Quotas et limites

Ce document répertorie les quotas et limites qui s'appliquent à Google Cloud Armor.

Un quota limite la quantité d'une ressource Google Cloud partagée particulière que votre projet Google Cloud peut utiliser, y compris les composants matériels, logiciels et réseau. Par conséquent, les quotas font partie d'un système qui effectue les opérations suivantes :

  • Surveille votre utilisation ou votre consommation des produits et services Google Cloud
  • Limite la consommation de ces ressources pour des raisons telles que l'équité et la réduction des pics d'utilisation.
  • Gère des configurations qui appliquent automatiquement des restrictions recommandées.
  • Fournit un moyen de demander ou d'effectuer des modifications de quota.

Dans la plupart des cas, lorsqu'un quota est dépassé, le système bloque immédiatement l'accès à la ressource Google concernée et la tâche que vous essayez d'effectuer échoue. Dans la plupart des cas, les quotas s'appliquent à chaque projet Google Cloud. Ils sont partagés entre toutes les applications et adresses IP qui utilisent ce projet.

Des limites s'appliquent également aux ressources Google Cloud Armor. Ces limites ne sont pas liées au système de quotas. Sauf indication contraire, les limites ne peuvent pas être modifiées.

Quotas

Les quotas de ressources Google Cloud Armor sont organisés selon deux critères:

  • Champ d'application du quota :
    • global
    • régional
  • Type de stratégie de sécurité Google Cloud Armor :
    • stratégie de sécurité de backend
    • stratégie de sécurité périphérique
    • stratégie de sécurité en périphérie du réseau

Règles de sécurité de backend mondiales et règles de sécurité périphériques mondiales

Les règles de sécurité de backend globales et les règles de sécurité périphériques mondiales utilisent les quotas suivants:

Ressource Quota Description
Règles de sécurité globales Quota

La limite de ce quota définit le nombre maximal de règles de sécurité de backend globales et de règles de sécurité périphérique mondiales d'un projet.

Nom du quota : SECURITY_POLICIES

Métriques disponibles :

  • compute.googleapis.com/quota/security_policies/limit
  • compute.googleapis.com/quota/security_policies/usage
  • compute.googleapis.com/quota/security_policies/exceeded
Règles de stratégie de sécurité globale Quota

La limite de ce quota définit le nombre total maximal de règles dans un projet, à la fois pour les stratégies de sécurité de backend globales et pour les stratégies de sécurité périphérique mondiales. L'utilisation de ce quota comptabilise chaque règle parmi toutes les stratégies de sécurité globales d'un projet, qu'une règle utilise des conditions de correspondance de base ou avancées.

Nom du quota : SECURITY_POLICY_RULES

Métriques disponibles :

  • compute.googleapis.com/quota/security_policy_rules/limit
  • compute.googleapis.com/quota/security_policy_rules/usage
  • compute.googleapis.com/quota/security_policy_rules/exceeded
Règles de stratégie de sécurité globales avec conditions de correspondance avancées Quota

La limite de ce quota définit le nombre total maximal de règles avec des conditions de correspondance avancées pour les stratégies de sécurité backend globales et les stratégies de sécurité périphérique globales dans un projet. Les règles de stratégie de sécurité globales avec des conditions de correspondance avancées contribuent également à l'utilisation du quota de règles de sécurité globales décrit à la ligne précédente.

Nom du quota : SECURITY_POLICY_CEVAL_RULES

Métriques disponibles :

  • compute.googleapis.com/quota/security_policy_ceval_rules/limit
  • compute.googleapis.com/quota/security_policy_ceval_rules/usage
  • compute.googleapis.com/quota/security_policy_ceval_rules/exceeded

Règles de sécurité de backend régionales

Les règles de sécurité de backend régional utilisent les quotas suivants:

Ressource Quota Description
Règles de sécurité de backend régionales Quota

La limite de ce quota définit le nombre maximal de règles de sécurité backend régionales dans chaque région d'un projet.

Nom du quota : SECURITY_POLICIES_PER_REGION

Métriques disponibles :

  • compute.googleapis.com/quota/regional_security_policies/limit
  • compute.googleapis.com/quota/regional_security_policies/usage
  • compute.googleapis.com/quota/regional_security_policies/exceeded
Règles de la stratégie de sécurité de backend régionale Quota

La limite de ce quota définit le nombre total maximal de règles pour les stratégies de sécurité backend régionales dans chaque région d'un projet. L'utilisation de ce quota comptabilise chaque règle de chaque stratégie de sécurité backend régionale dans une région d'un projet, qu'une règle utilise des conditions de correspondance de base ou avancées.

