Kontingente und Limits

In diesem Dokument sind die Kontingente und Systemlimits für die Network Security Integration aufgeführt.

  • Kontingente haben Standardwerte, aber Sie können in der Regel Anpassungen anfordern.
  • Systemlimits sind feste Werte, die nicht geändert werden können.

Google Cloud nutzt Kontingente, um für Fairness zu sorgen und Spitzen bei der Ressourcennutzung und ‑verfügbarkeit zu reduzieren. Ein Kontingent schränkt ein, wie viel von einerGoogle Cloud Ressource Ihr Google Cloud Projekt nutzen kann. Kontingente gelten für eine Reihe von Ressourcentypen, einschließlich Hardware, Software und Netzwerkkomponenten. Mit Kontingenten können Sie beispielsweise die Anzahl der API-Aufrufe an einen Dienst, die Anzahl der von Ihrem Projekt nebenläufig verwendeten Load Balancer oder die Anzahl der Projekte begrenzen, die Sie erstellen können. Kontingente sollen eine Überlastung von Diensten verhindern und dadurch die Community derGoogle Cloud Nutzer schützen. Sie helfen Ihnen auch bei der Verwaltung Ihrer eigenen Google Cloud Ressourcen.

Das Cloud-Kontingentsystem tut Folgendes:

Wenn Sie versuchen, mehr von einer Ressource zu verbrauchen, als das Kontingent zulässt, blockiert das System in den meisten Fällen den Zugriff auf die Ressource. Die Aufgabe, die Sie auszuführen versuchen, schlägt dann fehl.

Kontingente gelten in der Regel auf Google Cloud Projektebene. Die Nutzung einer Ressource in einem Projekt hat keinen Einfluss auf das verfügbare Kontingent in einem anderen Projekt. Innerhalb eines Google Cloud Projekts werden die Kontingente für alle Anwendungen und IP-Adressen gemeinsam genutzt.

Weitere Informationen finden Sie unter Cloud-Kontingente – Übersicht.

Für Network Security Integration-Ressourcen gelten außerdem Systemlimits. Systemlimits können nicht geändert werden.

Kontingente

In diesem Abschnitt sind die Kontingente für die Netzwerksicherheitsintegration aufgeführt.

Richten Sie das Monitoring für den Messwert serviceruntime.googleapis.com/quota/allocation/usage für den Ressourcentyp Consumer Quota ein, um projektspezifische Kontingente zu überwachen, die Cloud Monitoring verwenden. Legen Sie weitere Labelfilter (service, quota_metric) fest, um den Kontingenttyp abzurufen. Informationen zum Monitoring von Kontingentmesswerten finden Sie unter Kontingentmesswerte grafisch darstellen und überwachen. Für jedes Kontingent gibt es ein Limit und einen Nutzungswert.

Sofern nicht anders angegeben, finden Sie Informationen zum Ändern eines Kontingents unter Höheres Kontingent anfordern.

Pro Projekt

In der folgenden Tabelle sind die Kontingente für die Integration der Netzwerksicherheit aufgeführt, die pro Projekt gelten.

Kontingent Beschreibung
Globale Netzwerk-Firewallrichtlinien Die Anzahl der globalen Netzwerk-Firewallrichtlinien in einem Projekt, unabhängig davon, wie viele VPC-Netzwerke jeder Richtlinie zugeordnet sind.
Spiegelungsbereitstellungen pro Zone und Projekt Die Anzahl der Spiegelungsbereitstellungen, die Sie pro Zone in einem Projekt erstellen können.
Bereitstellungen von Unterbrechungen pro Zone und Projekt Die Anzahl der Abfangbereitstellungen, die Sie pro Zone in einem Projekt erstellen können.
Bereitstellungsgruppen für Spiegelung pro Projekt Die Anzahl der Spiegelungsbereitstellungsgruppen, die Sie pro Projekt erstellen können.
Abfangbereitstellungsgruppen pro Projekt Die Anzahl der Gruppen für die Bereitstellung von Abfangaktionen, die Sie pro Projekt erstellen können.

