En este documento, se enumeran las quotas y los quotas que se aplican a Google Cloud Armor.
Una cuota restringe cuánto de un recurso compartido de Google Cloud en particular puede usar tu proyecto de Google Cloud, incluidos los componentes de red, hardware y software. Por lo tanto, las cuotas son parte de un sistema que hace las siguientes acciones:
- Supervisa el uso o consumo de productos y servicios de Google Cloud.
- Restringe el consumo de esos recursos por motivos que incluyen garantizar la equidad y reducir los aumentos repentinos de uso.
- Mantiene los parámetros de configuración que aplican de forma automática las restricciones prescritas.
- Proporciona un medio para solicitar o hacer cambios en la cuota.
En la mayoría de los casos, cuando se excede un límite de cuota, el sistema bloquea de inmediato el acceso al recurso de Google correspondiente, y la tarea que intentas hacer falla. En la mayoría de los casos, las cuotas se aplican a cada proyecto de Google Cloud y se comparten entre todas las aplicaciones y direcciones IP que usan ese proyecto.
También hay límites en los recursos de Google Cloud Armor. Estos límites no están relacionados con el sistema de cuotas. Los límites no se pueden cambiar, a menos que se indique lo contrario.
Cuotas
Las cuotas de recursos de Google Cloud Armor se organizan según dos criterios:
- El alcance de la cuota:
- global
- regional
- El tipo de política de seguridad de Google Cloud Armor:
- política de seguridad del backend
- política de seguridad perimetral
- política de seguridad perimetral de red
Políticas de seguridad de backend y de seguridad perimetral globales
Las políticas de seguridad perimetral y global de backend usan las siguientes cuotas:
Recurso | Cuota | Descripción |
---|---|---|
Políticas de seguridad global | Cuota | El límite de esta cuota define la cantidad máxima de políticas de seguridad de backend globales y políticas de seguridad perimetral globales de un proyecto. Nombre de la cuota: Métricas disponibles:
|
Reglas de la política de seguridad global | Cuota | El límite de esta cuota define la cantidad total máxima de reglas para las políticas de seguridad de backend y las políticas de seguridad perimetral globales, en conjunto, en un proyecto. El uso de esta cuota cuenta cada regla entre todas las políticas de seguridad globales de un proyecto, sin importar si una regla usa condiciones de coincidencia básicas o avanzadas. Nombre de la cuota: Métricas disponibles:
|
Reglas de la política de seguridad global con condiciones de coincidencia avanzadas | Cuota | El límite de esta cuota define la cantidad total máxima de reglas con condiciones de coincidencia avanzadas para las políticas de seguridad de backend globales y de seguridad perimetral globales, juntas, en un proyecto. Las reglas de la política de seguridad global con condiciones de coincidencia avanzadas también contribuyen al uso de la cuota de las reglas de la política de seguridad global descrita en la fila anterior. Nombre de la cuota: Métricas disponibles:
|
Políticas de seguridad de backend regionales
Las políticas de seguridad de backend regionales usan las siguientes cuotas:
Recurso | Cuota | Descripción |
---|---|---|
Políticas de seguridad de backend regionales | Cuota | El límite de esta cuota define la cantidad máxima de políticas de seguridad de backend regionales en cada región de un proyecto. Nombre de la cuota: Métricas disponibles:
|
Reglas de la política de seguridad del backend regional | Cuota | El límite de esta cuota define la cantidad total máxima de reglas para las políticas de seguridad de backend regionales en cada región de un proyecto. El uso de esta cuota cuenta cada regla de cada política de seguridad de backend regional en una región de un proyecto, sin importar si una regla usa condiciones de coincidencia básicas o avanzadas. Nombre de la cuota: Métricas disponibles:
