このドキュメントでは、Network Security Integration に適用される割り当てとシステムの上限を示します。
- 割り当てにはデフォルト値がありますが、通常は調整をリクエストできます。
- システムの上限は固定値で、変更できません。
Google Cloud では、割り当てを使用して公平性を確保し、リソースの使用量と可用性の急増を抑えます。割り当ては、 Google Cloud プロジェクトで使用できるGoogle Cloud リソースの量を制限します。割り当ては、ハードウェア、ソフトウェア、ネットワーク コンポーネントなど、さまざまなリソースタイプに適用されます。たとえば、割り当てによって、サービスへの API 呼び出しの数、プロジェクトで同時に使用されるロードバランサの数、作成可能なプロジェクトの数を制限できます。割り当てを適用することで、サービスの過負荷を防ぎ、Google Cloud ユーザーのコミュニティを保護します。割り当ては、自組織で使用している Google Cloud リソースの管理にも役立ちます。
Cloud Quotas システムは次のことを行います。
- Google Cloud のプロダクトとサービスの消費量をモニタリングする
- これらのリソースの消費量を制限する
- 割り当て値の変更をリクエストし、割り当ての調整を自動化する手段を提供する
ほとんどの場合、割り当ての許容量を超えるリソースを消費しようとすると、システムによってリソースへのアクセスがブロックされ、実行しようとしているタスクは失敗します。
割り当ては通常、 Google Cloud プロジェクト レベルで適用されます。あるプロジェクトでリソースを使用しても、別のプロジェクトで使用可能な割り当てに影響することはありません。 Google Cloud プロジェクト内では、すべてのアプリケーションと IP アドレスで割り当てが共有されます。
詳細については、Cloud Quotas の概要をご覧ください。
Network Security Integration リソースにもシステムの上限があります。システムの上限は変更できません。
割り当て
このセクションでは、Network Security Integration に適用される割り当てについて説明します。
Cloud Monitoring を使用するプロジェクトごとの割り当てをモニタリングするには、Consumer Quota リソースタイプで指標 serviceruntime.googleapis.com/quota/allocation/usage のモニタリングを設定します。割り当てタイプに到達するように、追加のラベルフィルタ(service、quota_metric)を設定します。割り当て指標のモニタリングの詳細については、割り当て指標をグラフ化してモニタリングするをご覧ください。各割り当てには上限と使用量の値があります。
特に明記されていない限り、割り当てを変更するには、より大きな割り当てをリクエストするをご覧ください。
プロジェクト単位
次の表に、プロジェクトごとの Network Security Integration の割り当てを示します。
| 割り当て | 説明 |
|---|---|
| グローバル ネットワーク ファイアウォール ポリシー | プロジェクト内のグローバル ネットワーク ファイアウォール ポリシーの数。各ポリシーに関連付けられている VPC ネットワークの数は関係ありません。 |
| プロジェクトとゾーンあたりのミラーリング デプロイ | プロジェクトのゾーンごとに作成できるミラーリング デプロイの数。 |
| プロジェクトとゾーンあたりのインターセプト デプロイ | プロジェクトのゾーンごとに作成できるインターセプト デプロイの数。 |
| プロジェクトあたりのミラーリング デプロイ グループ | プロジェクトごとに作成できるミラーリング デプロイ グループの数。 |
| プロジェクトあたりのインターセプト デプロイ グループ | プロジェクトごとに作成できるインターセプト デプロイ グループの数。 |
組織単位
次の表に、組織ごとの Network Security Integration の割り当てを示します。組織レベルの割り当てを変更するには、サポートケースを登録してください。
| 割り当て | 説明 |
|---|---|
| 組織内の関連付けられていない階層型ファイアウォール ポリシー | フォルダまたは組織リソースに関連付けられていない、組織内の階層型ファイアウォール ポリシーの数。リソースに関連付けられている、組織内の階層型ファイアウォール ポリシーの数に制限はありません。 |
ファイアウォール ポリシー単位
次の表に、ファイアウォール ポリシー リソースごとの Network Security Integration の割り当てを示します。
| 割り当て | 説明 |
|---|---|
| 階層型ファイアウォール ポリシー | |
