Dokumen ini mencantumkan kuota dan batas sistem yang berlaku untuk Cloud Next Generation Firewall.
- Kuota memiliki nilai default, tetapi biasanya Anda dapat meminta penyesuaian.
- Batas sistem adalah nilai tetap yang tidak dapat diubah.
Google Cloud menggunakan kuota untuk membantu memastikan keadilan dan mengurangi lonjakan penggunaan dan ketersediaan resource. Kuota membatasi jumlah Google Cloud resource yang dapat digunakan Google Cloud project Anda. Kuota berlaku untuk berbagai jenis resource, termasuk komponen hardware, software, dan jaringan. Misalnya, kuota dapat membatasi jumlah panggilan API ke suatu layanan, jumlah load balancer yang digunakan secara bersamaan oleh project Anda, atau jumlah project yang dapat Anda buat. Kuota melindungi komunitas penggunaGoogle Cloud dengan mencegah kelebihan beban layanan. Kuota juga membantu Anda mengelola resource Google Cloud sendiri.
Sistem Kuota Cloud melakukan hal berikut:
- Memantau pemakaian Google Cloud produk dan layanan
- Membatasi pemakaian resource tersebut
- Menyediakan cara untuk meminta perubahan pada nilai kuota dan mengotomatiskan penyesuaian kuota
Dalam sebagian besar kasus, saat Anda mencoba menggunakan resource melebihi kuota yang diizinkan, sistem akan memblokir akses ke resource tersebut, dan tugas yang Anda coba lakukan akan gagal.
Kuota umumnya berlaku di level Google Cloud project. Penggunaan resource dalam satu project tidak memengaruhi kuota yang tersedia dalam project lain. Dalam project Google Cloud , kuota dibagikan ke semua aplikasi dan alamat IP.
Untuk mengetahui informasi selengkapnya, lihat Ringkasan Kuota Cloud.
Ada juga batas sistem pada resource Cloud NGFW. Batas sistem tidak dapat diubah.
Kuota
Bagian ini mencantumkan kuota yang berlaku untuk Cloud Next Generation Firewall.
Untuk memantau kuota per project yang menggunakan Cloud Monitoring, siapkan pemantauan untuk metrik serviceruntime.googleapis.com/quota/allocation/usage pada jenis resource Consumer Quota. Tetapkan filter label tambahan (service,
quota_metric) untuk mendapatkan jenis kuota. Untuk mengetahui informasi tentang pemantauan metrik kuota, lihat Membuat diagram dan memantau metrik kuota.
Setiap kuota memiliki batas dan nilai penggunaan.
Kecuali dinyatakan lain, untuk mengubah kuota, lihat Meminta penyesuaian kuota.
Per project
Tabel berikut menunjukkan kuota Cloud NGFW yang per project:
| Kuota | Deskripsi |
|---|---|
| Aturan firewall VPC | Jumlah aturan firewall VPC yang dapat Anda buat dalam project, terlepas dari jaringan VPC tempat setiap aturan firewall diterapkan. |
| Kebijakan firewall jaringan global | Jumlah kebijakan firewall jaringan Global dalam project, terlepas dari jumlah jaringan VPC yang terkait dengan setiap kebijakan. |
| Kebijakan firewall jaringan regional | Jumlah Kebijakan firewall jaringan regional di setiap region project, terlepas dari jumlah jaringan VPC yang terkait dengan setiap kebijakan. |
| Grup alamat global per project | Jumlah grup alamat lingkup project global yang dapat Anda tentukan dalam project. |
| Grup alamat regional per project per region | Jumlah grup alamat lingkup project regional yang dapat Anda tentukan di setiap region project. |
Per organisasi
Tabel berikut menandai kuota Cloud NGFW yang berlaku per organisasi. Untuk mengubah kuota tingkat organisasi, ajukan kasus Dukungan.