Pro Organisation

In der folgenden Tabelle sind die Kontingente für die Integration der Netzwerksicherheit aufgeführt, die pro Organisation gelten. Wenn Sie ein Kontingent auf Organisationsebene ändern möchten, stellen Sie einen Supportfall.

Kontingent Beschreibung
Nicht zugeordnete hierarchische Firewallrichtlinien in einer Organisation Die Anzahl der hierarchischen Firewallrichtlinien in einer Organisation, die keiner Ordner- oder Organisationsressource zugeordnet sind. Es gibt keine Beschränkung für die Anzahl von hierarchischen Firewallrichtlinien in einer Organisation, die einer Ressource zugeordnet sind.

Pro Firewallrichtlinie

In der folgenden Tabelle sind die Kontingente für die Integration der Netzwerksicherheit aufgeführt, die pro Firewallrichtlinienressource gelten.

Kontingent Beschreibung
Hierarchische Firewallrichtlinien
Regelattribute pro hierarchischer Firewallrichtlinie Die Summe der Regelattribute aus allen Regeln in einer hierarchischen Firewallrichtlinie. Weitere Informationen finden Sie unter Details zur Regelattributanzahl.

Dieses Kontingent wird von den Firewallrichtlinienregeln und Spiegelungsregeln gemeinsam genutzt. Wenn eine hierarchische Firewallrichtlinie sowohl die Firewallrichtlinienregeln als auch die Spiegelungsregeln enthält, werden die Regelattribute beider Regeltypen auf dieses Kontingent angerechnet.
Globale Netzwerk-Firewallrichtlinien
Regelattribute pro globaler Netzwerk-Firewallrichtlinie Die Summe der Regelattribute aus allen Regeln in einer globalen Netzwerk-Firewallrichtlinie. Weitere Informationen finden Sie unter Details zur Regelattributanzahl.

Dieses Kontingent wird von den Firewallrichtlinienregeln und Spiegelungsregeln gemeinsam genutzt. Wenn eine globale Netzwerk-Firewallrichtlinie sowohl Firewallrichtlinienregeln als auch Spiegelungsregeln enthält, werden die Regelattribute beider Regeltypen auf dieses Kontingent angerechnet.

Details zur Regelattributanzahl

Jede Firewallrichtlinie unterstützt eine maximale Gesamtzahl von Regelattributen. Die Anzahl der Regelattribute für eine Firewallrichtlinie ist die Summe der Regelattribute der zugehörigen Firewallregeln und Spiegelungsregeln.

Die folgenden Beispielregeln zeigen, wie Google Cloud Regelattribute pro Richtlinienregel zählt:

Beispiel für eine Richtlinienregel Gesamtzahl der Regelattribute Erklärung
Eine globale Netzwerk-Firewallrichtlinie mit den folgenden zwei Regeln:
  • Firewallrichtlinienregel zum Zulassen von eingehendem Traffic mit Quell-IP-Adressbereich 10.100.0.1/32, Protokoll tcp und Portbereich 5000-6000.
  • Regel zum Spiegeln von eingehendem Traffic mit Ziel-IP-Bereich 100.64.0.7/32 und Protokoll tcp mit Port 53-63
 6
  • Anzahl der Regelattribute für Firewallrichtlinienregel: ein Quellbereich, ein Protokoll, ein Portbereich
  • Anzahl der Regelattribute für die Spiegelungsregel: ein Zielbereich, ein Protokoll, ein Portbereich

Pro Bereitstellungsgruppe

In der folgenden Tabelle sind die Kontingente für die Integration der Netzwerksicherheit aufgeführt, die pro Spiegelungsbereitstellungsgruppe oder pro Abfangbereitstellungsgruppe gelten.

Kontingent Beschreibung
Endpunktgruppen für Spiegelung pro Bereitstellungsgruppe für Spiegelung Die maximale Anzahl von Spiegelungsendpunktgruppen, die Sie einer Spiegelungsbereitstellungsgruppe zuordnen können.
Abfangendpunktgruppen pro Abfangbereitstellungsgruppe Die maximale Anzahl von Abfangendpunktgruppen, die Sie einer Abfangbereitstellungsgruppe zuordnen können.

