이 문서에서는 Cloud 차세대 방화벽에 적용되는 할당량과 시스템 한도를 보여줍니다.
- 할당량에는 기본값이 있지만 일반적으로 조정을 요청할 수 있습니다.
- 시스템 한도는 변경할 수 없는 고정 값입니다.
Google Cloud 는 공정성을 보장하고 리소스 사용 및 가용성의 급증을 줄이기 위해 할당량을 사용합니다. 할당량은 Google Cloud 프로젝트에서 사용할 수 있는Google Cloud 리소스 양을 제한합니다. 할당량은 하드웨어, 소프트웨어, 네트워크 구성요소를 포함하여 다양한 리소스 유형에 적용됩니다. 예를 들어 할당량에 따라 서비스에 대한 API 호출 수, 프로젝트에서 동시에 사용하는 부하 분산기 수, 만들 수 있는 프로젝트 수가 제한될 수 있습니다. 할당량은 서비스 과부하를 방지하여Google Cloud 사용자 커뮤니티를 보호합니다. 또한 할당량은 자체 Google Cloud 리소스를 관리하는 데 도움이 됩니다.
Cloud Quotas 시스템은 다음을 수행합니다.
- Google Cloud 제품 및 서비스 소비량 모니터링
- 리소스 소비 제한
- 할당량값 변경을 요청하고 할당량 조정을 자동화하는 방법 제공
대부분의 경우 할당량이 허용하는 것보다 더 많은 리소스를 소비하려고 하면 시스템에서 리소스에 대한 액세스를 차단하고 수행하려는 작업이 실패합니다.
할당량은 일반적으로 Google Cloud 프로젝트 수준에서 적용됩니다. 한 프로젝트의 리소스를 사용해도 다른 프로젝트에서 사용 가능한 할당량에는 영향을 미치지 않습니다. Google Cloud 프로젝트 내에서 할당량은 모든 애플리케이션과 IP 주소에 공유됩니다.
자세한 내용은 Cloud Quotas 개요를 참고하세요.
Cloud NGFW 리소스에도 시스템 한도가 있습니다. 시스템 한도는 변경할 수 없습니다.
할당량
이 섹션에는 Cloud Next Generation Firewall에 적용되는 할당량이 나와 있습니다.
Cloud Monitoring을 사용하는 프로젝트별 할당량을 모니터링하려면 Consumer Quota 리소스 유형에서 serviceruntime.googleapis.com/quota/allocation/usage 측정항목의 모니터링을 설정합니다. 추가 라벨 필터(service, quota_metric)를 설정하여 할당량 유형으로 이동합니다. 할당량 측정항목 모니터링에 대한 자세한 내용은 할당량 측정항목 차트 생성 및 모니터링을 참조하세요.
각 할당량에는 한도와 사용량 값이 있습니다.
달리 명시되지 않는 한 할당량을 변경하려면 할당량 조정 요청을 참고하세요.
프로젝트별
다음 표에서는 프로젝트별 Cloud NGFW 할당량을 보여줍니다.
| 할당량 | 설명 |
|---|---|
| VPC 방화벽 규칙 | 각 방화벽 규칙이 적용되는 VPC 네트워크에 관계없이 프로젝트에서 만들 수 있는 VPC 방화벽 규칙 수입니다. |
| 전역 네트워크 방화벽 정책 | 각 정책과 연결된 VPC 네트워크 수에 관계없이 프로젝트의 전역 네트워크 방화벽 정책 수입니다. |
| 리전 네트워크 방화벽 정책 | 각 정책과 연결된 VPC 네트워크 수에 관계없이 프로젝트의 각 리전에 있는 리전 네트워크 방화벽 정책 수입니다. |
| 프로젝트당 전역 주소 그룹 | 프로젝트에서 정의할 수 있는 전역 프로젝트 범위 주소 그룹 수입니다. |
| 리전별 프로젝트당 리전 주소 그룹 | 프로젝트의 각 리전에서 정의할 수 있는 리전별 프로젝트 범위 주소 그룹의 수입니다. |
조직별
다음 표에서는 조직별 Cloud NGFW 할당량을 보여줍니다. 조직 수준 할당량을 변경하려면 지원 케이스를 제출하세요.
