Neste documento, listamos as cotas e os limites do sistema que se aplicam à integração da segurança de rede.
- As cotas têm valores definidos por padrão, mas geralmente é possível solicitar ajustes.
- Os limites do sistema são valores fixos que não podem ser alterados.
OGoogle Cloud usa cotas para garantir a distribuição justa e reduzir sobrecargas no uso e na disponibilidade dos recursos. Uma cota restringe a alocação de um recurso doGoogle Cloud para uso do seu projeto do Google Cloud . As cotas se aplicam a vários tipos de recursos, incluindo hardware, software e componentes de rede. Por exemplo, elas podem restringir o número de chamadas de API para um serviço, o número de balanceadores de carga usados simultaneamente pelo projeto ou o número de projetos que podem ser criados. As cotas protegem a comunidade de usuários doGoogle Cloud , impedindo a sobrecarga de serviços. Elas também ajudam você a gerenciar seus próprios recursos do Google Cloud .
O sistema de cotas do Cloud faz o seguinte:
- Monitora o consumo de produtos e serviços do Google Cloud .
- Restringe o consumo desses recursos.
- Possibilita a solicitação de mudanças no valor das cotas e a automatização de ajustes de cotas.
Na maioria dos casos, quando você tenta consumir mais de um recurso do que a cota permite, o sistema bloqueia o acesso ao recurso, e a tarefa que você está tentando executar falha.
As cotas geralmente se aplicam ao nível do projeto do Google Cloud . O uso de um recurso em um projeto não afeta a cota disponível em outro. Em um projeto do Google Cloud , as cotas são compartilhadas entre todos os aplicativos e endereços IP.
Saiba mais em Visão geral das cotas do Cloud.
Também há limites de sistema para os recursos de integração da segurança de rede. Os limites do sistema não podem ser alterados.
Cotas
Nesta seção, listamos as cotas que se aplicam à integração da segurança de rede.
Para monitorar cotas por projeto que usam o Cloud Monitoring, configure o monitoramento
da métrica serviceruntime.googleapis.com/quota/allocation/usage no
tipo de recurso Consumer Quota. Defina outros filtros de rótulo (service, quota_metric) para chegar ao tipo de cota. Para informações sobre como monitorar métricas de cota, consulte Gráfico e monitoramento de métricas de cota.
Cada cota tem um limite e um valor de uso.
Salvo indicação em contrário, para alterar uma cota, consulte Solicitar um aumento de cota.
Por projeto
A tabela a seguir destaca as cotas de integração da segurança de rede que são por projeto.
| Cota | Descrição |
|---|---|
| Políticas globais de firewall de rede | O número de políticas de firewall de rede global em um projeto, não importa quantas redes VPC são associadas a cada política. |
| Implantações de espelhamento por zona e por projeto | O número de implantações de espelhamento que podem ser criadas por zona em um projeto. |
| Implantações de interceptação por zona e por projeto | O número de implantações de interceptação que podem ser criadas por zona em um projeto. |
| Grupos de implantação de espelhamento por projeto | O número de grupos de implantação de espelhamento que podem ser criados por projeto. |
| Grupos de implantação de interceptação por projeto | O número de grupos de implantação de interceptação que podem ser criados por projeto. |
Por organização
A tabela a seguir destaca as cotas de integração da segurança de rede que são por organização. Para mudar uma cota no nível da organização, registre uma consulta ao suporte.
| Cota | Descrição |
|---|---|
| Políticas de firewall hierárquicas não associadas em uma organização | O número de Políticas de firewall hierárquicas em uma organização que não estão associadas a qualquer recurso de pasta ou organização. Não há limite para o número de políticas hierárquicas de firewall em uma organização que estão associadas a um recurso. |
Por política de firewall
A tabela a seguir destaca as cotas de integração da segurança de rede que são por recurso de política de firewall.
| Cota | Descrição |
|---|---|
| Políticas de firewall hierárquicas | |
| Atributos de regra por política hierárquica de firewall | A soma dos atributos de todas as regras em uma política hierárquica de firewall. Saiba mais em
Detalhes da contagem de
atributos de regras.
