Questo documento elenca le quote e i limiti di sistema che si applicano all'integrazione della sicurezza di rete.
- Le quote hanno valori predefiniti, ma in genere puoi richiedere degli adeguamenti.
- I limiti di sistema sono valori fissi che non possono essere modificati.
Google Cloud utilizza le quote per garantire l'equità e ridurre i picchi di utilizzo e disponibilità delle risorse. Una quota limita la quantità di una Google Cloud risorsa che Google Cloud il progetto può utilizzare. Le quote si applicano a una serie di tipi di risorse, inclusi hardware, software e componenti di rete. Ad esempio, le quote possono limitare il numero di chiamate API a un servizio, il numero di bilanciatori del carico utilizzati contemporaneamente dal tuo progetto o il numero di progetti che puoi creare. Le quote proteggono la community degli utentiGoogle Cloud impedendo il sovraccarico dei servizi. Le quote ti aiutano inoltre a gestire le tue Google Cloud risorse.
Il sistema delle quote di Cloud esegue le seguenti operazioni:
- Monitora il tuo consumo di Google Cloud prodotti e servizi
- Limita il consumo di queste risorse
- Fornisce un modo per richiedere modifiche al valore della quota e automatizzare gli aggiustamenti della quota
Nella maggior parte dei casi, quando provi a utilizzare una risorsa per un volume maggiore di quello consentito dalla quota, il sistema blocca l'accesso alla risorsa e l'attività che stai tentando di eseguire non va a buon fine.
In genere, le quote si applicano a livello di Google Cloud progetto. L'utilizzo di una risorsa in un progetto non influisce sulla quota disponibile in un altro progetto. All'interno di un progetto Google Cloud , le quote vengono condivise tra tutte le applicazioni e gli indirizzi IP.
Per saperne di più, consulta Panoramica delle quote di Cloud.
Esistono anche limiti di sistema per le risorse di integrazione della sicurezza di rete. I limiti di sistema non possono essere modificati.
Quote
Questa sezione elenca le quote che si applicano all'integrazione di Network Security.
Per monitorare le quote per progetto che utilizzano Cloud Monitoring, configura il monitoraggio
per la metrica serviceruntime.googleapis.com/quota/allocation/usage sul
tipo di risorsa Consumer Quota. Imposta filtri per le etichette aggiuntivi (service,
quota_metric) per accedere al tipo di quota. Per informazioni sul monitoraggio delle metriche di quota, consulta Grafico e monitoraggio delle metriche delle quote.
Ogni quota ha un limite e un valore di utilizzo.
Se non diversamente indicato, per modificare una quota, consulta Richiedere una quota più elevata.
Per progetto
La tabella seguente evidenzia le quote di integrazione della sicurezza di rete che sono per progetto.
| Quota | Descrizione |
|---|---|
| Policy del firewall di rete globali | Il numero di policy firewall di rete globali in un progetto, indipendentemente dal numero di reti VPC associate a ogni policy. |
| Deployment di mirroring per zona per progetto | Il numero di deployment di mirroring che puoi creare per zona in un progetto. |
| Deployment di intercettazione per zona per progetto | Il numero di deployment di intercettazione che puoi creare per zona in un progetto. |
| Mirroring dei gruppi di deployment per progetto | Il numero di gruppi di deployment del mirroring che puoi creare per progetto. |
| Gruppi di deployment di intercettazione per progetto | Il numero di gruppi di deployment di intercettazione che puoi creare per progetto. |
Per organizzazione
La tabella seguente evidenzia le quote di integrazione della sicurezza di rete che sono per organizzazione. Per modificare una quota a livello di organizzazione, apri una richiesta di assistenza.
| Quota | Descrizione |
|---|---|
| Criteri firewall gerarchici non associati in un'organizzazione | Il numero di criteri firewall gerarchici in un'organizzazione che non sono associati a nessuna risorsa di cartella o organizzazione. Non esiste alcun limite al numero di criteri firewall gerarchici in un'organizzazione associati a una risorsa. |
Per policy del firewall
La tabella seguente evidenzia le quote di integrazione di Network Security che si applicano a ogni risorsa policy firewall.
| Quota | Descrizione |
|---|---|
| Policy firewall gerarchiche | |
| Attributi delle regole per criterio firewall gerarchico | La somma degli attributi di regola di tutte le regole di un criterio firewall gerarchico. Per ulteriori informazioni, vedi
Dettagli sul conteggio degli attributi delle regole.