| 할당량 | 설명 |
|---|---|
| 조직의 연결되지 않은 계층식 방화벽 정책 | 폴더 또는 조직 리소스와 연결되지 않은 조직의 계층식 방화벽 정책 수입니다. 리소스와 연결된 조직의 계층식 방화벽 정책 수에는 제한이 없습니다. |
| 조직별 전역 주소 그룹 | 조직에서 정의할 수 있는 전역 조직 범위 주소 그룹의 수입니다. |
| 리전별 조직당 리전 주소 그룹 | 조직의 각 리전에서 정의할 수 있는 리전별 조직 범위 주소 그룹의 수입니다. |
네트워크별
VPC 네트워크에는 다음 할당량이 적용됩니다.
| 할당량 | 설명 |
|---|---|
| VPC 네트워크당 리전별 리전 네트워크 방화벽 정책 연결 | VPC 네트워크의 리전과 연결할 수 있는 최대 리전 네트워크 방화벽 정책의 수입니다. |
| VPC 네트워크 및 리전별 방화벽 규칙 속성 | VPC 네트워크 리전의 연결된 모든 리전 네트워크 방화벽 정책의 규칙에서 가져온 최대 규칙 속성 수입니다. |
| VPC 네트워크별 리전별 방화벽 규칙 FQDN | VPC 네트워크 리전의 연결된 모든 리전 네트워크 방화벽 정책의 규칙에 있는 최대 FQDN 수입니다. |
방화벽 정책별
다음 표에서는 방화벽 정책 리소스별 Cloud NGFW 할당량을 보여줍니다.
| 할당량 | 설명 |
|---|---|
| 계층식 방화벽 정책 | |
| 계층식 방화벽 정책당 규칙 속성 | 이 할당량은 계층식 방화벽 정책 내 모든 규칙에서 규칙 속성의 합계입니다. 자세한 내용은 규칙 속성 수 세부정보를 참조하세요. |
| 계층식 방화벽 정책당 도메인 이름(FQDN) | 계층식 방화벽 정책의 모든 규칙에 포함할 수 있는 도메인 이름 수입니다. 이 할당량은 정책의 모든 인그레스 규칙에 있는 모든 소스 도메인 이름의 합계에 정책에 있는 모든 이그레스 규칙의 대상 도메인 이름 합계를 더한 것입니다. |
| 전역 네트워크 방화벽 정책 | |
| 전역 네트워크 방화벽 정책당 규칙 속성 | 글로벌 네트워크 방화벽 정책 내 모든 규칙의 규칙 속성 합계입니다. 자세한 내용은 규칙 속성 수 세부정보를 참조하세요. |
| 글로벌 네트워크 방화벽 정책당 도메인 이름(FQDN) | 글로벌 네트워크 방화벽 정책의 모든 규칙에 포함할 수 있는 도메인 이름 수 이 할당량은 정책의 모든 인그레스 규칙에 있는 모든 소스 도메인 이름 합계에 정책의 모든 이그레스 규칙에 있는 모든 대상 도메인 이름 합계를 더한 것입니다. |
| 리전 네트워크 방화벽 정책 | |
| 리전 네트워크 방화벽 정책당 규칙 속성 | 리전 네트워크 방화벽 정책 내 모든 규칙의 규칙 속성 합계입니다. 자세한 내용은 규칙 속성 수 세부정보를 참조하세요. |
| 리전 네트워크 방화벽 정책당 도메인 이름(FQDN) | 리전 네트워크 방화벽 정책의 모든 규칙에 포함할 수 있는 도메인 이름(FQDN) 수: 이 할당량은 정책의 모든 인그레스 규칙에 있는 모든 소스 도메인 이름의 합계에 정책에 있는 모든 이그레스 규칙의 대상 도메인 이름 합계를 더한 것입니다. |
규칙 속성 수 세부정보
각 방화벽 정책은 정책의 모든 규칙에서 최대 총 속성 수를 지원합니다. 특정 방화벽 정책의 규칙 속성 수를 확인하려면 정책을 설명합니다. 안내는 다음을 참조하세요.
- 계층식 방화벽 정책 문서의 정책 설명
- 전역 네트워크 방화벽 정책 설명
- 리전 네트워크 방화벽 정책 설명
다음 표에는 예시 규칙과 각 예시 규칙에 대한 속성 수가 나와 있습니다.
| 방화벽 규칙 예시 | 규칙 속성 수 | 설명 |
|---|---|---|
소스 IP 주소 범위 10.100.0.1/32, tcp 프로토콜, 5000-6000 포트 범위가 있는 인그레스 허용 방화벽 규칙
|
3 | 하나의 소스 범위, 프로토콜 1개, 포트 범위 1개 |
방화벽 규칙이 소스 IP 주소 범위 10.0.0.0/8, 192.168.0.0/16, 대상 IP 주소 범위 100.64.0.7/32, tcp, udp 프로토콜, 포트 범위 53-53 및 5353-5353이면 인그레스가 거부합니다.
