Este documento lista as quotas e os limites do sistema que se aplicam ao Cloud Next Generation Firewall.
- As quotas têm valores predefinidos, mas normalmente pode pedir ajustes.
- Os limites do sistema são valores fixos que não podem ser alterados.
Google Cloud usa quotas para ajudar a garantir a equidade e reduzir os picos na utilização e disponibilidade de recursos. Uma quota restringe a quantidade de um Google Cloud recurso que o seu Google Cloud projeto pode usar. As quotas aplicam-se a uma variedade de tipos de recursos, incluindo componentes de hardware, software e rede. Por exemplo, as quotas podem restringir o número de chamadas API para um serviço, o número de balanceadores de carga usados em simultâneo pelo seu projeto ou o número de projetos que pode criar. As quotas protegem a comunidade de Google Cloud utilizadores, impedindo a sobrecarga dos serviços. As quotas também ajudam a gerir os seus próprios Google Cloud recursos.
O sistema de quotas da nuvem faz o seguinte:
- Monitoriza o seu consumo de Google Cloud produtos e serviços
- Restringe o seu consumo desses recursos
- Oferece uma forma de pedir alterações ao valor da quota e automatizar os ajustes de quotas
Na maioria dos casos, quando tenta consumir mais de um recurso do que a respetiva quota permite, o sistema bloqueia o acesso ao recurso e a tarefa que está a tentar realizar falha.
Geralmente, as quotas aplicam-se ao nível do Google Cloud projeto A sua utilização de um recurso num projeto não afeta a sua quota disponível noutro projeto. Num Google Cloud projeto, as quotas são partilhadas por todas as aplicações e endereços IP.
Para mais informações, consulte a vista geral das quotas da nuvem.
Também existem limites do sistema nos recursos do NGFW na nuvem. Não é possível alterar os limites do sistema.
Quotas
Esta secção apresenta as quotas que se aplicam ao Cloud Next Generation Firewall.
Para monitorizar quotas por projeto que usam o Cloud Monitoring, configure a monitorização
para a métrica serviceruntime.googleapis.com/quota/allocation/usage no tipo de recurso
Consumer Quota. Defina filtros de etiquetas adicionais (service,
quota_metric) para aceder ao tipo de quota. Para ver informações sobre a monitorização de métricas de quota, consulte o artigo Represente graficamente e monitorize métricas de quota.
Cada quota tem um limite e um valor de utilização.
Salvo indicação em contrário, para alterar uma quota, consulte o artigo Peça um ajuste de quota.
Por projeto
A tabela seguinte realça as quotas da NGFW da nuvem que são por projeto:
| Quota | Descrição |
|---|---|
| Regras de firewall da VPC | O número de regras de firewall da VPC que pode criar num projeto, independentemente da rede VPC à qual cada regra de firewall se aplica. |
| Políticas de firewall de rede global | O número de políticas de firewall de rede globais num projeto, independentemente do número de redes VPC associadas a cada política. |
| Políticas de firewall de rede regionais | O número de políticas de firewall de rede regionais em cada região de um projeto, independentemente do número de redes VPC associadas a cada política. |
| Grupos de endereços globais por projeto | O número de grupos de endereços globais e ao nível do projeto que pode definir num projeto. |
| Grupos de endereços regionais por projeto por região | O número de grupos de endereços regionais ao nível do projeto que pode definir em cada região de um projeto. |
Por organização
A tabela seguinte realça as quotas da NGFW na nuvem que são por organização. Para alterar uma quota ao nível da organização, apresente um registo de apoio técnico.
