Cotas e limites

Este documento lista as cotas e os limites que se aplicam ao Google Cloud Armor.

O Google Cloud usa cotas para garantir a imparcialidade e reduzir picos no uso e na disponibilidade de recursos. Uma cota restringe quanto de um recurso do Google Cloud o projeto do Google Cloud pode usar. As cotas se aplicam a vários tipos de recursos, incluindo hardware, software e componentes de rede. Por exemplo, as cotas podem restringir o número de chamadas de API para um serviço, o número de balanceadores de carga usados simultaneamente pelo projeto ou o número de projetos que podem ser criados. As cotas protegem a comunidade de usuários do Google Cloud, impedindo a sobrecarga de serviços. As cotas também ajudam você a gerenciar seus próprios recursos do Google Cloud.

O sistema de cotas do Cloud faz o seguinte:

  • Monitora o consumo de produtos e serviços do Google Cloud.
  • Restringe o consumo desses recursos.
  • Fornece um meio de solicitar mudanças no valor da cota

Na maioria dos casos, quando você tenta consumir mais de um recurso do que a cota permite, o sistema bloqueia o acesso ao recurso e a tarefa que você está tentando executar falha.

As cotas geralmente se aplicam ao projeto do nível Google Cloud. O uso de um recurso em um projeto não afeta a cota disponível em outro. Em um projeto do Google Cloud, as cotas são compartilhadas entre todos os aplicativos e endereços IP.

Também há limites para os recursos do Google Cloud Armor. Esses limites não estão relacionados ao sistema de cotas. Não é possível mudar os limites, a menos que seja indicado o contrário.

Cotas

As cotas de recursos do Google Cloud Armor são organizadas de acordo com dois critérios:

  • O escopo da cota:
    • global
    • regional
  • O tipo de política de segurança do Google Cloud Armor:
    • política de segurança de back-end
    • política de segurança de borda
    • política de segurança de borda de rede

Políticas globais de segurança de back-end e de segurança de borda global

O Google Cloud Armor usa as seguintes cotas por projeto para borda global políticas de segurança, políticas globais de segurança de back-end e as regras contidas nelas:

Recurso Cota Descrição
Políticas globais de segurança por projeto Cota

O limite dessa cota define o número máximo políticas de segurança de borda e políticas de segurança de back-end globais, em um projeto.

Nome da cota: SECURITY_POLICIES

Métricas disponíveis:

  • compute.googleapis.com/quota/security_policies/limit
  • compute.googleapis.com/quota/security_policies/usage
  • compute.googleapis.com/quota/security_policies/exceeded
Regras globais da política de segurança por projeto Cota

O limite dessa cota define o número máximo total de regras nas políticas globais de segurança de borda e de back-end globais, em um projeto. O uso dessa cota conta o seguinte:

  • Regras básicas nas políticas globais de segurança de borda
  • Regras básicas nas políticas globais de segurança de back-end
  • Regras com condições de correspondência avançadas para segurança de borda global políticas
  • Regras com condições de correspondência avançadas na segurança global de back-end políticas

Nome da cota: SECURITY_POLICY_RULES

Métricas disponíveis:

  • compute.googleapis.com/quota/security_policy_rules/limit
  • compute.googleapis.com/quota/security_policy_rules/usage
  • compute.googleapis.com/quota/security_policy_rules/exceeded
Regras globais da política de segurança com condições de correspondência avançadas por projeto Cota

O limite dessa cota define o número máximo total de regras com condições avançadas de correspondência na segurança de borda global e as políticas globais de segurança de back-end juntas em um projeto. A para essa cota conta o seguinte:

  • Regras com condições de correspondência avançadas para segurança de borda global políticas
  • Regras com condições de correspondência avançadas na segurança global de back-end políticas

Nome da cota: SECURITY_POLICY_CEVAL_RULES

Métricas disponíveis:

  • compute.googleapis.com/quota/security_policy_ceval_rules/limit
  • compute.googleapis.com/quota/security_policy_ceval_rules/usage
  • compute.googleapis.com/quota/security_policy_ceval_rules/exceeded

Cotas da política de segurança global para regras com condições de correspondência avançadas

O Google Cloud Armor usa as seguintes cotas para regras por política de segurança com condições avançadas de correspondência em políticas globais de segurança de borda políticas de segurança de back-end:

Recurso Cota Descrição
Regras com condições de correspondência avançadas por segurança de borda global política Cota

O limite dessa cota define o número máximo de regras com condições avançadas de correspondência em uma política de segurança de borda global específica.