Essa cota é compartilhada pelas regras de política de firewall e de espelhamento. Portanto, se uma política hierárquica de firewall contiver regras de política de firewall e de espelhamento, os atributos de ambos os tipos de regras vão contribuir para essa cota. |
| Políticas globais de firewall de rede | |
| Atributos de regra por política de firewall de rede global | A soma dos atributos de todas as regras em uma política de firewall de rede
global. Saiba mais em
Detalhes da contagem de
atributos de regras.
Essa cota é compartilhada pelas regras de política de firewall e de espelhamento. Portanto, se uma política de firewall de rede global contiver regras de política de firewall e de espelhamento, os atributos dos dois tipos de regras vão contribuir para essa cota. |
Detalhes da contagem de atributos da regra
Cada política de firewall é compatível com um número total máximo de atributos de regras. A contagem de atributos de regra de uma política de firewall é a soma dos atributos de regra das regras de firewall e de espelhamento.
As regras de exemplo a seguir mostram como o Google Cloud conta os atributos de regras por regra de política:
| Exemplo de regra de política | Contagem total de atributos da regra | Explicação |
|---|---|---|
Uma política de firewall de rede global com as duas regras a seguir:
|
6 |
|
Por grupo de implantação
A tabela a seguir destaca as cotas de integração da segurança de rede que são por grupo de implantação de espelhamento ou por grupo de implantação de interceptação.
| Cota | Descrição |
|---|---|
| Grupos de endpoints de espelhamento por grupo de implantação de espelhamento | O número máximo de grupos de endpoints de espelhamento que podem ser associados a um grupo de implantação de espelhamento. |
| Grupos de endpoints de interceptação por grupo de implantação de interceptação | O número máximo de grupos de endpoints de interceptação que podem ser associados a um grupo de implantação de interceptação. |
Por grupo de endpoints
A tabela a seguir destaca as cotas de integração da segurança de rede que são por grupo de endpoints de espelhamento ou por grupo de endpoints de interceptação.
| Cota | Descrição |
|---|---|
| Grupos de perfis de segurança por grupo de endpoints de espelhamento | O número máximo de grupos de perfis de segurança com um perfil de segurança que faz referência a um grupo de endpoints de espelhamento. |
| Grupos de perfis de segurança por grupo de endpoints de interceptação | O número máximo de grupos de perfis de segurança com um perfil de segurança que faz referência a um grupo de endpoints de interceptação. |
| Associações de grupos de endpoints de interceptação por grupo de endpoints | O número máximo de associações de grupos de endpoints de interceptação que podem referenciar um grupo de endpoints de interceptação. |
Limites
Não é possível aumentar os limites a menos que especificado de outra maneira.
Por organização
Os limites a seguir se aplicam a organizações.
| Item | Limite | Observações |
|---|---|---|
| Grupos de perfis de segurança por organização | 40 | O número máximo de grupos de perfil de segurança que você pode criar por organização. |
| Grupos de endpoints de espelhamento por organização | 1 | O número máximo de grupos de endpoints de espelhamento que podem ser criados por organização. Para atualizar esse limite, registre um caso de suporte. |
Por rede
Os limites a seguir se aplicam a redes VPC.
