מכסות ומגבלות

במאמר הזה מוסבר על מכסות ומגבלות המערכת של Network Security Integration.

  • המכסות נקבעות כברירת מחדל, אבל בדרך כלל אפשר לבקש לשנות אותן.
  • מגבלות המערכת קבועות ואי אפשר לשנות אותן.

המכסות שלGoogle Cloud עוזרות לשמור על הוגנות ולצמצם עליות חדות בשימוש במשאבים ובזמינות שלהם. הן מגבילות את כמות המשאבים שלGoogle Cloud שאפשר להשתמש בהם בפרויקט ב- Google Cloud . המכסות רלוונטיות למגוון רחב של סוגי משאבים, כולל רכיבי חומרה, תוכנה ורשתות. לדוגמה, המכסות יכולות להגביל את מספר הקריאות ל-API בשירות מסוים, את מספר מאזני העומסים שאפשר להשתמש בהם בו-זמנית בפרויקט או את מספר הפרויקטים שאפשר ליצור. בשורה התחתונה, המכסות מגינות על משתמשיGoogle Cloud בכך שהן מונעות עומס יתר על השירותים, אבל גם עוזרות לשלוט על השימוש במשאבי Google Cloud .

מערכת המכסות ב-Cloud:

ברוב המקרים, כשאתם מנסים להשתמש ביותר משאבים מהמכסה, הגישה למשאב נחסמת ומה שאתם מנסים לעשות נכשל.

בדרך כלל, המכסות ב- Google Cloud הן ברמת הפרויקט. כלומר, השימוש במשאב מסוים בפרויקט כלשהו לא משפיע על המכסה שלכם בפרויקטים אחרים. ברמת הפרויקט ב- Google Cloud , המכסות משותפות לכל האפליקציות וכתובות ה-IP.

לסקירה כללית על מכסות ב-Cloud

יש גם מגבלות מערכת על משאבי Network Security Integration. שאי אפשר לשנות.

מכסות

בקטע הזה מפורטות המכסות שחלות על שילוב אבטחת רשת.

כדי לעקוב אחרי מכסות לכל פרויקט באמצעות Cloud Monitoring, צריך להגדיר מעקב אחרי המדד serviceruntime.googleapis.com/quota/allocation/usage בסוג המשאב Consumer Quota. מגדירים מסננים נוספים לפי תוויות (service, quota_metric) כדי להגיע לסוג המכסה. מידע על מעקב אחרי מדדי מכסות זמין במאמר מיפוי ומעקב אחרי מדדי מכסות. לכל מכסה יש מגבלה וערך שימוש.

אלא אם מצוין אחרת, כדי לשנות מכסה, אפשר לעיין במאמר איך מבקשים להגדיל את המכסה.

לכל פרויקט

בטבלה הבאה מפורטות מכסות Network Security Integration שחלות על כל פרויקט.

מכסה תיאור
מדיניות גלובלית של חומת אש בין רשתות מספר כללי מדיניות חומת אש בין רשתות גלובליות בפרויקט, בלי קשר למספר רשתות ה-VPC שמשויכות לכל מדיניות.
שיקוף פריסות לפי אזור לכל פרויקט מספר פריסות השכפול שאפשר ליצור בכל אזור בפרויקט.
פריסות של חסימות לפי אזור לכל פרויקט מספר פריסות ההפסקות שאפשר ליצור לכל אזור בפרויקט.
שיקוף קבוצות פריסה לכל פרויקט מספר קבוצות הפריסה של שיקוף שאפשר ליצור לכל פרויקט.
יירוט קבוצות פריסה לפי פרויקט מספר קבוצות הפריסה של ההפסקות שאפשר ליצור לכל פרויקט.

לכל ארגון

בטבלה הבאה מפורטות מכסות Network Security Integration שחלות על כל ארגון. כדי לשנות מכסה ברמת הארגון, צריך לפתוח פנייה לתמיכה.