| 階層型ファイアウォール ポリシーごとのルール属性 | 階層型ファイアウォール ポリシーにおけるすべてのルールのルール属性の合計。詳細については、ルール属性の数の詳細をご覧ください。 この割り当ては、ファイアウォール ポリシールールとミラーリング ルールで共有されます。したがって、階層型ファイアウォール ポリシーにファイアウォール ポリシールールとミラーリング ルールの両方が含まれている場合、両方のルールタイプのルール属性がこの割り当てに寄与します。 |
| グローバル ネットワーク ファイアウォール ポリシー | |
| グローバル ネットワーク ファイアウォール ポリシーごとのルール属性 | グローバル ネットワーク ファイアウォール ポリシーにおけるすべてのルールのルール属性の合計。詳細については、ルール属性の数の詳細をご覧ください。 この割り当ては、ファイアウォール ポリシールールとミラーリング ルールで共有されます。したがって、グローバル ネットワーク ファイアウォール ポリシーにファイアウォール ポリシー ルールとミラーリング ルールの両方が含まれている場合、両方のルールタイプのルール属性がこの割り当てに寄与します。 |
ルール属性の数の詳細
各ファイアウォール ポリシーは、ルール属性の最大合計数をサポートします。ファイアウォール ポリシーのルール属性の数は、そのファイアウォール ルールとミラーリング ルールのルール属性の合計です。
次のルールの例は、 Google Cloud がポリシー ルールごとにルール属性をカウントする方法を示しています。
| ポリシールールの例 | ルール属性の合計数 | 説明 |
|---|---|---|
次の 2 つのルールを含むグローバル ネットワーク ファイアウォール ポリシー。
|
6 |
|
デプロイ グループごと
次の表に、ミラーリング デプロイ グループごとまたはインターセプト デプロイ グループごとの Network Security Integration の割り当てを示します。
| 割り当て | 説明 |
|---|---|
| ミラーリング デプロイ グループあたりのミラーリング エンドポイント グループ | ミラーリング デプロイ グループに関連付けることができるミラーリング エンドポイント グループの最大数。 |
| インターセプト デプロイ グループあたりのインターセプト エンドポイント グループ | インターセプト デプロイ グループに関連付けることができるインターセプト エンドポイント グループの最大数。 |
エンドポイント グループごと
次の表に、ミラーリング エンドポイント グループまたはインターセプト エンドポイント グループごとの Network Security 統合の割り当てを示します。
| 割り当て | 説明 |
|---|---|
| ミラーリング エンドポイント グループあたりのセキュリティ プロファイル グループ | ミラーリング エンドポイント グループを参照するセキュリティ プロファイルを含むセキュリティ プロファイル グループの最大数。 |
| インターセプト エンドポイント グループあたりのセキュリティ プロファイル グループ | インターセプト エンドポイント グループを参照するセキュリティ プロファイルを含むセキュリティ プロファイル グループの最大数。 |
| エンドポイント グループあたりのインターセプト エンドポイント グループの関連付け | インターセプト エンドポイント グループを参照できるインターセプト エンドポイント グループの関連付けの最大数。 |
上限
具体的に注記がある場合を除き、通常、上限を引き上げることはできません。
組織単位
組織には次の上限が適用されます。
| 項目 | 上限 | メモ |
|---|---|---|
| 組織あたりのセキュリティ プロファイル グループ数 | 40 | 組織ごとに作成できるセキュリティ プロファイル グループの最大数。 |
| 組織あたりのミラーリング エンドポイント グループ | 1 | 組織ごとに作成できるミラーリング エンドポイント グループの最大数。この上限を更新するには、サポートケースを登録してください。 |
ネットワーク単位
VPC ネットワークには次の上限が適用されます。
| 項目 | 上限 | 注 |
|---|---|---|
| ネットワークあたりの最大グローバル ネットワーク ファイアウォール ポリシー | 1 | VPC ネットワークに関連付けることができる、グローバル ネットワーク ファイアウォール ポリシーの最大数。 |
ルールごと
VPC ファイアウォール ルール、ファイアウォール ポリシー ルール、ミラーリング ルールには、次の上限が適用されます。
| 項目 | 上限 | メモ |
|---|---|---|