|
Reglas de la política de seguridad de backend regional con condiciones de coincidencia avanzadas | Cuota | El límite de esta cuota define la cantidad total máxima de reglas con condiciones de coincidencia avanzadas para las políticas de seguridad de backend regionales en cada región de un proyecto. Las reglas de la política de seguridad del backend regional con condiciones de coincidencia avanzadas también contribuyen al uso de la cuota de las reglas de la política de seguridad del backend regional de la región descrita en la fila anterior. Nombre de la cuota: Métricas disponibles:
|
Políticas de seguridad perimetral de red regional
Las políticas de seguridad perimetral de red regional usan las siguientes cuotas:
Recurso | Cuota | Descripción |
---|---|---|
Políticas de seguridad perimetral de red regional | Cuota | El límite de esta cuota define la cantidad máxima de políticas de seguridad perimetral de red regional en cada región de un proyecto. Nombre de la cuota: Métricas disponibles:
|
Reglas de la política de seguridad perimetral de red regional | Cuota | El límite de esta cuota define la cantidad total máxima de reglas para las políticas de seguridad perimetral de red regional en cada región de un proyecto. Nombre de la cuota: Métricas disponibles:
|
Valores de coincidencia de la regla de seguridad perimetral de red regional | Cuota | El límite de esta cuota define la cantidad total máxima de atributos
en reglas para las políticas de seguridad perimetral de red regional en cada región de un
proyecto. El uso de esta cuota es la suma de los atributos Nombre de la cuota: Métricas disponibles:
|
Grupos de direcciones
Los grupos de direcciones de Google Cloud Armor usan las siguientes cuotas:
Recurso | Cuota | Descripción |
---|---|---|
Capacidad acumulativa por organización | Cuota | La capacidad máxima por organización en todos sus grupos de direcciones, incluidos los rangos de direcciones IP IPv4 y IPv6 .
Considera que este límite es de 150,000 rangos, en los que un rango de direcciones IPv4 cuenta como un rango y uno de direcciones IP IPv6 cuenta como tres.Por ejemplo, si tienes 40,000
rangos de direcciones IP |
Capacidad acumulativa por proyecto | Cuota | La capacidad máxima por proyecto en todos los grupos de direcciones del proyecto, incluidos los rangos de direcciones IP IPv4 y IPv6 .
Considera que este límite es de 150,000 rangos, en los que un rango de direcciones IPv4 cuenta como un rango y uno de direcciones IP IPv6 cuenta como tres.Por ejemplo, si tienes 40,000
rangos de direcciones IP |
Además de las cuotas de Google Cloud Armor, los productos que usan Google Cloud Armor tienen sus propias cuotas. Por ejemplo, consulta Cuotas y límites de Cloud Load Balancing.
Google Cloud aplica cuotas al uso de recursos por varios motivos. Por ejemplo, las cuotas protegen a la comunidad de usuarios de Google Cloud mediante la prevención de los aumentos repentinos de uso. Google Cloud también ofrece cuotas de prueba gratuita que proporcionan acceso limitado para proyectos en los que solo se exploran Google Cloud a modo de prueba gratuita.
No todos los proyectos tienen las mismas cuotas. A medida que tu uso de Google Cloud se amplía con el tiempo, las cuotas podrían aumentar según corresponda. Si prevés un aumento considerable en el uso, puedes solicitar ajustes en la cuota de forma proactiva en la página Cuotas de la consola de Google Cloud.
Para solicitar una cuota adicional, debes tener el permiso serviceusage.quotas.update
. Este permiso se incluye de forma predeterminada en las funciones predefinidas de propietario, editor y administrador de cuotas. Planifica y solicita recursos adicionales con, al menos, una semana de anticipación a fin de asegurarte de que tengamos tiempo suficiente para completar la solicitud. Para solicitar una cuota adicional, consulta Solicita cuota adicional.
