במאמר הזה מפורטות המכסות והמגבלות של המערכת שחלות על Cloud Next Generation Firewall.
- המכסות נקבעות כברירת מחדל, אבל בדרך כלל אפשר לבקש לשנות אותן.
- מגבלות המערכת קבועות ואי אפשר לשנות אותן.
המכסות שלGoogle Cloud עוזרות לשמור על הוגנות ולצמצם עליות חדות בשימוש במשאבים ובזמינות שלהם. הן מגבילות את כמות המשאבים שלGoogle Cloud שאפשר להשתמש בהם בפרויקט ב- Google Cloud . המכסות רלוונטיות למגוון רחב של סוגי משאבים, כולל רכיבי חומרה, תוכנה ורשתות. לדוגמה, המכסות יכולות להגביל את מספר הקריאות ל-API בשירות מסוים, את מספר מאזני העומסים שאפשר להשתמש בהם בו-זמנית בפרויקט או את מספר הפרויקטים שאפשר ליצור. בשורה התחתונה, המכסות מגינות על משתמשיGoogle Cloud בכך שהן מונעות עומס יתר על השירותים, אבל גם עוזרות לשלוט על השימוש במשאבי Google Cloud .
מערכת המכסות ב-Cloud:
- עוקבת אחרי השימוש במוצרים ובשירותים של Google Cloud
- מגבילה את השימוש במשאבים האלה
- כוללת כלי שבאמצעותו אפשר לשלוח בקשות לשינוי המכסות ולשנות אותן אוטומטית
ברוב המקרים, כשאתם מנסים להשתמש ביותר משאבים מהמכסה, הגישה למשאב נחסמת ומה שאתם מנסים לעשות נכשל.
בדרך כלל, המכסות ב- Google Cloud הן ברמת הפרויקט. כלומר, השימוש במשאב מסוים בפרויקט כלשהו לא משפיע על המכסה שלכם בפרויקטים אחרים. ברמת הפרויקט ב- Google Cloud , המכסות משותפות לכל האפליקציות וכתובות ה-IP.
למשאבי Cloud NGFW יש גם מגבלות מערכת. שאי אפשר לשנות.
מכסות
בקטע הזה מפורטות המכסות שחלות על Cloud Next Generation Firewall.
כדי לעקוב אחרי מכסות לכל פרויקט באמצעות Cloud Monitoring, צריך להגדיר מעקב אחרי המדד serviceruntime.googleapis.com/quota/allocation/usage בסוג המשאב Consumer Quota. מגדירים מסננים נוספים לפי תוויות (service,
quota_metric) כדי להגיע לסוג המכסה. מידע על מעקב אחרי מדדי מכסות זמין במאמר מיפוי ומעקב אחרי מדדי מכסות.
לכל מכסה יש מגבלה וערך שימוש.
אלא אם צוין אחרת, כדי לשנות מכסה, אפשר לעיין במאמר בנושא שליחת בקשה לשינוי מכסה.
לכל פרויקט
בטבלה הבאה מפורטות המכסות של Cloud NGFW לכל פרויקט:
| מכסה | תיאור |
|---|---|
| כללי חומת אש בענן וירטואלי פרטי (VPC) | מספר כללי חומת האש של VPC שאפשר ליצור בפרויקט, ללא קשר לרשת ה-VPC שאליה חל כל כלל של חומת אש. |
| מדיניות גלובלית של חומת אש בין רשתות | מספר מדיניות חומת האש בין רשתות גלובליות בפרויקט, בלי קשר למספר רשתות ה-VPC שמשויכות לכל מדיניות. |
| מדיניות אזורית של חומת אש בין רשתות | מספר מדיניות חומת האש האזורית של הרשת בכל אזור בפרויקט, ללא קשר למספר רשתות ה-VPC שמשויכות לכל מדיניות. |
| קבוצות גלובליות של כתובות לכל פרויקט | מספר קבוצות הכתובות הגלובליות ברמת הפרויקט שאפשר להגדיר בפרויקט. |
| קבוצות אזוריות של כתובות לכל פרויקט בכל אזור | מספר קבוצות הכתובות האזוריות ברמת הפרויקט שאפשר להגדיר בכל אזור בפרויקט. |
לכל ארגון
בטבלה הבאה מודגשות המכסות של Cloud NGFW שחלות על כל ארגון. כדי לשנות מכסה ברמת הארגון, פותחים פנייה לתמיכה.