|
11 | 프로토콜 및 포트 조합은 tcp:53-53, tcp:5353-5353, udp:53-53, udp:5353-5353의 4가지입니다. 각 프로토콜 및 포트 조합은 두 가지 속성을 사용합니다. 2개의 소스 IP 주소 범위에 속성 1개, 대상 IP 주소 범위에 속성 1개, 프로토콜 및 포트 조합에 속성 8개로 총 11개의 속성을 생성합니다. |
소스 IP 주소 범위 100.64.0.7/32, 대상 IP 주소 범위 10.100.0.1/32, 10.100.1.1/32, tcp:80, tcp:443, udp:4000-5000이 있는 이그레스 거부 방화벽 규칙
|
9 | 프로토콜 및 포트 조합은 tcp:80-80, tcp:443-443, udp:4000-5000 3개로 확장됩니다. 각 프로토콜 및 포트 조합은 두 가지 속성을 사용합니다. 소스 범위에 속성 1개, 대상 IP 주소 범위 2개에 속성 1개씩, 프로토콜 맟 포트에 6개로 총 9개의 속성을 생성합니다. |
한도
일반적으로 한도는 별도로 언급된 경우를 제외하고는 늘릴 수 없습니다.
조직별
조직에는 다음 한도가 적용됩니다.
| 항목 | limit | 참고 |
|---|---|---|
| 조직당 최대 보안 태그 키 수 | 1,000 | 상위 조직이 있는 보안 태그 키의 최대 수입니다. 자세한 내용은 태그 한도를 참조하세요. |
purpose이 GCE_FIREWALL이고 purpose-data이 조직인 모든 태그 키에서 사용되는 최대 보안 태그 값
|
16384 | 이 한도는 목적 데이터와 일치하는 조직에서 생성된 태그 키에서 사용되는 모든 태그 값에 적용됩니다. 여기에는 상위 항목이 조직 또는 조직 내 프로젝트인 태그 키가 포함됩니다. |
| 조직별 URL 필터링 보안 프로필 | 40 | 조직별로 만들 수 있는 최대 URL 필터링 보안 프로필 수입니다. |
| 조직별 위협 방지 보안 프로필 | 40 | 조직별로 만들 수 있는 위협 방지 유형의 최대 보안 프로필 수입니다. |
| 조직별 위협 방지가 포함된 보안 프로필 그룹 | 40 | 조직별로 만들 수 있는 위협 방지 보안 프로필을 사용하는 최대 보안 프로필 그룹 수입니다. |
| 조직별 URL 필터링이 있는 보안 프로필 그룹 | 40 | 조직별로 만들 수 있는 URL 필터링 보안 프로필을 사용하는 최대 보안 프로필 그룹 수입니다. |
| 조직별 영역당 방화벽 엔드포인트 | 50 | 조직별로 영역당 만들 수 있는 최대 방화벽 엔드포인트 수입니다. |
프로젝트별
프로젝트에는 다음 한도가 적용됩니다.
| 항목 | limit | 참고 |
|---|---|---|
| 프로젝트당 최대 보안 태그 키 수 | 1,000 | 상위 프로젝트가 있는 보안 태그 키의 최대 수입니다. 자세한 내용은 태그 한도를 참고하세요. |
네트워크별
VPC 네트워크에는 다음 한도가 적용됩니다.
| 항목 | 한도 | 참고 |
|---|---|---|
| 네트워크당 최대 글로벌 네트워크 방화벽 정책 | 1 | VPC 네트워크와 연결할 수 있는 최대 글로벌 네트워크 방화벽 정책의 수입니다. |
| 네트워크당 최대 도메인 이름(FQDN) 수 | 1,000 | 계층 방화벽 정책, 글로벌 네트워크 방화벽 정책, VPC 네트워크와 연결된 리전 네트워크 방화벽 정책에서 오는 방화벽 규칙에서 사용할 수 있는 최대 총 도메인 이름 수 |
purpose이 GCE_FIREWALL이고 purpose-data이 VPC 네트워크인 모든 태그 키에서 사용되는 최대 보안 태그 값
|
16383 | 이 한도는 상위 요소가 조직 또는 프로젝트인 태그 키를 비롯하여 purpose-data가 지정된 VPC 네트워크와 일치하는 태그 키에서 사용되는 모든 태그 값에 적용됩니다.