Límites
Google Cloud Armor tiene los siguientes límites:
Elemento | Límites |
---|---|
Cantidad de direcciones IP o rangos de direcciones IP por regla | 10 |
Cantidad de subexpresiones por cada regla con una expresión personalizada | 5 |
Cantidad de caracteres para cada subexpresión en una expresión personalizada | 1,024 |
Cantidad de caracteres en una expresión personalizada | 2,048 |
Cantidad de coincidencias de expresiones regulares por cada expresión personalizada | 1 |
Cantidad de solicitudes por segundo, por proyecto, entre todos los backends que tengan una política de seguridad de Google Cloud Armor. Este límite no se aplica de manera forzosa. Google se reserva el derecho de limitar el volumen de tráfico que pueden procesar todas las políticas de seguridad de un proyecto determinado. Si necesitas solicitar un aumento de la cuota de QPS, comunícate con el equipo de cuentas. |
20,000 |
Cantidad de servicios de seguridad perimetral de red por región y por proyecto | 1 |
Grupos de direcciones
Los grupos de direcciones de Google Cloud Armor tienen los siguientes límites:
Versión del Protocolo de Internet | Capacidad máxima de un solo grupo de direcciones | Cantidad máxima de direcciones modificadas por un comando de la API (como add-items ) |
---|---|---|
IPv4 | 150,000 IPv4 de rangos de direcciones IP |
50,000 IPv4 de rangos de direcciones IP |
IPv6 | 50,000 IPv6 de rangos de direcciones IP |
20,000 IPv6 rangos de direcciones IP |
Gestionar cuotas
Google Cloud Armor aplica cuotas al uso de recursos por diversos motivos. Por ejemplo, para evitar que se produzcan picos de uso imprevistos y proteger así a la comunidad de usuarios de Google Cloud. Las cuotas también ayudan a los usuarios que están explorando Google Cloud con el nivel gratuito a mantenerse dentro de su prueba.
Todos los proyectos empiezan con las mismas cuotas, que puedes cambiar si solicitas una cuota adicional. Algunas cuotas pueden aumentar automáticamente en función del uso que hagas de los productos.
Permisos
Para ver las cuotas o solicitar un aumento de ellas, los principales de Gestión de Identidades y Accesos (IAM) necesitan uno de los siguientes roles.
Tarea | Rol necesario |
---|---|
Consultar las cuotas de un proyecto | Una de las siguientes:
|
Modificar cuotas y solicitar un aumento de cuotas | Una de las siguientes:
|
Comprobar la cuota
Consola
- En la consola de Google Cloud, ve a la página Cuotas.
- Para buscar la cuota que quieras actualizar, usa la opción Filtrar tabla. Si no conoces su nombre, usa los enlaces de esta página.
gcloud
Ejecuta el comando que se indica a continuación con la CLI de Google Cloud para comprobar tus cuotas. Tienes que sustituir PROJECT_ID
por el ID de tu proyecto.
gcloud compute project-info describe --project PROJECT_ID
Para ver la cuota que has utilizado en una región, ejecuta el siguiente comando:
gcloud compute regions describe example-region
Errores al superar tu cuota
Si superas tu cuota con un comando gcloud
, gcloud
genera un mensaje de error quota exceeded
y muestra el código de salida 1
.
Si superas tu cuota con una solicitud a la API, Google Cloud muestra el siguiente código de estado HTTP: 413 Request Entity Too Large
.
Solicitar un aumento de cuota
Para aumentar o reducir la mayoría de las cuotas, usa la consola de Google Cloud. Consulta más información en la sección Solicitar un aumento de cuota.
Consola
- En la consola de Google Cloud, ve a la página Cuotas.
- En la página Cuotas, selecciona las cuotas que quieras modificar.
- En la parte superior de la página, haz clic en Editar cuotas.
- En Nombre, introduce tu nombre.
- Opcional: En Teléfono, introduce un número de teléfono.
- Envía la solicitud. Las solicitudes de cuotas tardan entre 24 y 48 horas en procesarse.
Disponibilidad de recursos
Cada cuota representa el número máximo de un tipo concreto de recurso que puedes crear, si ese recurso está disponible. Es importante tener en cuenta que las cuotas no garantizan la disponibilidad de los recursos. Aunque tengas cuota disponible, no puedes crear recursos si no lo están.
Por ejemplo, es posible que tengas cuota suficiente para crear una dirección IP externa regional
en la región us-central1
. Sin embargo, esto no es posible si no hay direcciones IP externas disponibles en esa región. La disponibilidad de recursos de zona también puede afectar a tu capacidad para crear recursos nuevos.
Es poco habitual que los recursos no estén disponibles en toda una región. Sin embargo, es posible que los recursos de una zona se agoten de vez en cuando, lo que no suele afectar al acuerdo de nivel de servicio (SLA) del tipo de recurso. Para obtener más información, revisa el acuerdo de nivel de servicio relevante para el recurso.