| מכסה | תיאור |
|---|---|
| מדיניות חומת אש היררכית שלא משויכת לארגון | מספר מדיניות חומת האש ההיררכית בארגון שלא משויכת למשאב של תיקייה או ארגון. אין הגבלה על מספר מדיניות חומת האש ההיררכית בארגון שמשויכת למשאב. |
| קבוצות גלובליות של כתובות לכל ארגון | מספר קבוצות הכתובות הגלובליות ברמת הארגון שאפשר להגדיר בארגון. |
| קבוצות כתובות אזוריות לכל ארגון בכל אזור | מספר קבוצות הכתובות האזוריות ברמת הארגון שאפשר להגדיר בכל אזור בארגון. |
לכל רשת
המכסות הבאות חלות על רשתות VPC:
| מכסה | תיאור |
|---|---|
| שיוכים של מדיניות חומת אש אזורית לכל אזור לכל רשת VPC | המספר המקסימלי של מדיניות אזורית של חומת אש ברשת שאפשר לשייך לאזור של רשת VPC. |
| מאפיינים של כללי חומת אש לכל אזור לכל רשת VPC | המספר המקסימלי של מאפייני כללים מכללים של כל מדיניות חומת האש האזורית המשויכת באזור של רשת VPC. פרטים על חישוב מאפייני הכללים זמינים במאמר חישוב מספר מאפייני הכללים. |
| שמות דומיין מלאים (FQDN) של כללי חומת אש לכל אזור לכל רשת VPC | המספר המקסימלי של שמות דומיין מלאים (FQDN) מכללים בכל מדיניות חומת האש האזורית המשויכת ברשת VPC באזור. |
לכל מדיניות חומת אש
בטבלה הבאה מודגשות מכסות של Cloud NGFW שחלות על כל משאב של מדיניות חומת אש:
| מכסה | תיאור |
|---|---|
| מדיניות חומת אש היררכית | |
| מאפייני כללים לפי מדיניות חומת אש היררכית | המכסה הזה הוא סכום מאפייני הכללים מכל הכללים במדיניות חומת אש היררכית. מידע נוסף זמין במאמרים ספירת מאפייני הכללים במדיניות חומת אש וחישוב ספירת מאפייני הכללים. |
| שמות דומיין (FQDN) לכל מדיניות חומת אש היררכית | מספר שמות הדומיינים שאפשר לכלול בכל הכללים של מדיניות חומת אש היררכית. המכסה הזה הוא סכום כל שמות הדומיינים של המקור מכל כללי הכניסה במדיניות, ועוד סכום כל שמות הדומיינים של היעד מכל כללי היציאה במדיניות. |
| מדיניות גלובלית של חומת אש בין רשתות | |
| מאפייני כללים לכל מדיניות חומת אש בין רשתות גלובלית | סכום מאפייני הכללים מכל הכללים במדיניות חומת אש גלובלית ברשת. למידע נוסף: ספירת מאפייני הכללים במדיניות חומת אש וחישוב ספירת מאפייני הכללים. |
| שמות דומיינים (FQDN) לכל מדיניות חומת אש בין רשתות גלובלית | מספר שמות הדומיינים שאפשר לכלול בכל הכללים של מדיניות חומת אש בין רשתות גלובלית. המכסה הזה הוא סכום כל שמות הדומיינים של המקור מכל כללי הכניסה במדיניות, ועוד סכום כל שמות הדומיינים של היעד מכל כללי היציאה במדיניות. |
| מדיניות אזורית של חומת אש בין רשתות | |
