Neste documento, listamos as quotas e os limites que se aplicam ao firewall do Cloud Next Generation.
Uma cota restringe quanto de um determinado recurso compartilhado do Google Cloud o projeto do Google Cloud pode usar, incluindo hardware, software e componentes de rede. Dessa forma, as cotas fazem parte de um sistema que:
- monitora o uso ou o consumo de produtos e serviços do Google Cloud;
- restringe o consumo desses recursos por motivos, que garantem imparcialidade e reduzem picos de uso;
- mantém as configurações que aplicam automaticamente restrições prescritas;
- fornece um meio de solicitar ou faz alterações na cota.
Na maioria dos casos, quando uma cota é excedida, o sistema bloqueia imediatamente o acesso ao recurso relevante do Google. Além disso, a tarefa que você está tentando executar falha. Na maioria dos casos, as cotas se aplicam a todos os projetos do Google Cloud. Além disso, elas são compartilhadas entre todos os aplicativos e endereços IP que usam esse projeto.
Também há limites para os recursos do Cloud Interconnect. Esses limites não estão relacionados ao sistema de cotas. Não é possível mudar os limites, a menos que seja indicado o contrário.
Cotas
Nesta seção, listamos as cotas que se aplicam ao Cloud Next Generation Firewall.
É possível visualizar as cotas e limites associados à nuvem privada virtual (VPC) na página Cotas e limites da VPC.
Por projeto
As cotas por projeto são ajustáveis. É possível solicitar uma alteração para uma cota por projeto usando o console do Google Cloud. Para saber mais sobre como solicitar a alteração de cota, consulte Como solicitar cota adicional. Se a opção de edição não estiver disponível para uma cota, registre um caso de suporte para perguntar se a cota pode ser aumentada ou reduzida.
Para monitorar cotas por projeto que usam o Cloud Monitoring, configure o monitoramento
da métrica serviceruntime.googleapis.com/quota/allocation/usage no
tipo de recurso Consumer Quota. Defina outros filtros de rótulo (service, quota_metric) para chegar ao tipo de cota. Para informações sobre como monitorar métricas de cota, consulte Gráfico e monitoramento de métricas de cota.
Cada cota tem um limite e um valor de uso.
A tabela a seguir destaca cotas globais importantes para recursos do Cloud NGFW em cada projeto. Para ver outros números, consulte a página Cotas no Console do Google Cloud.
| Cota | Descrição |
|---|---|
| Regras de firewall da VPC | O número de regras de firewall da VPC que podem ser criadas para todas as Redes VPC no projeto. |
| Grupos de endereços globais por projeto | O número de grupos de endereços globais que você pode definir em um projeto. |
| Grupos de endereços regionais por projeto e por região | O número de grupos de endereços regionais que podem ser definidos para um projeto em uma região. |
| Políticas globais de firewall de rede | O número de políticas de firewall de rede global em um projeto. |
| Políticas de firewall da rede regional | O número de políticas de firewall de rede regionais por região em um projeto. |
Por organização
Veja nesta tabela as cotas globais importantes para os recursos do Cloud NGFW em cada organização. Para solicitar uma atualização dessas cotas, registre um caso de suporte.
| Item | Cota padrão | Observações |
|---|---|---|
| Políticas de firewall hierárquicas não associadas por organização | 50 | Há uma política hierárquica de firewall não associada na sua organização do Google Cloud, mas ela não está associada a um recurso. Não há limite para o número de políticas que a organização pode ter associadas a recursos, embora cada recurso só possa ter uma política associada. |
Por política de firewall
As cotas a seguir se aplicam às políticas de firewall.