Pro Endpunktgruppe

In der folgenden Tabelle sind Kontingente für die Integration der Netzwerksicherheit aufgeführt, die pro Spiegelungs-Endpunktgruppe oder pro Abfang-Endpunktgruppe gelten.

Kontingent Beschreibung
Sicherheitsprofilgruppen pro Endpunktgruppe für Spiegelung Die maximale Anzahl von Sicherheitsprofilgruppen mit einem Sicherheitsprofil, das auf eine Spiegelungsendpunktgruppe verweist.
Sicherheitsprofilgruppen pro Abfangendpunktgruppe Die maximale Anzahl von Sicherheitsprofilgruppen mit einem Sicherheitsprofil, das auf eine Abfangendpunktgruppe verweist.
Verknüpfungen von Abfang-Endpunktgruppen nach Endpunktgruppe Die maximale Anzahl von Verknüpfungen mit Abfangendpunktgruppen, die auf eine Abfangendpunktgruppe verweisen können.

Limits

Limits können nicht erhöht werden, sofern nicht ausdrücklich anders angegeben.

Pro Organisation

Für Organisationen gelten die folgenden Limits:

Element Limit Hinweise
Sicherheitsprofilgruppen pro Organisation 40 Die maximale Anzahl von Sicherheitsprofilgruppen, die Sie pro Organisation erstellen können.
Endpunktgruppen für Spiegelung pro Organisation 1 Die maximale Anzahl von Spiegelungsendpunktgruppen, die Sie pro Organisation erstellen können. Wenn Sie dieses Limit aktualisieren möchten, reichen Sie eine Supportanfrage ein.

Pro Netzwerk

Die folgenden Limits gelten für VPC-Netzwerke:

Element Limit Hinweise
Maximale Anzahl globaler Netzwerk-Firewallrichtlinien pro Netzwerk 1 Die maximale Anzahl globaler Netzwerk-Firewallrichtlinien, die Sie einem VPC-Netzwerk zuordnen können.

Pro Regel

Die folgenden Limits gelten für VPC-Firewallregeln, Firewallrichtlinienregeln und Spiegelungsregeln:

Element Limit Hinweise
Maximale Anzahl von Quell-IP-Adressbereichen pro Firewallregel 5.000 Die maximale Anzahl von Quell-IP-Adressbereichen, die Sie in einer VPC-Firewallregel, einer Firewallrichtlinienregel oder einer Spiegelungsregel angeben können. IP-Adressbereiche sind entweder nur IPv4 oder nur IPv6. Dieses Limit kann nicht erhöht werden.
Maximale Anzahl von Ziel-IP-Adressbereichen pro Firewallregel 5.000 Die maximale Anzahl von Ziel-IP-Adressbereichen, die Sie in einer VPC-Firewallregel, einer Firewallrichtlinienregel oder einer Spiegelungsregel angeben können. IP-Adressbereiche sind entweder nur IPv4 oder nur IPv6. Dieses Limit kann nicht erhöht werden.

Pro Bereitstellungsgruppe

Für Bereitstellungsgruppen für Spiegelung und Bereitstellungsgruppen für Abfang gelten die folgenden Limits:

Element Limit Hinweise
Paare aus Bereitstellung für Spiegelung und Verknüpfung der Endpunktgruppe für Spiegelung pro Bereitstellungsgruppe für Spiegelung 1.000

Für jede Spiegelungsbereitstellungsgruppe ist der Maximalwert das Produkt der folgenden beiden Zahlen:

  • Die Anzahl der Spiegelungsbereitstellungen, auf die die Bereitstellungsgruppe für die Spiegelung verweist.
  • Die Anzahl der Verknüpfungen von Endpunktgruppen für Spiegelung der Endpunktgruppen für Spiegelung, die auf die Bereitstellungsgruppe für Spiegelung verweisen.
Paare aus Abfangbereitstellung und Verknüpfung der Abfangendpunktgruppe pro Abfangbereitstellungsgruppe 1.000

Für jede Abfangbereitstellungsgruppe der maximale Wert des Produkts der folgenden beiden Zahlen:

  • Die Anzahl der Abfangbereitstellungen, auf die sich die Abfangbereitstellungsgruppe bezieht.
  • Die Anzahl der Verknüpfungen von Abfangendpunktgruppen der Abfangendpunktgruppen, die auf die Abfangbereitstellungsgruppe verweisen.