| מאפייני כלל לפי מדיניות חומת אש אזורית ברשת | סכום מאפייני הכללים מכל הכללים במדיניות חומת אש אזורית ברשת. למידע נוסף, אפשר לעיין במאמרים ספירת מאפייני הכללים במדיניות חומת אש וחישוב ספירת מאפייני הכללים. |
| שמות דומיין (FQDN) לכל מדיניות חומת אש אזורית ברשת | מספר שמות הדומיין (FQDN) שאפשר לכלול בכל הכללים של מדיניות חומת אש ברשת אזורית: המכסה הזו היא סכום כל שמות הדומיין של המקור מכל כללי הכניסה במדיניות, ועוד סכום כל שמות הדומיין של היעד מכל כללי היציאה במדיניות. |
מספר מאפייני הכלל במדיניות חומת אש
כל מדיניות חומת אש תומכת במספר כולל מקסימלי של מאפיינים מכל הכללים במדיניות. כדי לקבוע את מספר מאפייני הכלל במדיניות חומת אש נתונה, צריך לתאר את המדיניות. הוראות מפורטות:
- תאר מדיניות היררכית של חומת אש
- תאר מדיניות חומת אש בין רשתות גלובליות
- תאר מדיניות אזורית של חומת אש ברשת
פרטים על חישוב מאפייני הכלל מופיעים במאמר חישוב מספר מאפייני הכלל.
מגבלות
אי אפשר להגדיל את המגבלות, אלא אם צוין אחרת.
לכל ארגון
המגבלות הבאות חלות על ארגונים:
| פריט | הגבלה | הערות |
|---|---|---|
| מספר מקסימלי של מפתחות תגים מאובטחים לכל ארגון | 1,000 | המספר המקסימלי של מפתחות תגים מאובטחים שיש להם ארגון אב. מידע נוסף זמין במאמר בנושא מגבלות על תגים. |
הערכים המקסימליים של תגים מאובטחים שמשמשים את כל מפתחות התגים שבהם purpose
הוא GCE_FIREWALL ו-purpose-data הוא ארגון
|
16384 | ההגבלה הזו חלה על כל ערכי התגים שמשמשים מפתחות תגים שנוצרו בארגון שתואם לנתוני המטרה, כולל מפתחות תגים שההורה שלהם הוא הארגון או פרויקט בתוכו. |
| פרופילי אבטחה לסינון כתובות URL לכל ארגון | 40 | המספר המקסימלי של פרופילי אבטחה לסינון כתובות URL שאפשר ליצור לכל ארגון. |
| פרופילי אבטחה למניעת איומים לכל ארגון | 40 | המספר המקסימלי של פרופילי אבטחה מסוג מניעת איומים שאפשר ליצור לכל ארגון. |
| קבוצות של פרופילי אבטחה עם מניעת איומים לכל ארגון | 40 | המספר המקסימלי של קבוצות פרופילי אבטחה שמשתמשות בפרופיל אבטחה למניעת איומים שאפשר ליצור לכל ארגון. |
| קבוצות של פרופילי אבטחה עם סינון כתובות URL לכל ארגון | 40 | המספר המקסימלי של קבוצות פרופילי אבטחה שמשתמשות בפרופיל אבטחה של סינון כתובות URL שאפשר ליצור לכל ארגון. |
| נקודות קצה של חומת אש לכל תחום לכל ארגון | 50 | המספר המקסימלי של נקודות קצה של חומת אש שאפשר ליצור לכל אזור לכל ארגון. |
לכל פרויקט
המגבלות הבאות חלות על הפרויקט:
