這份文件列出 Cloud Next Generation Firewall 適用的配額和系統限制。
- 「配額」有預設值,但通常可以申請調整。
- 「系統限制」是固定值,無法變更。
Google Cloud 使用配額來確保公平性,並減少資源使用量和可用性出現劇烈波動的情況。配額會限制 Google Cloud 專案可使用的Google Cloud 資源數量,且適用多種資源類型,包括軟硬體和網路元件。舉例來說,配額可能會限制能向特定服務發出的 API 呼叫次數、專案可同時使用的負載平衡器數量,或是可建立的專案數量。配額機制可防止服務過載,保障Google Cloud 使用者社群的權益,同時也有助於您管理自己的 Google Cloud 資源。
Cloud Quotas 系統具備以下功能:
如果嘗試使用的資源量超過配額限制,系統通常會阻擋該資源的存取活動,您所執行的工作就會失敗。
配額的計算通常是以 Google Cloud 專案為基準。在某個專案中使用資源,不會影響另一個專案的可用配額。在同一個 Google Cloud 專案內,所有應用程式和 IP 位址會共用配額。
詳情請參閱「Cloud Quotas 總覽」。
Cloud NGFW 資源也有「系統限制」, 而且無法變更。
配額
本節列出 Cloud Next Generation Firewall 適用的配額。
如要使用 Cloud Monitoring 監控各專案的配額,請為 serviceruntime.googleapis.com/quota/allocation/usage 指標設定監控,資源類型為 Consumer Quota。設定其他標籤篩選器 (service、
quota_metric),即可取得配額類型。如要瞭解如何監控配額指標,請參閱「繪製配額指標圖表並監控配額指標」。每個配額都有上限和用量值。
除非另有說明,否則如要變更配額,請參閱「要求調整配額」。
每項專案
下表列出每個專案的 Cloud NGFW 配額:
| 配額 | 說明 |
|---|---|
| 虛擬私有雲防火牆規則 | 您可以在專案中建立的虛擬私有雲防火牆規則數量,與每個防火牆規則適用的虛擬私有雲網路無關。 |
| 全域網路防火牆政策 | 專案中的全域網路防火牆政策數量,無論每個政策關聯的虛擬私有雲網路數量為何。 |
| 區域網路防火牆政策 | 專案中每個區域的 區域網路防火牆政策數量,與每個政策關聯的虛擬私有雲網路數量無關。 |
| 每項專案的全域位址群組數量 | 您可以在專案中定義的專案範圍全域位址群組數量。 |
| 每個專案在每個區域的區域位址群組數量 | 您可以在專案的每個區域中定義的區域性專案範圍位址群組數量。 |
每個機構
下表列出每個機構的 Cloud NGFW 配額。如要變更機構層級配額,請提出支援案件。
| 配額 | 說明 |
|---|---|
| 機構中未建立關聯的階層式防火牆政策 | 機構中未與任何資料夾或機構資源建立關聯的 階層式防火牆政策數量。與資源相關聯的機構階層式防火牆政策數量沒有限制。 |
| 每個機構的全域地址群組 | 您可以在機構中定義的全域和機構範圍地址群組數量。 |
| 每個區域每個機構的區域地址群組 | 您可以在機構的每個區域中定義的區域性機構範圍位址群組數量。 |
每個網路
下列配額適用於 VPC 網路:
| 配額 | 說明 |
|---|---|
| 每個虛擬私有雲網路在每個區域的區域網路防火牆政策關聯 | 可與虛擬私有雲網路區域建立關聯的區域網路防火牆政策數量上限。 |
| 每個虛擬私有雲網路在每個區域的防火牆規則屬性 | 虛擬私有雲網路區域中,所有相關聯區域網路防火牆政策的規則屬性數量上限。 |
| 每個虛擬私有雲網路在每個區域的防火牆規則 FQDN 數量 | 虛擬私有雲網路區域中,所有相關聯區域網路防火牆政策的規則中,FQDN 的數量上限。 |
每個防火牆政策
下表列出每個防火牆政策資源的 Cloud NGFW 配額:
| 配額 | 說明 |
|---|---|
| 階層式防火牆政策 | |
| 每個階層式防火牆政策的規則屬性 | 這項配額是階層式防火牆政策中所有規則的規則屬性總和。詳情請參閱「規則屬性計數詳細資料」。 |
| 每個階層式防火牆政策的網域名稱 (FQDN) | 您可以在階層式防火牆政策的所有規則中加入的網域名稱數量。這項配額是政策中所有連入規則的來源網域名稱總和,加上政策中所有連出規則的目的地網域名稱總和。 |
| 全域網路防火牆政策 | |
| 每個全域網路防火牆政策的規則屬性 | 全域網路防火牆政策中所有規則的規則屬性總和。詳情請參閱「規則屬性計數詳細資料」。 |
| 每個全域網路防火牆政策的網域名稱 (FQDN) | 您可以在全域網路防火牆政策的所有規則中加入的網域名稱數量。這項配額是政策中所有連入規則的來源網域名稱總和,加上政策中所有連出規則的目的地網域名稱總和。 |
| 區域網路防火牆政策 | |
| 每個區域網路防火牆政策的規則屬性 | 區域網路防火牆政策中所有規則的規則屬性總和。詳情請參閱「規則屬性計數詳細資料」。 |
