticas de firewall de red globales y políticas de firewall de red regionales asociadas con una a red de VPC. |
Valores máximos de etiquetas seguras que usan todas las claves de etiquetas cuyo purpose es GCE_FIREWALL y purpose-data es una red de VPC
|
16383 | Este límite se aplica a todos los valores de etiquetas que usan las claves de etiquetas cuyo purpose-data coincide con la red de VPC especificada, incluidas las claves de etiquetas cuyo elemento superior es la organización o un proyecto.
|
| Extremos de firewall por zona por red | 1 | Cantidad máxima de extremos de firewall que puedes asignar por zona y por red. |
Por regla de firewall
Los siguientes límites se aplican a las reglas de firewall:
| Elemento | Límite | Notas |
|---|---|---|
| Cantidad máxima de etiquetas seguras de origen por regla de política de firewall de entrada | 256 | Solo se aplica a la regla de política de firewall de entrada: la cantidad máxima de etiquetas seguras que puedes usar como etiquetas de origen en la regla de firewall. No se puede aumentar este límite. |
| Cantidad máxima de etiquetas seguras de destino por regla de política de firewall | 256 | Solo se aplica a la regla de política de firewall: la cantidad máxima de etiquetas seguras que puedes usar como etiquetas de destino en la regla de firewall. No se puede aumentar este límite. |
| Cantidad máxima de etiquetas de red de origen por regla de firewall de VPC de entrada | 30 | Solo se aplica a las reglas de firewall de VPC de entrada: la cantidad máxima de etiquetas de red que puedes usar como etiquetas de origen en la regla de firewall. No se puede aumentar este límite. |
| Cantidad máxima de etiquetas de red de destino por regla de firewall de VPC | 70 | Solo se aplica a las reglas de firewall de VPC: la cantidad máxima de etiquetas de red que puedes usar como etiquetas de destino en la regla de firewall. No se puede aumentar este límite. |
| Cantidad máxima de cuentas de servicio de origen por regla de firewall de VPC de entrada | 10 | Aplicable solo a las reglas de firewall de VPC de entrada: la cantidad máxima de cuentas de servicio que puedes usar como fuentes en la regla de firewall. No se puede aumentar este límite. |
| Cantidad máxima de cuentas de servicio de destino por regla de firewall | 10 | Cantidad máxima de cuentas de servicio que puedes usar como destinos en una regla de firewall o una regla de firewall en una política de firewall. No se puede aumentar este límite. |
| Cantidad máxima de rangos de direcciones IP de origen por regla de firewall | 5,000 | Cantidad máxima de rangos de direcciones IP de origen que puedes especificar en una regla de firewall de VPC o una regla en una política de firewall. Los rangos de direcciones IP solo pueden ser IPv4 o IPv6. No se puede aumentar este límite. |
| Cantidad máxima de rangos de direcciones IP de destino por regla de firewall | 5,000 | Cantidad máxima de rangos de direcciones IP de destino que puedes especificar en una regla de firewall de VPC o una regla en una política de firewall. Los rangos de direcciones IP solo pueden ser IPv4 o IPv6. No se puede aumentar este límite. |
| Cantidad máxima de grupos de direcciones de origen por regla de firewall de entrada en una política de firewall | 10 | Cantidad máxima de grupos de direcciones de origen que puedes especificar en una regla de firewall de entrada en una política de firewall. No se puede aumentar este límite. |
| Cantidad máxima de grupos de direcciones de destino por regla de firewall en una política de firewall | 10 | Cantidad máxima de grupos de direcciones de destino que puedes especificar en una regla de firewall de salida en una política de firewall. Este límite no se puede aumentar. |
| Cantidad máxima de nombres de dominio (FQDN) por regla de firewall en una política de firewall | 100 | La cantidad de nombres de dominio (FQDN) que puedes incluir en una regla de una política de firewall. No se puede aumentar este límite. |
Por grupo de direcciones
Los siguientes límites se aplican a los grupos de direcciones que usa Cloud NGFW.