| פריט | הגבלה | הערות |
|---|---|---|
| מספר מקסימלי של מפתחות תגים מאובטחים לכל פרויקט | 1,000 | המספר המקסימלי של מפתחות תגים מאובטחים שיש להם פרויקט אב. מידע נוסף זמין במאמר בנושא מגבלות על תגים. |
| פרופילי אבטחה לסינון כתובות URL לכל פרויקט | 40 | המספר המקסימלי של פרופילי אבטחה לסינון כתובות URL שאפשר ליצור לכל פרויקט. |
| פרופילי אבטחה למניעת איומים לכל פרויקט | 40 | המספר המקסימלי של פרופילי אבטחה מסוג מניעת איומים שאפשר ליצור בכל פרויקט. |
| קבוצות של פרופילי אבטחה עם מניעת איומים לכל פרויקט | 40 | המספר המקסימלי של קבוצות פרופילים לאבטחה שמשתמשות בפרופיל אבטחה למניעת איומים שאפשר ליצור בכל פרויקט. |
| קבוצות של פרופילי אבטחה עם סינון כתובות URL לכל פרויקט | 40 | המספר המקסימלי של קבוצות פרופילי אבטחה שמשתמשות בפרופיל אבטחה של סינון כתובות URL שאפשר ליצור בכל פרויקט. |
| נקודות קצה של חומת אש לכל תחום לכל פרויקט | 50 | המספר המקסימלי של נקודות קצה של חומת אש שאפשר ליצור בכל אזור לכל פרויקט. |
לכל רשת
המגבלות הבאות חלות על רשתות VPC:
| פריט | הגבלה | הערות |
|---|---|---|
| המספר המקסימלי של כללי מדיניות גלובליים של חומת אש בין רשתות לכל רשת | 1 | המספר המקסימלי של מדיניות חומת אש בין רשתות גלובליות שאפשר לשייך לרשת VPC. |
| המספר המקסימלי של שמות דומיין (FQDN) לכל רשת | 1,000 | מספר הדומיינים המקסימלי הכולל שאפשר להשתמש בהם בכללי חומת אש שמגיעים ממדיניות חומת אש היררכית, ממדיניות חומת אש בין רשתות גלובליות וממדיניות חומת אש בין רשתות אזוריות שמשויכות לרשת VPC. |
מספר הערכים המקסימלי של תגים מאובטחים שמשמשים את כל מפתחות התגים שבהם purpose
הוא GCE_FIREWALL ו-purpose-data הוא רשת VPC
|
16383 | ההגבלה הזו נאכפת על כל ערכי התגים שמשמשים מפתחות תגים שבהם purpose-data תואם לרשת ה-VPC שצוינה, כולל מפתחות תגים שההורה שלהם הוא הארגון או פרויקט.
|
| נקודות קצה של חומת אש לכל אזור לכל רשת | 1 | המספר המקסימלי של נקודות קצה של חומת אש שאפשר להקצות לכל אזור לכל רשת. |
לכל כלל חומת אש
ההגבלות הבאות חלות על כללים של חומת אש:
| פריט | הגבלה | הערות |
|---|---|---|
| המספר המקסימלי של תגי אבטחה של מקור לכל כלל במדיניות חומת אש של תנועה נכנסת | 256 | המאפיין הזה רלוונטי רק לכלל במדיניות חומת האש של תעבורת נכנסת – מספר התגים המאובטחים המקסימלי שאפשר להשתמש בהם כתגי מקור בכלל חומת האש. אי אפשר להגדיל את המכסה הזו. |
