Cotas e limites

Neste documento, são listadas as cotas e os limites de sistema válidos para o Google Cloud Armor.

  • As cotas têm valores definidos por padrão, porém geralmente é possível solicitar ajustes.
  • Os limites do sistema são valores fixos que não podem ser alterados.

OGoogle Cloud usa cotas para garantir a distribuição justa e reduzir sobrecargas no uso e na disponibilidade dos recursos. Uma cota restringe a alocação de um recurso doGoogle Cloud para uso do seu projeto do Google Cloud . As cotas se aplicam a vários tipos de recursos, incluindo hardware, software e componentes de rede. Por exemplo, elas podem restringir o número de chamadas de API para um serviço, o número de balanceadores de carga usados simultaneamente pelo projeto ou o número de projetos que podem ser criados. As cotas protegem a comunidade de usuários doGoogle Cloud , impedindo a sobrecarga de serviços. Elas também ajudam você a gerenciar seus próprios recursos do Google Cloud .

O sistema de cotas do Cloud faz o seguinte:

Na maioria dos casos, quando você tenta consumir mais de um recurso do que a cota permite, o sistema bloqueia o acesso ao recurso, e a tarefa que você está tentando executar falha.

As cotas geralmente se aplicam ao nível do projeto do Google Cloud . O uso de um recurso em um projeto não afeta a cota disponível em outro. Em um projeto do Google Cloud , as cotas são compartilhadas entre todos os aplicativos e endereços IP.

Também existem limites do sistema para os recursos do Cloud Armor. Os limites do sistema não podem ser alterados.

Cotas

As cotas de recursos do Google Cloud Armor são organizadas segundo dois critérios:

  • O escopo da cota:
    • global
    • regional
  • O tipo de política de segurança do Cloud Armor:
    • política de segurança de back-end
    • política de segurança de borda
    • Política de segurança de borda da rede

Políticas globais de segurança de back-end e de borda

O Cloud Armor usa as cotas, apresentadas abaixo, por projeto para políticas globais de segurança de borda, políticas globais de segurança de back-end e suas respectivas regras:

Recurso Cota Descrição
Políticas globais de segurança por projeto Cota

O limite desta cota define o número máximo de políticas globais de segurança de borda e de políticas globais de segurança de back-end que um projeto pode ter, somadas.

Nome da cota: SECURITY_POLICIES

Métricas disponíveis:

  • compute.googleapis.com/quota/security_policies/limit
  • compute.googleapis.com/quota/security_policies/usage
  • compute.googleapis.com/quota/security_policies/exceeded
Regras para políticas globais de segurança por projeto Cota

O limite desta cota define o número máximo total de regras, somando as políticas globais de segurança de borda e as políticas globais de segurança de back-end, em um projeto. O uso desta cota inclui:

  • Regras simples nas políticas globais de segurança de borda
  • Regras simples nas políticas globais de segurança de back-end
  • Regras com condições avançadas de correspondência nas políticas globais de segurança de borda
  • Regras com condições avançadas de correspondência nas políticas globais de segurança de back-end

Nome da cota: SECURITY_POLICY_RULES

Métricas disponíveis:

  • compute.googleapis.com/quota/security_policy_rules/limit
  • compute.googleapis.com/quota/security_policy_rules/usage
  • compute.googleapis.com/quota/security_policy_rules/exceeded
Regras para políticas globais de segurança com condições avançadas de correspondência por projeto Cota

O limite desta cota define o número máximo total de regras, com condições avançadas de correspondência, somando as políticas globais de segurança de borda e as políticas globais de segurança de back-end, em um projeto. O uso desta cota inclui:

  • Regras com condições avançadas de correspondência nas políticas globais de segurança de borda
  • Regras com condições avançadas de correspondência nas políticas globais de segurança de back-end

Nome da cota: SECURITY_POLICY_CEVAL_RULES

Métricas disponíveis:

  • compute.googleapis.com/quota/security_policy_ceval_rules/limit
  • compute.googleapis.com/quota/security_policy_ceval_rules/usage
  • compute.googleapis.com/quota/security_policy_ceval_rules/exceeded

Cotas por políticas globais de segurança para regras com condições avançadas de correspondência

O Cloud Armor usa as cotas, apresentadas abaixo, por política de segurança para regras com condições avançadas de correspondência em políticas globais de segurança de borda e políticas globais de segurança de back-end:

Recurso Cota Descrição
Regras com condições avançadas de correspondência por política global de segurança de borda Cota

O limite desta cota define o número máximo de regras com condições avançadas de correspondência em uma política global de segurança de borda específica.

