In diesem Dokument sind die Kontingente und Systemlimits für die Network Security Integration aufgeführt.
- Kontingente haben Standardwerte, aber Sie können in der Regel Anpassungen anfordern.
- Systemlimits sind feste Werte, die nicht geändert werden können.
Google Cloud nutzt Kontingente, um für Fairness zu sorgen und Spitzen bei der Ressourcennutzung und ‑verfügbarkeit zu reduzieren. Ein Kontingent schränkt ein, wie viel von einerGoogle Cloud Ressource Ihr Google Cloud Projekt nutzen kann. Kontingente gelten für eine Reihe von Ressourcentypen, einschließlich Hardware, Software und Netzwerkkomponenten. Mit Kontingenten können Sie beispielsweise die Anzahl der API-Aufrufe an einen Dienst, die Anzahl der von Ihrem Projekt nebenläufig verwendeten Load Balancer oder die Anzahl der Projekte begrenzen, die Sie erstellen können. Kontingente sollen eine Überlastung von Diensten verhindern und dadurch die Community derGoogle Cloud Nutzer schützen. Sie helfen Ihnen auch bei der Verwaltung Ihrer eigenen Google Cloud Ressourcen.
Das Cloud-Kontingentsystem tut Folgendes:
- Es überwacht Ihren Verbrauch von Google Cloud Produkten und Diensten.
- Es schränkt Ihren Verbrauch dieser Ressourcen ein.
- Es bietet eine Möglichkeit, Änderungen am Kontingentwert zu beantragen und Kontingentanpassungen zu automatisieren.
Wenn Sie versuchen, mehr von einer Ressource zu verbrauchen, als das Kontingent zulässt, blockiert das System in den meisten Fällen den Zugriff auf die Ressource. Die Aufgabe, die Sie auszuführen versuchen, schlägt dann fehl.
Kontingente gelten in der Regel auf Google Cloud Projektebene. Die Nutzung einer Ressource in einem Projekt hat keinen Einfluss auf das verfügbare Kontingent in einem anderen Projekt. Innerhalb eines Google Cloud Projekts werden die Kontingente für alle Anwendungen und IP-Adressen gemeinsam genutzt.
Weitere Informationen finden Sie unter Cloud-Kontingente – Übersicht.
Für Network Security Integration-Ressourcen gelten außerdem Systemlimits. Systemlimits können nicht geändert werden.
Kontingente
In diesem Abschnitt sind die Kontingente für die Netzwerksicherheitsintegration aufgeführt.
Richten Sie das Monitoring für den Messwert serviceruntime.googleapis.com/quota/allocation/usage für den Ressourcentyp Consumer Quota ein, um projektspezifische Kontingente zu überwachen, die Cloud Monitoring verwenden. Legen Sie weitere Labelfilter (service, quota_metric) fest, um den Kontingenttyp abzurufen. Informationen zum Monitoring von Kontingentmesswerten finden Sie unter Kontingentmesswerte grafisch darstellen und überwachen.
Für jedes Kontingent gibt es ein Limit und einen Nutzungswert.
Sofern nicht anders angegeben, finden Sie Informationen zum Ändern eines Kontingents unter Höheres Kontingent anfordern.
Pro Projekt
In der folgenden Tabelle sind die Kontingente für die Integration der Netzwerksicherheit aufgeführt, die pro Projekt gelten.
| Kontingent | Beschreibung |
|---|---|
| Globale Netzwerk-Firewallrichtlinien | Die Anzahl der globalen Netzwerk-Firewallrichtlinien in einem Projekt, unabhängig davon, wie viele VPC-Netzwerke jeder Richtlinie zugeordnet sind. |
| Spiegelungsbereitstellungen pro Zone und Projekt | Die Anzahl der Spiegelungsbereitstellungen, die Sie pro Zone in einem Projekt erstellen können. |
| Bereitstellungen von Unterbrechungen pro Zone und Projekt | Die Anzahl der Abfangbereitstellungen, die Sie pro Zone in einem Projekt erstellen können. |
| Bereitstellungsgruppen für Spiegelung pro Projekt | Die Anzahl der Spiegelungsbereitstellungsgruppen, die Sie pro Projekt erstellen können. |
| Abfangbereitstellungsgruppen pro Projekt | Die Anzahl der Gruppen für die Bereitstellung von Abfangaktionen, die Sie pro Projekt erstellen können. |
Pro Organisation
In der folgenden Tabelle sind die Kontingente für die Integration der Netzwerksicherheit aufgeführt, die pro Organisation gelten. Wenn Sie ein Kontingent auf Organisationsebene ändern möchten, stellen Sie einen Supportfall.
