Ce document recense les quotas et limites système qui s'appliquent à l'intégration de la sécurité réseau.
- Les quotas ont des valeurs par défaut, mais vous pouvez généralement demander des ajustements.
- Les limites système sont des valeurs fixes qui ne peuvent pas être modifiées.
Google Cloud utilise des quotas pour garantir l'équité et réduire les pics d'utilisation et de disponibilité des ressources. Un quota limite la quantité d'une ressourceGoogle Cloud que votre projet Google Cloud peut utiliser. Les quotas s'appliquent à différents types de ressources, y compris les composants matériels, logiciels et réseau. Par exemple, ils peuvent limiter le nombre d'appels d'API à un service, le nombre d'équilibreurs de charge utilisés simultanément par votre projet ou le nombre de projets que vous pouvez créer. Ils protègent la communauté des utilisateurs deGoogle Cloud en empêchant la surcharge des services. Les quotas vous aident également à gérer vos propres ressources Google Cloud .
Le système Cloud Quotas permet d'effectuer les opérations suivantes :
- Surveiller votre consommation de produits et services Google Cloud
- Limiter votre consommation de ces ressources
- Demander des modifications de la valeur du quota et automatiser les ajustements de quota
Dans la plupart des cas, lorsque vous tentez d'utiliser une ressource plus que son quota ne le permet, le système bloque l'accès à la ressource et la tâche que vous essayez d'effectuer échoue.
Les quotas s'appliquent généralement au niveau du projet Google Cloud . Votre utilisation d'une ressource dans un projet n'affecte pas votre quota disponible dans un autre projet. Dans un projet Google Cloud , les quotas sont partagés entre toutes les applications et adresses IP.
Pour en savoir plus, consultez la présentation des quotas Cloud.
Des limites système s'appliquent également aux ressources d'intégration de la sécurité réseau. Elles ne peuvent pas être modifiées.
Quotas
Cette section répertorie les quotas qui s'appliquent à l'intégration de la sécurité du réseau.
Pour surveiller les quotas par projet qui utilisent Cloud Monitoring, configurez la surveillance de la métrique serviceruntime.googleapis.com/quota/allocation/usage sur le type de ressource Consumer Quota. Définissez des filtres de libellés supplémentaires (service, quota_metric) afin d'obtenir le type de quota. Pour en savoir plus sur la surveillance des métriques de quota, consultez la page Représentation graphique et surveillance des métriques de quota.
Chaque quota est associé à une limite et à une valeur d'utilisation.
Sauf indication contraire, pour modifier un quota, consultez la section Demander une augmentation de quota.
Par projet
Le tableau suivant présente les quotas d'intégration Network Security par projet.
| Quota | Description |
|---|---|
| Stratégies de pare-feu de réseau au niveau mondial | Nombre de stratégies de pare-feu réseau mondiales dans un projet, quel que soit le nombre de réseaux VPC associés à chaque stratégie. |
| Déploiements de mirroring par zone et par projet | Nombre de déploiements de mise en miroir que vous pouvez créer par zone dans un projet. |
| Déploiements d'interception par zone et par projet | Nombre de déploiements d'interception que vous pouvez créer par zone dans un projet. |
| Groupes de déploiement de mise en miroir par projet | Nombre de groupes de déploiement de mise en miroir que vous pouvez créer par projet. |
| Groupes de déploiement d'interception par projet | Nombre de groupes de déploiement d'interceptions que vous pouvez créer par projet. |
Par organisation
Le tableau suivant présente les quotas d'intégration de la sécurité réseau par organisation. Pour modifier un quota au niveau de l'organisation, envoyez une demande d'assistance.
| Quota | Description |
|---|---|
| Stratégies de pare-feu hiérarchiques non associées dans une organisation | Nombre de stratégies de pare-feu hiérarchiques dans une organisation qui ne sont associées à aucun dossier ou ressource d'organisation. Le nombre de stratégies de pare-feu hiérarchiques associées à une ressource n'est pas limité au sein d'une organisation. |
Par stratégie de pare-feu
Le tableau suivant présente les quotas d'intégration de la sécurité réseau par ressource de stratégie de pare-feu.
| Quota | Description |
|---|---|
| Stratégies de pare-feu hiérarchiques | |
| Attributs de règle par stratégie de pare-feu hiérarchique | Somme des attributs de règle de toutes les règles d'une stratégie de pare-feu hiérarchique. Pour en savoir plus, consultez la section Détails du nombre d'attributs de règle.