| Quota | Descrição |
|---|---|
| Políticas de firewall hierárquicas não associadas numa organização | O número de políticas de firewall hierárquicas numa organização que não estão associadas a nenhuma pasta ou recurso da organização. Não existe limite para o número de políticas de firewall hierárquicas numa organização associadas a um recurso. |
| Grupos de endereços globais por organização | O número de grupos de endereços globais ao nível da organização que pode definir numa organização. |
| Grupos de moradas regionais por organização por região | O número de grupos de endereços regionais e ao nível da organização que pode definir em cada região numa organização. |
Por rede
As seguintes quotas aplicam-se às redes de VPC:
| Quota | Descrição |
|---|---|
| Associações de políticas de firewall de rede regionais por região por rede VPC | O número máximo de políticas de firewall de rede regionais que pode associar a uma região de uma rede de VPC. |
| Atributos de regras de firewall por região por rede VPC | O número máximo de atributos de regras de regras de todas as políticas de firewall de rede regionais associadas na região de uma rede VPC. |
| FQDNs de regras de firewall por região por rede de VPC | O número máximo de FQDNs de regras em todas as políticas de firewall de rede regionais associadas na região de uma rede VPC. |
Por política de firewall
A tabela seguinte realça as quotas da NGFW da nuvem que são por recurso de política de firewall:
| Quota | Descrição |
|---|---|
| Políticas de firewall hierárquicas | |
| Atributos das regras por política de firewall hierárquica | Esta quota é a soma dos atributos das regras de todas as regras numa política de firewall hierárquica. Para mais informações, consulte os detalhes da contagem de atributos das regras. |
| Nomes de domínios (FQDNs) por política de firewall hierárquica | O número de nomes de domínios que pode incluir em todas as regras de uma política de firewall hierárquica. Esta quota é a soma de todos os nomes de domínio de origem de todas as regras de entrada na política, mais a soma de todos os nomes de domínio de destino de todas as regras de saída na política. |
| Políticas de firewall de rede global | |
| Atributos das regras por política de firewall de rede global | A soma dos atributos das regras de todas as regras numa política de firewall de rede global. Para mais informações, consulte os detalhes da contagem de atributos das regras. |
| Nomes de domínios (FQDNs) por política de firewall de rede global | O número de nomes de domínios que pode incluir em todas as regras de uma política de firewall de rede global. Esta quota é a soma de todos os nomes de domínio de origem de todas as regras de entrada na política, mais a soma de todos os nomes de domínio de destino de todas as regras de saída na política. |
| Políticas de firewall de rede regionais | |
| Atributos das regras por política de firewall de rede regional | A soma dos atributos das regras de todas as regras numa política de firewall de rede regional. Para mais informações, consulte os detalhes da contagem de atributos das regras. |
| Nomes de domínios (FQDNs) por política de firewall de rede regional | O número de nomes de domínio (FQDNs) que pode incluir em todas as regras de uma política de firewall de rede regional: esta quota é a soma de todos os nomes de domínio de origem de todas as regras de entrada na política, mais a soma de todos os nomes de domínio de destino de todas as regras de saída na política. |
Detalhes da contagem de atributos da regra
Cada política de firewall suporta um número total máximo de atributos de todas as regras na política. Para determinar a contagem de atributos de regras para uma determinada política de firewall, descreva a política. Para ver direções, consulte o seguinte:
- Descreva uma política na documentação da política de firewall hierárquica
- Descreva uma política de firewall de rede global
- Descreva uma política de firewall de rede regional
A tabela seguinte apresenta exemplos de regras e a contagem de atributos para cada exemplo de regra.
| Exemplo de regra de firewall | Contagem de atributos de regras | Explicação |
|---|---|---|
Regra de firewall de permissão de entrada com intervalo de endereços IP de origem
10.100.0.1/32, protocolo tcp e
intervalo de portas 5000-6000.
|
3 | Um intervalo de origem, um protocolo e um intervalo de portas. |
Regra de firewall de recusa de entrada com intervalos de endereços IP de origem 10.0.0.0/8, 192.168.0.0/16, intervalo de endereços IP de destino 100.64.0.7/32, protocolos tcp e udp, intervalos de portas 53-53 e 5353-5353.
