Quote e limiti

Questo documento elenca le quotas e i quotas che si applicano Google Cloud Armor.

Una quota limita la quantità di risorse Google Cloud condivise È possibile usare un progetto Google Cloud, inclusi hardware, software e rete componenti. Di conseguenza, le quote fanno parte di un sistema che seguenti:

  • Monitora l'utilizzo o il consumo dei prodotti Google Cloud e i servizi di machine learning.
  • Limita il tuo consumo di queste risorse, per motivi che includono: garantendo l'equità e riducendo i picchi di utilizzo.
  • Mantiene configurazioni che applicano automaticamente le limitazioni prescritte.
  • Consente di richiedere o modificare la quota.

Nella maggior parte dei casi, quando viene superata una quota, il sistema blocca immediatamente alla risorsa Google pertinente e all'attività che vuoi non riesce a eseguire l'esecuzione. Nella maggior parte dei casi, le quote vengono applicate a ogni progetto Google Cloud e vengono condivisi tra tutte le applicazioni e gli indirizzi IP che utilizzano progetto Google Cloud.

Esistono anche dei limiti relativi alle risorse di Google Cloud Armor. Questi non sono correlati al sistema delle quote. I limiti non possono essere modificati se non diversamente specificato.

Quote

Le quote delle risorse di Google Cloud Armor sono organizzate in base a due criteri:

  • L'ambito della quota:
    • globale
    • regionale
  • Il tipo di criterio di sicurezza di Google Cloud Armor:
    • criterio di sicurezza del backend
    • criterio di sicurezza perimetrale
    • criterio di sicurezza perimetrale della rete

Criteri di sicurezza del backend globali e criteri di sicurezza perimetrale globali

I criteri di sicurezza backend globali e i criteri di sicurezza perimetrale globali utilizzano quote seguenti:

Risorsa Quota Descrizione
Criteri di sicurezza globali Quota

Il limite per questa quota definisce il numero massimo di backend globali criteri di sicurezza e criteri di sicurezza perimetrale globali di un progetto.

Nome quota: SECURITY_POLICIES

Metriche disponibili:

  • compute.googleapis.com/quota/security_policies/limit
  • compute.googleapis.com/quota/security_policies/usage
  • compute.googleapis.com/quota/security_policies/exceeded
Regole dei criteri di sicurezza globali Quota

Il limite per questa quota definisce il numero totale massimo di regole per sia dei criteri di sicurezza del backend globali che dei criteri di sicurezza perimetrale globali, insieme, in un progetto. L'utilizzo di questa quota conta ogni regola tra tutti i criteri di sicurezza globali di un progetto, indipendentemente dal fatto che una regola utilizza condizioni di corrispondenza di base o avanzate.

Nome quota: SECURITY_POLICY_RULES

Metriche disponibili:

  • compute.googleapis.com/quota/security_policy_rules/limit
  • compute.googleapis.com/quota/security_policy_rules/usage
  • compute.googleapis.com/quota/security_policy_rules/exceeded
Regole del criterio di sicurezza globale con condizioni di corrispondenza avanzate Quota

Il limite per questa quota definisce il numero totale massimo di regole con condizioni di corrispondenza avanzate per la sicurezza globale del backend e criteri di sicurezza perimetrale globali, insieme, in un progetto. Globali anche le regole del criterio di sicurezza con condizioni di corrispondenza avanzate Utilizzo della quota Regole del criterio di sicurezza globale descritta riga precedente.

Nome quota: SECURITY_POLICY_CEVAL_RULES

Metriche disponibili:

  • compute.googleapis.com/quota/security_policy_ceval_rules/limit
  • compute.googleapis.com/quota/security_policy_ceval_rules/usage
  • compute.googleapis.com/quota/security_policy_ceval_rules/exceeded

Criteri di sicurezza backend regionali

I criteri di sicurezza del backend regionali utilizzano le quote seguenti:

Risorsa Quota Descrizione
Criteri di sicurezza backend regionali Quota

Il limite per questa quota definisce il numero massimo di backend regionali di sicurezza in ogni regione di un progetto.

Nome quota: SECURITY_POLICIES_PER_REGION

Metriche disponibili:

  • compute.googleapis.com/quota/regional_security_policies/limit
  • compute.googleapis.com/quota/regional_security_policies/usage
  • compute.googleapis.com/quota/regional_security_policies/exceeded
Regole dei criteri di sicurezza del backend regionali Quota

Il limite per questa quota definisce il numero totale massimo di regole per i criteri di sicurezza backend regionali in ogni regione di un progetto. L'utilizzo di questa quota conteggia ogni regola di ogni criterio di sicurezza del backend regionale in regione di un progetto, a prescindere dal fatto che una regola utilizzi condizioni di corrispondenza.