|
| 네트워크별 영역당 방화벽 엔드포인트 | 1 | 네트워크별로 영역당 할당할 수 있는 최대 방화벽 엔드포인트 수입니다. |
방화벽 규칙별
방화벽 규칙에 다음 한도가 적용됩니다.
| 항목 | 한도 | 참고 |
|---|---|---|
| 인그레스 방화벽 정책 규칙당 최대 소스 보안 태그 수 | 256 | 인그레스 방화벽 정책 규칙에만 적용됩니다. 방화벽 규칙에서 소스 태그로 사용할 수 있는 최대 보안 태그 수입니다. 이 한도는 상향 조정할 수 없습니다. |
| 방화벽 정책 규칙당 최대 대상 보안 태그 수 | 256 | 방화벽 정책 규칙에만 적용됩니다. 방화벽 규칙에서 대상 태그로 사용할 수 있는 최대 보안 태그 수입니다. 이 한도는 상향 조정할 수 없습니다. |
| 인그레스 VPC 방화벽 규칙당 최대 소스 네트워크 태그 수 | 30 | 인그레스 VPC 방화벽 규칙에만 적용됩니다. 방화벽 규칙에서 소스 태그로 사용할 수 있는 최대 네트워크 태그 수입니다. 이 한도는 상향 조정할 수 없습니다. |
| VPC 방화벽 규칙당 최대 대상 네트워크 태그 수 | 70 | VPC 방화벽 규칙에만 적용됩니다. 방화벽 규칙에서 대상 태그로 사용할 수 있는 최대 네트워크 태그 수입니다. 이 한도는 상향 조정할 수 없습니다. |
| 인그레스 VPC 방화벽 규칙당 최대 소스 서비스 계정 수 | 10 | 인그레스 VPC 방화벽 규칙에만 적용됩니다. 방화벽 규칙에서 소스로 사용할 수 있는 최대 서비스 계정 수입니다. 이 한도는 상향 조정할 수 없습니다. |
| 방화벽 규칙당 최대 대상 서비스 계정 수 | 10 | VPC 방화벽 규칙 또는 방화벽 정책의 규칙에서 대상으로 사용할 수 있는 최대 서비스 계정 수입니다. 이 한도는 상향 조정할 수 없습니다. |
| 방화벽 규칙당 최대 소스 IP 주소 범위 수 | 5,000 | VPC 방화벽 규칙 또는 방화벽 정책의 규칙에서 지정할 수 있는 최대 소스 IP 주소 범위의 수입니다. IP 주소 범위는 IPv4 전용 또는 IPv6 전용입니다. 이 한도는 상향 조정할 수 없습니다. |
| 방화벽 규칙당 최대 대상 IP 주소 범위 수 | 5,000 | VPC 방화벽 규칙 또는 방화벽 정책의 규칙에서 지정할 수 있는 최대 대상 IP 주소 범위의 수입니다. IP 주소 범위는 IPv4 전용 또는 IPv6 전용입니다. 이 한도는 상향 조정할 수 없습니다. |
| 방화벽 정책의 인그레스 방화벽 규칙당 소스 주소 그룹의 최대 수 | 10 | 방화벽 정책의 인그레스 방화벽 규칙에서 지정할 수 있는 최대 소스 주소 그룹 수입니다. 이 한도는 상향 조정할 수 없습니다. |
| 방화벽 정책의 방화벽 규칙당 대상 주소 그룹의 최대 수 | 10 | 방화벽 정책의 이그레스 방화벽 규칙에서 지정할 수 있는 최대 대상 주소 그룹 수입니다. 이 한도는 늘릴 수 없습니다. |
| 방화벽 정책의 방화벽 규칙당 최대 도메인 이름(FQDN) 수입니다. | 100 | 방화벽 정책의 규칙에 포함할 수 있는 도메인 이름(FQDN) 수입니다. 이 한도는 상향 조정할 수 없습니다. |
주소 그룹별
Cloud NGFW에서 사용하는 주소 그룹에는 다음 한도가 적용됩니다.
| 항목 | 한도 | 참고 |
|---|---|---|
| 주소 그룹당 최대 IP 주소 수 | 1,000 | Cloud NGFW에서 사용하는 각 주소 그룹에 개별적으로 적용됩니다. 주소 그룹은 전역, 프로젝트 범위 주소 그룹, 전역, 조직 범위 주소 그룹, 리전 프로젝트 범위 주소 그룹 또는 리전, 조직 범위 주소 그룹일 수 있습니다. |
방화벽 엔드포인트별
방화벽 엔드포인트에는 다음 한도가 적용됩니다.