Nom du quota : SECURITY_POLICY_RULES_PER_REGION

Métriques disponibles :

  • compute.googleapis.com/quota/regional_security_policy_rules/limit
  • compute.googleapis.com/quota/regional_security_policy_rules/usage
  • compute.googleapis.com/quota/regional_security_policy_rules/exceeded
Règles de la stratégie de sécurité de backend régionale avec conditions de correspondance avancées Quota

La limite de ce quota définit le nombre total maximal de règles avec des conditions de correspondance avancées pour les stratégies de sécurité backend régionales dans chaque région d'un projet. Les règles des stratégies de sécurité de backend régionales avec des conditions de correspondance avancées contribuent également à l'utilisation du quota des règles de sécurité de backend régionales décrit à la ligne précédente.

Nom du quota : SECURITY_POLICY_ADVANCED_RULES_PER_REGION

Métriques disponibles :

  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/limit
  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/usage
  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/exceeded

Stratégies de sécurité en périphérie du réseau régionales

Les règles de sécurité en périphérie du réseau régionales utilisent les quotas suivants:

Ressource Quota Description
Stratégies de sécurité en périphérie du réseau régionales Quota

La limite de ce quota définit le nombre maximal de règles de sécurité en périphérie du réseau régional dans chaque région d'un projet.

Nom du quota : NET_LB_SECURITY_POLICIES_PER_REGION

Métriques disponibles :

  • compute.googleapis.com/quota/regional_net_lb_security_policies/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policies/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policies/exceeded
Règles de stratégie de sécurité en périphérie du réseau régional Quota

La limite de ce quota définit le nombre total maximal de règles pour les stratégies de sécurité en périphérie du réseau régional dans chaque région d'un projet.

Nom du quota : NET_LB_SECURITY_POLICY_RULES_PER_REGION

Métriques disponibles :

  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/exceeded
Valeurs de correspondance de la règle de sécurité en périphérie du réseau régionale Quota

La limite de ce quota définit le nombre total maximal d'attributs dans les règles appliquées aux stratégies de sécurité en périphérie du réseau régional dans chaque région d'un projet. L'utilisation de ce quota correspond à la somme des attributs SecurityPolicy.NetworkMatch dans chaque règle de chaque stratégie de sécurité en périphérie du réseau dans une région d'un projet.

Nom du quota : NET_LB_SECURITY_POLICY_RULE_ATTRIBUTES_PER_REGION

Métriques disponibles :

  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/exceeded

En plus des quotas Google Cloud Armor, les produits qui utilisent Google Cloud Armor possèdent leurs propres quotas. Pour obtenir un exemple, consultez la page Quotas et limites de Cloud Load Balancing.

Google Cloud impose des quotas sur l'utilisation des ressources pour de nombreuses raisons, par exemple pour préserver la communauté des utilisateurs de Google Cloud en empêchant les pics d'utilisation imprévus. Dans Google Cloud, des quotas d'essai gratuit sont également proposés. Ils offrent un accès limité aux projets dont le seul but est d'explorer Google Cloud à titre d'essai gratuit.

Tous les projets ne sont pas soumis aux mêmes quotas. À mesure que votre utilisation de Google Cloud s'accroît, les quotas peuvent augmenter en conséquence. Si vous prévoyez une augmentation notable de l'utilisation, vous pouvez anticiper cette évolution en demandant des ajustements de quota sur la page Quotas de Google Cloud Console.

Pour demander des quotas supplémentaires, vous devez disposer de l'autorisation serviceusage.quotas.update. Elle est incluse par défaut pour les rôles prédéfinis suivants : propriétaire, éditeur et administrateur de quotas. Effectuez votre demande de ressources supplémentaires au moins une semaine à l'avance pour que le temps de traitement soit suffisant. Pour demander un quota supplémentaire, consultez la section Demander un quota supplémentaire.