Nome quota: SECURITY_POLICY_RULES_PER_REGION

Metriche disponibili:

  • compute.googleapis.com/quota/regional_security_policy_rules/limit
  • compute.googleapis.com/quota/regional_security_policy_rules/usage
  • compute.googleapis.com/quota/regional_security_policy_rules/exceeded
Regole del criterio di sicurezza del backend regionale con condizioni di corrispondenza avanzate Quota

Il limite per questa quota definisce il numero totale massimo di regole con condizioni di corrispondenza avanzate per la sicurezza del backend a livello di regione in ogni regione di un progetto. Regole dei criteri di sicurezza del backend regionali con condizioni di corrispondenza avanzate contribuisce anche all'utilizzo del parametro Quota delle regole dei criteri di sicurezza del backend regionali descritta in riga precedente.

Nome quota: SECURITY_POLICY_ADVANCED_RULES_PER_REGION

Metriche disponibili:

  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/limit
  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/usage
  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/exceeded

Criteri di sicurezza perimetrale della rete regionali

I criteri di sicurezza perimetrale della rete regionali utilizzano le quote seguenti:

Risorsa Quota Descrizione
Criteri di sicurezza perimetrale della rete regionali Quota

Il limite per questa quota definisce il numero massimo di reti regionali di sicurezza perimetrale in ogni regione di un progetto.

Nome quota: NET_LB_SECURITY_POLICIES_PER_REGION

Metriche disponibili:

  • compute.googleapis.com/quota/regional_net_lb_security_policies/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policies/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policies/exceeded
Regole dei criteri di sicurezza perimetrale della rete regionali Quota

Il limite per questa quota definisce il numero totale massimo di regole per a livello di regione di sicurezza perimetrale della rete in ogni regione di un progetto.

Nome quota: NET_LB_SECURITY_POLICY_RULES_PER_REGION

Metriche disponibili:

  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/exceeded
Valori di corrispondenza della regola del criterio di sicurezza perimetrale della rete regionale Quota

Il limite per questa quota definisce il numero totale massimo di attributi in regole per i criteri di sicurezza perimetrale della rete a livello di regione in ogni regione di progetto. L'utilizzo di questa quota è la somma dei SecurityPolicy.NetworkMatch attributi in ogni regola di ogni criterio di sicurezza perimetrale della rete in una regione di un progetto.

Nome quota: NET_LB_SECURITY_POLICY_RULE_ATTRIBUTES_PER_REGION

Metriche disponibili:

  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/exceeded

Gruppi di indirizzi

I gruppi di indirizzi di Google Cloud Armor utilizzano le seguenti quote:

Risorsa Quota Descrizione
Capacità cumulativa per organizzazione Quota La capacità massima per organizzazione in tutti i gruppi di indirizzi del dominio organizzazione, inclusi intervalli di indirizzi IP IPv4 e IPv6. Considera questo limite come 150.000 intervalli, in cui un valore IPv4 l'intervallo di indirizzi IP viene conteggiato come un intervallo e un intervallo di indirizzi IP IPv6 viene conteggiato come tre intervalli.

Ad esempio, se disponi di 40.000 IPv6 intervalli di indirizzi IP, vengono conteggiati come 120.000 IPv4 di indirizzi IP esterni. Puoi aggiungere 30.000 intervalli di indirizzi IP IPv4 o di 10.000 intervalli di indirizzi IP IPv6 prima di raggiungere il limite.
Capacità cumulativa per progetto Quota La capacità massima per progetto in tutti i gruppi di indirizzi del gruppo del progetto, inclusi intervalli di indirizzi IP IPv4 e IPv6. Considera questo limite come 150.000 intervalli, in cui un valore IPv4 l'intervallo di indirizzi IP viene conteggiato come un intervallo e un intervallo di indirizzi IP IPv6 viene conteggiato come tre intervalli.

Ad esempio, se disponi di 40.000 IPv6 intervalli di indirizzi IP, vengono conteggiati come 120.000 IPv4 di indirizzi IP esterni. Puoi aggiungere 30.000 intervalli di indirizzi IP IPv4 o di 10.000 intervalli di indirizzi IP IPv6 prima di raggiungere il limite.

Oltre alle quote di Google Cloud Armor, i prodotti che utilizzano Google Cloud Armor ha le proprie quote. Ad esempio, vedi Quote e limiti di Cloud Load Balancing.

Google Cloud applica le quote sull'utilizzo delle risorse per diversi motivi. Ad esempio, le quote proteggono la community di utenti di Google Cloud da picchi di utilizzo imprevisti. Google Cloud offre anche la prova gratuita quote che forniscono accesso limitato per progetti che esplorano solo per usufruire di Google Cloud con una prova gratuita.

Non tutti i progetti hanno le stesse quote. Man mano che il tuo utilizzo di Google Cloud aumenta nel tempo, le tue quote potrebbero aumentare di conseguenza. Se prevedi che un aumento imminente e consistente dell'utilizzo, puoi richiedere un adeguamento delle quote dalla pagina Quote della console Google Cloud.

Per richiedere quote aggiuntive, devi disporre dell'autorizzazione serviceusage.quotas.update, che è già inclusa per impostazione predefinita per i seguenti ruoli predefiniti: Proprietario, Editor e Amministratore quota. Pianifica e richiedi risorse aggiuntive con almeno una settimana di anticipo affinché ci siano per soddisfare la tua richiesta. Per richiedere una quota aggiuntiva, consulta richiedendo una quota aggiuntiva.