|
11 | Existem quatro combinações de protocolo e porta: tcp:53-53,
tcp:5353-5353, udp:53-53 e
udp:5353-5353. Cada combinação de protocolo e porta usa dois atributos. Um atributo para cada um dos dois intervalos de endereços IP de origem, um atributo para o intervalo de endereços IP de destino e oito atributos para as combinações de protocolos e portas produzem uma contagem de atributos de 11. |
Regra de firewall de recusa de saída com intervalo de endereços IP de origem
100.64.0.7/32, intervalo de endereços IP de destino
10.100.0.1/32, 10.100.1.1/32, tcp:80,
tcp:443 e udp:4000-5000.
|
9 | As combinações de protocolo e porta expandem-se para três: tcp:80-80,
tcp:443-443 e udp:4000-5000. Cada combinação de protocolo e porta usa dois atributos. Um atributo para o intervalo de origem,
um atributo para cada um dos dois intervalos de endereços IP de destino e seis
atributos para as combinações de protocolo e porta geram uma quantidade
de 9 atributos. |
Limites
Não é possível aumentar os limites, exceto se for especificamente indicado.
Por organização
Os seguintes limites aplicam-se às organizações:
| Item | limite | Notas |
|---|---|---|
| Número máximo de chaves de etiquetas seguras por organização | 1000 | O número máximo de chaves de etiquetas seguras que têm uma organização principal. Para mais informações, consulte o artigo Limites de etiquetas. |
Valores máximos de etiquetas seguras usados por todas as chaves de etiquetas cujo purpose
é GCE_FIREWALL e purpose-data é uma organização
|
16384 | Este limite é aplicado a todos os valores de etiquetas usados por chaves de etiquetas criadas na organização que correspondem aos dados de finalidade, incluindo chaves de etiquetas cujo principal é a organização ou um projeto na mesma. |
| Perfis de segurança de filtragem de URLs por organização | 40 | O número máximo de perfis de segurança de filtragem de URLs que pode criar por organização. |
| Perfis de segurança de prevenção contra ameaças por organização | 40 | O número máximo de perfis de segurança do tipo prevenção de ameaças que pode criar por organização. |
| Grupos de perfis de segurança com prevenção contra ameaças por organização | 40 | O número máximo de grupos de perfis de segurança que usam um perfil de segurança de prevenção de ameaças que pode criar por organização. |
| Grupos de perfis de segurança com filtragem de URLs por organização | 40 | O número máximo de grupos de perfis de segurança que usam um perfil de segurança de filtragem de URLs que pode criar por organização. |
| Pontos finais de firewall por zona por organização | 50 | O número máximo de pontos finais de firewall que pode criar por zona por organização. |
Por projeto
Os seguintes limites aplicam-se ao projeto:
| Item | limite | Notas |
|---|---|---|
| Número máximo de chaves de etiquetas seguras por projeto | 1000 | O número máximo de chaves de etiquetas seguras que têm um projeto principal. Para mais informações, consulte o artigo Limites de etiquetas. |
Por rede
Os seguintes limites aplicam-se às redes de VPC:
| Item | Limite | Notas |
|---|---|---|
| Número máximo de políticas de firewall de rede global por rede | 1 | O número máximo de políticas de firewall de rede global que pode associar a uma rede VPC. |
| Número máximo de nomes de domínio (FQDNs) por rede | 1000 | O número total máximo de nomes de domínios que podem ser usados em regras de firewall provenientes de políticas de firewall hierárquicas, políticas de firewall de rede globais e políticas de firewall de rede regionais associadas a uma rede VPC. |
Valores máximos de etiquetas seguras usados por todas as chaves de etiquetas cujo purpose
é GCE_FIREWALL e purpose-data é uma rede de VPC
|
16383 | Este limite é aplicado a todos os valores de etiquetas usados por chaves de etiquetas cujo
purpose-data corresponde à rede VPC especificada,
incluindo chaves de etiquetas cujo principal é a organização ou um projeto.