| 항목 | 한도 | 참고 |
|---|---|---|
| 방화벽 엔드포인트별 연결 | 50 | 방화벽 엔드포인트와 연결할 수 있는 최대 VPC 네트워크 수입니다. 같은 영역에 추가 방화벽 엔드포인트를 만들어 이 한도를 해결할 수 있습니다. |
| 전송 계층 보안 (TLS)을 사용한 최대 연결당 처리량 | 250 Mbps | TLS 검사를 사용하는 연결당 최대 처리량입니다. |
| TLS가 없는 연결당 최대 처리량 | 1.25 Gbps | TLS 검사 없이 연결당 최대 처리량입니다. |
| TLS를 사용한 최대 트래픽 | 2Gbps | 방화벽 엔드포인트가 TLS 검사를 통해 처리할 수 있는 최대 트래픽입니다. |
| TLS 없이 최대 트래픽 | 10Gbps | TLS 검사 없이 방화벽 엔드포인트가 처리할 수 있는 최대 트래픽입니다. |
보안 프로필별
보안 프로필에는 다음 한도가 적용됩니다.
| 항목 | 한도 | 참고 |
|---|---|---|
| 보안 프로필별 매처 문자열 수 | 500 | URL 필터링 보안 프로필에 추가할 수 있는 최대 매처 문자열 수입니다. |
| 보안 프로필별 위협 재정의 수 | 100 | 위협 방지 보안 프로필에 추가할 수 있는 최대 위협 재정의 수 |
보안 태그별
보안 태그에는 다음과 같은 제한이 적용됩니다.
| 항목 | 한도 | 참고 |
|---|---|---|
| 태그 키당 최대 보안 태그 값 | 1,000 | 태그 키당 추가할 수 있는 최대 보안 태그 값 수입니다. 자세한 내용은 태그 한도를 참고하세요. |
VM 네트워크 인터페이스별
가상 머신 (VM) 네트워크 인터페이스에는 다음 한도가 적용됩니다.
| 항목 | 한도 | 참고 |
|---|---|---|
| VM 네트워크 인터페이스에 연결된 최대 보안 태그 값 | 10 | 각 VM 네트워크 인터페이스에 연결할 수 있는 최대 보안 태그 값 수입니다. 방화벽 보안 태그 사양에 대한 자세한 내용은 사양을 참고하세요.
네트워크 한도는 네트워크별 한도를 참조하세요. |
Manage quotas
Cloud Next Generation Firewall enforces quotas on resource usage for various reasons. For example, quotas protect the community of Google Cloud users by preventing unforeseen spikes in usage. Quotas also help users who are exploring Google Cloud with the free tier to stay within their trial.
All projects start with the same quotas, which you can change by requesting additional quota. Some quotas might increase automatically based on your use of a product.
Permissions
To view quotas or request quota increases, Identity and Access Management (IAM) principals need one of the following roles.
| Task | Required role |
|---|---|
| Check quotas for a project | One of the following:
|
| Modify quotas, request additional quota | One of the following:
|
Check your quota
Console
- In the Google Cloud console, go to the Quotas page.
- To search for the quota that you want to update, use the Filter table. If you don't know the name of the quota, use the links on this page instead.
gcloud
Using the Google Cloud CLI, run the following command to
check your quotas. Replace PROJECT_ID with your own project ID.
gcloud compute project-info describe --project PROJECT_IDTo check your used quota in a region, run the following command:
gcloud compute regions describe example-region
Errors when exceeding your quota
If you exceed a quota with a gcloud command,
gcloud outputs a quota exceeded error
message and returns with the exit code 1.
If you exceed a quota with an API request, Google Cloud returns the
following HTTP status code: 413 Request Entity Too Large.
Request additional quota
To adjust most quotas, use the Google Cloud console. For more information, see Request a quota adjustment.
Resource availability
Each quota represents a maximum number for a particular type of resource that you can create, if that resource is available. It's important to note that quotas don't guarantee resource availability. Even if you have available quota, you can't create a new resource if it is not available.
For example, you might have sufficient quota to create a new regional, external IP address in a given region. However, that is not possible if there are no available external IP addresses in that region. Zonal resource availability can also affect your ability to create a new resource.
Situations where resources are unavailable in an entire region are rare. However, resources within a zone can be depleted from time to time, typically without impact to the service level agreement (SLA) for the type of resource. For more information, review the relevant SLA for the resource.