| המספר המקסימלי של תגי אבטחה ליעד לכל כלל מדיניות חומת אש | 256 | ההגדרה רלוונטית רק לכלל במדיניות חומת האש – המספר המקסימלי של תגים מאובטחים שאפשר להשתמש בהם כתגי יעד בכלל חומת האש. אי אפשר להגדיל את המכסה הזו. |
| המספר המקסימלי של תגי רשת מקור לכל כלל חומת אש של VPC לתעבורת נתונים נכנסת | 30 | ההגדרה רלוונטית רק לכללי חומת אש של VPC לתעבורת נתונים נכנסת – מספר תגי הרשת המקסימלי שאפשר להשתמש בהם כתגי מקור בכלל חומת האש. אי אפשר להגדיל את המכסה הזו. |
| המספר המקסימלי של תגי רשת יעד לכל כלל חומת אש של VPC | 70 | הערך הזה רלוונטי רק לכללי חומת אש של VPC – מספר התגים המקסימלי ברשת שאפשר להשתמש בהם כתגי יעד בכלל חומת האש. אי אפשר להגדיל את המכסה הזו. |
| המספר המקסימלי של חשבונות שירות מקור לכל כלל לחומת אש של VPC לתעבורת נתונים נכנסת | 10 | ההגבלה הזו רלוונטית רק לכללי חומת אש של VPC לתעבורת נתונים נכנסת (ingress) – מספר חשבונות השירות המקסימלי שאפשר להשתמש בהם כמקורות בכלל חומת האש. אי אפשר להגדיל את המכסה הזו. |
| המספר המקסימלי של חשבונות שירות יעד לכל כלל לחומת אש | 10 | המספר המקסימלי של חשבונות שירות שאפשר להשתמש בהם כיעדים בכלל חומת אש של VPC או בכלל במדיניות חומת אש. אי אפשר להגדיל את המכסה הזו. |
| המספר המקסימלי של טווחי כתובות IP של מקור לכל כלל לחומת אש | 5,000 | המספר המקסימלי של טווחי כתובות IP של מקור שאפשר לציין בכלל חומת אש ב-VPC או בכלל במדיניות חומת אש. טווחים של כתובות IP הם מסוג IPv4 בלבד או IPv6 בלבד. אי אפשר להגדיל את המכסה הזו. |
| המספר המקסימלי של טווחי כתובות IP של יעד לכל כלל חומת אש | 5,000 | המספר המקסימלי של טווחי כתובות IP של יעד שאפשר לציין בכלל של חומת אש ב-VPC או במדיניות חומת אש. כתובות IP הן רק IPv4 או רק IPv6. אי אפשר להגדיל את המכסה הזו. |
| מספר קבוצות כתובות המקור המקסימלי לכל כלל חומת אש לתנועה נכנסת במדיניות חומת אש | 10 | המספר המקסימלי של קבוצות כתובות מקור שאפשר לציין בכלל חומת אש לתעבורה נכנסת במדיניות חומת אש. אי אפשר להגדיל את המכסה הזו. |
| מספר קבוצות כתובות היעד המקסימלי לכל כלל חומת אש במדיניות חומת אש | 10 | המספר המקסימלי של קבוצות כתובות יעד שאפשר לציין בכלל חומת אש ליציאה במדיניות חומת אש. אי אפשר להגדיל את המכסה הזו. |
| מספר מקסימלי של שמות דומיין (FQDN) לכל כלל חומת אש במדיניות חומת אש | 100 | מספר שמות הדומיינים (FQDN) שאפשר לכלול בכלל של מדיניות חומת אש. אי אפשר להגדיל את המכסה הזו. |
לכל קבוצת כתובות
המגבלות הבאות חלות על קבוצות כתובות שמשמשות את Cloud NGFW.