Limites

Les limites suivantes s'appliquent à Google Cloud Armor :

Élément Limites
Nombre d'adresses IP ou de plages d'adresses IP par règle 10
Nombre de sous-expressions pour chaque règle avec une expression personnalisée 5
Nombre de caractères pour chaque sous-expression d'une expression personnalisée 1 024
Nombre de caractères d'une expression personnalisée 2 048
Nombre de correspondances d'expressions régulières pour chaque expression personnalisée 1

Nombre de requêtes par seconde et par projet dans l'ensemble des backends dotés d'une stratégie de sécurité Google Cloud Armor

Cette limite n'est pas appliquée actuellement. Google se réserve le droit de limiter le volume de trafic pouvant être traité par toutes les règles de sécurité pour chaque projet. Adressez vos demandes d'augmentation de RPS à l'équipe de gestion du compte.

 20 000
Nombre de services de sécurité de périphérie de réseau par région et par projet 1

Gestion des quotas

Google Cloud Armor impose des quotas sur l'utilisation des ressources pour différentes raisons. Il s'agit, par exemple, de préserver la communauté des utilisateurs de Google Cloud en empêchant les pics d'utilisation imprévus. Les quotas aident également les utilisateurs qui explorent Google Cloud avec la version gratuite à ne pas dépasser les limites de leur version d'essai.

Tous les projets débutent avec les mêmes quotas, que vous pouvez modifier en demandant un quota supplémentaire. Certains quotas peuvent augmenter automatiquement en fonction de votre utilisation d'un produit.

Autorisations

Pour afficher les quotas ou demander une augmentation de quotas, les comptes principaux IAM (Identity and Access Management) doivent disposer de l'un des rôles suivants.

Tâche Rôle requis
Vérifier les quotas d'un projet Choisissez l'une des options suivantes :
Modifier les quotas, demander un quota supplémentaire Choisissez l'une des options suivantes :

Vérifier les quotas

Console

  1. Dans la console Google Cloud, accédez à la page Quotas.

    Accéder à la section "Quotas"

  2. Pour rechercher le quota à mettre à jour, utilisez l'option Filtrer le tableau. Si vous ne connaissez pas le nom du quota, utilisez les liens disponibles sur cette page à la place.

gcloud

À l'aide de l'interface de ligne de commande Google Cloud, exécutez la commande suivante pour vérifier vos quotas. Remplacez PROJECT_ID par votre ID de projet :

      gcloud compute project-info describe --project PROJECT_ID

Pour vérifier le quota que vous avez déjà consommé dans une région, exécutez la commande suivante :

      gcloud compute regions describe example-region

Erreurs lors du dépassement de votre quota

Si vous dépassez un quota avec une commande gcloud, gcloud génère un message d'erreur quota exceeded et renvoie le code de sortie 1.

Si vous dépassez un quota avec une requête API, Google Cloud renvoie le code d'état HTTP suivant: HTTP 413 Request Entity Too Large.

Demander des quotas supplémentaires

Pour demander une augmentation ou une diminution de la plupart des quotas, vous pouvez utiliser Google Cloud Console. Pour en savoir plus, consultez Demander une augmentation de quota.

Console

  1. Dans la console Google Cloud, accédez à la page Quotas.

    Accéder à la section "Quotas"

  2. Sur la page Quotas, sélectionnez les quotas à modifier.
  3. En haut de la page, cliquez sur Modifier les quotas.
  4. Indiquez votre nom, votre adresse e-mail et votre numéro de téléphone, puis cliquez sur Suivant.
  5. Remplissez votre demande de quota, puis cliquez sur Terminé.
  6. Envoyez la demande. Le traitement des demandes de quotas nécessite un délai de 24 à 48 heures.

Disponibilité des ressources

Chaque quota représente le nombre maximal de ressources que vous pouvez créer pour un type de ressource donné, sous réserve de disponibilité. Il est important de noter que les quotas ne garantissent pas la disponibilité des ressources. Même si vous disposez d'un quota, vous ne pouvez pas créer une ressource si celle-ci n'est pas disponible.

Par exemple, vous pouvez disposer d'un quota suffisant pour créer une adresse IP régionale externe dans la région us-central1. Toutefois, cela n'est pas possible si aucune adresse IP externe n'est disponible dans cette région. La disponibilité des ressources par zone peut également avoir une incidence sur votre capacité à créer des ressources.

Les situations dans lesquelles des ressources sont indisponibles dans une région entière sont rares. Toutefois, les ressources d'une zone peuvent parfois être épuisées de temps en temps, ce qui n'a généralement pas d'incidence sur le contrat de niveau de service pour le type de ressource. Pour plus d'informations, consultez le contrat de niveau de service correspondant à la ressource.