| 每個區域網路防火牆政策的網域名稱 (FQDN) | 可在區域網路防火牆政策的所有規則中加入的網域名稱 (FQDN) 數量:這項配額是政策中所有連入規則的來源網域名稱總和,加上政策中所有連出規則的目的地網域名稱總和。 |
規則屬性計數詳細資料
每項防火牆政策最多可支援政策中所有規則的屬性總數。如要判斷特定防火牆政策的規則屬性計數,請說明該政策。如需相關指示,請參閱下列文章:
- 在階層式防火牆政策文件中描述政策
- 描述全域網路防火牆政策
- 說明區域網路防火牆政策
下表列出範例規則,以及每個範例規則的屬性計數。
| 防火牆規則範例 | 規則屬性計數 | 說明 |
|---|---|---|
輸入允許防火牆規則,包含來源 IP 位址範圍 10.100.0.1/32、tcp 通訊協定和 5000-6000 通訊埠範圍。 |
3 | 一個來源範圍;一個通訊協定、一個通訊埠範圍。 |
輸入拒絕防火牆規則,來源 IP 位址範圍為 10.0.0.0/8, 192.168.0.0/16,目的地 IP 位址範圍為 100.64.0.7/32,通訊協定為 tcp 和 udp,通訊埠範圍為 53-53 和 5353-5353。
|
11 | 有四種通訊協定和通訊埠組合:tcp:53-53、tcp:5353-5353、udp:53-53 和 udp:5353-5353。每個通訊協定和通訊埠組合都會使用兩個屬性。兩個來源 IP 位址範圍各有一個屬性、目的地 IP 位址範圍有一個屬性,以及通訊協定和通訊埠組合有八個屬性,因此屬性總數為 11 個。 |
具有來源 IP 位址範圍 100.64.0.7/32、目的地 IP 位址範圍 10.100.0.1/32, 10.100.1.1/32、tcp:80、tcp:443 和 udp:4000-5000 的輸出拒絕防火牆規則。 |
9 | 通訊協定和通訊埠組合會擴充為三種:tcp:80-80、tcp:443-443 和 udp:4000-5000。每個通訊協定和通訊埠組合會使用兩個屬性。來源範圍有一個屬性,兩個目的地 IP 位址範圍各有一個屬性,通訊協定和通訊埠組合有六個屬性,因此屬性總數為 9。 |
限制
除非另有註明,否則上限「無法」提高。
每個機構
以下限制適用於所有機構:
| 項目 | 限制 | 附註 |
|---|---|---|
| 每個機構的安全標記金鑰數量上限 | 1,000 | 具有上層機構的安全代碼金鑰數量上限。 詳情請參閱「標記限制」。 |
所有標記鍵使用的最高安全標記值,其中 purpose 為 GCE_FIREWALL,且 purpose-data 為機構 |
16384 | 系統會對與目的資料相符的機構中建立的所有標記鍵所使用的標記值強制執行這項限制,包括上層是機構或機構內專案的標記鍵。 |
| 每個機構的網址篩選安全性設定檔 | 40 | 每個機構可建立的網址篩選安全性設定檔數量上限。 |
| 每個機構的威脅防護安全性設定檔 | 40 | 每個機構可建立的威脅防護類型安全設定檔數量上限。 |
| 每個機構的威脅防範安全性設定檔群組 | 40 | 每個機構可建立的安全性設定檔群組數量上限,這些群組使用威脅防範安全性設定檔。 |
| 每個機構的網址篩選安全性設定檔群組 | 40 | 每個機構可建立的網址篩選安全性設定檔群組數量上限。 |
| 每個機構在每個可用區的防火牆端點數 | 50 | 每個機構在每個可用區可建立的防火牆端點數量上限。 |
每項專案
專案有以下限制:
| 項目 | 限制 | 附註 |
|---|---|---|
| 每個專案的安全代碼金鑰數量上限 | 1,000 | 具有上層專案的安全代碼金鑰數量上限。 詳情請參閱「標記限制」。 |
每個網路
以下限制適用於 VPC 網路:
| 項目 | 限制 | 附註 |
|---|---|---|
| 每個網路的全域網路防火牆政策數量上限 | 1 | 可與虛擬私有雲網路建立關聯的全球網路防火牆政策數量上限。 |
| 每個網路的網域名稱 (FQDN) 數量上限 | 1,000 | 可透過與虛擬私有雲網路相關聯的階層式防火牆政策、全域網路防火牆政策和區域網路防火牆政策,在防火牆規則中使用的網域名稱總數上限。 |
所有標記鍵使用的安全標記值上限,其中 purpose 為 GCE_FIREWALL,且 purpose-data 為虛擬私有雲網路 |
16383 | 系統會針對標記鍵使用的所有標記值強制執行這項限制,這些標記鍵的 purpose-data 與指定的 VPC 網路相符,包括上層為機構或專案的標記鍵。 |
| 每個網路每個可用區的防火牆端點數 | 1 | 每個網路在每個可用區可指派的防火牆端點數量上限。 |
每項防火牆規則
防火牆規則有下列限制:
| 項目 | 限制 | 附註 |
|---|---|---|
| 每項輸入防火牆政策規則的來源安全標記數量上限 | 256 | 僅適用於輸入防火牆政策規則,您可以在防火牆規則中,將安全標記做為來源標記,數量上限為 10 個。這項上限無法提高。 |
| 每項防火牆政策規則的目標安全標記數量上限 | 256 | 僅適用於防火牆政策規則,也就是您可在防火牆規則中做為目標標記的安全標記數量上限。這項上限無法提高。 |
