Cuotas y límites

En este documento, se enumeran las quotas y los quotas que se aplican a Google Cloud Armor.

Una cuota restringe cuánto de un recurso compartido de Google Cloud en particular puede usar tu proyecto de Google Cloud, incluidos los componentes de red, hardware y software. Por lo tanto, las cuotas son parte de un sistema que hace las siguientes acciones:

  • Supervisa el uso o consumo de productos y servicios de Google Cloud.
  • Restringe el consumo de esos recursos por motivos que incluyen garantizar la equidad y reducir los aumentos repentinos de uso.
  • Mantiene los parámetros de configuración que aplican de forma automática las restricciones prescritas.
  • Proporciona un medio para solicitar o hacer cambios en la cuota.

En la mayoría de los casos, cuando se excede un límite de cuota, el sistema bloquea de inmediato el acceso al recurso de Google correspondiente, y la tarea que intentas hacer falla. En la mayoría de los casos, las cuotas se aplican a cada proyecto de Google Cloud y se comparten entre todas las aplicaciones y direcciones IP que usan ese proyecto.

También hay límites en los recursos de Google Cloud Armor. Estos límites no están relacionados con el sistema de cuotas. Los límites no se pueden cambiar, a menos que se indique lo contrario.

Cuotas

Las cuotas de recursos de Google Cloud Armor se organizan según dos criterios:

  • El alcance de la cuota:
    • global
    • regional
  • El tipo de política de seguridad de Google Cloud Armor:
    • política de seguridad del backend
    • política de seguridad perimetral
    • política de seguridad perimetral de red

Políticas de seguridad de backend globales y políticas de seguridad perimetral globales

Las políticas de seguridad de backend globales y las políticas de seguridad perimetral globales usan las siguientes cuotas:

Recurso Cuota Descripción
Políticas de seguridad global Cuota

El límite de esta cuota define la cantidad máxima de políticas de seguridad de backend globales y políticas de seguridad perimetral globales de un proyecto.

Nombre de la cuota: SECURITY_POLICIES

Métricas disponibles:

  • compute.googleapis.com/quota/security_policies/limit
  • compute.googleapis.com/quota/security_policies/usage
  • compute.googleapis.com/quota/security_policies/exceeded
Reglas de la política de seguridad global Cuota

El límite de esta cuota define la cantidad total máxima de reglas para las políticas de seguridad del backend globales y las políticas de seguridad perimetral globales, juntas, en un proyecto. El uso de esta cuota cuenta cada regla entre todas las políticas de seguridad globales de un proyecto, sin importar si una regla usa condiciones de coincidencia básicas o avanzadas.

Nombre de la cuota: SECURITY_POLICY_RULES

Métricas disponibles:

  • compute.googleapis.com/quota/security_policy_rules/limit
  • compute.googleapis.com/quota/security_policy_rules/usage
  • compute.googleapis.com/quota/security_policy_rules/exceeded
Reglas de la política de seguridad global con condiciones de coincidencia avanzadas Cuota

El límite de esta cuota define la cantidad total máxima de reglas con condiciones de coincidencia avanzadas para las políticas de seguridad del backend globales y las políticas de seguridad perimetral globales, juntas, en un proyecto. Las reglas de la política de seguridad global con condiciones de coincidencia avanzadas también contribuyen al uso de la cuota de reglas de políticas de seguridad globales descrita en la fila anterior.

Nombre de la cuota: SECURITY_POLICY_CEVAL_RULES

Métricas disponibles:

  • compute.googleapis.com/quota/security_policy_ceval_rules/limit
  • compute.googleapis.com/quota/security_policy_ceval_rules/usage
  • compute.googleapis.com/quota/security_policy_ceval_rules/exceeded

Políticas de seguridad de backend regionales

Las políticas de seguridad de backend regionales usan las siguientes cuotas:

Recurso Cuota Descripción
Políticas de seguridad de backend regionales Cuota

El límite de esta cuota define la cantidad máxima de políticas de seguridad de backend regionales en cada región de un proyecto.

Nombre de la cuota: SECURITY_POLICIES_PER_REGION

Métricas disponibles:

  • compute.googleapis.com/quota/regional_security_policies/limit
  • compute.googleapis.com/quota/regional_security_policies/usage
  • compute.googleapis.com/quota/regional_security_policies/exceeded
Reglas de la política de seguridad del backend regional Cuota

El límite de esta cuota define la cantidad total máxima de reglas para políticas de seguridad de backend regionales en cada región de un proyecto. El uso de esta cuota cuenta todas las reglas de cada política de seguridad de backend regional en una región de un proyecto, sin importar si una regla usa condiciones de coincidencia básicas o avanzadas.