| Cota | Descrição |
|---|---|
| Políticas de firewall hierárquicas | |
| Contagem de atributos de regra por política de firewall | Essa cota é a soma dos atributos de todas as regras em uma política hierárquica de firewall. O limite padrão é 2.000. Para solicitar aumento de limite de cota, registre um caso de suporte. Saiba mais em Detalhes da contagem de atributos de regras. |
| Nomes de domínio (FQDNs) por política hierárquica de firewall | Essa cota é a soma de todos os nomes de domínio de origem de todas as regras de entrada na política mais a soma de todos os nomes de domínio de destino de todas as regras de saída na política. O limite padrão é 100. Para solicitar aumento de limite de cota, registre um caso de suporte. |
| Políticas globais de firewall de rede | |
| Atributos de regra por política de firewall de rede global | A soma dos atributos de todas as regras em uma política de firewall de rede global. Saiba mais em Detalhes da contagem de atributos de regras. |
| Nomes de domínio (FQDNs) por política de firewall de rede global | O número de nomes de domínio que podem ser incluídos em todas as regras de uma política de firewall de rede global. Essa cota é a soma de todos os nomes de domínio de origem de todas as regras de entrada na política mais a soma de todos os nomes de domínio de destino de todas as regras de saída na política. |
| Políticas de firewall da rede regional | |
| Atributos de regra por política de firewall de rede regional | A soma dos atributos de todas as regras em uma política de firewall de rede regional. Saiba mais em Detalhes da contagem de atributos de regras. |
| Nomes de domínio (FQDNs) por política de firewall de rede regional | O número de nomes de domínio (FQDNs) que você pode incluir em todas as regras de uma política de firewall de rede regional: essa cota é a soma de todos os nomes de domínio de origem de todas as regras de entrada na política mais a soma de todos nomes de domínio de destino de todas as regras de saída da política. |
Detalhes da contagem de atributos da regra
Cada política de firewall é compatível com um número total máximo de atributos de regras. A soma das contagens de atributos de todas as regras de firewall em uma política de firewall é a contagem de atributos de regras dessa política de firewall.
As regras de exemplo a seguir ilustram como o Google Cloud conta os atributos de regras por regra de firewall. Para saber como o Google Cloud calcula a contagem de atributos de regras para cada política de firewall, consulte Descrever uma política.
| Exemplo de regra de firewall | Contagem de atributos da regra | Explicação |
|---|---|---|
Regra de firewall de permissão de entrada com intervalo de endereços IP de origem
10.100.0.1/32, protocolo tcp e
intervalo de portas 5000-6000.
|
3 | Um intervalo de origem. um protocolo, um intervalo de portas. |
Regra de firewall de negação de entrada com intervalos de endereços IP de origem
10.0.0.0/8, 192.168.0.0/16, intervalo de endereços IP
de destino 100.64.0.7/32, protocolos tcp e
udp, intervalos de portas 53-53 e 5353-5353.
|
11 | Há quatro combinações de protocolo e porta: tcp:53-53,
tcp:5353-5353, udp:53-53 e
udp:5353-5353. Cada combinação de protocolo e porta usa dois atributos. Um atributo para os dois intervalos de endereços IP de origem, um
atributo para o intervalo de endereços IP de destino e oito atributos para as combinações
de protocolo e porta produz uma contagem de atributos de 11. |
Regra de firewall de negação de saída com intervalo de endereços IP de origem
100.64.0.7/32, intervalo de endereços IP de destino
10.100.0.1/32, 10.100.1.1/32, tcp:80,
tcp:443 e udp:4000-5000.
|
9 | As combinações de protocolo e porta se expandem para três: tcp:80-80,
tcp:443-443 e udp:4000-5000. Cada combinação de protocolo e porta usa dois atributos. Um atributo para o intervalo de origem,
um atributo para os dois intervalos de endereços IP de destino e seis
atributos para as combinações de protocolo e porta produzem uma contagem
de atributos de nove. |
Limites
Não é possível aumentar os limites a menos que especificado de outra maneira.
Por organização
Os limites a seguir se aplicam a organizações.
| Item | limite | Observações |
|---|---|---|
| Grupos de endereços globais por organização | 100 | O número máximo de grupos de endereços globais que você pode criar por organização. |
| Grupos de endereços regionais por organização e região | 100 | O número máximo de grupos de endereços regionais que você pode criar por organização em uma região. |
| Grupos de endereços da organização | 100 | O número máximo de grupos de endereços que você pode criar por organização, independentemente do local (global ou regional). |
| Capacidade máxima do grupo de endereços | 1.000 | A capacidade máxima de um grupo de endereços por organização ou projeto. |
| Máximo de chaves de tag seguras por organização ou por projeto | 1.000 | O número máximo de chaves de tag seguras que podem ser criadas por organização ou projeto. Para mais informações, consulte Limites de tags. |
| Valores máximos de tags seguras por chave, por organização ou por projeto | 1.000 | O número máximo de valores de tag seguros que podem ser adicionados por chave em uma organização ou um projeto. Para mais informações, consulte Limites de tags. |
| Máximo de pares de chave-valor de tags seguras por recurso por organização | 50 | O número máximo de pares de chave-valor de tags seguras que podem ser adicionados por recurso em uma organização ou um projeto. Para mais informações, consulte Limites de tags.