Nome da cota: SECURITY_POLICY_ADVANCED_RULES_PER_EDGE_SECURITY_POLICY

Métricas disponíveis:

  • compute.googleapis.com/quota/advanced_rules_per_edge_security_policy/limit
  • compute.googleapis.com/quota/advanced_rules_per_edge_security_policy/usage
  • compute.googleapis.com/quota/advanced_rules_per_edge_security_policy/exceeded
Regras com condições avançadas de correspondência por segurança de back-end global política Cota

O limite dessa cota define o número máximo de regras com condições de correspondência avançadas em uma política global específica de segurança de back-end.

Nome da cota: SECURITY_POLICY_ADVANCED_RULES_PER_SECURITY_POLICY

Métricas disponíveis:

  • compute.googleapis.com/quota/advanced_rules_per_security_policy/limit
  • compute.googleapis.com/quota/advanced_rules_per_security_policy/usage
  • compute.googleapis.com/quota/advanced_rules_per_security_policy/exceeded

Resumo das cotas contadas para regras nas políticas globais de segurança

A tabela a seguir mostra quais cotas são contadas para regras e regras básicas com condições avançadas de correspondência nas políticas globais de segurança:

Regra Uso contabilizado nessas cotas
Regra básica em uma política de segurança de borda global
  • Regras globais da política de segurança por projeto (SECURITY_POLICY_RULES)
Regra básica em uma política global de segurança de back-end
  • Regras globais da política de segurança por projeto (SECURITY_POLICY_RULES)
Regra com condições de correspondência avançadas em uma política de segurança de borda global
  • Regras globais da política de segurança por projeto (SECURITY_POLICY_RULES)
  • Regras globais da política de segurança com condições de correspondência avançadas por projeto (SECURITY_POLICY_CEVAL_RULES)
  • Regras com condições avançadas de correspondência por política de segurança de borda global (SECURITY_POLICY_ADVANCED_RULES_PER_EDGE_SECURITY_POLICY)
Regra com condições de correspondência avançadas em uma política de segurança de back-end global
  • Regras globais da política de segurança por projeto (SECURITY_POLICY_RULES)
  • Regras globais da política de segurança com condições de correspondência avançadas por projeto (SECURITY_POLICY_CEVAL_RULES)
  • Regras com condições avançadas de correspondência por política global de segurança de back-end (SECURITY_POLICY_ADVANCED_RULES_PER_SECURITY_POLICY)

Políticas regionais de segurança de back-end

O Google Cloud Armor usa as seguintes cotas por região, por projeto para as políticas e regras regionais de segurança de back-end aqui contidas:

Recurso Cota Descrição
Políticas regionais de segurança de back-end por região e por projeto Cota

O limite dessa cota define o número máximo de serviços políticas de segurança de back-end em uma região de um projeto.

Nome da cota: SECURITY_POLICIES_PER_REGION

Métricas disponíveis:

  • compute.googleapis.com/quota/regional_security_policies/limit
  • compute.googleapis.com/quota/regional_security_policies/usage
  • compute.googleapis.com/quota/regional_security_policies/exceeded
Regras regionais da política de segurança de back-end por região e por projeto Cota

O limite dessa cota define o número máximo total de regras nas políticas regionais de segurança de back-end em uma região de um projeto. Uso para essa cota, conta as regras básicas e as com correspondência avançada pelas condições

Nome da cota: SECURITY_POLICY_RULES_PER_REGION

Métricas disponíveis:

  • compute.googleapis.com/quota/regional_security_policy_rules/limit
  • compute.googleapis.com/quota/regional_security_policy_rules/usage
  • compute.googleapis.com/quota/regional_security_policy_rules/exceeded
Regras regionais da política de segurança de back-end com condições avançadas de correspondência por região e por projeto Cota

O limite dessa cota define o número máximo total de regras com condições avançadas de correspondência em segurança de back-end regional políticas em uma região de um projeto. O uso dessa cota conta apenas com condições avançadas de correspondência.

Nome da cota: SECURITY_POLICY_ADVANCED_RULES_PER_REGION

Métricas disponíveis:

  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/limit
  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/usage
  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/exceeded

Cotas da política de segurança de back-end por região para regras com condições de correspondência avançadas

O Google Cloud Armor usa as seguintes cotas para regras por política de segurança com condições avançadas de correspondência nas políticas regionais de segurança de back-end:

Recurso Cota Descrição
Regras com condições de correspondência avançadas por segurança de back-end regional política Cota

O limite dessa cota define o número máximo de recursos em uma política de segurança de back-end regional específica.