| Kontingent | Beschreibung |
|---|---|
| Nicht zugeordnete hierarchische Firewallrichtlinien in einer Organisation | Die Anzahl der hierarchischen Firewallrichtlinien in einer Organisation, die keiner Ordner- oder Organisationsressource zugeordnet sind. Es gibt keine Beschränkung für die Anzahl von hierarchischen Firewallrichtlinien in einer Organisation, die einer Ressource zugeordnet sind. |
Pro Firewallrichtlinie
In der folgenden Tabelle sind die Kontingente für die Integration der Netzwerksicherheit aufgeführt, die pro Firewallrichtlinienressource gelten.
| Kontingent | Beschreibung |
|---|---|
| Hierarchische Firewallrichtlinien | |
| Regelattribute pro hierarchischer Firewallrichtlinie | Die Summe der Regelattribute aus allen Regeln in einer hierarchischen Firewallrichtlinie. Weitere Informationen finden Sie unter Details zur Regelattributanzahl.
Dieses Kontingent wird von den Firewallrichtlinienregeln und Spiegelungsregeln gemeinsam genutzt. Wenn eine hierarchische Firewallrichtlinie sowohl die Firewallrichtlinienregeln als auch die Spiegelungsregeln enthält, werden die Regelattribute beider Regeltypen auf dieses Kontingent angerechnet. |
| Globale Netzwerk-Firewallrichtlinien | |
| Regelattribute pro globaler Netzwerk-Firewallrichtlinie | Die Summe der Regelattribute aus allen Regeln in einer globalen Netzwerk-Firewallrichtlinie. Weitere Informationen finden Sie unter Details zur Regelattributanzahl.
Dieses Kontingent wird von den Firewallrichtlinienregeln und Spiegelungsregeln gemeinsam genutzt. Wenn eine globale Netzwerk-Firewallrichtlinie sowohl Firewallrichtlinienregeln als auch Spiegelungsregeln enthält, werden die Regelattribute beider Regeltypen auf dieses Kontingent angerechnet. |
Details zur Regelattributanzahl
Jede Firewallrichtlinie unterstützt eine maximale Gesamtzahl von Regelattributen. Die Anzahl der Regelattribute für eine Firewallrichtlinie ist die Summe der Regelattribute der zugehörigen Firewallregeln und Spiegelungsregeln.
Die folgenden Beispielregeln zeigen, wie Google Cloud Regelattribute pro Richtlinienregel zählt:
| Beispiel für eine Richtlinienregel | Gesamtzahl der Regelattribute | Erklärung |
|---|---|---|
Eine globale Netzwerk-Firewallrichtlinie mit den folgenden zwei Regeln:
|
6 |
|
Pro Bereitstellungsgruppe
In der folgenden Tabelle sind die Kontingente für die Integration der Netzwerksicherheit aufgeführt, die pro Spiegelungsbereitstellungsgruppe oder pro Abfangbereitstellungsgruppe gelten.
| Kontingent | Beschreibung |
|---|---|
| Endpunktgruppen für Spiegelung pro Bereitstellungsgruppe für Spiegelung | Die maximale Anzahl von Spiegelungsendpunktgruppen, die Sie einer Spiegelungsbereitstellungsgruppe zuordnen können. |
| Abfangendpunktgruppen pro Abfangbereitstellungsgruppe | Die maximale Anzahl von Abfangendpunktgruppen, die Sie einer Abfangbereitstellungsgruppe zuordnen können. |
Pro Endpunktgruppe
In der folgenden Tabelle sind Kontingente für die Integration der Netzwerksicherheit aufgeführt, die pro Spiegelungs-Endpunktgruppe oder pro Abfang-Endpunktgruppe gelten.
| Kontingent | Beschreibung |
|---|---|
| Sicherheitsprofilgruppen pro Endpunktgruppe für Spiegelung | Die maximale Anzahl von Sicherheitsprofilgruppen mit einem Sicherheitsprofil, das auf eine Spiegelungsendpunktgruppe verweist. |
| Sicherheitsprofilgruppen pro Abfangendpunktgruppe | Die maximale Anzahl von Sicherheitsprofilgruppen mit einem Sicherheitsprofil, das auf eine Abfangendpunktgruppe verweist. |
| Verknüpfungen von Abfang-Endpunktgruppen nach Endpunktgruppe | Die maximale Anzahl von Verknüpfungen mit Abfangendpunktgruppen, die auf eine Abfangendpunktgruppe verweisen können. |
Limits
Limits können nicht erhöht werden, sofern nicht ausdrücklich anders angegeben.