| Kuota | Deskripsi |
|---|---|
| Kebijakan firewall hierarkis yang tidak terkait dalam organisasi | Jumlah Kebijakan firewall hierarkis dalam organisasi yang tidak dikaitkan dengan resource folder atau organisasi mana pun. Tidak ada batasan jumlah Kebijakan firewall hierarkis dalam organisasi yang terkait dengan resource. |
| Grup alamat global per organisasi | Jumlah grup alamat lingkup organisasi dan global yang dapat Anda tentukan dalam organisasi. |
| Grup alamat regional per organisasi per region | Jumlah grup alamat cakupan organisasi regional yang dapat Anda tentukan di setiap region dalam organisasi. |
Per jaringan
Kuota berikut berlaku untuk jaringan VPC:
| Kuota | Deskripsi |
|---|---|
| Asosiasi kebijakan firewall jaringan regional per region per jaringan VPC | Jumlah maksimum kebijakan firewall jaringan regional yang dapat Anda kaitkan dengan region jaringan VPC. |
| Atribut aturan firewall per region per jaringan VPC | Jumlah maksimum atribut aturan dari aturan semua kebijakan firewall jaringan regional terkait di region jaringan VPC. |
| FQDN aturan firewall per region per jaringan VPC | Jumlah maksimum FQDN dari aturan di semua kebijakan firewall jaringan regional terkait di region jaringan VPC. |
Per kebijakan firewall
Tabel berikut menunjukkan kuota Cloud NGFW yang berlaku per resource kebijakan firewall:
| Kuota | Deskripsi |
|---|---|
| Kebijakan firewall hierarkis | |
| Atribut aturan per kebijakan firewall hierarkis | Kuota ini adalah jumlah atribut aturan dari semua aturan dalam kebijakan firewall hierarkis. Untuk mengetahui informasi selengkapnya, lihat detail Jumlah atribut aturan. |
| Nama domain (FQDN) per kebijakan firewall hierarkis | Jumlah nama domain yang dapat Anda sertakan dalam semua aturan kebijakan firewall hierarkis. Kuota ini adalah jumlah semua nama domain sumber dari semua aturan ingress dalam kebijakan ditambah jumlah semua nama domain tujuan dari semua aturan egress dalam kebijakan. |
| Kebijakan firewall jaringan global | |
| Atribut aturan per kebijakan firewall jaringan global | Jumlah atribut aturan dari semua aturan dalam kebijakan firewall jaringan global. Untuk mengetahui informasi selengkapnya, lihat detail Jumlah atribut aturan. |
| Nama domain (FQDN) per kebijakan firewall jaringan global | Jumlah nama domain yang dapat Anda sertakan dalam semua aturan kebijakan firewall jaringan global. Kuota ini adalah jumlah semua nama domain sumber dari semua aturan ingress dalam kebijakan ditambah jumlah semua nama domain tujuan dari semua aturan egress dalam kebijakan. |
| Kebijakan firewall jaringan regional | |
| Atribut aturan per kebijakan firewall jaringan regional | Jumlah atribut aturan dari semua aturan dalam kebijakan firewall jaringan regional. Untuk mengetahui informasi selengkapnya, lihat detail Jumlah atribut aturan. |
| Nama domain (FQDN) per kebijakan firewall jaringan regional | Jumlah nama domain (FQDN) yang dapat Anda sertakan dalam semua aturan kebijakan firewall jaringan regional: Kuota ini adalah jumlah semua nama domain sumber dari semua aturan masuk dalam kebijakan ditambah jumlah semua nama domain tujuan dari semua aturan keluar dalam kebijakan. |
Detail jumlah atribut aturan
Setiap kebijakan firewall mendukung jumlah total maksimum atribut dari semua aturan dalam kebijakan. Untuk menentukan jumlah atribut aturan untuk kebijakan firewall tertentu, jelaskan kebijakan tersebut. Untuk mengetahui petunjuknya, lihat bagian berikut:
- Menjelaskan kebijakan dalam dokumentasi kebijakan firewall hierarkis
- Mendeskripsikan kebijakan firewall jaringan global
- Menjelaskan kebijakan firewall jaringan regional
Tabel berikut mencantumkan contoh aturan dan jumlah atribut untuk setiap contoh aturan.
| Contoh aturan firewall | Jumlah atribut aturan | Penjelasan |
|---|---|---|
Aturan firewall izinkan masuk dengan rentang alamat IP sumber
10.100.0.1/32, protokol tcp, dan
rentang port 5000-6000.
|
3 | Satu rentang sumber; satu protokol, satu rentang port. |
Aturan firewall penolakan traffic masuk dengan rentang alamat IP sumber
10.0.0.0/8, 192.168.0.0/16, rentang alamat IP
tujuan 100.64.0.7/32, tcp dan
udp protokol, rentang port 53-53 dan
5353-5353.