| ファイアウォール ルールあたりの送信元 IP アドレス範囲の最大数 | 5,000 | VPC ファイアウォール ルール、ファイアウォール ポリシー ルール、ミラーリング ルールで指定できる送信元 IP アドレス範囲の最大数。IP アドレス範囲は、IPv4 のみ、または IPv6 のみです。この上限を引き上げることはできません。 |
| ファイアウォール ルールあたりの宛先 IP アドレス範囲の最大数 | 5,000 | VPC ファイアウォール ルール、ファイアウォール ポリシー ルール、ミラーリング ルールで指定できる宛先 IP アドレス範囲の最大数。IP アドレス範囲は、IPv4 のみ、または IPv6 のみです。この上限を引き上げることはできません。 |
デプロイ グループごと
ミラーリング デプロイ グループとインターセプト デプロイ グループには、次の上限が適用されます。
| 項目 | 上限 | メモ |
|---|---|---|
| ミラーリング デプロイ グループあたりのミラーリング デプロイとミラーリング エンドポイント グループの関連付けペア | 1,000 | ミラーリング デプロイ グループごとに、次の 2 つの数値の積の最大値。
|
| インターセプト デプロイ グループあたりのインターセプト デプロイとインターセプト エンドポイント グループの関連付けペア | 1,000 | 各インターセプト デプロイ グループについて、次の 2 つの数値の積の最大値。
|
割り当てを管理する
Network Security Integration では、さまざまな理由から、使用できるリソースの割り当て量に上限が設けられています。たとえば、割り当て量の上限を設定して予期しない使用量の急増を防ぐことで、 Google Cloud ユーザーのコミュニティを保護しています。割り当て量は、無料枠で Google Cloud を試しているユーザーをトライアルのレベルに留めておくのにも役立ちます。
すべてのプロジェクトは同じ割り当て量で開始しますが、追加の割り当て量をリクエストすることで変更できます。割り当ては、プロダクトの使用状況に応じて自動的に増加される場合もあります。
権限
割り当ての表示や、割り当ての増加のリクエストをするには、Identity and Access Management(IAM)のプリンシパルに以下のいずれかのロールが必要です。
| タスク | 必要なロール |
|---|---|
| プロジェクトの割り当て量をチェックする | 次のいずれかが必要です。 |
| 割り当て量の変更、割り当て量の追加のリクエストを行う | 次のいずれかが必要です。 |
割り当て量を確認する
コンソール
- Google Cloud コンソールで、[割り当て] ページに移動します。
- 更新する割り当てを検索するには、[表をフィルタリング] を使用します。割り当ての名前がわからない場合は、このページにあるリンクを使用します。
gcloud
Google Cloud CLI で次のコマンドを実行して、割り当てを確認します。PROJECT_ID は、実際のプロジェクト ID に置き換えます。
gcloud compute project-info describe --project PROJECT_IDある特定のリージョンで使用済みの割り当て量を確認するには、次のコマンドを実行します。
gcloud compute regions describe example-region
割り当て量を超えたときのエラー
gcloud コマンドで割り当て量を超えた場合、gcloud は quota exceeded エラー メッセージを出力し、終了コード 1 を返します。
API リクエストで割り当て量を超えた場合、 Google Cloud は HTTP ステータス コード 413 Request Entity Too Large を返します。
追加の割り当てをリクエスト
通常、割り当てを調整するには Google Cloud コンソールを使用します。詳細については、割り当ての調整をリクエストするをご覧ください。
リソースの可用性
各割り当て量は、リソースが利用可能な場合に作成できる特定のリソースタイプの最大数を表します。割り当て量によってリソースの可用性が保証されるわけではありません。この点は注意が必要です。割り当て量が使用可能でも、新しいリソースを使用できなければ、そのリソースを作成することはできません。
たとえば、特定のリージョンで新しいリージョンの外部 IP アドレスを作成するための割り当て量が十分にあっても、そのリージョンに使用可能な外部 IP アドレスがない場合、外部 IP アドレスは作成できません。ゾーンリソースの可用性は、新しいリソースを作成できるかにも影響を及ぼす可能性があります。
リージョン全体でリソースを使用できない状況はまれです。ただし、ゾーン内のリソースが使い果たされることはあります。通常、そのリソースタイプのサービスレベル契約(SLA)に影響はありません。詳細については、リソースに関連する SLA をご覧ください。