Pro Organisation
Für Organisationen gelten die folgenden Limits:
| Element | Limit | Hinweise |
|---|---|---|
| Sicherheitsprofilgruppen pro Organisation | 40 | Die maximale Anzahl von Sicherheitsprofilgruppen, die Sie pro Organisation erstellen können. |
| Endpunktgruppen für Spiegelung pro Organisation | 1 | Die maximale Anzahl von Spiegelungsendpunktgruppen, die Sie pro Organisation erstellen können. Wenn Sie dieses Limit aktualisieren möchten, reichen Sie eine Supportanfrage ein. |
Pro Netzwerk
Die folgenden Limits gelten für VPC-Netzwerke:
| Element | Limit | Hinweise |
|---|---|---|
| Maximale Anzahl globaler Netzwerk-Firewallrichtlinien pro Netzwerk | 1 | Die maximale Anzahl globaler Netzwerk-Firewallrichtlinien, die Sie einem VPC-Netzwerk zuordnen können. |
Pro Regel
Die folgenden Limits gelten für VPC-Firewallregeln, Firewallrichtlinienregeln und Spiegelungsregeln:
| Element | Limit | Hinweise |
|---|---|---|
| Maximale Anzahl von Quell-IP-Adressbereichen pro Firewallregel | 5.000 | Die maximale Anzahl von Quell-IP-Adressbereichen, die Sie in einer VPC-Firewallregel, einer Firewallrichtlinienregel oder einer Spiegelungsregel angeben können. IP-Adressbereiche sind entweder nur IPv4 oder nur IPv6. Dieses Limit kann nicht erhöht werden. |
| Maximale Anzahl von Ziel-IP-Adressbereichen pro Firewallregel | 5.000 | Die maximale Anzahl von Ziel-IP-Adressbereichen, die Sie in einer VPC-Firewallregel, einer Firewallrichtlinienregel oder einer Spiegelungsregel angeben können. IP-Adressbereiche sind entweder nur IPv4 oder nur IPv6. Dieses Limit kann nicht erhöht werden. |
Pro Bereitstellungsgruppe
Für Bereitstellungsgruppen für Spiegelung und Bereitstellungsgruppen für Abfang gelten die folgenden Limits:
| Element | Limit | Hinweise |
|---|---|---|
| Paare aus Bereitstellung für Spiegelung und Verknüpfung der Endpunktgruppe für Spiegelung pro Bereitstellungsgruppe für Spiegelung | 1.000 | Für jede Spiegelungsbereitstellungsgruppe ist der Maximalwert das Produkt der folgenden beiden Zahlen:
|
| Paare aus Abfangbereitstellung und Verknüpfung der Abfangendpunktgruppe pro Abfangbereitstellungsgruppe | 1.000 | Für jede Abfangbereitstellungsgruppe der maximale Wert des Produkts der folgenden beiden Zahlen:
|
Manage quotas
Network Security Integration enforces quotas on resource usage for various reasons. For example, quotas protect the community of Google Cloud users by preventing unforeseen spikes in usage. Quotas also help users who are exploring Google Cloud with the free tier to stay within their trial.
All projects start with the same quotas, which you can change by requesting additional quota. Some quotas might increase automatically based on your use of a product.
Permissions
To view quotas or request quota increases, Identity and Access Management (IAM) principals need one of the following roles.
| Task | Required role |
|---|---|
| Check quotas for a project | One of the following:
|
| Modify quotas, request additional quota | One of the following:
|
Check your quota
Console
- In the Google Cloud console, go to the Quotas page.
- To search for the quota that you want to update, use the Filter table. If you don't know the name of the quota, use the links on this page instead.
gcloud
Using the Google Cloud CLI, run the following command to
check your quotas. Replace PROJECT_ID with your own project ID.
gcloud compute project-info describe --project PROJECT_IDTo check your used quota in a region, run the following command:
gcloud compute regions describe example-region
Errors when exceeding your quota
If you exceed a quota with a gcloud command,
gcloud outputs a quota exceeded error
message and returns with the exit code 1.
If you exceed a quota with an API request, Google Cloud returns the
following HTTP status code: 413 Request Entity Too Large.
Request additional quota
To adjust most quotas, use the Google Cloud console. For more information, see Request a quota adjustment.
Resource availability
Each quota represents a maximum number for a particular type of resource that you can create, if that resource is available. It's important to note that quotas don't guarantee resource availability. Even if you have available quota, you can't create a new resource if it is not available.
For example, you might have sufficient quota to create a new regional, external IP address in a given region. However, that is not possible if there are no available external IP addresses in that region. Zonal resource availability can also affect your ability to create a new resource.
Situations where resources are unavailable in an entire region are rare. However, resources within a zone can be depleted from time to time, typically without impact to the service level agreement (SLA) for the type of resource. For more information, review the relevant SLA for the resource.