Nombre de la cuota: SECURITY_POLICY_RULES_PER_REGION

Métricas disponibles:

  • compute.googleapis.com/quota/regional_security_policy_rules/limit
  • compute.googleapis.com/quota/regional_security_policy_rules/usage
  • compute.googleapis.com/quota/regional_security_policy_rules/exceeded
Reglas de políticas de seguridad de backend regionales con condiciones de coincidencia avanzadas Cuota

El límite de esta cuota define la cantidad total máxima de reglas con condiciones de coincidencia avanzadas para las políticas de seguridad de backend regionales en cada región de un proyecto. Las reglas de políticas de seguridad del backend regionales con condiciones de coincidencia avanzadas también contribuyen al uso de la cuota Reglas de la política de seguridad del backend regional descrita en la fila anterior.

Nombre de la cuota: SECURITY_POLICY_ADVANCED_RULES_PER_REGION

Métricas disponibles:

  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/limit
  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/usage
  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/exceeded

Políticas de seguridad perimetral de red regional

Las políticas de seguridad perimetral de red regional usan las siguientes cuotas:

Recurso Cuota Descripción
Políticas de seguridad perimetral de red regional Cuota

El límite de esta cuota define la cantidad máxima de políticas de seguridad perimetral de red regionales en cada región de un proyecto.

Nombre de la cuota: NET_LB_SECURITY_POLICIES_PER_REGION

Métricas disponibles:

  • compute.googleapis.com/quota/regional_net_lb_security_policies/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policies/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policies/exceeded
Reglas de la política de seguridad perimetral de red regional Cuota

El límite de esta cuota define la cantidad total máxima de reglas para políticas de seguridad perimetral de red regional en cada región de un proyecto.

Nombre de la cuota: NET_LB_SECURITY_POLICY_RULES_PER_REGION

Métricas disponibles:

  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/exceeded
Valores de coincidencia de la regla de la política de seguridad perimetral de red regional Cuota

El límite de esta cuota define la cantidad total máxima de atributos en las reglas para las políticas de seguridad perimetral de red regional en cada región de un proyecto. El uso de esta cuota es la suma de los atributos SecurityPolicy.NetworkMatch en cada regla de cada política de seguridad perimetral de red en una región de un proyecto.

Nombre de la cuota: NET_LB_SECURITY_POLICY_RULE_ATTRIBUTES_PER_REGION

Métricas disponibles:

  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/exceeded

Además de las cuotas de Google Cloud Armor, los productos que usan Google Cloud Armor tienen sus propias cuotas. Por ejemplo, consulta Cuotas y límites de Cloud Load Balancing.

Google Cloud aplica cuotas al uso de recursos por varios motivos. Por ejemplo, las cuotas protegen a la comunidad de usuarios de Google Cloud mediante la prevención de los aumentos repentinos de uso. Google Cloud también ofrece cuotas de prueba gratuita, lo que proporciona acceso limitado para proyectos en los que solo se explora Google Cloud a modo de prueba gratuita.

No todos los proyectos tienen las mismas cuotas. A medida que tu uso de Google Cloud se amplía con el tiempo, las cuotas podrían aumentar según corresponda. Si prevés un aumento considerable en el uso, puedes solicitar ajustes en la cuota de forma proactiva en la página Cuotas de la consola de Google Cloud.

Para solicitar una cuota adicional, debes tener el permiso serviceusage.quotas.update. Este permiso se incluye de forma predeterminada en las funciones predefinidas de propietario, editor y administrador de cuotas. Planifica y solicita recursos adicionales con, al menos, una semana de anticipación a fin de asegurarte de que tengamos tiempo suficiente para completar la solicitud. Para solicitar una cuota adicional, consulta Solicita cuota adicional.

Límites

Google Cloud Armor tiene los siguientes límites:

Elemento Límites
Cantidad de direcciones IP o rangos de direcciones IP por regla 10
Cantidad de subexpresiones por cada regla con una expresión personalizada 5
Cantidad de caracteres para cada subexpresión en una expresión personalizada 1,024
Cantidad de caracteres en una expresión personalizada 2,048
Cantidad de coincidencias de expresiones regulares por cada expresión personalizada 1

Cantidad de solicitudes por segundo, por proyecto, entre todos los backends que tengan una política de seguridad de Google Cloud Armor.