| Elemento | Límite | Notas |
|---|---|---|
| Cantidad máxima de direcciones IP por grupo de direcciones | 1,000 | Se aplica de forma individual a cada grupo de direcciones que usa Cloud NGFW. El grupo de direcciones puede ser un grupo de direcciones global con permiso del proyecto, un grupo de direcciones global con permiso de la organización, un grupo de direcciones regional con permiso del proyecto o un grupo de direcciones regional con permiso de la organización. |
Por extremo de firewall
Los siguientes límites se aplican a los extremos de firewall:
| Elemento | Límite | Notas |
|---|---|---|
| Asociaciones por extremo de firewall | 50 | Cantidad máxima de redes de VPC que puedes asociar con un extremo de firewall. Puedes crear extremos de firewall adicionales en la misma zona para superar este límite. |
| Rendimiento máximo por conexión con seguridad de la capa de transporte (TLS) | 250 Mbps | Es la capacidad de procesamiento máxima por conexión con la inspección de TLS. |
| Capacidad de procesamiento máxima por conexión sin TLS | 1.25 Gbps | Es la capacidad de procesamiento máxima por conexión sin inspección de TLS. |
| Tráfico máximo con TLS | 2 Gbps | Es la cantidad máxima de tráfico que los extremos de firewall pueden procesar con la inspección de TLS. |
| Tráfico máximo sin TLS | 10 Gbps | Es el tráfico máximo que los extremos de firewall pueden procesar sin inspección de TLS. |
Por perfil de seguridad
Los siguientes límites se aplican a los perfiles de seguridad:
| Elemento | Límite | Notas |
|---|---|---|
| Cantidad de cadenas de coincidencia por perfil de seguridad | 500 | Es la cantidad máxima de cadenas de coincidencia que puedes agregar a un perfil de seguridad de filtrado de URL. |
| Cantidad de anulaciones de amenazas por perfil de seguridad | 100 | La cantidad máxima de anulaciones de amenazas que puedes agregar en un perfil de seguridad de prevención de amenazas. |
Por etiqueta segura
Se aplican los siguientes límites a las etiquetas seguras:
| Elemento | Límite | Notas |
|---|---|---|
| Cantidad máxima de valores de etiquetas seguras por clave de etiqueta | 1,000 | Es la cantidad máxima de valores de etiquetas seguras que puedes agregar por clave de etiqueta. Para obtener más información, consulta Límites de etiquetas. |
Por interfaz de red de VM
Los siguientes límites se aplican a las interfaces de red de máquina virtual (VM):
| Elemento | Límite | Notas |
|---|---|---|
| Cantidad máxima de valores de etiquetas seguras adjuntos a una interfaz de red de VM | 10 | Es la cantidad máxima de valores de etiquetas seguras que se pueden adjuntar a cada interfaz de red de la VM. Para obtener más información sobre las especificaciones de las etiquetas seguras del firewall, consulta Especificaciones.
Para conocer los límites de red, consulta Límites por red. |
Gestionar cuotas
EnCloud Next Generation Firewall se aplican cuotas al uso de recursos por varios motivos. Por ejemplo, las cuotas protegen a la comunidad de usuarios de Google Cloud al evitar que se produzcan picos de uso imprevistos. Las cuotas también ayudan a los usuarios que están explorando Google Cloud con el nivel gratuito a mantenerse dentro de su prueba.
Todos los proyectos comienzan con las mismas cuotas, pero puedes solicitar un aumento para cambiarlas. Hay cuotas que pueden aumentar automáticamente en función del uso que hagas de un producto.
Permisos
Para ver las cuotas o solicitar un aumento de estas, las principales de Gestión de Identidades y Accesos (IAM) necesitan uno de los siguientes roles.
| Tarea | Rol necesario |
|---|---|
| Consultar las cuotas de un proyecto | Una de las siguientes:
|
| Modificar cuotas y solicitar un aumento de cuotas | Una de las siguientes:
|
Consultar tu cuota
Consola
- En la Google Cloud consola, ve a la página Cuotas.
- Para buscar la cuota que quieras actualizar, usa la opción Filtrar tabla. Si no conoces su nombre, usa los enlaces de esta página.
gcloud
En la CLI de Google Cloud, ejecuta el comando que aparece a continuación para comprobar las cuotas. Tienes que sustituir PROJECT_ID por el ID de tu proyecto.
gcloud compute project-info describe --project PROJECT_IDPara ver la cuota que has utilizado en una región, ejecuta el siguiente comando:
gcloud compute regions describe example-region
Errores al superar tu cuota
Si superas tu cuota con un comando gcloud, gcloud genera un mensaje de error quota exceeded y muestra el código de salida 1.
Si superas tu cuota con una solicitud a la API, Google Cloud devuelve el siguiente código de estado HTTP: 413 Request Entity Too Large.
Solicitar cuota adicional
Para ajustar la mayoría de las cuotas, usa la Google Cloud consola. Para obtener más información, consulta Solicitar un ajuste de cuota.
Disponibilidad de recursos
Cada cuota representa el número máximo de un tipo de recurso concreto que puedes crear, siempre que ese recurso esté disponible. Es importante tener en cuenta que las cuotas no aseguran la disponibilidad de recursos. Aunque dispongas de una cuota, no podrás crear un nuevo recurso si este no está disponible.
Por ejemplo, puede que tengas una cuota suficiente para crear una nueva dirección IP externa regional en una región determinada. Sin embargo, esto no es posible si no hay direcciones IP externas disponibles en esa región. La disponibilidad de recursos de zona también puede afectar a tu capacidad para crear recursos nuevos.
No es habitual que falte disponibilidad de recursos en toda una región. Sin embargo, los recursos dentro de una zona pueden agotarse ocasionalmente, aunque no suele afectar al acuerdo de nivel de servicio (SLA) para el tipo de recurso. Para obtener más información, revisa el acuerdo de nivel de servicio relevante para el recurso.