מכסה תיאור
מדיניות חומת אש היררכית שלא משויכת לארגון מספר מדיניות חומת האש ההיררכית בארגון שלא משויכת למשאב של תיקייה או ארגון. אין הגבלה על מספר מדיניות חומת האש ההיררכית בארגון שמשויכת למשאב.

לכל מדיניות חומת אש

בטבלה הבאה מודגשות מכסות של Network Security Integration שחלות על כל משאב של מדיניות חומת אש.

מכסה תיאור
מדיניות חומת אש היררכית
מאפייני כללים לפי מדיניות חומת אש היררכית סכום מאפייני הכללים מכל הכללים במדיניות חומת אש היררכית. מידע נוסף זמין במאמר בנושא פרטים על מספר המאפיינים בכלל.

המכסה הזה משותף לכללי מדיניות חומת האש ולכללי הרפליקציה. לכן, אם מדיניות חומת אש היררכית מכילה גם את כללי מדיניות חומת האש וגם את כללי השיקוף, מאפייני הכללים משני סוגי הכללים נכללים במכסת המאפיינים.
מדיניות גלובלית של חומת אש בין רשתות
מאפייני כללים לכל מדיניות חומת אש בין רשתות גלובלית סכום מאפייני הכללים מכל הכללים במדיניות חומת אש בין רשתות גלובלית. מידע נוסף זמין במאמר בנושא פרטים על מספר המאפיינים בכלל.

המכסה הזה משותף לכללי מדיניות חומת האש ולכללי הרפליקציה. לכן, אם מדיניות חומת אש בין רשתות גלובלית מכילה גם את כללי המדיניות של חומת האש וגם את כללי השיקוף, מאפייני הכללים משני סוגי הכללים נכללים במכסת השימוש הזו.

פרטים על מספר מאפייני הכלל

כל מדיניות חומת אש תומכת במספר מקסימלי כולל של מאפייני כלל. מספר מאפייני הכלל במדיניות חומת אש הוא סכום מאפייני הכלל של כללי חומת האש וכללי השיקוף שלה.

בדוגמה הבאה של כללים אפשר לראות איך Google Cloud הכלל counts סופר מאפיינים על בסיס כל כלל מדיניות:

דוגמה לכלל מדיניות סך המאפיינים של הכלל הסבר
מדיניות חומת אש בין רשתות גלובלית עם שני הכללים הבאים:
  • כלל במדיניות חומת אש שמאפשר תעבורת נתונים נכנסת (ingress) עם טווח כתובות IP של המקור 10.100.0.1/32, פרוטוקול tcp וטווח יציאות 5000-6000.
  • כלל שיקוף של תעבורה נכנסת עם טווח כתובות IP של היעד 100.64.0.7/32 ופרוטוקול tcp עם יציאה 53-63
 6
  • מספר מאפייני הכלל לכלל מדיניות חומת אש: טווח מקור אחד, פרוטוקול אחד, טווח יציאות אחד
  • מספר מאפייני הכלל לכלל שיקוף: טווח יעד אחד, פרוטוקול אחד, טווח יציאות אחד

לכל קבוצת פריסה

בטבלה הבאה מודגמות מכסות של Network Security Integration, שמתייחסות לכל קבוצת פריסת רפליקציה או לכל קבוצת פריסה של יירוט.

מכסה תיאור
קבוצות של נקודות קצה של שיקוף לכל קבוצת פריסת רפליקציה המספר המקסימלי של קבוצות נקודות קצה של שיקוף שאפשר לשייך לקבוצת פריסת רפליקציה.
קבוצות של נקודות קצה של יירוט לכל קבוצת פריסה של יירוט המספר המקסימלי של קבוצות נקודות קצה ליירוט שאפשר לשייך לקבוצת פריסה ליירוט.

לכל קבוצת נקודות קצה

בטבלה הבאה מודגשות מכסות של Network Security Integration (שילוב אבטחת רשת) שחלות על כל קבוצת נקודות קצה של שיקוף או על כל קבוצת נקודות קצה של יירוט.