Nome da cota: SECURITY_POLICY_ADVANCED_RULES_PER_EDGE_SECURITY_POLICY

Métricas disponíveis:

  • compute.googleapis.com/quota/advanced_rules_per_edge_security_policy/limit
  • compute.googleapis.com/quota/advanced_rules_per_edge_security_policy/usage
  • compute.googleapis.com/quota/advanced_rules_per_edge_security_policy/exceeded
Regras com condições avançadas de correspondência por política global de segurança de back-end Cota

O limite desta cota define o número máximo de regras com condições avançadas de correspondência em uma política global de segurança de back-end específica.

Nome da cota: SECURITY_POLICY_ADVANCED_RULES_PER_SECURITY_POLICY

Métricas disponíveis:

  • compute.googleapis.com/quota/advanced_rules_per_security_policy/limit
  • compute.googleapis.com/quota/advanced_rules_per_security_policy/usage
  • compute.googleapis.com/quota/advanced_rules_per_security_policy/exceeded

Resumo das cotas contabilizadas para regras em políticas globais de segurança

A tabela a seguir apresenta as cotas que são contabilizadas para regras simples e regras com condições avançadas de correspondência em políticas globais de segurança:

Regra Uso contabilizado nessas cotas
Regra simples em uma política global de segurança de borda
  • Regras para políticas globais de segurança por projeto (SECURITY_POLICY_RULES)
Regra simples em uma política global de segurança de back-end
  • Regras para políticas globais de segurança por projeto (SECURITY_POLICY_RULES)
Regra com condições avançadas de correspondência em uma política global de segurança de borda
  • Regras para políticas globais de segurança por projeto (SECURITY_POLICY_RULES)
  • Regras para políticas globais de segurança com condições avançadas de correspondência por projeto (SECURITY_POLICY_CEVAL_RULES)
  • Regras com condições avançadas de correspondência por política global de segurança de borda (SECURITY_POLICY_ADVANCED_RULES_PER_EDGE_SECURITY_POLICY)
Regra com condições avançadas de correspondência em uma política global de segurança de back-end
  • Regras para políticas globais de segurança por projeto (SECURITY_POLICY_RULES)
  • Regras para políticas globais de segurança com condições avançadas de correspondência por projeto (SECURITY_POLICY_CEVAL_RULES)
  • Regras com condições avançadas de correspondência por política global de segurança de back-end (SECURITY_POLICY_ADVANCED_RULES_PER_SECURITY_POLICY)

Políticas regionais de segurança de back-end

O Cloud Armor usa as cotas, apresentadas abaixo, por região e por projeto para políticas regionais de segurança de back-end e suas respectivas regras:

Recurso Cota Descrição
Políticas regionais de segurança de back-end por região e por projeto Cota

O limite desta cota define o número máximo de políticas regionais de segurança de back-end em uma determinada região de um projeto.

Nome da cota: SECURITY_POLICIES_PER_REGION

Métricas disponíveis:

  • compute.googleapis.com/quota/regional_security_policies/limit
  • compute.googleapis.com/quota/regional_security_policies/usage
  • compute.googleapis.com/quota/regional_security_policies/exceeded
Regras para políticas regionais de segurança de back-end por região e por projeto Cota

O limite desta cota define o número máximo total de regras em políticas regionais de segurança de back-end em uma região de um projeto. O uso desta cota contabiliza tanto regras simples quanto regras com condições avançadas de correspondência.

Nome da cota: SECURITY_POLICY_RULES_PER_REGION

Métricas disponíveis:

  • compute.googleapis.com/quota/regional_security_policy_rules/limit
  • compute.googleapis.com/quota/regional_security_policy_rules/usage
  • compute.googleapis.com/quota/regional_security_policy_rules/exceeded
Regras para políticas regionais de segurança de back-end com condições avançadas de correspondência por região e por projeto Cota

O limite desta cota define o número máximo total de regras com condições avançadas de correspondência em políticas regionais de segurança de back-end em uma região de um projeto. O uso desta cota contabiliza somente regras com condições avançadas de correspondência.

