Cuotas y límites

En este documento, se enumeran las cuotas y los límites del sistema que se aplican a Google Cloud Armor.

  • Las cuotas especifican la cantidad de un recurso compartido contable que puedes usar. Las cuotas se definen según los servicios de Google Cloud, como Google Cloud Armor.
  • Los límites del sistema son valores fijos que no se pueden cambiar.

Google Cloud usa cuotas para garantizar la equidad y reducir los aumentos repentinos en el uso y la disponibilidad de los recursos. Una cuota restringe la cantidad de un recurso de Google Cloud que puede usar tu proyecto de Google Cloud. Las cuotas se aplican a una variedad de tipos de recursos, incluidos los componentes de hardware, software y red. Por ejemplo, las cuotas pueden restringir la cantidad de llamadas a la API para un servicio, la cantidad de balanceadores de cargas que se usan en simultáneo en tu proyecto o la cantidad de proyectos que puedes crear. Las cuotas protegen a la comunidad de usuarios de Google Cloud mediante la prevención de la sobrecarga de los servicios. También te ayudan a administrar tus propios recursos de Google Cloud.

El sistema de cuotas Cloud realiza las siguientes acciones:

  • Supervisa el consumo de productos y servicios de Google Cloud.
  • Restringe el consumo de esos recursos.
  • Proporciona un medio para solicitar cambios en el valor de la cuota.

En la mayoría de los casos, cuando intentas consumir más de lo que permite la cuota de un recurso, el sistema bloquea el acceso al recurso, y la tarea que intentas realizar falla.

Por lo general, las cuotas se aplican a nivel del proyecto de Google Cloud. El uso de un recurso en un proyecto no afecta tu cuota disponible en otro proyecto. Dentro de un proyecto de Google Cloud, las cuotas se comparten entre todas las aplicaciones y direcciones IP.

También hay límites del sistema para los recursos de Google Cloud Armor. Los límites del sistema no se pueden cambiar.

Cuotas

Las cuotas de recursos de Google Cloud Armor se organizan según dos criterios:

  • El alcance de la cuota:
    • global
    • regional
  • El tipo de política de seguridad de Google Cloud Armor:
    • política de seguridad del backend
    • política de seguridad perimetral
    • política de seguridad perimetral de red

Políticas de seguridad de backend globales y políticas de seguridad perimetrales globales

Google Cloud Armor usa las siguientes cuotas por proyecto para las políticas de seguridad de perímetro globales, las políticas de seguridad de backend globales y las reglas que se incluyen en ellas:

Recurso Cuota Descripción
Políticas de seguridad globales por proyecto Cuota

El límite de esta cuota define la cantidad máxima de políticas de seguridad de perímetro y de backend globales, en conjunto, en un proyecto.

Nombre de la cuota: SECURITY_POLICIES

Métricas disponibles:

  • compute.googleapis.com/quota/security_policies/limit
  • compute.googleapis.com/quota/security_policies/usage
  • compute.googleapis.com/quota/security_policies/exceeded
Reglas de políticas de seguridad globales por proyecto Cuota

El límite de esta cuota define la cantidad total máxima de reglas en las políticas de seguridad globales de perímetro y las políticas de seguridad globales de backend, en conjunto, en un proyecto. El uso de esta cuota cuenta lo siguiente:

  • Reglas básicas en las políticas de seguridad perimetral globales
  • Reglas básicas en las políticas de seguridad de backend globales
  • Reglas con condiciones de coincidencia avanzadas en las políticas de seguridad perimetrales globales
  • Reglas con condiciones de coincidencia avanzadas en las políticas de seguridad de backend globales

Nombre de la cuota: SECURITY_POLICY_RULES

Métricas disponibles:

  • compute.googleapis.com/quota/security_policy_rules/limit
  • compute.googleapis.com/quota/security_policy_rules/usage
  • compute.googleapis.com/quota/security_policy_rules/exceeded
Reglas de políticas de seguridad globales con condiciones de coincidencia avanzadas por proyecto Cuota

El límite de esta cuota define la cantidad máxima total de reglas con condiciones de coincidencia avanzadas en las políticas de seguridad de las redes perimetrales globales y las políticas de seguridad de backend globales, en conjunto, en un proyecto. El uso de esta cuota cuenta lo siguiente:

  • Reglas con condiciones de coincidencia avanzadas en políticas de seguridad perimetrales globales
  • Reglas con condiciones de coincidencia avanzadas en las políticas de seguridad de backend globales

Nombre de la cuota: SECURITY_POLICY_CEVAL_RULES

Métricas disponibles:

  • compute.googleapis.com/quota/security_policy_ceval_rules/limit
  • compute.googleapis.com/quota/security_policy_ceval_rules/usage
  • compute.googleapis.com/quota/security_policy_ceval_rules/exceeded

Cuotas por política de seguridad global para reglas con condiciones de coincidencia avanzadas

Google Cloud Armor usa las siguientes cuotas por política de seguridad para las reglas con condiciones de coincidencia avanzadas en las políticas de seguridad globales de perímetro y las políticas de seguridad globales de backend:

Recurso Cuota Descripción
Reglas con condiciones de coincidencia avanzadas por política de seguridad perimetral global Cuota

El límite de esta cuota define la cantidad máxima de reglas con condiciones de coincidencia avanzadas en una política de seguridad global de perímetro específica.

Nombre de la cuota: SECURITY_POLICY_ADVANCED_RULES_PER_EDGE_SECURITY_POLICY

Métricas disponibles:

  • compute.googleapis.com/quota/advanced_rules_per_edge_security_policy/limit
  • compute.googleapis.com/quota/advanced_rules_per_edge_security_policy/usage
  • compute.googleapis.com/quota/advanced_rules_per_edge_security_policy/exceeded
Reglas con condiciones de coincidencia avanzadas por política de seguridad de backend global Cuota

El límite de esta cuota define la cantidad máxima de reglas con condiciones de coincidencia avanzadas en una política de seguridad de backend global específica.

Nombre de la cuota: SECURITY_POLICY_ADVANCED_RULES_PER_SECURITY_POLICY

Métricas disponibles:

  • compute.googleapis.com/quota/advanced_rules_per_security_policy/limit
  • compute.googleapis.com/quota/advanced_rules_per_security_policy/usage
  • compute.googleapis.com/quota/advanced_rules_per_security_policy/exceeded

Resumen de las cuotas registradas para las reglas en las políticas de seguridad globales

En la siguiente tabla, se muestran las cuotas que se cuentan para las reglas básicas y las reglas con condiciones de coincidencia avanzadas en las políticas de seguridad globales:

Regla Uso que se registra en estas cuotas
Regla básica en una política de seguridad perimetral global
  • Reglas de políticas de seguridad globales por proyecto (SECURITY_POLICY_RULES)
Regla básica en una política de seguridad de backend global
  • Reglas de políticas de seguridad globales por proyecto (SECURITY_POLICY_RULES)
Regla con condiciones de coincidencia avanzadas en una política de seguridad perimetral global
  • Reglas de políticas de seguridad globales por proyecto (SECURITY_POLICY_RULES)
  • Reglas de políticas de seguridad globales con condiciones de coincidencia avanzadas por proyecto (SECURITY_POLICY_CEVAL_RULES)
  • Reglas con condiciones de coincidencia avanzadas por política de seguridad perimetral global (SECURITY_POLICY_ADVANCED_RULES_PER_EDGE_SECURITY_POLICY)
Regla con condiciones de coincidencia avanzadas en una política de seguridad de backend global
  • Reglas de políticas de seguridad globales por proyecto (SECURITY_POLICY_RULES)
  • Reglas de políticas de seguridad globales con condiciones de coincidencia avanzadas por proyecto (SECURITY_POLICY_CEVAL_RULES)
  • Reglas con condiciones de coincidencia avanzadas por política de seguridad del backend global (SECURITY_POLICY_ADVANCED_RULES_PER_SECURITY_POLICY)

Políticas de seguridad de backend regionales

Google Cloud Armor usa las siguientes cuotas por región y por proyecto para las políticas y reglas de seguridad de backend regionales:

Recurso Cuota Descripción
Políticas de seguridad de backend regionales por región y por proyecto Cuota

El límite de esta cuota define la cantidad máxima de políticas de seguridad del backend regionales en una región de un proyecto.