Nome da cota: SECURITY_POLICY_ADVANCED_RULES_PER_REGIONAL_SECURITY_POLICY

Métricas disponíveis:

  • compute.googleapis.com/quota/advanced_rules_per_regional_security_policy/limit
  • compute.googleapis.com/quota/advanced_rules_per_regional_security_policy/usage
  • compute.googleapis.com/quota/advanced_rules_per_regional_security_policy/exceeded

Resumo das cotas contadas para regras nas políticas regionais de segurança de back-end

A tabela a seguir mostra quais cotas são contadas para regras e regras básicas com condições avançadas de correspondência nas políticas regionais de segurança de back-end:

Regra Uso contabilizado nessas cotas
Regra básica em uma política de segurança de back-end regional
  • Regras regionais da política de segurança de back-end por região e por projeto (SECURITY_POLICY_RULES_PER_REGION)
Regra com condições de correspondência avançadas em uma política de segurança de back-end regional
  • Regras regionais da política de segurança de back-end por região e por projeto (SECURITY_POLICY_RULES_PER_REGION)
  • Regras regionais da política de segurança de back-end com condições avançadas de correspondência por região, por projeto (SECURITY_POLICY_ADVANCED_RULES_PER_REGION )
  • Regras com condições avançadas de correspondência por política de segurança de back-end regional (SECURITY_POLICY_ADVANCED_RULES_PER_REGIONAL_SECURITY_POLICY)

Políticas regionais de segurança de borda de rede

O Google Cloud Armor usa as seguintes cotas por região, por projeto para as políticas e regras regionais de segurança de borda de rede:

Recurso Cota Descrição
Políticas regionais de segurança de borda de rede por região e por projeto Cota

O limite dessa cota define o número máximo de serviços políticas de segurança de borda de rede em cada região de um projeto.

Nome da cota: NET_LB_SECURITY_POLICIES_PER_REGION

Métricas disponíveis:

  • compute.googleapis.com/quota/regional_net_lb_security_policies/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policies/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policies/exceeded
Regras regionais da política de segurança de borda de rede por região, por projeto Cota

O limite dessa cota define o número máximo total de regras políticas regionais de segurança de borda de rede em cada região de um projeto.

Nome da cota: NET_LB_SECURITY_POLICY_RULES_PER_REGION

Métricas disponíveis:

  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/exceeded
Valores de correspondência da regra da política de segurança de borda da rede regional por região, por projeto Cota

O limite dessa cota define o número máximo total de atributos nas regras das políticas regionais de segurança de borda em cada região de um projeto. O uso dessa cota é a soma do Atributos SecurityPolicy.NetworkMatch em todas as regras de cada política de segurança de borda de rede em uma região de um projeto.

Nome da cota: NET_LB_SECURITY_POLICY_RULE_ATTRIBUTES_PER_REGION

Métricas disponíveis:

  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/exceeded

Grupos de endereços

Os grupos de endereços do Google Cloud Armor usam as seguintes cotas:

Recurso Cota Descrição
Capacidade cumulativa por organização Cota A capacidade máxima por organização em todos os grupos de endereços no organização, incluindo intervalos de endereços IP IPv4 e IPv6. Considere que esse limite é de 150.000 intervalos, em que um IPv4 o intervalo de endereços conta como um intervalo e um intervalo de endereços IP IPv6 conta como três intervalos.

Por exemplo, se você tem 40.000 IPv6 intervalos de endereços IP, eles contam como 120.000 IPv4 intervalos de endereços IP. É possível adicionar 30.000 intervalos de endereços IP IPv4 ou 10.000 intervalos de endereços IP IPv6 antes de atingir o limite.
Capacidade cumulativa por projeto Cota A capacidade máxima por projeto em todos os grupos de endereços no projeto, incluindo intervalos de endereços IP IPv4 e IPv6. Considere que esse limite é de 150.000 intervalos, em que um IPv4 o intervalo de endereços conta como um intervalo e um intervalo de endereços IP IPv6 conta como três intervalos.

Por exemplo, se você tem 40.000 IPv6 intervalos de endereços IP, eles contam como 120.000 IPv4 intervalos de endereços IP. É possível adicionar 30.000 intervalos de endereços IP IPv4 ou 10.000 intervalos de endereços IP IPv6 antes de atingir o limite.

Além das cotas do Google Cloud Armor, os produtos que usam O Google Cloud Armor tem as próprias cotas. Por exemplo, consulte Cotas e limites do Cloud Load Balancing.

O Google Cloud aplica cotas para uso de recursos por vários motivos. Por exemplo, elas protegem a comunidade de usuários do Google Cloud ao impedir picos de uso inesperados. O Google Cloud também oferece testes gratuitos cotas que fornecem acesso limitado para projetos que apenas exploram Google Cloud em um período de teste gratuito.

Nem todos os projetos têm as mesmas cotas. À medida que você usa mais o Google Cloud, as cotas também podem aumentar proporcionalmente. Caso espere um aumento de uso significativo, solicite o ajuste das cotas na página Cotas no Console do Cloud.