| פריט | הגבלה | הערות |
|---|---|---|
| מספר כתובות ה-IP המקסימלי לכל קבוצת כתובות | 1,000 | הכלל חל בנפרד על כל קבוצת כתובות שנעשה בה שימוש ב-Cloud NGFW. קבוצת הכתובות יכולה להיות קבוצת כתובות גלובלית בהיקף פרויקט, קבוצת כתובות גלובלית בהיקף ארגון, קבוצת כתובות אזורית בהיקף פרויקט או קבוצת כתובות אזורית בהיקף ארגון. |
לכל נקודת קצה של חומת אש
ההגבלות הבאות חלות על נקודות קצה של חומת אש:
| פריט | הגבלה | הערות |
|---|---|---|
| מספר מקסימלי של שיוכים של נקודות קצה לחומת אש לכל נקודת קצה של חומת אש ברמת הארגון | 15 | המספר המקסימלי של שיוכים של נקודות קצה של חומת אש שמשויכות לנקודת קצה אחת של חומת אש ברמת הארגון. |
| מספר מקסימלי של שיוכים של נקודות קצה לחומת אש לכל נקודת קצה לחומת אש ברמת הפרויקט | 15 | המספר המקסימלי של שיוכים של נקודות קצה של חומת אש שמשויכות לנקודת קצה אחת של חומת אש ברמת הפרויקט. |
| התפוקה המקסימלית לכל חיבור עם Transport Layer Security (TLS) | 250 Mbps | התפוקה המקסימלית לכל חיבור עם בדיקת TLS. |
| התפוקה המקסימלית לכל חיבור ללא TLS | 1.25 Gbps | התפוקה המקסימלית לכל חיבור ללא בדיקת TLS. |
| תנועה מקסימלית עם TLS | 2 Gbps | התעבורה המקסימלית שנקודות קצה של חומת אש יכולות לעבד באמצעות בדיקת TLS. |
| תנועה מקסימלית ללא TLS | 10 Gbps | התנועה המקסימלית שנקודות קצה של חומת אש יכולות לעבד בלי בדיקת TLS. |
לכל פרופיל אבטחה
המגבלות הבאות חלות על פרופילי אבטחה:
| פריט | הגבלה | הערות |
|---|---|---|
| מספר המחרוזות להתאמה לכל פרופיל אבטחה | 2500 | מספר המחרוזות המקסימלי של התאמה שאפשר להוסיף לפרופיל אבטחה של סינון כתובות URL. |
| מספר הביטולים של איומים לכל פרופיל אבטחה | 100 | המספר המקסימלי של כללי ביטול איומים שאפשר להוסיף בפרופיל אבטחה למניעת איומים. |
לכל תג מאובטח
המגבלות הבאות חלות על תגים מאובטחים:
| פריט | הגבלה | הערות |
|---|---|---|
| מספר הערכים המקסימלי של תגי אבטחה לכל מפתח תג | 1,000 | המספר המקסימלי של ערכי תגים מאובטחים שאפשר להוסיף לכל מפתח תג. מידע נוסף זמין במאמר בנושא מגבלות על תגים. |
ממשק רשת לכל מכונה וירטואלית
המגבלות הבאות חלות על ממשקי רשת של מכונות וירטואליות (VM):
| פריט | הגבלה | הערות |
|---|---|---|
| ערכי תגים מאובטחים מקסימליים שמצורפים לממשק רשת של מכונה וירטואלית | 10 | המספר המקסימלי של ערכי תגים מאובטחים שאפשר לצרף לכל ממשק רשת של מכונה וירטואלית. מידע נוסף על המפרטים של תגי אבטחה בחומת אש זמין במאמר מפרטים.
לגבי מגבלות רשת, אפשר לעיין במאמר בנושא מגבלות לכל רשת. |
חישוב של מספר מאפייני הכלל
Cloud NGFW כולל רק את מאפייני כללי חומת האש הבאים בספירת מאפייני הכללים של כללי מדיניות חומת אש וכללי חומת אש ב-VPC.