מכסה תיאור
קבוצות של פרופילי אבטחה לכל קבוצה של נקודות קצה לשיקוף המספר המקסימלי של קבוצות פרופילים לאבטחה עם פרופיל אבטחה שמפנה לקבוצת נקודות קצה של שיקוף.
קבוצות של פרופילי אבטחה לכל קבוצה של נקודות קצה ליירוט המספר המקסימלי של קבוצות פרופילי אבטחה עם פרופיל אבטחה שמפנה לקבוצת נקודות קצה של יירוט.
יירו של שיוכים של קבוצות נקודות קצה לכל קבוצת נקודות קצה המספר המקסימלי של שיוכים של קבוצות נקודות קצה ליירוט שיכולים להפנות לקבוצת נקודות קצה ליירוט.

מגבלות

אי אפשר להגדיל את המגבלות, אלא אם צוין אחרת.

לכל ארגון

המגבלות הבאות חלות על ארגונים:

פריט הגבלה הערות
קבוצות של פרופילי אבטחה לכל ארגון 40 המספר המקסימלי של קבוצות פרופילי אבטחה שאפשר ליצור לכל ארגון.
קבוצות של נקודות קצה לשיקוף לכל ארגון 1 המספר המקסימלי של קבוצות נקודות קצה של שיקוף שאפשר ליצור לכל ארגון. כדי לעדכן את המגבלה הזו, שולחים בקשת תמיכה.

לכל רשת

המגבלות הבאות חלות על רשתות VPC:

פריט הגבלה הערות
המספר המקסימלי של כללי מדיניות גלובליים של חומת אש בין רשתות לכל רשת 1 המספר המקסימלי של מדיניות חומת אש בין רשתות גלובליות שאפשר לשייך לרשת VPC.

לכל כלל

המגבלות הבאות חלות על כללים של חומת אש ב-VPC, על כללים של מדיניות חומת אש ועל כללי שיקוף:

פריט הגבלה הערות
המספר המקסימלי של טווחי כתובות IP של מקור לכל כלל לחומת אש 5,000 המספר המקסימלי של טווחי כתובות IP של מקור שאפשר לציין בכלל של חומת אש ב-VPC, בכלל של מדיניות חומת אש או בכלל שיקוף. טווחים של כתובות IP הם מסוג IPv4 בלבד או IPv6 בלבד. אי אפשר להגדיל את המכסה הזו.
המספר המקסימלי של טווחי כתובות IP של יעד לכל כלל חומת אש 5,000 המספר המקסימלי של טווחי כתובות IP של יעד שאפשר לציין בכלל חומת אש ב-VPC, בכלל של מדיניות חומת אש או בכלל שיקוף. טווחים של כתובות IP הם מסוג IPv4 בלבד או IPv6 בלבד. אי אפשר להגדיל את המכסה הזו.

לכל קבוצת פריסה

המגבלות הבאות חלות על קבוצות פריסת רפליקציה ועל קבוצות פריסה של חסימה:

פריט הגבלה הערות
פריסת רפליקציה וזוגות של שיוכים בין קבוצות של נקודות קצה ברפליקציה לכל קבוצה של פריסות רפליקציה 1,000

לכל קבוצת פריסה של שיקוף, הערך המקסימלי של מכפלת שני המספרים הבאים:

  • מספר פריסות הרפליקציה שאליהן מתבצעת הפניה בקבוצת פריסות הרפליקציה.
  • מספר השיוכים של קבוצות נקודות קצה לשיקוף של קבוצות נקודות הקצה לשיקוף שמפנות לקבוצת הפריסה לשיקוף.
זוגות של שיוך קבוצת נקודות קצה ופריסת יירוט לכל קבוצת פריסת יירוט 1,000

לכל קבוצת פריסה של חסימת מודעות, הערך המקסימלי של מכפלת שני המספרים הבאים:

  • מספר הפריסות של חסימת תנועה שהקבוצה של פריסת חסימת תנועה מפנה אליהן.
  • מספר השיוכים של קבוצות נקודות קצה ליירוט, של קבוצות נקודות הקצה ליירוט שמפנות לקבוצת הפריסה ליירוט.