Este límite no se aplica actualmente. Google se reserva el derecho de limitar el volumen de tráfico que pueden procesar todas las políticas de seguridad de un proyecto determinado. Si necesitas solicitar un aumento de la cuota de QPS, comunícate con el equipo de cuentas.

 20,000
Cantidad de servicios de seguridad perimetral de red por región y por proyecto 1

Administra cuotas

Google Cloud Armor aplica cuotas al uso de recursos por varios motivos. Por ejemplo, las cuotas protegen a la comunidad de usuarios Google Cloud mediante la prevención de los aumentos imprevistos en el uso. Las cuotas también ayudan a que los usuarios que exploran Google Cloud con el nivel gratuito permanezcan dentro de su prueba.

Todos los proyectos comienzan con las mismas cuotas, que puedes cambiar mediante la solicitud de cuotas adicionales. Algunas cuotas pueden aumentar de forma automática en función del uso que haces del producto.

Permisos

Para ver las cuotas o solicitar aumentos de cuota, las principales de Identity and Access Management (IAM) necesitan uno de los siguientes roles.

Tarea Función requerida
Consultar cuotas para un proyecto Uno de los siguientes:
Modificar cuotas, solicitar cuota adicional Uno de los siguientes:
  • Propietario del proyecto (roles/owner)
  • Editor de proyecto (roles/editor)
  • Administrador de cuotas (roles/servicemanagement.quotaAdmin)
  • Una función personalizada con el permiso serviceusage.quotas.update

Comprueba la cuota

Console

  1. En la consola de Google Cloud, ve a la página Cuotas.

    Ir a Cuotas

  2. Para buscar la cuota que quieres actualizar, usa la tabla de filtros. Si no sabes el nombre de la cuota, usa los vínculos que aparecen en esta página en su lugar.

gcloud

Con la CLI de Google Cloud, ejecuta el siguiente comando para comprobar tus cuotas. Reemplaza PROJECT_ID con el ID de tu proyecto.

      gcloud compute project-info describe --project PROJECT_ID

Para verificar la cuota usada en una región, ejecuta el siguiente comando:

      gcloud compute regions describe example-region

Errores cuando excedes la cuota

Si excedes una cuota con un comando gcloud, gcloud muestra un mensaje de error quota exceeded y el código de salida 1.

Si superas una cuota con una solicitud a la API, Google Cloud muestra el siguiente código de estado HTTP: HTTP 413 Request Entity Too Large.

Solicita cuota adicional

Para aumentar o disminuir la mayoría de las cuotas, usa la consola de Google Cloud. Consulta Solicita una cuota mayor para obtener más información.

Console

  1. En la consola de Google Cloud, ve a la página Cuotas.

    Ir a Cuotas

  2. En la página Cuotas, selecciona las cuotas que deseas cambiar.
  3. En la parte superior de la página, haz clic en Editar cuotas.
  4. Completa los campos con tu nombre, correo electrónico y número de teléfono, y haz clic en Siguiente.
  5. Completa la solicitud de cuota y, luego, haz clic en Listo.
  6. Envía la solicitud. Las solicitudes de cuotas toman entre 24 y 48 horas en procesarse.

Disponibilidad de recursos

Cada cuota representa la cantidad máxima de un tipo particular de recurso que puedes crear, siempre y cuando el recurso esté disponible. Es importante tener en cuenta que las cuotas no garantizan la disponibilidad del recurso. Incluso si tienes cuotas disponibles, no podrás crear un recurso nuevo si no está disponible.

Por ejemplo, podrías tener una cuota suficiente para crear una nueva dirección IP externa regional en la región us-central1. Sin embargo, eso no es posible si no hay direcciones IP externas disponibles en esa región. La disponibilidad zonal de recursos también puede afectar tu capacidad para crear un nuevo recurso.

Las situaciones en las que los recursos no están disponibles en toda una región son poco frecuentes. Sin embargo, los recursos dentro de una zona pueden agotarse cada tanto, lo que generalmente no tiene ningún impacto en el Acuerdo de Nivel de Servicio (ANS) del tipo de recurso. Si deseas obtener más información, revisa el ANS que sea relevante para el recurso.