| מאפיינים או פרמטרים של כלל | סוג הכלל | מספר מאפייני הכלל |
|---|---|---|
| שם פרוטוקול ה-IP | כללי חומת אש ב-VPC וכללי מדיניות חומת אש | ספירה של מאפיין אחד לכל פרוטוקול |
| יציאת היעד | כללי חומת אש ב-VPC וכללי מדיניות חומת אש | ספירה של מאפיין אחד לכל יציאה או טווח יציאות |
| טווח כתובות ה-IP של המקור או היעד | כללי חומת אש ב-VPC וכללי מדיניות חומת אש | ספירת מאפיינים אחת לכל טווח כתובות IP |
| מקור תגי אבטחה | כללי מדיניות חומת אש לתעבורת נתונים נכנסת (ingress) | ספירה של מאפיין אחד לכל תג |
| תגי רשת של מקור | כללי חומת אש של VPC לתעבורת נתונים נכנסת | ספירה של מאפיין אחד לכל תג |
| חשבונות שירות של המקור | כללי חומת אש של VPC לתעבורת נתונים נכנסת | מספר המאפיינים של כל חשבון שירות |
| רשימות של מקורות או יעדים ב-Google Threat Intelligence | כללי מדיניות חומת אש | מאפיין אחד של ספירה לכל רשימה של Google Threat Intelligence |
| קודים של מדינות או אזורים של המקור או היעד | כללי מדיניות חומת אש | ספירת מאפיינים אחת לכל קוד מדינה או קוד אזור |
| אובייקטים של FQDN במקור או ביעד | כללי מדיניות חומת אש | 64 ספירות של מאפיינים לכל אובייקט FQDN |
| קבוצות של כתובות מקור או יעד | כללי מדיניות חומת אש | סכום הקיבולות של כל קבוצת כתובות |
| הקשרים של הרשת במקור או ביעד | כללי מדיניות חומת אש | ספירת מאפיינים אחת לכל הקשר רשת שצוין. בהקשר של רשתות VPC, ספירת מאפייני הכלל היא המספר הכולל של רשתות VPC במקור שציינתם. |
בטבלה הבאה מפורטות דוגמאות לכללים ומספר המאפיינים בכל דוגמה של כלל.
| דוגמה לכלל חומת אש | מספר מאפייני הכלל | הסבר |
|---|---|---|
כלל חומת אש שמאפשר תעבורת נתונים נכנסת עם טווח כתובות IP של מקור 10.100.0.1/32, פרוטוקול tcp וטווח יציאות 5000-6000.
|
3 | טווח מקור אחד, פרוטוקול אחד, טווח יציאות אחד. |
כלל חומת אש לדחייה של תעבורת נתונים נכנסת (ingress) עם טווחי כתובות IP של המקור 10.0.0.0/8, 192.168.0.0/16, טווח כתובות IP של היעד 100.64.0.7/32, פרוטוקולים tcp ו-udp, טווחי יציאות 53-53 ו-5353-5353.
|
11 | יש ארבעה שילובים של פרוטוקולים ויציאות: tcp:53-53, tcp:5353-5353, udp:53-53 ו-udp:5353-5353. כל שילוב של פרוטוקול ויציאה משתמש בשני מאפיינים. מאפיין אחד לכל אחד משני טווחי כתובות ה-IP של המקור, מאפיין אחד לטווח כתובות ה-IP של היעד ושמונה מאפיינים לשילובים של פרוטוקול ויציאה, יוצרים סך של 11 מאפיינים. |
כלל חומת אש לדחייה של תעבורת נתונים יוצאת (egress) עם טווח כתובות IP של המקור
100.64.0.7/32, טווח כתובות IP של היעד
10.100.0.1/32, 10.100.1.1/32, tcp:80,
tcp:443 ו-udp:4000-5000.
|
9 | השילובים של פרוטוקול ויציאה מתרחבים לשלושה: tcp:80-80,
tcp:443-443 ו-udp:4000-5000. כל שילוב של פרוטוקול ויציאה משתמש בשני מאפיינים. מאפיין אחד לטווח המקור, מאפיין אחד לכל אחד משני טווחי כתובות ה-IP של היעד ו-6 מאפיינים לשילובי הפרוטוקול והיציאה יוצרים ספירת מאפיינים של 9. |
כלל חומת אש שמאפשר תעבורת נתונים נכנסת עם שני תגי אבטחה של יעד, VPC_NETWORKS הקשר של רשת המקור ושלוש רשתות VPC שצוינו, טווח כתובות IP של המקור 10.100.0.1/32, שם דומיין מלא (FQDN) של המקור example.com, tcp פרוטוקול ו5000-6000 טווח יציאות.