| 每項輸入虛擬私有雲防火牆規則的來源網路標記數量上限 | 30 | 僅適用於輸入虛擬私有雲防火牆規則,您可以在防火牆規則中做為來源標記使用的網路標記數量上限。這項上限無法提高。 |
| 每項虛擬私有雲防火牆規則的目標網路標記數量上限 | 70 | 僅適用於虛擬私有雲防火牆規則,您可在防火牆規則中使用的網路標記數量上限。這項上限無法提高。 |
| 每個輸入 VPC 防火牆規則的來源服務帳戶數量上限 | 10 | 僅適用於輸入虛擬私有雲防火牆規則,您可以在防火牆規則中做為來源的服務帳戶數量上限。這項上限無法提高。 |
| 每項防火牆規則的目標服務帳戶數量上限 | 10 | 您可以在虛擬私有雲防火牆規則或防火牆政策規則中,做為目標的服務帳戶數量上限。這項上限無法提高。 |
| 每項防火牆規則的來源 IP 位址範圍數量上限 | 5,000 | 您可以在虛擬私有雲防火牆規則或防火牆政策中的規則中,指定的來源 IP 位址範圍數量上限。IP 位址範圍只能是 IPv4 或 IPv6。這項上限無法提高。 |
| 每項防火牆規則的目的地 IP 位址範圍數量上限 | 5,000 | 您在虛擬私有雲防火牆規則或防火牆政策規則中,可以指定的目的地 IP 位址範圍數量上限。IP 位址範圍只能是 IPv4 或 IPv6。這項上限無法提高。 |
| 防火牆政策中每項輸入防火牆規則的來源位址群組數量上限 | 10 | 防火牆政策中輸入防火牆規則可指定的來源位址群組數量上限。這項上限無法提高。 |
| 防火牆政策中每項防火牆規則的目的地位址群組數量上限 | 10 | 防火牆政策中輸出防火牆規則可指定的目的地位址群組數量上限。這項上限無法提高。 |
| 防火牆政策中每項防火牆規則的網域名稱 (FQDN) 數量上限 | 100 | 您可以在防火牆政策的規則中加入的網域名稱 (FQDN) 數量。這項上限無法提高。 |
每個位址群組
下列限制適用於 Cloud NGFW 使用的位址群組。
| 項目 | 限制 | 附註 |
|---|---|---|
| 每個位址群組的 IP 位址數量上限 | 1,000 | 個別套用至 Cloud NGFW 使用的每個位址群組。位址群組可以是全域、專案範圍的位址群組;全域、組織範圍的位址群組;區域、專案範圍的位址群組;或區域、組織範圍的位址群組。 |
每個防火牆端點
下列限制適用於防火牆端點:
| 項目 | 限制 | 附註 |
|---|---|---|
| 每個防火牆端點的關聯 | 50 | 可與防火牆端點建立關聯的虛擬私有雲網路數量上限。您可以在相同區域中建立額外的防火牆端點,藉此克服這項限制。 |
| 使用傳輸層安全標準 (TLS) 時,每個連線的最高輸送量 | 250 Mbps | TLS 檢查的單一連線處理量上限。 |
| 不使用 TLS 時的單一連線處理量上限 | 1.25 Gbps | 不進行 TLS 檢查時,每個連線的最高輸送量。 |
| 傳輸層安全標準 (TLS) 流量上限 | 2 Gbps | 流量防火牆端點可處理的 TLS 檢查流量上限。 |
| 不使用 TLS 的最大流量 | 10 Gbps | 防火牆端點可處理的流量上限 (不含 TLS 檢查)。 |
每個安全性設定檔
安全設定檔有下列限制:
| 項目 | 限制 | 附註 |
|---|---|---|
| 每個安全性設定檔的相符字串數 | 500 | 可新增至網址過濾安全性設定檔的相符字串數量上限。 |
| 每個安全性設定檔的威脅覆寫次數 | 100 | 您可以在威脅防護安全設定檔中新增的威脅覆寫規則數量上限。 |
每個安全標記
以下限制適用於安全標記:
| 項目 | 限制 | 附註 |
|---|---|---|
| 每個標記鍵的安全標記值數量上限 | 1,000 | 每個代碼鍵最多可新增的安全代碼值數量。詳情請參閱「標記限制」。 |
每個 VM 網路介面
下列限制適用於虛擬機器 (VM) 網路介面:
| 項目 | 限制 | 附註 |
|---|---|---|
| 附加至 VM 網路介面的安全標記值數量上限 | 10 | 每個 VM 網路介面可附加的安全標記值數量上限。如要進一步瞭解防火牆安全標記的規格,請參閱「規格」。 如需網路限制,請參閱「每個網路的限制」。 |
Manage quotas
Cloud Next Generation Firewall enforces quotas on resource usage for various reasons. For example, quotas protect the community of Google Cloud users by preventing unforeseen spikes in usage. Quotas also help users who are exploring Google Cloud with the free tier to stay within their trial.
All projects start with the same quotas, which you can change by requesting additional quota. Some quotas might increase automatically based on your use of a product.