|
| Pontos finais de firewall por zona por rede | 1 | O número máximo de pontos finais de firewall que pode atribuir por zona por rede. |
Por regra de firewall
Os seguintes limites aplicam-se às regras de firewall:
| Item | Limite | Notas |
|---|---|---|
| Número máximo de etiquetas seguras de origem por regra de política de firewall de entrada | 256 | Aplicável apenas à regra da política de firewall de entrada: o número máximo de etiquetas seguras que pode usar como etiquetas de origem na regra de firewall. Não é possível aumentar este limite. |
| Número máximo de etiquetas seguras de destino por regra de política de firewall | 256 | Aplicável apenas à regra de política de firewall: o número máximo de etiquetas seguras que pode usar como etiquetas de destino na regra de firewall. Não é possível aumentar este limite. |
| Número máximo de etiquetas de rede de origem por regra de firewall de VPC de entrada | 30 | Aplicável apenas a regras de firewall de VPC de entrada: o número máximo de etiquetas de rede que pode usar como etiquetas de origem na regra de firewall. Não é possível aumentar este limite. |
| Número máximo de etiquetas de rede de destino por regra de firewall da VPC | 70 | Aplicável apenas às regras de firewall da VPC: o número máximo de etiquetas de rede que pode usar como etiquetas de destino na regra de firewall. Não é possível aumentar este limite. |
| Número máximo de contas de serviço de origem por regra de firewall de VPC de entrada | 10 | Aplicável apenas a regras de firewall de VPC de entrada: o número máximo de contas de serviço que pode usar como origens na regra de firewall. Não é possível aumentar este limite. |
| Número máximo de contas de serviço de destino por regra de firewall | 10 | O número máximo de contas de serviço que pode usar como destinos numa regra de firewall da VPC ou numa regra de uma política de firewall. Não é possível aumentar este limite. |
| Número máximo de intervalos de endereços IP de origem por regra de firewall | 5000 | O número máximo de intervalos de endereços IP de origem que pode especificar numa regra de firewall de VPC ou numa regra de uma política de firewall. Os intervalos de endereços IP são apenas IPv4 ou apenas IPv6. Não é possível aumentar este limite. |
| Número máximo de intervalos de endereços IP de destino por regra de firewall | 5000 | O número máximo de intervalos de endereços IP de destino que pode especificar numa regra de firewall de VPC ou numa regra de uma política de firewall. Os intervalos de endereços IP são apenas IPv4 ou apenas IPv6. Não é possível aumentar este limite. |
| Número máximo de grupos de endereços de origem por regra de firewall de entrada numa política de firewall | 10 | O número máximo de grupos de endereços de origem que pode especificar numa regra de firewall de entrada numa política de firewall. Não é possível aumentar este limite. |
| Número máximo de grupos de endereços de destino por regra de firewall numa política de firewall | 10 | O número máximo de grupos de endereços de destino que pode especificar numa regra de firewall de saída numa política de firewall. Não é possível aumentar este limite. |
| Número máximo de nomes de domínio (FQDNs) por regra de firewall numa política de firewall | 100 | O número de nomes de domínio (FQDNs) que pode incluir numa regra de uma política de firewall. Não é possível aumentar este limite. |
Por grupo de endereços
Os seguintes limites aplicam-se aos grupos de endereços usados pelo Cloud NGFW.