Nombre de la cuota: SECURITY_POLICIES_PER_REGION

Métricas disponibles:

  • compute.googleapis.com/quota/regional_security_policies/limit
  • compute.googleapis.com/quota/regional_security_policies/usage
  • compute.googleapis.com/quota/regional_security_policies/exceeded
Reglas de la política de seguridad de backend regional por región y por proyecto Cuota

El límite de esta cuota define la cantidad máxima de reglas en las políticas de seguridad del backend regional en una región de un proyecto. El uso de esta cuota cuenta las reglas básicas y las reglas con condiciones de coincidencia avanzadas.

Nombre de la cuota: SECURITY_POLICY_RULES_PER_REGION

Métricas disponibles:

  • compute.googleapis.com/quota/regional_security_policy_rules/limit
  • compute.googleapis.com/quota/regional_security_policy_rules/usage
  • compute.googleapis.com/quota/regional_security_policy_rules/exceeded
Reglas de políticas de seguridad de backend regionales con condiciones de coincidencia avanzadas por región y por proyecto Cuota

El límite de esta cuota define la cantidad máxima total de reglas con condiciones de coincidencia avanzadas en las políticas de seguridad del backend regional en una región de un proyecto. El uso de esta cuota solo cuenta las reglas con condiciones de coincidencia avanzadas.

Nombre de la cuota: SECURITY_POLICY_ADVANCED_RULES_PER_REGION

Métricas disponibles:

  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/limit
  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/usage
  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/exceeded

Cuotas por política de seguridad de backend regional para reglas con condiciones de coincidencia avanzadas

Google Cloud Armor usa las siguientes cuotas por política de seguridad para las reglas con condiciones de coincidencia avanzadas en las políticas de seguridad de backend regionales:

Recurso Cuota Descripción
Reglas con condiciones de coincidencia avanzadas por política de seguridad de backend regional Cuota

El límite de esta cuota define la cantidad máxima de reglas avanzadas en una política de seguridad de backend regional específica.

Nombre de la cuota: SECURITY_POLICY_ADVANCED_RULES_PER_REGIONAL_SECURITY_POLICY

Métricas disponibles:

  • compute.googleapis.com/quota/advanced_rules_per_regional_security_policy/limit
  • compute.googleapis.com/quota/advanced_rules_per_regional_security_policy/usage
  • compute.googleapis.com/quota/advanced_rules_per_regional_security_policy/exceeded

Resumen de las cuotas registradas para las reglas en las políticas de seguridad de backends regionales

En la siguiente tabla, se muestran las cuotas que se registran para las reglas básicas y las reglas con condiciones de coincidencia avanzadas en las políticas de seguridad de backend regionales:

Regla Uso que se registra en estas cuotas
Regla básica en una política de seguridad de backend regional
  • Reglas de la política de seguridad de backends regionales por región y por proyecto (SECURITY_POLICY_RULES_PER_REGION)
Regla con condiciones de coincidencia avanzadas en una política de seguridad de backend regional
  • Reglas de la política de seguridad de backends regionales por región y por proyecto (SECURITY_POLICY_RULES_PER_REGION)
  • Reglas de políticas de seguridad de backend regionales con condiciones de coincidencia avanzadas por región y por proyecto (SECURITY_POLICY_ADVANCED_RULES_PER_REGION)
  • Reglas con condiciones de coincidencia avanzadas por política de seguridad de backend regional (SECURITY_POLICY_ADVANCED_RULES_PER_REGIONAL_SECURITY_POLICY)

Políticas de seguridad perimetral de red regional

Google Cloud Armor usa las siguientes cuotas por región y por proyecto para las políticas y reglas de seguridad del perímetro de red regional:

Recurso Cuota Descripción
Políticas de seguridad perimetral de red regionales por región y por proyecto Cuota

El límite de esta cuota define la cantidad máxima de políticas de seguridad perimetral de red regionales en cada región de un proyecto.

Nombre de la cuota: NET_LB_SECURITY_POLICIES_PER_REGION

Métricas disponibles:

  • compute.googleapis.com/quota/regional_net_lb_security_policies/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policies/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policies/exceeded
Reglas de la política de seguridad perimetral de red regional por región y por proyecto Cuota

El límite de esta cuota define la cantidad máxima total de reglas para las políticas de seguridad perimetral de red regionales en cada región de un proyecto.