Nome da cota: SECURITY_POLICY_ADVANCED_RULES_PER_REGION

Métricas disponíveis:

  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/limit
  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/usage
  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/exceeded

Cotas por políticas regionais de segurança de back-end para regras com condições avançadas de correspondência

O Cloud Armor usa as cotas, apresentadas abaixo, por política de segurança para regras com condições avançadas de correspondência em políticas regionais de segurança de back-end:

Recurso Cota Descrição
Regras com condições avançadas de correspondência por política regional de segurança de back-end Cota

O limite desta cota define o número máximo de regras avançadas em uma política regional de segurança de back-end específica.

Nome da cota: SECURITY_POLICY_ADVANCED_RULES_PER_REGIONAL_SECURITY_POLICY

Métricas disponíveis:

  • compute.googleapis.com/quota/advanced_rules_per_regional_security_policy/limit
  • compute.googleapis.com/quota/advanced_rules_per_regional_security_policy/usage
  • compute.googleapis.com/quota/advanced_rules_per_regional_security_policy/exceeded

Resumo das cotas contabilizadas para regras em políticas regionais de segurança de back-end

A tabela a seguir apresenta as cotas que são contabilizadas para regras simples e regras com condições avançadas de correspondência em políticas regionais de segurança de back-end:

Regra Uso contabilizado nessas cotas
Regra simples em uma política regional de segurança de back-end
  • Regras para políticas regionais de segurança de back-end por região e por projeto (SECURITY_POLICY_RULES_PER_REGION)
Regra com condições avançadas de correspondência em uma política regional de segurança de back-end
  • Regras para políticas regionais de segurança de back-end por região e por projeto (SECURITY_POLICY_RULES_PER_REGION)
  • Regras para políticas regionais de segurança de back-end com condições avançadas de correspondência por região e por projeto (SECURITY_POLICY_ADVANCED_RULES_PER_REGION )
  • Regras com condições avançadas de correspondência por política regional de segurança de back-end (SECURITY_POLICY_ADVANCED_RULES_PER_REGIONAL_SECURITY_POLICY)

Políticas regionais de segurança de borda da rede

O Cloud Armor usa as cotas, apresentadas abaixo, por região e por projeto para políticas regionais de segurança de borda da rede e suas respectivas regras:

Recurso Cota Descrição
Políticas regionais de segurança de borda da rede por região e por projeto Cota

O limite desta cota define o número máximo de políticas regionais de segurança de borda da rede em cada região de um projeto.

Nome da cota: NET_LB_SECURITY_POLICIES_PER_REGION

Métricas disponíveis:

  • compute.googleapis.com/quota/regional_net_lb_security_policies/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policies/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policies/exceeded
Regras para políticas regionais de segurança de borda da rede por região e por projeto Cota

O limite desta cota define o número máximo total de regras para políticas regionais de segurança de borda da rede em cada região de um projeto.

Nome da cota: NET_LB_SECURITY_POLICY_RULES_PER_REGION

Métricas disponíveis:

  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/exceeded
Valores de correspondência de regras para políticas regionais de segurança de borda da rede por região e por projeto Cota

O limite desta cota define o número máximo total de atributos em regras de políticas regionais de segurança de borda da rede em cada região de um projeto. O uso desta cota corresponde à soma dos atributos SecurityPolicy.NetworkMatch em todas as regras de cada política de segurança de borda da rede em uma região de um projeto.

Nome da cota: NET_LB_SECURITY_POLICY_RULE_ATTRIBUTES_PER_REGION

Métricas disponíveis:

  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/exceeded

Grupos de endereços

Os grupos de endereços do Cloud Armor usam as seguintes cotas:

Recurso Cota Descrição
Capacidade cumulativa de intervalos de endereços IP em grupos de endereços com escopo de projeto por organização Cota

O limite desta cota define a capacidade máxima, cumulativa, usada em todos os grupos de endereços com escopo de projeto em uma organização.

A utilização desta cota é aumentada em um para cada intervalo de endereços IPv4. A utilização desta cota é aumentada em três para cada intervalo de endereços IPv6.