Ce quota est partagé par les règles de stratégie de pare-feu et les règles de mise en miroir. Par conséquent, si une stratégie de pare-feu hiérarchique contient à la fois des règles de stratégie de pare-feu et des règles de mise en miroir, les attributs de règle des deux types de règles contribuent à ce quota. |
| Stratégies de pare-feu de réseau au niveau mondial | |
| Attributs de règle par stratégie de pare-feu de réseau au niveau mondial | Somme des attributs de règle de toutes les règles d'une stratégie de pare-feu de réseau au niveau mondial. Pour en savoir plus, consultez la section Détails du nombre d'attributs de règle.
Ce quota est partagé par les règles de stratégie de pare-feu et les règles de mise en miroir. Par conséquent, si une stratégie de pare-feu de réseau au niveau mondial contient à la fois des règles de stratégie de pare-feu et des règles de mise en miroir, les attributs de règle des deux types de règles contribuent à ce quota. |
Détails du nombre d'attributs de règle
Chaque stratégie de pare-feu accepte un nombre total maximal d'attributs de règle. Le nombre d'attributs de règle pour une stratégie de pare-feu correspond à la somme des attributs de règle de ses règles de pare-feu et de ses règles de mise en miroir.
Les exemples de règles suivants montrent comment Google Cloud compte les attributs de règles pour chaque règle de stratégie :
| Exemple de règle | Nombre total d'attributs de règle | Explication |
|---|---|---|
Une stratégie de pare-feu réseau mondiale avec les deux règles suivantes :
|
6 |
|
Par groupe de déploiement
Le tableau suivant présente les quotas d'intégration de la sécurité réseau par groupe de déploiement de mise en miroir ou par groupe de déploiement d'interception.
| Quota | Description |
|---|---|
| Groupes de points de terminaison de mise en miroir par groupe de déploiement de mise en miroir | Nombre maximal de groupes de points de terminaison de mise en miroir que vous pouvez associer à un groupe de déploiement de mise en miroir. |
| Groupes de points de terminaison d'interception par groupe de déploiement d'interception | Nombre maximal de groupes de points de terminaison d'interception que vous pouvez associer à un groupe de déploiement d'interception. |
Par groupe de points de terminaison
Le tableau suivant présente les quotas d'intégration de Network Security par groupe de points de terminaison de mise en miroir ou par groupe de points de terminaison d'interception.
| Quota | Description |
|---|---|
| Groupes de profils de sécurité par groupe de points de terminaison de mise en miroir | Nombre maximal de groupes de profils de sécurité avec un profil de sécurité qui fait référence à un groupe de points de terminaison de mise en miroir. |
| Groupes de profils de sécurité par groupe de points de terminaison d'interception | Nombre maximal de groupes de profils de sécurité avec un profil de sécurité qui fait référence à un groupe de points de terminaison d'interception. |
| Associations de groupes de points de terminaison d'interception par groupe de points de terminaison | Nombre maximal d'associations de groupes de points de terminaison d'interception pouvant faire référence à un groupe de points de terminaison d'interception. |
Limites
Sauf stipulation contraire, les limites ne peuvent pas être augmentées.