Nombre de la cuota: NET_LB_SECURITY_POLICY_RULES_PER_REGION

Métricas disponibles:

  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/exceeded
Valores de coincidencia de reglas de la política de seguridad perimetral de red regionales por región y por proyecto Cuota

El límite de esta cuota define la cantidad máxima de atributos en las reglas de las políticas de seguridad perimetral de red regional en cada región de un proyecto. El uso de esta cuota es la suma de los atributos SecurityPolicy.NetworkMatch en cada regla de cada política de seguridad perimetral de red en una región de un proyecto.

Nombre de la cuota: NET_LB_SECURITY_POLICY_RULE_ATTRIBUTES_PER_REGION

Métricas disponibles:

  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/exceeded

Grupos de direcciones

Los grupos de direcciones de Google Cloud Armor usan las siguientes cuotas:

Recurso Cuota Descripción
Capacidad acumulada del rango de direcciones IP por organización Cuota

Este límite de la cuota define la capacidad máxima, de forma acumulativa, que se usa en todos los grupos de direcciones de una organización.

Cada rango de direcciones IPv4 aumenta la utilización de esta cuota en uno. Cada rango de direcciones IPv6 aumenta la utilización de esta cuota en tres.

A modo de ejemplo, un límite de cuota de 50,000 admite varias combinaciones de rangos de IPv4 y IPv6, incluidos los siguientes:

  • 50,000 intervalos IPv4 y cero intervalos IPv6
  • Cero rangos de IPv4 y 16,666 rangos de IPv6
  • 40,000 rangos de IPv4 y 3,333 rangos de IPv6
Capacidad acumulada del rango de direcciones IP por proyecto Cuota

Este límite de la cuota define la capacidad máxima, de manera acumulativa, que se usa en todos los grupos de direcciones de un proyecto.

Cada rango de direcciones IPv4 aumenta el uso de esta cuota en uno. Cada rango de direcciones IPv6 aumenta la utilización de esta cuota en tres. Consulta la fila anterior para ver ejemplos de utilización.

Además de las cuotas de Google Cloud Armor, los productos que usan Google Cloud Armor tienen sus propias cuotas. Por ejemplo, consulta Cuotas y límites de Cloud Load Balancing.

Google Cloud aplica cuotas al uso de recursos por varios motivos. Por ejemplo, las cuotas protegen a la comunidad de usuarios de Google Cloud mediante la prevención de los aumentos repentinos de uso. Google Cloud también ofrece cuotas de prueba gratuita que proporcionan acceso limitado para proyectos en los que solo se explora Google Cloud a modo de prueba gratuita.

No todos los proyectos tienen las mismas cuotas. A medida que tu uso de Google Cloud se amplía con el tiempo, las cuotas podrían aumentar según corresponda. Si prevés un aumento considerable en el uso, puedes solicitar ajustes en la cuota de forma proactiva en la página Cuotas de la consola de Google Cloud.

Para solicitar una cuota adicional, debes tener el permiso serviceusage.quotas.update. Este permiso se incluye de forma predeterminada en las funciones predefinidas de propietario, editor y administrador de cuotas. Planifica y solicita recursos adicionales con, al menos, una semana de anticipación a fin de asegurarte de que tengamos tiempo suficiente para completar la solicitud. Para solicitar una cuota adicional, consulta Solicita cuota adicional.

Límites

Google Cloud Armor tiene los siguientes límites:

Elemento Límites
Cantidad de direcciones IP o rangos de direcciones IP por regla 10
Cantidad de subexpresiones por cada regla con una expresión personalizada 5
Cantidad de caracteres para cada subexpresión en una expresión personalizada 1,024
Cantidad de caracteres en una expresión personalizada 2,048

Cantidad de solicitudes por segundo, por proyecto, entre todos los backends que tengan una política de seguridad de Google Cloud Armor.

Este límite no se aplica. Google se reserva el derecho de limitar el volumen de tráfico que pueden procesar todas las políticas de seguridad de un proyecto determinado. Si necesitas solicitar un aumento de la cuota de QPS, comunícate con el equipo de cuentas.