| Item | Limite | Notas |
|---|---|---|
| Número máximo de endereços IP por grupo de endereços | 1000 | Aplica-se individualmente a cada grupo de endereços usado pelo NGFW da nuvem. O grupo de endereços pode ser um grupo de endereços global com âmbito do projeto; um grupo de endereços global com âmbito da organização; um grupo de endereços regional com âmbito do projeto; ou um grupo de endereços regional com âmbito da organização. |
Por ponto final de firewall
Os seguintes limites aplicam-se aos pontos finais da firewall:
| Item | Limite | Notas |
|---|---|---|
| Associações por ponto final de firewall | 50 | O número máximo de redes VPC que pode associar a um ponto final da firewall. Pode criar pontos finais de firewall adicionais na mesma zona para ultrapassar este limite. |
| Débito máximo por ligação com Transport Layer Security (TLS) | 250 Mbps | A taxa de transferência máxima por ligação com inspeção TLS. |
| Débito máximo por ligação sem TLS | 1,25 Gbps | A taxa de transferência máxima por ligação sem inspeção TLS. |
| Tráfego máximo com TLS | 2 Gbps | O tráfego máximo que os pontos finais da firewall podem processar com a inspeção TLS. |
| Tráfego máximo sem TLS | 10 Gbps | O tráfego máximo que os pontos finais da firewall podem processar sem inspeção de TLS. |
Por perfil de segurança
Os seguintes limites aplicam-se aos perfis de segurança:
| Item | Limite | Notas |
|---|---|---|
| Número de strings de correspondência por perfil de segurança | 500 | O número máximo de strings de correspondência que pode adicionar a um perfil de segurança de filtragem de URLs. |
| Número de substituições de ameaças por perfil de segurança | 100 | O número máximo de substituições de ameaças que pode adicionar num perfil de segurança de prevenção de ameaças. |
Por etiqueta segura
Os seguintes limites aplicam-se às etiquetas seguras:
| Item | Limite | Notas |
|---|---|---|
| Valores máximos de etiquetas seguras por chave de etiqueta | 1000 | O número máximo de valores de etiquetas seguras que pode adicionar por chave de etiqueta. Para mais informações, consulte o artigo Limites de etiquetas. |
Por interface de rede de VM
Os seguintes limites aplicam-se às interfaces de rede da máquina virtual (VM):
| Item | Limite | Notas |
|---|---|---|
| Valores máximos de etiquetas seguras anexados a uma interface de rede de VM | 10 | O número máximo de valores de etiquetas seguras que podem ser anexados a cada interface de rede da VM. Para mais informações sobre as especificações das etiquetas seguras da firewall, consulte as especificações.
Para ver os limites da rede, consulte Limites por rede. |
Manage quotas
Cloud Next Generation Firewall enforces quotas on resource usage for various reasons. For example, quotas protect the community of Google Cloud users by preventing unforeseen spikes in usage. Quotas also help users who are exploring Google Cloud with the free tier to stay within their trial.
All projects start with the same quotas, which you can change by requesting additional quota. Some quotas might increase automatically based on your use of a product.
Permissions
To view quotas or request quota increases, Identity and Access Management (IAM) principals need one of the following roles.
| Task | Required role |
|---|---|
| Check quotas for a project | One of the following:
|
| Modify quotas, request additional quota | One of the following:
|
Check your quota
Console
- In the Google Cloud console, go to the Quotas page.
- To search for the quota that you want to update, use the Filter table. If you don't know the name of the quota, use the links on this page instead.
gcloud
Using the Google Cloud CLI, run the following command to
check your quotas. Replace PROJECT_ID with your own project ID.
gcloud compute project-info describe --project PROJECT_IDTo check your used quota in a region, run the following command:
gcloud compute regions describe example-region
Errors when exceeding your quota
If you exceed a quota with a gcloud command,
gcloud outputs a quota exceeded error
message and returns with the exit code 1.
If you exceed a quota with an API request, Google Cloud returns the
following HTTP status code: 413 Request Entity Too Large.
Request additional quota
To adjust most quotas, use the Google Cloud console. For more information, see Request a quota adjustment.
Resource availability
Each quota represents a maximum number for a particular type of resource that you can create, if that resource is available. It's important to note that quotas don't guarantee resource availability. Even if you have available quota, you can't create a new resource if it is not available.
For example, you might have sufficient quota to create a new regional, external IP address in a given region. However, that is not possible if there are no available external IP addresses in that region. Zonal resource availability can also affect your ability to create a new resource.
Situations where resources are unavailable in an entire region are rare. However, resources within a zone can be depleted from time to time, typically without impact to the service level agreement (SLA) for the type of resource. For more information, review the relevant SLA for the resource.