Limiti

Di seguito sono riportati i limiti di Google Cloud Armor:

Elemento Limiti
Numero di indirizzi IP o intervalli di indirizzi IP per regola 10
Numero di sottoespressioni per ogni regola con un'espressione personalizzata 5
Numero di caratteri per ogni sottoespressione in un'espressione personalizzata 1024
Numero di caratteri in un'espressione personalizzata 2048
Numero di corrispondenze di espressioni regolari per ogni espressione personalizzata 1

Numero di richieste al secondo per progetto in tutte backend con un criterio di sicurezza Google Cloud Armor

Questo limite non viene applicato in modo forzato. Google si riserva il diritto per limitare il volume di traffico che può essere elaborato da tutte le dei vari criteri in base al progetto. Indirizza le richieste per QPS al team dedicato al tuo account.

 20.000
Numero di servizi di sicurezza perimetrale della rete per regione per progetto 1

Gruppi di indirizzi

I gruppi di indirizzi di Google Cloud Armor hanno i seguenti limiti:

Versione del protocollo Internet Capacità massima di un singolo gruppo di indirizzi Numero massimo di indirizzi modificati da un comando API (ad esempio add-items)
IPv4 150.000 intervalli di indirizzi IP IPv4 50.000 intervalli di indirizzi IP IPv4
IPv6 50.000 intervalli di indirizzi IP IPv6 20.000 intervalli di indirizzi IP IPv6

Gestisci quote

Google Cloud Armor applica quote sull'utilizzo delle risorse per vari motivi. Ad esempio, le quote proteggono la community di Google Cloud utenti da picchi di utilizzo imprevisti. Le quote aiutano inoltre gli utenti che esplorano Google Cloud con il livello gratuito a rimanere entro i limiti del periodo di prova.

Tutti i progetti iniziano con le stesse quote, che puoi modificare richiedendo una quota aggiuntiva. Alcune quote potrebbero aumentare automaticamente in base all'utilizzo del prodotto.

Autorizzazioni

Per visualizzare le quote o richiedere aumenti di quota, le entità Identity and Access Management (IAM) devono avere uno dei seguenti ruoli.

Attività Ruolo richiesto
Controllare le quote per un progetto Uno dei seguenti valori:
Modificare quote, richiedere quota aggiuntiva Uno dei seguenti valori:

Controlla la tua quota

Console

  1. Nella console Google Cloud, vai alla pagina Quote.

    Vai a Quote

  2. Per cercare la quota da aggiornare, utilizza Filtra tabella. Se non conosci il nome della quota, utilizza invece i link in questa pagina.

gcloud

Con Google Cloud CLI, esegui questo comando per verificare le quote. Sostituisci PROJECT_ID con l'ID del tuo progetto.

      gcloud compute project-info describe --project PROJECT_ID

Per verificare la quota utilizzata in un'area geografica, esegui questo comando:

    gcloud compute regions describe example-region

Errori quando superi la quota

Se superi una quota con un comando gcloud, gcloud restituisce un messaggio di errore quota exceeded e il codice di uscita 1.

Se superi una quota con una richiesta API, Google Cloud restituisce il seguente codice di stato HTTP: 413 Request Entity Too Large.

Richiedi quota aggiuntiva

Per aumentare o diminuire la maggior parte delle quote, utilizza la console Google Cloud. Per ulteriori informazioni, consulta Richiedere una quota superiore.

Console

  1. Nella console Google Cloud, vai alla pagina Quote.

    Vai a Quote

  2. Nella pagina Quote, seleziona le quote che vuoi modificare.
  3. Nella parte superiore della pagina, fai clic su Modifica quote.
  4. In Nome, inserisci il tuo nome.
  5. (Facoltativo) Per Telefono, inserisci un numero di telefono.
  6. Invia la richiesta. Per elaborare le richieste di quota sono necessarie dalle 24 alle 48 ore.

Disponibilità delle risorse

Ogni quota rappresenta un numero massimo per un determinato tipo di risorsa che puoi creare, se disponibile. È importante notare che le quote non garantiscono la disponibilità delle risorse. Anche se disponi di quota disponibile, non puoi creare una nuova risorsa se non è disponibile.

Ad esempio, potresti disporre di una quota sufficiente per creare un nuovo indirizzo IP esterno a livello di regione nella regione us-central1. Tuttavia, ciò non è possibile se non sono disponibili indirizzi IP esterni in quella regione. Anche la disponibilità di risorse a livello di zona potrebbe influire sulla tua possibilità di creare una nuova risorsa.

Situazioni in cui le risorse non sono disponibili in un'intera regione sono rare. Tuttavia, le risorse all'interno di una zona possono essere esaurite di tanto in tanto, in genere senza impatto sull'accordo sul livello del servizio (SLA) per il tipo di risorsa. Per ulteriori informazioni, consulta lo SLA pertinente per la risorsa.