|
70 | שלושה מאפיינים עבור VPC_NETWORKSהקשר של רשת המקור
עם רשתות VPC שצוינו, מאפיין אחד עבור טווח המקור, 64 מאפיינים
עבור אובייקט ה-FQDN של המקור, ומאפיין אחד לכל אחד מהפרוטוקול וטווח היציאות, יוצרים ספירת מאפיינים של 70. שימו לב: שני תגי היעד המאובטחים לא נספרים.
|
ניהול מכסות
Cloud Next Generation Firewall אוכפת מכסות על השימוש במשאבים מסיבות שונות. לדוגמה, המכסות מגינות על קהילת משתמשי Google Cloud בכך שהן מונעות עלייה חדה ובלתי צפויה בשימוש. המכסות גם עוזרות למשתמשים שמתנסים ב- Google Cloud במסגרת התוכנית בחינם לא לחרוג מהמכסות של תקופת הניסיון.
כל הפרויקטים מתחילים עם אותן מכסות, שאפשר לשנות אותן על ידי בקשת מכסה נוספת. יכול להיות שחלק מהמכסות יגדלו באופן אוטומטי על סמך השימוש שלכם במוצר.
הרשאות
כדי לראות את המכסות או לבקש להגדיל אותן, לבעלי הרשאות (principals) בניהול הזהויות והרשאות הגישה (IAM) צריכה להיות אחת מההרשאות הבאות.
| משימה | התפקיד הנדרש |
|---|---|
| בדיקת מכסות לפרויקט | אחת מהאפשרויות הבאות:
|
| שינוי מכסות, בקשה למכסה נוספת | אחת מהאפשרויות הבאות:
|
בדיקת המכסה
המסוף
- נכנסים לדף Quotas במסוף Google Cloud .
- כדי לחפש את המכסה שרוצים לעדכן, משתמשים באפשרות Filter table. אם אתם לא יודעים מה שם המכסה, אתם יכולים להשתמש בקישורים שבדף הזה.
gcloud
מריצים את הפקודה הבאה באמצעות Google Cloud CLI כדי לבדוק את המכסות. מחליפים את PROJECT_ID במזהה הפרויקט שלכם.
gcloud compute project-info describe --project PROJECT_IDכדי לבדוק את המכסה שנוצלה באזור מסוים, מריצים את הפקודה הבאה:
gcloud compute regions describe example-region
שגיאות שמתרחשות כשחורגים מהמכסה
אם תחרגו ממכסה במהלך השימוש בפקודה gcloud, פלט gcloud יהיה הודעת השגיאה quota exceeded, עם קוד היציאה 1.
אם תחרגו ממכסה עם בקשת API, Google Cloud יוחזר קוד הסטטוס הבא של HTTP: 413 Request Entity Too Large.
בקשה להגדלת המכסה
כדי לשנות את רוב המכסות, משתמשים במסוף Google Cloud . מידע נוסף זמין במאמר בנושא שליחת בקשה לשינוי המכסות.
זמינות המשאבים
כל מכסה מייצגת מספר מקסימלי של משאב מסוג מסוים שאפשר ליצור, אם המשאב זמין. חשוב לציין שהמכסות לא מבטיחות את זמינות המשאבים. גם אם יש לכם מכסה זמינה, לא תוכלו ליצור משאב חדש אם הוא לא זמין.
לדוגמה, יכול להיות שיש לכם מספיק מכסת שימוש כדי ליצור כתובת IP חיצונית אזורית חדשה באזור מסוים. עם זאת, זה לא אפשרי אם אין כתובות IP חיצוניות זמינות באזור הזה. זמינות של משאב של תחום מוגדר יכולה גם להשפיע על היכולת שלכם ליצור משאב חדש.
מקרים שבהם משאבים לא זמינים באזור שלם הם נדירים. עם זאת, המשאבים באזור עלולים להתרוקן מעת לעת, בדרך כלל בלי להשפיע על הסכם רמת השירות (SLA) לסוג המשאב. מידע נוסף זמין בהסכם רמת השירות הרלוונטי למשאב.