|
11 | Ada empat kombinasi protokol dan port: tcp:53-53,
tcp:5353-5353, udp:53-53, dan
udp:5353-5353. Setiap kombinasi protokol dan port menggunakan dua
atribut. Satu atribut untuk setiap dua rentang alamat IP sumber, satu
atribut untuk rentang alamat IP tujuan, dan delapan atribut untuk
kombinasi protokol dan port menghasilkan jumlah atribut 11. |
Aturan firewall penolakan traffic keluar dengan rentang alamat IP sumber
100.64.0.7/32, rentang alamat IP tujuan
10.100.0.1/32, 10.100.1.1/32, tcp:80,
tcp:443, dan udp:4000-5000.
|
9 | Kombinasi protokol dan port diperluas menjadi tiga: tcp:80-80,
tcp:443-443, dan udp:4000-5000. Setiap kombinasi protokol dan port menggunakan dua atribut. Satu atribut untuk rentang sumber,
satu atribut untuk setiap rentang alamat IP tujuan, dan enam
atribut untuk kombinasi protokol dan port menghasilkan jumlah atribut
sebanyak 9. |
Batas
Batas tidak dapat ditingkatkan kecuali jika dinyatakan secara khusus.
Per organisasi
Batasan berikut berlaku untuk organisasi:
| Item | batas | Catatan |
|---|---|---|
| Jumlah maksimum kunci tag aman per organisasi | 1.000 | Jumlah maksimum kunci tag aman yang memiliki organisasi induk. Untuk mengetahui informasi selengkapnya, lihat Batas tag. |
Nilai tag aman maksimum yang digunakan oleh semua kunci tag yang purpose
adalah GCE_FIREWALL dan purpose-data adalah organisasi
|
16384 | Batas ini diterapkan pada semua nilai tag yang digunakan oleh kunci tag yang dibuat di organisasi yang cocok dengan data tujuan, termasuk kunci tag yang induknya adalah organisasi atau project di dalamnya. |
| Profil keamanan pemfilteran URL per organisasi | 40 | Jumlah maksimum profil keamanan pemfilteran URL yang dapat Anda buat per organisasi. |
| Profil keamanan pencegahan ancaman per organisasi | 40 | Jumlah maksimum profil keamanan jenis pencegahan ancaman yang dapat Anda buat per organisasi. |
| Grup profil keamanan dengan pencegahan ancaman per organisasi | 40 | Jumlah maksimum grup profil keamanan yang menggunakan profil keamanan pencegahan ancaman yang dapat Anda buat per organisasi. |
| Grup profil keamanan dengan pemfilteran URL per organisasi | 40 | Jumlah maksimum grup profil keamanan yang menggunakan profil keamanan pemfilteran URL yang dapat Anda buat per organisasi. |
| Endpoint firewall per zona per organisasi | 50 | Jumlah maksimum endpoint firewall yang dapat Anda buat per zona per organisasi. |
Per project
Batas berikut berlaku untuk project:
| Item | batas | Catatan |
|---|---|---|
| Jumlah maksimum kunci tag aman per project | 1.000 | Jumlah maksimum kunci tag aman yang memiliki project induk. Untuk mengetahui informasi selengkapnya, lihat Batas tag. |
Per jaringan
Batas berikut berlaku untuk jaringan VPC:
| Item | Batas | Catatan |
|---|---|---|
| Jumlah maksimum kebijakan firewall jaringan global per jaringan | 1 | Jumlah maksimum kebijakan firewall jaringan global yang dapat Anda kaitkan dengan jaringan VPC. |
| Jumlah maksimum nama domain (FQDN) per jaringan | 1.000 | Jumlah total maksimum nama domain yang dapat digunakan dalam aturan firewall yang berasal dari kebijakan firewall hierarkis, kebijakan firewall jaringan global, dan kebijakan firewall jaringan regional yang terkait dengan jaringan VPC. |
Nilai tag aman maksimum yang digunakan oleh semua kunci tag yang purpose-nya
adalah GCE_FIREWALL dan purpose-data adalah
jaringan VPC
|
16383 | Batas ini diterapkan pada semua nilai tag yang digunakan oleh kunci tag yang
purpose-data cocok dengan jaringan VPC yang ditentukan,
termasuk kunci tag yang induknya adalah organisasi atau project.
