Neste documento, listamos as cotas e os limites do sistema que se aplicam à integração da segurança de rede.
- As cotas têm valores definidos por padrão, mas geralmente é possível solicitar ajustes.
- Os limites do sistema são valores fixos que não podem ser alterados.
OGoogle Cloud usa cotas para garantir a distribuição justa e reduzir sobrecargas no uso e na disponibilidade dos recursos. Uma cota restringe a alocação de um recurso doGoogle Cloud para uso do seu projeto do Google Cloud . As cotas se aplicam a vários tipos de recursos, incluindo hardware, software e componentes de rede. Por exemplo, elas podem restringir o número de chamadas de API para um serviço, o número de balanceadores de carga usados simultaneamente pelo projeto ou o número de projetos que podem ser criados. As cotas protegem a comunidade de usuários doGoogle Cloud , impedindo a sobrecarga de serviços. Elas também ajudam você a gerenciar seus próprios recursos do Google Cloud .
O sistema de cotas do Cloud faz o seguinte:
- Monitora o consumo de produtos e serviços do Google Cloud .
- Restringe o consumo desses recursos.
- Possibilita a solicitação de mudanças no valor das cotas e a automatização de ajustes de cotas.
Na maioria dos casos, quando você tenta consumir mais de um recurso do que a cota permite, o sistema bloqueia o acesso ao recurso, e a tarefa que você está tentando executar falha.
As cotas geralmente se aplicam ao nível do projeto do Google Cloud . O uso de um recurso em um projeto não afeta a cota disponível em outro. Em um projeto do Google Cloud , as cotas são compartilhadas entre todos os aplicativos e endereços IP.
Saiba mais em Visão geral das cotas do Cloud.
Também há limites de sistema para os recursos de integração da segurança de rede. Os limites do sistema não podem ser alterados.
Cotas
Nesta seção, listamos as cotas que se aplicam à integração da segurança de rede.
Para monitorar cotas por projeto que usam o Cloud Monitoring, configure o monitoramento
da métrica serviceruntime.googleapis.com/quota/allocation/usage no
tipo de recurso Consumer Quota. Defina outros filtros de rótulo (service, quota_metric) para chegar ao tipo de cota. Para informações sobre como monitorar métricas de cota, consulte Gráfico e monitoramento de métricas de cota.
Cada cota tem um limite e um valor de uso.
Salvo indicação em contrário, para alterar uma cota, consulte Solicitar um aumento de cota.
Por projeto
A tabela a seguir destaca as cotas de integração da segurança de rede que são por projeto.
| Cota | Descrição |
|---|---|
| Políticas globais de firewall de rede | O número de políticas de firewall de rede global em um projeto, não importa quantas redes VPC são associadas a cada política. |
| Implantações de espelhamento por zona e por projeto | O número de implantações de espelhamento que podem ser criadas por zona em um projeto. |
| Implantações de interceptação por zona e por projeto | O número de implantações de interceptação que podem ser criadas por zona em um projeto. |
| Grupos de implantação de espelhamento por projeto | O número de grupos de implantação de espelhamento que podem ser criados por projeto. |
| Grupos de implantação de interceptação por projeto | O número de grupos de implantação de interceptação que podem ser criados por projeto. |
Por organização
A tabela a seguir destaca as cotas de integração da segurança de rede que são por organização. Para mudar uma cota no nível da organização, registre uma consulta ao suporte.
| Cota | Descrição |
|---|---|
| Políticas de firewall hierárquicas não associadas em uma organização | O número de Políticas de firewall hierárquicas em uma organização que não estão associadas a qualquer recurso de pasta ou organização. Não há limite para o número de políticas hierárquicas de firewall em uma organização que estão associadas a um recurso. |
Por política de firewall
A tabela a seguir destaca as cotas de integração da segurança de rede que são por recurso de política de firewall.
| Cota | Descrição |
|---|---|
| Políticas de firewall hierárquicas | |
| Atributos de regra por política hierárquica de firewall | A soma dos atributos de todas as regras em uma política hierárquica de firewall. Saiba mais em
Detalhes da contagem de
atributos de regras.