Para ver os limites de rede, consulte Limites por rede. |
| Perfis de segurança da prevenção de ameaças por organização | 40 | O número máximo de perfis de segurança do tipo prevenção de ameaças que você pode criar por organização. |
| Grupos de perfis de segurança por organização | 40 | O número máximo de grupos de perfil de segurança que usam um perfil de segurança contra prevenção que pode ser criado por organização. |
| Endpoints de firewall por zona e organização | 10 | O número máximo de endpoints de firewall que podem ser criados por zona e organização. |
Por rede
Os limites a seguir se aplicam a redes VPC.
| Item | Limite | Observações |
|---|---|---|
| Política máxima de firewall de rede global por rede | 1 | O número máximo de políticas de firewall de rede global que podem ser associadas a uma rede VPC. |
| Políticas máximas de firewall de rede regional por região por rede | 1 | O número máximo de políticas de firewall de rede regional que podem ser associadas a uma combinação de rede VPC e região. |
| Número máximo de nomes de domínio (FQDNs) por rede | 1.000 | O número máximo total de nomes de domínio que podem ser usados em regras de firewall que vêm de políticas hierárquicas de firewall, políticas de firewall de rede global e políticas de firewall de rede regional associadas a uma rede VPC. |
| Endpoints de firewall por zona e rede | 1 | O número máximo de endpoints de firewall que podem ser atribuídos por zona e rede. |
Por regra de firewall
Os limites a seguir se aplicam aos endpoints de firewall.
| Item | Limite | Observações |
|---|---|---|
| Número máximo de tags de rede de origem por regra de firewall VPC de entrada | 30 | Aplicável apenas a regras de firewall VPC de entrada: o número máximo de tags de rede que podem ser usadas como tags de origem na regra de firewall. Esse limite não pode ser aumentado. |
| Número máximo de tags de rede de destino por regra de firewall da VPC | 70 | Aplicável apenas a regras de firewall da VPC: o número máximo de tags de rede que podem ser usadas como tags de destino na regra de firewall. Esse limite não pode ser aumentado. |
| Número máximo de contas de serviço de origem por regra de firewall da VPC de entrada | 10 | Aplicável apenas a regras de firewall da VPC de entrada: o número máximo de contas de serviço que podem ser usadas como origens na regra de firewall. Esse limite não pode ser aumentado. |
| Número máximo de contas de serviço de destino por regra de firewall | 10 | O número máximo de contas de serviço que podem ser usadas como destinos em uma regra de firewall de VPC ou regre em uma política de firewall. Esse limite não pode ser aumentado. |
| Número máximo de intervalos de endereços IP de origem por regra de firewall | 5.000 | O número máximo de intervalos de endereços IP de origem que pode ser especificado em uma regra de firewall da VPC ou em uma política de firewall. Os intervalos de endereços IP são somente IPv4 ou somente IPv6. Esse limite não pode ser aumentado. |
| Número máximo de intervalos de endereços IP de destino por regra de firewall | 5.000 | O número máximo de intervalos de endereços IP de destino que pode ser especificado em uma regra de firewall de VPC ou em uma política de firewall. Os intervalos de endereços IP são somente IPv4 ou somente IPv6. Esse limite não pode ser aumentado. |
| Número máximo de grupos de endereços de origem por regra de firewall de entrada em uma política de firewall | 10 | O número máximo de grupos de endereços de origem que pode ser especificado em uma regra de firewall de entrada em uma política de firewall. Esse limite não pode ser aumentado. |
| Número máximo de grupos de endereços de destino por regra de firewall em uma política de firewall | 10 | O número máximo de grupos de endereços de destino que é possível especificar em uma regra de firewall de saída em uma política de firewall. Não é possível aumentar esse limite. |
| Número máximo de nomes de domínio (FQDNs) por regra de firewall em uma política de firewall | 100 | O número de nomes de domínio (FQDNs) que é possível incluir na regra de uma política de firewall. Esse limite não pode ser aumentado. |
Por endpoint de firewall
Os limites a seguir se aplicam aos endpoints de firewall.