|
| Endpoint firewall per zona per jaringan | 1 | Jumlah maksimum endpoint firewall yang dapat Anda tetapkan per zona per jaringan. |
Aturan firewall per
Batasan berikut berlaku untuk aturan firewall:
| Item | Batas | Catatan |
|---|---|---|
| Jumlah maksimum tag aman sumber per aturan kebijakan firewall masuk | 256 | Hanya berlaku untuk aturan kebijakan firewall ingress—jumlah maksimum tag aman yang dapat Anda gunakan sebagai tag sumber dalam aturan firewall. Batas ini tidak dapat ditingkatkan. |
| Jumlah maksimum tag aman target per aturan kebijakan firewall | 256 | Hanya berlaku untuk aturan kebijakan firewall—jumlah maksimum tag aman yang dapat Anda gunakan sebagai tag target dalam aturan firewall. Batas ini tidak dapat ditingkatkan. |
| Jumlah maksimum tag jaringan sumber per aturan firewall masuk VPC | 30 | Hanya berlaku untuk aturan firewall VPC ingress—jumlah maksimum tag jaringan yang dapat Anda gunakan sebagai tag sumber dalam aturan firewall. Batas ini tidak dapat ditingkatkan. |
| Jumlah maksimum tag jaringan target per aturan firewall VPC | 70 | Hanya berlaku untuk aturan firewall VPC—jumlah maksimum tag jaringan yang dapat Anda gunakan sebagai tag target dalam aturan firewall. Batas ini tidak dapat ditingkatkan. |
| Jumlah maksimum akun layanan sumber per aturan firewall VPC ingress | 10 | Hanya berlaku untuk aturan firewall VPC ingress—jumlah maksimum akun layanan yang dapat Anda gunakan sebagai sumber dalam aturan firewall. Batas ini tidak dapat ditingkatkan. |
| Jumlah maksimum akun layanan target per aturan firewall | 10 | Jumlah maksimum akun layanan yang dapat Anda gunakan sebagai target dalam aturan firewall VPC atau aturan dalam kebijakan firewall. Batas ini tidak dapat ditingkatkan. |
| Jumlah maksimum rentang alamat IP sumber per aturan firewall | 5.000 | Jumlah maksimum rentang alamat IP sumber yang dapat Anda tentukan dalam aturan firewall VPC atau aturan dalam kebijakan firewall. Rentang alamat IP hanya IPv4 atau hanya IPv6. Batas ini tidak dapat ditingkatkan. |
| Jumlah maksimum rentang alamat IP tujuan per aturan firewall | 5.000 | Jumlah maksimum rentang alamat IP tujuan yang dapat Anda tentukan dalam aturan firewall VPC atau aturan dalam kebijakan firewall. Rentang alamat IP hanya IPv4 atau hanya IPv6. Batas ini tidak dapat ditingkatkan. |
| Jumlah maksimum grup alamat sumber per aturan firewall masuk dalam kebijakan firewall | 10 | Jumlah maksimum grup alamat sumber yang dapat Anda tentukan dalam aturan firewall masuk dalam kebijakan firewall. Batas ini tidak dapat ditingkatkan. |
| Jumlah maksimum grup alamat tujuan per aturan firewall dalam kebijakan firewall | 10 | Jumlah maksimum grup alamat tujuan yang dapat Anda tentukan dalam aturan firewall keluar dalam kebijakan firewall. Batas ini tidak dapat ditingkatkan. |
| Jumlah maksimum nama domain (FQDN) per aturan firewall dalam kebijakan firewall | 100 | Jumlah nama domain (FQDN) yang dapat Anda sertakan dalam aturan kebijakan firewall. Batas ini tidak dapat ditingkatkan. |
Per grup alamat
Batas berikut berlaku untuk grup alamat yang digunakan oleh Cloud NGFW.