Kontingente verwalten

MitNetwork Security Integration werden Kontingente für die Ressourcennutzung aus verschiedenen Gründen festgelegt. Kontingente schützen unter anderem die gesamte Google Cloud -Community vor unerwarteten Nutzungsspitzen. Außerdem unterstützen Kontingente Nutzer, die Google Cloud mit der kostenlosen Stufe prüfen, dabei, im Rahmen der Testversion zu verbleiben.

Alle Projekte beginnen mit den gleichen Kontingenten, die Sie ändern können, indem Sie zusätzliche Kontingente anfordern. Einige Kontingente könnten entsprechend Ihrer Nutzung eines Produkts automatisch erhöht werden.

Berechtigungen

Zur Anzeige von Kontingenten oder zur Anforderung von Kontingenterhöhungen benötigen IAM-Hauptkonten (Identity and Access Management) eine der folgenden Rollen:

Aufgabe Erforderliche Rolle
Kontingente für ein Projekt prüfen Beispiele:
Kontingente ändern, zusätzliche Kontingente anfordern Beispiele:
  • Project Owner (roles/owner)
  • Project Editor (roles/editor)
  • Quota Administrator (roles/servicemanagement.quotaAdmin)
  • Eine benutzerdefinierte Rolle mit der Berechtigung serviceusage.quotas.update

Kontingent prüfen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Kontingente auf.

    Kontingente aufrufen

  2. Mit dem Feld Tabelle filtern können Sie nach den zu aktualisierenden Kontingenten suchen. Wenn Sie den Namen des Kontingents nicht kennen, verwenden Sie stattdessen die Links auf dieser Seite.

gcloud

Führen Sie mit der Google Cloud CLI den folgenden Befehl aus, um Ihre Kontingente zu prüfen. Ersetzen Sie PROJECT_ID durch Ihre Projekt-ID:

    gcloud compute project-info describe --project PROJECT_ID

Mit dem folgenden Befehl prüfen Sie das genutzte Kontingent in einer Region:

    gcloud compute regions describe example-region

Fehler beim Überschreiten Ihres Kontingents

Wenn Sie ein Kontingent mit einem gcloud-Befehl überschreiten, gibt gcloud eine quota exceeded-Fehlermeldung aus und liefert den Exit-Code 1.

Wenn Sie mit einer API-Anfrage ein Kontingent überschreiten,gibt Google Cloud den folgenden HTTP-Statuscode zurück: 413 Request Entity Too Large. Google Cloud

Weitere Kontingente anfordern

Verwenden Sie die Google Cloud Console, um die meisten Kontingente anzupassen. Weitere Informationen finden Sie unter Kontingentanpassung beantragen.

Ressourcenverfügbarkeit

Jedes Kontingent stellt die maximale Anzahl an Ressourcen eines bestimmten Typs dar, die Sie erstellen können, sofern der Ressourcentyp verfügbar ist. Beachten Sie, dass Kontingente die Verfügbarkeit von Ressourcen nicht garantieren. Selbst wenn Sie ein verfügbares Kontingent haben, können Sie keine neue Ressource erstellen, wenn keine verfügbar ist.

Beispiel: Sie haben noch ein ausreichendes Kontingent zum Erstellen einer neuen regionalen externen IP-Adresse in einer bestimmten Region. Dies ist jedoch nicht möglich, wenn in dieser Region keine externen IP-Adressen verfügbar sind. Die Verfügbarkeit von zonalen Ressourcen kann sich auch auf Ihre Fähigkeit auswirken, eine neue Ressource zu erstellen.

Es kommt nur selten vor, dass Ressourcen in einer kompletten Region nicht verfügbar sind. Ressourcen innerhalb einer Zone können aber manchmal vorübergehend ausgeschöpft sein, ohne dass sich das auf das Service Level Agreement (SLA) für den Ressourcentyp auswirkt. Weitere Informationen finden Sie im entsprechenden SLA für die Ressource.