20,000
Cantidad de servicios de seguridad perimetral de red por región y por proyecto 1

Grupos de direcciones

Los grupos de direcciones de Google Cloud Armor tienen los siguientes límites:

Versión del Protocolo de Internet Capacidad máxima de un solo grupo de direcciones Cantidad máxima de direcciones que se pueden cambiar con un comando de API (como add-items)
IPv4 150,000 rangos de direcciones IP IPv4 50,000 rangos de direcciones IP IPv4
IPv6 50,000 rangos de direcciones IP IPv6 20,000 rangos de direcciones IP IPv6

Gestionar cuotas

Google Cloud Armor aplica cuotas al uso de recursos por diversos motivos. Por ejemplo, para evitar que se produzcan picos de uso imprevistos y proteger así a la comunidad de usuarios de Google Cloud. Las cuotas también ayudan a los usuarios que están explorando Google Cloud con el nivel gratuito a mantenerse dentro de su prueba.

Todos los proyectos empiezan con las mismas cuotas, que puedes cambiar si solicitas una cuota adicional. Algunas cuotas pueden aumentar automáticamente en función del uso que hagas de los productos.

Permisos

Para ver las cuotas o solicitar un aumento de ellas, los principales de Gestión de Identidades y Accesos (IAM) necesitan uno de los siguientes roles.

Tarea Rol necesario
Consultar las cuotas de un proyecto Una de las siguientes:
Modificar cuotas y solicitar un aumento de cuotas Una de las siguientes:
  • Propietario del proyecto (roles/owner)
  • Editor del proyecto (roles/editor)
  • Administrador de cuota (roles/servicemanagement.quotaAdmin)
  • Un rol personalizado con el permiso serviceusage.quotas.update

Comprobar la cuota

Consola

  1. En la consola de Google Cloud, ve a la página Cuotas.

    Ir a Cuotas

  2. Para buscar la cuota que quieras actualizar, usa la opción Filtrar tabla. Si no conoces su nombre, usa los enlaces de esta página.

gcloud

Ejecuta el comando que se indica a continuación con la CLI de Google Cloud para comprobar tus cuotas. Tienes que sustituir PROJECT_ID por el ID de tu proyecto.

      gcloud compute project-info describe --project PROJECT_ID

Para ver la cuota que has utilizado en una región, ejecuta el siguiente comando:

    gcloud compute regions describe example-region
    

Errores al superar tu cuota

Si superas tu cuota con un comando gcloud, gcloud genera un mensaje de error quota exceeded y muestra el código de salida 1.

Si superas tu cuota con una solicitud a la API, Google Cloud muestra el siguiente código de estado HTTP: 413 Request Entity Too Large.

Solicitar un aumento de cuota

Para aumentar o reducir la mayoría de las cuotas, usa la consola de Google Cloud. Consulta más información en la sección Solicitar un aumento de cuota.

Consola

  1. En la consola de Google Cloud, ve a la página Cuotas.

    Ir a Cuotas

  2. En la página Cuotas, selecciona las cuotas que quieras modificar.
  3. En la parte superior de la página, haz clic en Editar cuotas.
  4. En Nombre, introduce tu nombre.
  5. Opcional: En Teléfono, introduce un número de teléfono.
  6. Envía la solicitud. Las solicitudes de cuotas tardan entre 24 y 48 horas en procesarse.

Disponibilidad de recursos

Cada cuota representa el número máximo de un tipo concreto de recurso que puedes crear, si ese recurso está disponible. Es importante tener en cuenta que las cuotas no garantizan la disponibilidad de los recursos. Aunque tengas cuota disponible, no puedes crear recursos si no lo están.

Por ejemplo, es posible que tengas cuota suficiente para crear una dirección IP externa regional en la región us-central1. Sin embargo, esto no es posible si no hay direcciones IP externas disponibles en esa región. La disponibilidad de recursos de zona también puede afectar a tu capacidad para crear recursos nuevos.

Es poco habitual que los recursos no estén disponibles en toda una región. Sin embargo, es posible que los recursos de una zona se agoten de vez en cuando, lo que no suele afectar al acuerdo de nivel de servicio (SLA) del tipo de recurso. Para obtener más información, revisa el acuerdo de nivel de servicio relevante para el recurso.