| Item | Batas | Catatan |
|---|---|---|
| Jumlah maksimum alamat IP per grup alamat | 1.000 | Berlaku secara terpisah untuk setiap grup alamat yang digunakan oleh Cloud NGFW. Grup alamat dapat berupa grup alamat lingkup project global; grup alamat lingkup organisasi global; grup alamat lingkup project regional; atau grup alamat lingkup organisasi regional. |
Per endpoint firewall
Batasan berikut berlaku untuk endpoint firewall:
| Item | Batas | Catatan |
|---|---|---|
| Asosiasi per endpoint firewall | 50 | Jumlah maksimum jaringan VPC yang dapat Anda kaitkan dengan endpoint firewall. Anda dapat membuat endpoint firewall tambahan di zona yang sama untuk mengatasi batas ini. |
| Throughput per koneksi maksimum dengan Transport Layer Security (TLS) | 250 Mbps | Throughput maksimum per koneksi dengan pemeriksaan TLS. |
| Throughput maksimum per koneksi tanpa TLS | 1,25 Gbps | Throughput maksimum per koneksi tanpa pemeriksaan TLS. |
| Traffic maksimum dengan TLS | 2 Gbps | Jumlah maksimum traffic yang dapat diproses endpoint firewall dengan pemeriksaan TLS. |
| Traffic maksimum tanpa TLS | 10 Gbps | Traffic maksimum yang dapat diproses endpoint firewall tanpa pemeriksaan TLS. |
Per profil keamanan
Batasan berikut berlaku untuk profil keamanan:
| Item | Batas | Catatan |
|---|---|---|
| Jumlah string pencocok per profil keamanan | 500 | Jumlah maksimum string pencocok yang dapat Anda tambahkan ke profil keamanan pemfilteran URL. |
| Jumlah penggantian ancaman per profil keamanan | 100 | Jumlah maksimum penggantian ancaman yang dapat Anda tambahkan dalam profil keamanan pencegahan ancaman. |
Per tag aman
Batasan berikut berlaku untuk tag aman:
| Item | Batas | Catatan |
|---|---|---|
| Nilai tag aman maksimum per kunci tag | 1.000 | Jumlah maksimum nilai tag aman yang dapat Anda tambahkan per kunci tag. Untuk mengetahui informasi selengkapnya, lihat Batas tag. |
Per antarmuka jaringan VM
Batas berikut berlaku untuk antarmuka jaringan virtual machine (VM):
| Item | Batas | Catatan |
|---|---|---|
| Nilai tag aman maksimum yang terpasang ke antarmuka jaringan VM | 10 | Jumlah maksimum nilai tag aman yang dapat dilampirkan ke setiap antarmuka jaringan VM. Untuk mengetahui informasi selengkapnya tentang
spesifikasi tag aman firewall,
lihat Spesifikasi.
Untuk batas jaringan, lihat Batas per jaringan. |
Manage quotas
Cloud Next Generation Firewall enforces quotas on resource usage for various reasons. For example, quotas protect the community of Google Cloud users by preventing unforeseen spikes in usage. Quotas also help users who are exploring Google Cloud with the free tier to stay within their trial.
All projects start with the same quotas, which you can change by requesting additional quota. Some quotas might increase automatically based on your use of a product.
Permissions
To view quotas or request quota increases, Identity and Access Management (IAM) principals need one of the following roles.
| Task | Required role |
|---|---|
| Check quotas for a project | One of the following:
|
| Modify quotas, request additional quota | One of the following:
|
Check your quota
Console
- In the Google Cloud console, go to the Quotas page.
- To search for the quota that you want to update, use the Filter table. If you don't know the name of the quota, use the links on this page instead.
gcloud
Using the Google Cloud CLI, run the following command to
check your quotas. Replace PROJECT_ID with your own project ID.
gcloud compute project-info describe --project PROJECT_IDTo check your used quota in a region, run the following command:
gcloud compute regions describe example-region
Errors when exceeding your quota
If you exceed a quota with a gcloud command,
gcloud outputs a quota exceeded error
message and returns with the exit code 1.
If you exceed a quota with an API request, Google Cloud returns the
following HTTP status code: 413 Request Entity Too Large.
Request additional quota
To adjust most quotas, use the Google Cloud console. For more information, see Request a quota adjustment.
Resource availability
Each quota represents a maximum number for a particular type of resource that you can create, if that resource is available. It's important to note that quotas don't guarantee resource availability. Even if you have available quota, you can't create a new resource if it is not available.
For example, you might have sufficient quota to create a new regional, external IP address in a given region. However, that is not possible if there are no available external IP addresses in that region. Zonal resource availability can also affect your ability to create a new resource.
Situations where resources are unavailable in an entire region are rare. However, resources within a zone can be depleted from time to time, typically without impact to the service level agreement (SLA) for the type of resource. For more information, review the relevant SLA for the resource.