Par organisation
Les limites suivantes s'appliquent aux organisations :
| Élément | Limite | Remarques |
|---|---|---|
| Groupes de profils de sécurité par organisation | 40 | Nombre maximal de groupes de profils de sécurité que vous pouvez créer par organisation. |
| Groupes de points de terminaison de mise en miroir par organisation | 1 | Nombre maximal de groupes de points de terminaison de mise en miroir que vous pouvez créer par organisation. Pour modifier cette limite, envoyez une demande d'assistance. |
Par réseau
Les limites suivantes s'appliquent aux réseaux VPC :
| Élément | Limite | Remarques |
|---|---|---|
| Nombre maximal de stratégies de pare-feu de réseau au niveau mondial par réseau | 1 | Nombre maximal de stratégies de pare-feu de réseau au niveau mondial que vous pouvez associer à un réseau VPC. |
Par règle
Les limites suivantes s'appliquent aux règles de pare-feu VPC, aux règles de stratégie de pare-feu et aux règles de mise en miroir :
| Élément | Limite | Remarques |
|---|---|---|
| Nombre maximal de plages d'adresses IP sources par règle de pare-feu | 5 000 | Nombre maximal de plages d'adresses IP sources que vous pouvez spécifier dans une règle de pare-feu VPC, une règle de stratégie de pare-feu ou une règle de mise en miroir. Les plages d'adresses IP sont de type IPv4 uniquement ou IPv6 uniquement. Cette limite ne peut pas être augmentée. |
| Nombre maximal de plages d'adresses IP de destination par règle de pare-feu | 5 000 | Nombre maximal de plages d'adresses IP de destination que vous pouvez spécifier dans une règle de pare-feu VPC, une règle de stratégie de pare-feu ou une règle de mise en miroir. Les plages d'adresses IP sont de type IPv4 uniquement ou IPv6 uniquement. Cette limite ne peut pas être augmentée. |
Par groupe de déploiement
Les limites suivantes s'appliquent aux groupes de déploiement de mise en miroir et d'interception :
| Élément | Limite | Remarques |
|---|---|---|
| Paires d'association de groupe de points de terminaison de mise en miroir et de déploiement de mise en miroir par groupe de déploiement de mise en miroir | 1 000 | Pour chaque groupe de déploiement de mise en miroir, la valeur maximale du produit des deux nombres suivants :
|
| Paires d'associations de groupes de points de terminaison et de déploiements d'interception par groupe de déploiement d'interception | 1 000 | Pour chaque groupe de déploiement d'interception, la valeur maximale du produit des deux nombres suivants :
|
Gérer les quotas
Network Security Integration impose des quotas sur l'utilisation des ressources pour différentes raisons. Il s'agit, par exemple, de préserver la communauté des utilisateurs Google Cloud en empêchant les pics d'utilisation imprévus. Les quotas aident également les utilisateurs qui explorent Google Cloud avec la version gratuite à ne pas dépasser les limites de leur version d'essai.
Tous les projets débutent avec les mêmes quotas, que vous pouvez modifier en demandant un quota supplémentaire. Certains quotas peuvent augmenter automatiquement en fonction de votre utilisation d'un produit.
Autorisations
Pour afficher les quotas ou demander des augmentations de quotas, les entités principales IAM (gestion de l'authentification et des accès) doivent disposer de l'un des rôles suivants :
| Tâche | Rôle requis |
|---|---|
| Vérifier les quotas d'un projet | Choisissez l'une des options suivantes :
|
| Modifier les quotas, demander un quota supplémentaire | Choisissez l'une des options suivantes :
|
Vérifier les quotas
Console
- Dans la Google Cloud console, accédez à la page Quotas.
- Pour rechercher le quota à mettre à jour, utilisez l'option Filtrer le tableau. Si vous ne connaissez pas le nom du quota, utilisez les liens disponibles sur cette page à la place.
gcloud
À l'aide de Google Cloud CLI, exécutez la commande suivante pour vérifier vos quotas. Remplacez PROJECT_ID par votre ID de projet :
gcloud compute project-info describe --project PROJECT_IDPour vérifier le quota que vous avez déjà consommé dans une région, exécutez la commande suivante :
gcloud compute regions describe example-region
Erreurs lors du dépassement de votre quota
Si vous dépassez un quota avec une commande gcloud, gcloud génère un message d'erreur quota exceeded et renvoie le code de sortie 1.
Si vous dépassez un quota avec une requête API, Google Cloud renvoie le code d'état HTTP suivant: 413 Request Entity Too Large.
Demander un quota supplémentaire
Pour ajuster la plupart des quotas, utilisez la console Google Cloud . Pour en savoir plus, consultez la section Demander un ajustement de quota.
Disponibilité des ressources
Chaque quota représente le nombre maximal de ressources que vous pouvez créer pour un type de ressource donné, sous réserve de disponibilité. Il est important de noter que les quotas ne garantissent pas la disponibilité des ressources. Même si vous disposez d'un quota, vous ne pouvez pas créer une ressource si celle-ci n'est pas disponible.
Par exemple, vous pouvez disposer d'un quota suffisant pour créer une adresse IP régionale externe dans une région donnée. Toutefois, cela n'est pas possible si aucune adresse IP externe n'est disponible dans cette région. La disponibilité des ressources par zone peut également avoir une incidence sur votre capacité à créer des ressources.
Les situations dans lesquelles des ressources sont indisponibles dans une région entière sont rares. Toutefois, les ressources d'une zone peuvent parfois être épuisées de temps en temps, ce qui n'a généralement pas d'incidence sur le contrat de niveau de service pour le type de ressource. Pour plus d'informations, consultez le contrat de niveau de service correspondant à la ressource.