Questa quota è condivisa dalle regole delle policy del firewall e dalle regole di mirroring. Pertanto, se un criterio firewall gerarchico contiene sia le regole del criterio firewall sia le regole di mirroring, gli attributi delle regole di entrambi i tipi di regole contribuiscono a questa quota. |
| Policy del firewall di rete globali | |
| Attributi delle regole per policy del firewall di rete globale | La somma degli attributi di regola di tutte le regole di un criterio firewall di rete globale. Per ulteriori informazioni, vedi
Dettagli sul conteggio degli attributi delle regole.
Questa quota è condivisa dalle regole delle policy del firewall e dalle regole di mirroring. Pertanto, se una policy del firewall di rete globale contiene sia le regole della policy firewall sia le regole di mirroring, gli attributi delle regole di entrambi i tipi di regole contribuiscono a questa quota. |
Dettagli sul conteggio degli attributi delle regole
Ogni criterio firewall supporta un numero totale massimo di attributi di regola. Il conteggio degli attributi di regola per un criterio firewall è la somma degli attributi di regola delle relative regole firewall e regole di mirroring.
Le seguenti regole di esempio mostrano come l'attributo della regola di conteggio Google Cloud viene conteggiato in base alla regola della policy:
| Esempio di regola del criterio | Conteggio totale degli attributi delle regole | Spiegazione |
|---|---|---|
Una policy firewall di rete globale con le seguenti due regole:
|
6 |
|
Per gruppo di deployment
La seguente tabella evidenzia le quote di integrazione della sicurezza di rete che sono per gruppo di deployment di mirroring o per gruppo di deployment di intercettazione.
| Quota | Descrizione |
|---|---|
| Gruppi di endpoint di mirroring per gruppo di deployment di mirroring | Il numero massimo di gruppi di endpoint di mirroring che puoi associare a un gruppo di deployment di mirroring. |
| Gruppi di endpoint di intercettazione per gruppo di deployment di intercettazione | Il numero massimo di gruppi di endpoint di intercettazione che puoi associare a un gruppo di deployment di intercettazione. |
Per gruppo di endpoint
La tabella seguente evidenzia le quote di integrazione della sicurezza di rete che sono per gruppo di endpoint di mirroring o per gruppo di endpoint di intercettazione.
| Quota | Descrizione |
|---|---|
| Gruppi di profili di sicurezza per gruppo di endpoint di mirroring | Il numero massimo di gruppi di profili di sicurezza con un profilo di sicurezza che fa riferimento a un gruppo di endpoint di mirroring. |
| Gruppi di profili di sicurezza per gruppo di endpoint di intercettazione | Il numero massimo di gruppi di profili di sicurezza con un profilo di sicurezza che fa riferimento a un gruppo di endpoint di intercettazione. |
| Associazioni del gruppo di endpoint di intercettazione per gruppo di endpoint | Il numero massimo di associazioni di gruppi di endpoint di intercettazione che possono fare riferimento a un gruppo di endpoint di intercettazione. |
Limiti
I limiti non possono essere aumentati se non diversamente specificato.