Essa cota é compartilhada pelas regras de política de firewall e de espelhamento. Portanto, se uma política hierárquica de firewall contiver regras de política de firewall e de espelhamento, os atributos de ambos os tipos de regras vão contribuir para essa cota. |
| Políticas globais de firewall de rede | |
| Atributos de regra por política de firewall de rede global | A soma dos atributos de todas as regras em uma política de firewall de rede
global. Saiba mais em
Detalhes da contagem de
atributos de regras.
Essa cota é compartilhada pelas regras de política de firewall e de espelhamento. Portanto, se uma política de firewall de rede global contiver regras de política de firewall e de espelhamento, os atributos dos dois tipos de regras vão contribuir para essa cota. |
Detalhes da contagem de atributos da regra
Cada política de firewall é compatível com um número total máximo de atributos de regras. A contagem de atributos de regra de uma política de firewall é a soma dos atributos de regra das regras de firewall e de espelhamento.
As regras de exemplo a seguir mostram como o Google Cloud conta os atributos de regras por regra de política:
| Exemplo de regra de política | Contagem total de atributos da regra | Explicação |
|---|---|---|
Uma política de firewall de rede global com as duas regras a seguir:
|
6 |
|
Por grupo de implantação
A tabela a seguir destaca as cotas de integração da segurança de rede que são por grupo de implantação de espelhamento ou por grupo de implantação de interceptação.
| Cota | Descrição |
|---|---|
| Grupos de endpoints de espelhamento por grupo de implantação de espelhamento | O número máximo de grupos de endpoints de espelhamento que podem ser associados a um grupo de implantação de espelhamento. |
| Grupos de endpoints de interceptação por grupo de implantação de interceptação | O número máximo de grupos de endpoints de interceptação que podem ser associados a um grupo de implantação de interceptação. |
Por grupo de endpoints
A tabela a seguir destaca as cotas de integração da segurança de rede que são por grupo de endpoints de espelhamento ou por grupo de endpoints de interceptação.
| Cota | Descrição |
|---|---|
| Grupos de perfis de segurança por grupo de endpoints de espelhamento | O número máximo de grupos de perfis de segurança com um perfil de segurança que faz referência a um grupo de endpoints de espelhamento. |
| Grupos de perfis de segurança por grupo de endpoints de interceptação | O número máximo de grupos de perfis de segurança com um perfil de segurança que faz referência a um grupo de endpoints de interceptação. |
| Associações de grupos de endpoints de interceptação por grupo de endpoints | O número máximo de associações de grupos de endpoints de interceptação que podem referenciar um grupo de endpoints de interceptação. |
Limites
Não é possível aumentar os limites a menos que especificado de outra maneira.
Por organização
Os limites a seguir se aplicam a organizações.
| Item | Limite | Observações |
|---|---|---|
| Grupos de perfis de segurança por organização | 40 | O número máximo de grupos de perfil de segurança que você pode criar por organização. |
| Grupos de endpoints de espelhamento por organização | 1 | O número máximo de grupos de endpoints de espelhamento que podem ser criados por organização. Para atualizar esse limite, registre um caso de suporte. |
Por rede
Os limites a seguir se aplicam a redes VPC.