| Item | Limite | Observações |
|---|---|---|
| Política máxima de firewall de rede global por rede | 1 | O número máximo de políticas de firewall de rede global que podem ser associadas a uma rede VPC. |
Por regra
Os limites a seguir se aplicam a regras de firewall da VPC, regras de política de firewall e regras de espelhamento:
| Item | Limite | Observações |
|---|---|---|
| Número máximo de intervalos de endereços IP de origem por regra de firewall | 5.000 | O número máximo de intervalos de endereços IP de origem que podem ser especificados em uma regra de firewall da VPC, regra de política de firewall ou regra de espelhamento. Os intervalos de endereços IP são somente IPv4 ou somente IPv6. Esse limite não pode ser aumentado. |
| Número máximo de intervalos de endereços IP de destino por regra de firewall | 5.000 | O número máximo de intervalos de endereços IP de destino que podem ser especificados em uma regra de firewall da VPC, uma regra de política de firewall ou uma regra de espelhamento. Os intervalos de endereços IP são somente IPv4 ou somente IPv6. Esse limite não pode ser aumentado. |
Por grupo de implantação
Os limites a seguir se aplicam aos grupos de implantação de espelhamento e de interceptação:
| Item | Limite | Observações |
|---|---|---|
| Pares de implantação de espelhamento e associação de grupo de endpoints de espelhamento por grupo de implantação de espelhamento | 1.000 | Para cada grupo de implantação de espelhamento, o valor máximo do produto dos dois números a seguir:
|
| Pares de implantação de interceptação e associação de grupo de endpoints de interceptação por grupo de implantação de interceptação | 1.000 | Para cada grupo de implantação de interceptação, o valor máximo do produto dos dois números a seguir:
|
Gerenciar cotas
ONetwork Security Integration aplica cotas no uso de recursos por vários motivos. Por exemplo, as cotas protegem a comunidade de usuários Google Cloud , impedindo picos de uso inesperados. As cotas também ajudam os usuários que estão explorando o Google Cloud com o nível gratuito a permanecer na avaliação.
Todos os projetos começam com as mesmas cotas, que podem ser alteradas com uma solicitação de cota extra. Algumas cotas podem aumentar automaticamente dependendo do uso de um produto.
Permissões
Para ver cotas ou solicitar aumentos de cotas, os membros do gerenciamento de identidade e acesso (IAM, na sigla em inglês) precisam ter um dos papéis a seguir:
| Tarefa | Papel necessário |
|---|---|
| Verificar cotas para um projeto | Uma das seguintes opções:
|
| Modificar cotas, solicitar cota extra | Uma das seguintes opções:
|
Verificar sua cota
Console
- No console Google Cloud , acesse a página Cotas.
- Para pesquisar a cota a ser atualizada, use a tabela de filtros. Se você não souber o nome da cota, use os links desta página.
gcloud
Com a Google Cloud CLI, execute o comando a seguir para
verificar suas cotas. Substitua PROJECT_ID pelo seu código do projeto:
gcloud compute project-info describe --project PROJECT_IDPara verificar a cota utilizada em uma região, execute o comando a seguir:
gcloud compute regions describe example-region
Erros ao exceder a cota
Se você exceder uma cota com um comando gcloud, o gcloud emitirá uma mensagem de erro quota exceeded e retornará com o código de saída 1.
Se você exceder uma cota com uma solicitação de API, Google Cloud vai retornar o
seguinte código de status HTTP: 413 Request Entity Too Large.
Solicitar cota adicional
Para ajustar a maioria das cotas, use o console Google Cloud . Para mais informações, consulte Solicitar um ajuste de cota.
Disponibilidade de recursos
Cada cota representa um número máximo para um tipo específico de recurso que é possível criar, desde que o recurso esteja disponível. É importante observar que as cotas não garantem a disponibilidade de recursos. Mesmo que você tenha cota disponível, não será possível criar um novo recurso se ele não estiver disponível.
Por exemplo, você pode ter cota suficiente para criar um novo endereço IP externo regional em uma determinada região. No entanto, isso não é possível se não houver endereços IP externos disponíveis naquela região. A disponibilidade de recursos zonais também pode afetar sua capacidade de criar um novo recurso.
São raras as situações em que os recursos não estão disponíveis em uma região inteira. No entanto, os recursos dentro de uma zona podem ser usados periodicamente, normalmente sem impacto no contrato de nível de serviço (SLA) para o tipo de recurso. Para mais informações, leia o SLA relevante do recurso.