| Item | Cota padrão | Observações |
|---|---|---|
| Associações por endpoint de firewall | 50 | O número máximo de redes VPC que podem ser associadas a um endpoint de firewall. Você pode criar outros endpoints de firewall na mesma zona para superar esse limite. |
Por perfil de segurança
Os limites a seguir se aplicam aos perfis de segurança.
| Item | Cota padrão | Observações |
|---|---|---|
| Número de modificações de ameaças por perfil de segurança | 100 | O número máximo de modificações de ameaças que podem ser adicionadas a um perfil de segurança contra prevenção de ameaças. |
Interface de rede por VM
Os limites a seguir se aplicam às interfaces de rede da VM:
| Item | Limite | Observações |
|---|---|---|
| Máximo de tags seguras por interface de VM | 10 | O número máximo de tags seguras que podem ser adicionadas por VM por NIC. |
Como gerenciar cotas
O Cloud Next Generation Firewall aplica cotas no uso de recursos por vários motivos. Por exemplo, as cotas protegem a comunidade de usuários Google Cloud, impedindo picos de uso inesperados. As cotas também ajudam os usuários que estão explorando o Google Cloud com o nível gratuito a permanecer na avaliação.
Todos os projetos começam com as mesmas cotas, que podem ser alteradas com uma solicitação de cota extra. Algumas cotas podem aumentar automaticamente dependendo do uso de um produto.
Permissões
Para acessar cotas ou solicitar aumentos de cotas, os principais do Identity and Access Management (IAM) precisam de um dos papéis a seguir.
| Tarefa | Papel necessário |
|---|---|
| Verificar cotas para um projeto | Uma das seguintes opções:
|
| Modificar cotas, solicitar cota extra | Uma das seguintes opções:
|
Como verificar cotas
Console
- No console do Google Cloud, acesse a página Cotas.
- Para pesquisar a cota a ser atualizada, use a tabela de filtros. Se você não souber o nome da cota, use os links desta página.
gcloud
Com a Google Cloud CLI, execute o comando a seguir para
verificar suas cotas. Substitua PROJECT_ID pelo seu código do projeto:
gcloud compute project-info describe --project PROJECT_ID
Para verificar a cota utilizada em uma região, execute o comando a seguir:
gcloud compute regions describe example-region
Erros ao exceder a cota
Se você exceder uma cota com um comando gcloud, o gcloud emitirá uma mensagem de erro quota exceeded e retornará com o código de saída 1.
Se você exceder uma cota com uma solicitação de API, o Google Cloud retornará o seguinte código de status HTTP: HTTP 413 Request Entity Too Large.
Como solicitar cotas extras
Para aumentar ou diminuir a maioria das cotas, use o console do Google Cloud. Para mais informações, consulte Solicitar uma cota maior.
Console
- No console do Google Cloud, acesse a página Cotas.
- Na página Cotas, selecione as que você quer alterar.
- Na parte superior da página, clique em Editar cotas.
- Preencha seu nome, e-mail, número de telefone e clique em Próxima.
- Preencha sua solicitação de cota, e clique em Concluído.
- Envie a solicitação. As solicitações de cota demoram de 24 a 48 horas para serem processadas.
Disponibilidade de recursos
Cada cota representa um número máximo para um tipo específico de recurso que é possível criar, desde que o recurso esteja disponível. É importante observar que as cotas não garantem a disponibilidade de recursos. Mesmo que você tenha cota disponível, não será possível criar um novo recurso se ele não estiver disponível.
Por exemplo, é possível ter cota suficiente para criar um novo endereço IP externo regional
na região us-central1. No entanto, isso não é possível se não houver
endereços IP externos disponíveis naquela região. A disponibilidade de recursos zonais também pode afetar sua capacidade de criar um novo recurso.
São raras as situações em que os recursos não estão disponíveis em uma região inteira. No entanto, os recursos dentro de uma zona podem ser usados periodicamente, normalmente sem impacto no contrato de nível de serviço (SLA) para o tipo de recurso. Para mais informações, leia o SLA relevante do recurso.