ניהול מכסות

Network Security Integration אוכפת מכסות על השימוש במשאבים מסיבות שונות. לדוגמה, המכסות מגינות על קהילת משתמשי Google Cloud בכך שהן מונעות עלייה חדה ובלתי צפויה בשימוש. המכסות גם עוזרות למשתמשים שמתנסים ב- Google Cloud במסגרת התוכנית בחינם לא לחרוג מהמכסות של תקופת הניסיון.

כל הפרויקטים מתחילים עם אותן מכסות, שאפשר לשנות אותן על ידי בקשת מכסה נוספת. יכול להיות שחלק מהמכסות יגדלו באופן אוטומטי על סמך השימוש שלכם במוצר.

הרשאות

כדי לראות את המכסות או לבקש להגדיל אותן, לבעלי הרשאות (principals) בניהול הזהויות והרשאות הגישה (IAM) צריכה להיות אחת מההרשאות הבאות.

משימה התפקיד הנדרש
בדיקת מכסות לפרויקט אחת מהאפשרויות הבאות:
שינוי מכסות, בקשה למכסה נוספת אחת מהאפשרויות הבאות:

בדיקת המכסה

המסוף

  1. נכנסים לדף Quotas במסוף Google Cloud .

    לפתיחת הדף Quotas

  2. כדי לחפש את המכסה שרוצים לעדכן, משתמשים באפשרות Filter table. אם אתם לא יודעים מה שם המכסה, אתם יכולים להשתמש בקישורים שבדף הזה.

gcloud

מריצים את הפקודה הבאה באמצעות Google Cloud CLI כדי לבדוק את המכסות. מחליפים את PROJECT_ID במזהה הפרויקט שלכם.

    gcloud compute project-info describe --project PROJECT_ID

כדי לבדוק את המכסה שנוצלה באזור מסוים, מריצים את הפקודה הבאה:

    gcloud compute regions describe example-region

שגיאות שמתרחשות כשחורגים מהמכסה

אם תחרגו ממכסה במהלך השימוש בפקודה gcloud, פלט gcloud יהיה הודעת השגיאה quota exceeded, עם קוד היציאה 1.

אם תחרגו ממכסה עם בקשת API, Google Cloud יוחזר קוד הסטטוס הבא של HTTP: 413 Request Entity Too Large.

בקשה להגדלת המכסה

כדי לשנות את רוב המכסות, משתמשים במסוף Google Cloud . מידע נוסף זמין במאמר בנושא שליחת בקשה לשינוי המכסות.

זמינות המשאבים

כל מכסה מייצגת מספר מקסימלי של משאב מסוג מסוים שאפשר ליצור, אם המשאב זמין. חשוב לציין שהמכסות לא מבטיחות את זמינות המשאבים. גם אם יש לכם מכסה זמינה, לא תוכלו ליצור משאב חדש אם הוא לא זמין.

לדוגמה, יכול להיות שיש לכם מספיק מכסת שימוש כדי ליצור כתובת IP חיצונית אזורית חדשה באזור מסוים. עם זאת, זה לא אפשרי אם אין כתובות IP חיצוניות זמינות באזור הזה. זמינות של משאב של תחום מוגדר יכולה גם להשפיע על היכולת שלכם ליצור משאב חדש.

מקרים שבהם משאבים לא זמינים באזור שלם הם נדירים. עם זאת, המשאבים באזור עלולים להתרוקן מעת לעת, בדרך כלל בלי להשפיע על הסכם רמת השירות (SLA) לסוג המשאב. מידע נוסף זמין בהסכם רמת השירות הרלוונטי למשאב.