Per organizzazione
I seguenti limiti si applicano alle organizzazioni:
| Elemento | Limite | Note |
|---|---|---|
| Gruppi di profili di sicurezza per organizzazione | 40 | Il numero massimo di gruppi di profili di sicurezza che puoi creare per organizzazione. |
| Gruppi di endpoint di mirroring per organizzazione | 1 | Il numero massimo di gruppi di endpoint di mirroring che puoi creare per organizzazione. Per aggiornare questo limite, invia una richiesta di assistenza. |
Per rete
I seguenti limiti sono applicabili alle reti VPC:
| Elemento | Limite | Note |
|---|---|---|
| Numero massimo di policy firewall di rete globali per rete | 1 | Il numero massimo di criteri firewall di rete globali che puoi associare a una rete VPC. |
Per regola
I seguenti limiti si applicano alle regole firewall VPC, alle regole dei criteri firewall e alle regole di mirroring:
| Elemento | Limite | Note |
|---|---|---|
| Numero massimo di intervalli di indirizzi IP di origine per regola firewall | 5000 | Il numero massimo di intervalli di indirizzi IP di origine che puoi specificare in una regola firewall VPC, in una regola dei criteri firewall o in una regola di mirroring. Gli intervalli di indirizzi IP sono solo IPv4 o solo IPv6. Questo limite non può essere aumentato. |
| Numero massimo di intervalli di indirizzi IP di destinazione per regola firewall | 5000 | Il numero massimo di intervalli di indirizzi IP di destinazione che puoi specificare in una regola firewall VPC, in una regola di policy firewall o in una regola di mirroring. Gli intervalli di indirizzi IP sono solo IPv4 o solo IPv6. Questo limite non può essere aumentato. |
Per gruppo di deployment
I seguenti limiti si applicano ai gruppi di deployment di mirroring e ai gruppi di deployment di intercettazione:
| Elemento | Limite | Note |
|---|---|---|
| Coppie di mirroring del deployment e di associazione del gruppo di endpoint di mirroring per gruppo di deployment di mirroring | 1000 | Per ogni gruppo di deployment di mirroring, il valore massimo del prodotto di i seguenti due numeri:
|
| Coppie di deployment di intercettazione e associazione di gruppi di endpoint di intercettazione per gruppo di deployment di intercettazione | 1000 | Per ogni gruppo di deployment di intercettazione, il valore massimo del prodotto dei due numeri seguenti:
|
Gestisci quote
Network Security Integration applica le quote sull'utilizzo delle risorse per vari motivi. Ad esempio, le quote proteggono la community di utenti di Google Cloud da picchi di utilizzo imprevisti. Le quote sono utilizzate anche per aiutare gli utenti che esplorano Google Cloud con il Livello gratuito a restare entro i limiti previsti per la prova.
Tutti i progetti iniziano con le stesse quote, che puoi modificare richiedendo quota aggiuntiva. Alcune quote potrebbero aumentare automaticamente in base all'uso che fai del prodotto.
Autorizzazioni
Per visualizzare le quote o richiedere aumenti di quota, i principali di Identity and Access Management (IAM) devono disporre di uno dei seguenti ruoli.
| Attività | Ruolo richiesto |
|---|---|
| Controllare le quote per un progetto | Uno dei seguenti:
|
| Modificare quote, richiedere quota aggiuntiva | Uno dei seguenti:
|
Controlla la quota
Console
- Nella Google Cloud console, vai alla pagina Quote.
- Per cercare la quota da aggiornare, utilizza Filtra tabella. Se non conosci il nome della quota, utilizza invece i link in questa pagina.
gcloud
Con Google Cloud CLI, esegui il comando seguente per verificare le quote. Sostituisci PROJECT_ID con l'ID del tuo progetto.
gcloud compute project-info describe --project PROJECT_IDPer verificare la quota utilizzata in un'area geografica, esegui questo comando:
gcloud compute regions describe example-region
Errori quando superi la quota
Se superi una quota con un comando gcloud, gcloud restituisce un messaggio di errore quota exceeded e il codice di uscita 1.
Se superi una quota con una richiesta API, Google Cloud viene restituito il seguente codice di stato HTTP: 413 Request Entity Too Large.
Richiedi quota aggiuntiva
Per modificare la maggior parte delle quote, utilizza la Google Cloud console. Per ulteriori informazioni, consulta Richiedere un aggiustamento delle quote.
Disponibilità delle risorse
Ciascuna quota rappresenta un numero massimo per un determinato tipo di risorsa che puoi creare, se la risorsa è disponibile. È importante notare che le quote non garantiscono la disponibilità delle risorse. Anche se hai quota disponibile, non puoi creare una nuova risorsa se non è disponibile.
Ad esempio, potresti avere quota sufficiente per creare un nuovo indirizzo IP esterno a livello di regione in una determinata regione. Tuttavia, ciò non è possibile se non sono disponibili indirizzi IP esterni in quella regione. Anche la disponibilità di risorse a livello di zona potrebbe influire sulla tua possibilità di creare una nuova risorsa.
Situazioni in cui le risorse non sono disponibili in un'intera area geografica sono rare. Tuttavia, le risorse all'interno di una zona possono esaurirsi di tanto in tanto, generalmente senza impatto sull'accordo sul livello del servizio (SLA) per il tipo di risorsa. Per ulteriori informazioni, consulta lo SLA pertinente per la risorsa.