Para solicitar mais cotas, é preciso ter a permissão serviceusage.quotas.update. Por padrão, ela está incluída nos seguintes papéis predefinidos: proprietário, editor e administrador de cotas. Planeje e solicite recursos adicionais com pelo menos uma semana de antecedência para garantir que haja tempo suficiente para seu pedido ser atendido. Para solicitar mais cota, consulte Como solicitar cota adicional.

Limites

O Google Cloud Armour tem os seguintes limites:

Item Limites
Número de endereços IP ou intervalos de endereços IP por regra 10
Número de subexpressões de cada regra com uma expressão personalizada 5
Número de caracteres para cada subexpressão em uma expressão personalizada 1024
Número de caracteres em uma expressão personalizada 2048

Número de solicitações por segundo por projeto em todos os back-ends com uma política de segurança do Google Cloud Armor.

Esse limite não é aplicado. O Google se reserva o direito de limitar o volume de tráfego que possa ser processado por todas as políticas de segurança por projeto. Direciona quaisquer solicitações de aumento de QPS para a equipe de conta.

 20.000
Número de serviços de segurança de borda da rede por região por projeto 1

Grupos de endereços

Os grupos de endereços do Google Cloud Armor têm os seguintes limites:

Versão do protocolo de Internet Capacidade máxima de um único grupo de endereços O número máximo de endereços mudou por um comando de API (como add-items)
IPv4 150.000 intervalos de endereços IP IPv4 50.000 intervalos de endereços IP IPv4
IPv6 50.000 intervalos de endereços IP IPv6 20.000 intervalos de endereços IP IPv6

Gerenciar cotas

OGoogle Cloud Armor aplica cotas no uso de recursos por vários motivos. Por exemplo, as cotas protegem a comunidade de usuários Google Cloud , impedindo picos de uso inesperados. As cotas também ajudam os usuários que estão explorando o Google Cloud com o nível gratuito a permanecer na avaliação.

Todos os projetos começam com as mesmas cotas, que podem ser alteradas com uma solicitação de cota extra. Algumas cotas podem aumentar automaticamente dependendo do uso de um produto.

Permissões

Para ver cotas ou solicitar aumentos de cotas, os membros do gerenciamento de identidade e acesso (IAM, na sigla em inglês) precisam ter um dos papéis a seguir:

Tarefa Papel necessário
Verificar cotas para um projeto Uma das seguintes opções:
Modificar cotas, solicitar cota extra Uma das seguintes opções:

Verificar sua cota

Console

  1. No Console do Google Cloud, acesse a página Cotas.

    Acessar "Cotas"

  2. Para pesquisar a cota a ser atualizada, use a tabela de filtros. Se você não souber o nome da cota, use os links desta página.

gcloud

Com a Google Cloud CLI, execute o comando a seguir para verificar suas cotas. Substitua PROJECT_ID pelo seu código do projeto:

      gcloud compute project-info describe --project PROJECT_ID

Para verificar a cota utilizada em uma região, execute o comando a seguir:

    gcloud compute regions describe example-region

Erros ao exceder a cota

Se você exceder uma cota com um comando gcloud, o gcloud emitirá uma mensagem de erro quota exceeded e retornará com o código de saída 1.

Se você exceder uma cota com uma solicitação de API, o Google Cloud retornará o seguinte código de status HTTP: 413 Request Entity Too Large.

Solicitar cota adicional

Para aumentar ou diminuir a maioria das cotas, use o console do Google Cloud. Para mais informações, consulte Solicitar uma cota maior.

Console

  1. No Console do Google Cloud, acesse a página Cotas.

    Acessar "Cotas"

  2. Na página Cotas, selecione as que você quer alterar.
  3. Na parte superior da página, clique em Editar cotas.
  4. Em Nome, digite seu nome.
  5. Opcional: em Telefone, digite um número de telefone.
  6. Envie a solicitação. As solicitações de cota demoram de 24 a 48 horas para serem processadas.

Disponibilidade de recursos

Cada cota representa um número máximo para um tipo específico de recurso que é possível criar, desde que o recurso esteja disponível. É importante observar que as cotas não garantem a disponibilidade de recursos. Mesmo que você tenha cota disponível, não será possível criar um novo recurso se ele não estiver disponível.

Por exemplo, é possível ter cota suficiente para criar um novo endereço IP externo regional na região us-central1. No entanto, isso não é possível se não houver endereços IP externos disponíveis naquela região. A disponibilidade de recursos zonais também pode afetar sua capacidade de criar um novo recurso.

São raras as situações em que os recursos não estão disponíveis em uma região inteira. No entanto, os recursos dentro de uma zona podem ser usados periodicamente, normalmente sem impacto no contrato de nível de serviço (SLA) para o tipo de recurso. Para mais informações, leia o SLA relevante do recurso.