Permissions
To view quotas or request quota increases, Identity and Access Management (IAM) principals need one of the following roles.
| Task | Required role |
|---|---|
| Check quotas for a project | One of the following:
|
| Modify quotas, request additional quota | One of the following:
|
Check your quota
Console
- In the Google Cloud console, go to the Quotas page.
- To search for the quota that you want to update, use the Filter table. If you don't know the name of the quota, use the links on this page instead.
gcloud
Using the Google Cloud CLI, run the following command to
check your quotas. Replace PROJECT_ID with your own project ID.
gcloud compute project-info describe --project PROJECT_IDTo check your used quota in a region, run the following command:
gcloud compute regions describe example-region
Errors when exceeding your quota
If you exceed a quota with a gcloud command,
gcloud outputs a quota exceeded error
message and returns with the exit code 1.
If you exceed a quota with an API request, Google Cloud returns the
following HTTP status code: 413 Request Entity Too Large.
Request additional quota
To adjust most quotas, use the Google Cloud console. For more information, see Request a quota adjustment.
Resource availability
Each quota represents a maximum number for a particular type of resource that you can create, if that resource is available. It's important to note that quotas don't guarantee resource availability. Even if you have available quota, you can't create a new resource if it is not available.
For example, you might have sufficient quota to create a new regional, external IP address in a given region. However, that is not possible if there are no available external IP addresses in that region. Zonal resource availability can also affect your ability to create a new resource.
Situations where resources are unavailable in an entire region are rare. However, resources within a zone can be depleted from time to time, typically without impact to the service level agreement (SLA) for the type of resource. For more information, review the relevant SLA for the resource.