Para ilustrar, um limite de cota de 50.000 permite diversas combinações de intervalos IPv4 e IPv6, como:

  • 50.000 intervalos IPv4 e nenhum intervalo IPv6
  • Nenhum intervalo IPv4 e 16.666 intervalos IPv6
  • 40.000 intervalos IPv4 e 3.333 intervalos IPv6

Nome da cota: CloudArmorAddressGroupsSizePerOrganization
Capacidade cumulativa de intervalos de endereços IP em grupos de endereços com escopo de projeto por projeto Cota

O limite desta cota define a capacidade máxima, cumulativa, usada em todos os grupos de endereços com escopo de projeto em um projeto.

A utilização desta cota é aumentada em um para cada intervalo de endereços IPv4. A utilização desta cota é aumentada em três para cada intervalo de endereços IPv6. Confira a linha anterior para exemplos de utilização.

Nome da cota: CloudArmorAddressGroupsSizePerProject
Capacidade cumulativa de intervalos de endereços IP em grupos de endereços com escopo de organização por organização Cota

O limite desta cota define a capacidade máxima, cumulativa, usada em todos os grupos de endereços com escopo de organização em uma organização.

A utilização desta cota é aumentada em um para cada intervalo de endereços IPv4. A utilização desta cota é aumentada em três para cada intervalo de endereços IPv6. Confira a linha anterior para exemplos de utilização.

Nome da cota: CloudArmorOrgAddressGroupsSizePerOrganization

Além das cotas do Cloud Armor, cada produto que o utiliza aplica suas próprias cotas. Para visualizar um exemplo, confira Cotas e limites do Cloud Load Balancing.

OGoogle Cloud aplica cotas ao uso de recursos por diversos motivos. Por exemplo, as cotas protegem a comunidade de usuários do Google Cloud , impedindo picos de uso inesperados. O Google Cloud também oferece cotas para testes sem custos financeiros, que permitem acesso limitado a projetos que utilizam o Google Cloud apenas durante o período de teste.

Nem todos os projetos têm as mesmas cotas. À medida que o uso do Google Cloud aumenta ao longo do tempo, as cotas podem ser ajustadas proporcionalmente. Se houver expectativa de aumento significativo no uso, é possível solicitar ajustes de cotas, de forma proativa, na página Cotas no console do Google Cloud .

Para solicitar mais cotas, é preciso ter a permissão serviceusage.quotas.update. Por padrão, essa permissão está incluída nos seguintes papéis predefinidos: Proprietário, Editor e Admin de cotas. Planeje e solicite recursos adicionais com pelo menos uma semana de antecedência para garantir que haja tempo suficiente para o atendimento à sua solicitação. Para solicitar mais cotas, confira Como solicitar mais cotas.

Limites

O Google Cloud Armour tem os seguintes limites:

Item Limites
Número de endereços IP ou intervalos de endereços IP por regra 10
Número de subexpressões de cada regra com uma expressão personalizada 5
Número de caracteres em cada subexpressão de uma expressão personalizada 1024
Número de caracteres em uma expressão personalizada 2048

Número de solicitações por segundo por projeto em todos os back-ends com uma política de segurança do Cloud Armor

Este limite não é aplicado. O Google se reserva o direito de limitar o volume de tráfego que pode ser processado por todas as políticas de segurança em cada projeto. Encaminhe quaisquer solicitações de aumento de QPS para sua equipe de conta.

 20.000
Número de serviços de segurança de borda da rede por região e por projeto 1
Número de regras em uma política de segurança de borda da rede 100
Número de políticas de segurança hierárquicas por organização 50
Número de regras em todas as políticas de segurança hierárquicas por organização 200
Número de regras com condições avançadas de correspondência em todas as políticas de segurança hierárquicas por organização 20

Grupos de endereços

Os grupos de endereços do Cloud Armor têm os limites apresentados a seguir, que são aplicáveis tanto a grupos de endereços com escopo de projeto quanto a grupos com escopo de organização:

Versão do Protocolo de Internet Capacidade máxima de um único grupo de endereços Número máximo de endereços alterados por um comando de API (como add-items)
IPv4 150.000 intervalos de endereços IP IPv4 50.000 intervalos de endereços IP IPv4
IPv6 50.000 intervalos de endereços IP IPv6 20.000 intervalos de endereços IP IPv6