| Item | Limite | Observações |
|---|---|---|
| Política máxima de firewall de rede global por rede | 1 | O número máximo de políticas de firewall de rede global que podem ser associadas a uma rede VPC. |
Por regra
Os limites a seguir se aplicam a regras de firewall da VPC, regras de política de firewall e regras de espelhamento:
| Item | Limite | Observações |
|---|---|---|
| Número máximo de intervalos de endereços IP de origem por regra de firewall | 5.000 | O número máximo de intervalos de endereços IP de origem que podem ser especificados em uma regra de firewall da VPC, regra de política de firewall ou regra de espelhamento. Os intervalos de endereços IP são somente IPv4 ou somente IPv6. Esse limite não pode ser aumentado. |
| Número máximo de intervalos de endereços IP de destino por regra de firewall | 5.000 | O número máximo de intervalos de endereços IP de destino que podem ser especificados em uma regra de firewall da VPC, uma regra de política de firewall ou uma regra de espelhamento. Os intervalos de endereços IP são somente IPv4 ou somente IPv6. Esse limite não pode ser aumentado. |
Por grupo de implantação
Os limites a seguir se aplicam aos grupos de implantação de espelhamento e de interceptação:
| Item | Limite | Observações |
|---|---|---|
| Pares de implantação de espelhamento e associação de grupo de endpoints de espelhamento por grupo de implantação de espelhamento | 1.000 | Para cada grupo de implantação de espelhamento, o valor máximo do produto dos dois números a seguir:
|
| Pares de implantação de interceptação e associação de grupo de endpoints de interceptação por grupo de implantação de interceptação | 1.000 | Para cada grupo de implantação de interceptação, o valor máximo do produto dos dois números a seguir:
|
Faça a gestão de quotas
Network Security Integration impõe quotas na utilização de recursos por vários motivos. Por exemplo, as quotas protegem a comunidade de Google Cloud utilizadores ao impedirem picos imprevistos na utilização. As quotas também ajudam os utilizadores que estão a explorar Google Cloud com o nível gratuito a permanecerem dentro da respetiva avaliação.
Todos os projetos começam com as mesmas quotas, que pode alterar pedindo quotas adicionais. Algumas quotas podem aumentar automaticamente com base na sua utilização de um produto.
Autorizações
Para ver quotas ou pedir aumentos de quotas, os principais da gestão de identidade e de acesso (IAM) precisam de uma das seguintes funções.
| Tarefa | Função necessária |
|---|---|
| Verifique as quotas de um projeto | Uma das seguintes opções:
|
| Modifique quotas e peça quotas adicionais | Uma das seguintes opções:
|
Verifique a sua quota
Consola
- Na Google Cloud consola, aceda à página Quotas.
- Para pesquisar a quota que quer atualizar, use a opção Filtrar tabela. Se não souber o nome da quota, use os links nesta página.
gcloud
Usando a CLI do Google Cloud, execute o seguinte comando para
verificar as suas quotas. Substitua PROJECT_ID pelo seu ID do projeto.
gcloud compute project-info describe --project PROJECT_IDPara verificar a quota usada numa região, execute o seguinte comando:
gcloud compute regions describe example-region
Erros quando excede a sua quota
Se exceder uma quota com um comando gcloud, o gcloud produz uma mensagem de erro quota exceeded e regressa com o código de saída 1.
Se exceder uma quota com um pedido de API, Google Cloud é devolvido o seguinte código de estado HTTP: 413 Request Entity Too Large.
Peça quota adicional
Para ajustar a maioria das quotas, use a Google Cloud consola. Para mais informações, consulte o artigo Peça um ajuste da quota.
Disponibilidade de recursos
Cada quota representa um número máximo para um determinado tipo de recurso que pode criar, se esse recurso estiver disponível. É importante ter em atenção que as quotas não garantem a disponibilidade de recursos. Mesmo que tenha quota disponível, não pode criar um novo recurso se não estiver disponível.
Por exemplo, pode ter quota suficiente para criar um novo endereço IP externo regional numa determinada região. No entanto, isso não é possível se não existirem endereços IP externos disponíveis nessa região. A disponibilidade de recursos zonais também pode afetar a sua capacidade de criar um novo recurso.
As situações em que os recursos estão indisponíveis numa região inteira são raras. No entanto, os recursos numa zona podem esgotar-se ocasionalmente, normalmente sem impacto no contrato de nível de serviço (SLA) para o tipo de recurso. Para mais informações, reveja o SLA relevante para o recurso.