Cuotas y límites

En este documento, se enumeran las quotas y los quotas que se aplican al Cloud Next Generation Firewall.

  • Las cuotas especifican la cantidad de un recurso compartido contable que puedes usar. Los servicios de Google Cloud, como Cloud Next Generation Firewall, definen las cuotas.
  • Los límites del sistema son valores fijos que no se pueden cambiar.

Google Cloud usa cuotas para garantizar la equidad y reducir los aumentos repentinos en el uso y la disponibilidad de los recursos. Una cuota restringe la cantidad de un recurso de Google Cloud que puede usar tu proyecto de Google Cloud. Las cuotas se aplican a una variedad de tipos de recursos, incluidos los componentes de hardware, software y red. Por ejemplo, las cuotas pueden restringir la cantidad de llamadas a la API para un servicio, la cantidad de balanceadores de cargas que se usan en simultáneo en tu proyecto o la cantidad de proyectos que puedes crear. Las cuotas protegen a la comunidad de usuarios de Google Cloud mediante la prevención de la sobrecarga de los servicios. También te ayudan a administrar tus propios recursos de Google Cloud.

El sistema de cuotas Cloud realiza las siguientes acciones:

  • Supervisa el consumo de productos y servicios de Google Cloud.
  • Restringe el consumo de esos recursos.
  • Proporciona un medio para solicitar cambios en el valor de la cuota.

En la mayoría de los casos, cuando intentas consumir más de lo que permite la cuota de un recurso, el sistema bloquea el acceso al recurso, y la tarea que intentas realizar falla.

Por lo general, las cuotas se aplican a nivel del proyecto de Google Cloud. El uso de un recurso en un proyecto no afecta tu cuota disponible en otro proyecto. Dentro de un proyecto de Google Cloud, las cuotas se comparten entre todas las aplicaciones y direcciones IP.

También hay límites de sistema para los recursos de NGFW. Los límites no se pueden cambiar.

Cuotas

En esta sección se enumeran las cuotas que se aplican a Cloud Next Generation Firewall.

Para supervisar las cuotas por proyecto que usan Cloud Monitoring, configura la supervisión de la métrica serviceruntime.googleapis.com/quota/allocation/usage en el tipo de recurso Consumer Quota. Configura filtros de etiquetas adicionales (service, quota_metric) para obtener el tipo de cuota. Para obtener información sobre la supervisión de las métricas de cuota, consulta Gráfico y supervisión de métricas de cuota. Cada cuota tiene un límite y un valor de uso.

A menos que se indique lo contrario, para cambiar una cuota, consulta Solicita una cuota más alta.

Por proyecto

En la siguiente tabla, se destacan las cuotas de Cloud NGFW por proyecto:

Cuota Descripción
Reglas de firewall de VPC La cantidad de reglas de firewall de VPC que puedes crear en un proyecto, independientemente de la red de VPC a la que se aplique cada regla de firewall.
Políticas de firewall de red globales La cantidad de políticas de firewall de red globales en un proyecto, independientemente de la cantidad de redes de VPC asociadas con cada política.
Políticas de firewall de red regionales La cantidad de políticas de firewall de red regionales en cada región de un proyecto, independientemente de la cantidad de redes de VPC asociadas con cada política.
Grupos de direcciones globales por proyecto La cantidad de grupos de direcciones globales que puedes definir en un proyecto.
Grupos de direcciones regionales por proyecto por región La cantidad de grupos de direcciones regionales que puedes definir en cada región de un proyecto.

Por organización

En la siguiente tabla, se destacan las cuotas de Cloud NGFW por organización. Para cambiar una cuota a nivel de la organización, presenta un caso de asistencia.

Cuota Descripción
Políticas de firewall jerárquicas no asociadas en una organización Es la cantidad de políticas de firewall jerárquicas en una organización que no están asociadas con ninguna carpeta ni recurso de la organización. No hay límite en la cantidad de políticas de firewall jerárquicas en una organización que están asociadas con un recurso.

Por política de firewall

En la siguiente tabla, se destacan las cuotas de Cloud NGFW por recurso de política de firewall:

Cuota Descripción
Políticas jerárquicas de firewall
Atributos de regla por política de firewall jerárquica Esta cuota es la suma de los atributos de las reglas de todas las reglas de una política jerárquica de firewall. Para obtener más información, consulta Detalles del recuento de atributos de la regla.
Nombres de dominio (FQDN) por política de firewall jerárquica Es la cantidad de nombres de dominio que puedes incluir en todas las reglas de una política de firewall jerárquica. Esta cuota es la suma de todos los nombres de dominio de origen de todas las reglas de entrada en la política más la suma de todos los nombres de dominio de destino de todas las reglas de salida en la política.
Políticas de firewall de red globales
Atributos de regla por política de firewall de red global La suma de los atributos de las reglas de todas las reglas de una política de firewall de red global. Para obtener más información, consulta Detalles del recuento de atributos de la regla.
Nombres de dominio (FQDN) por política de firewall de red global Es la cantidad de nombres de dominio que puedes incluir en todas las reglas de una política de firewall de red global. Esta cuota es la suma de todos los nombres de dominio de origen de todas las reglas de entrada en la política más la suma de todos los nombres de dominio de destino de todas las reglas de salida en la política.
Políticas de firewall de red regionales
Atributos de regla por política de firewall de red regional La suma de los atributos de las reglas de todas las reglas de una política de firewall de red regional. Para obtener más información, consulta Detalles del recuento de atributos de la regla.
Nombres de dominio (FQDN) por política de firewall de red regional La cantidad de nombres de dominio (FQDN) que puedes incluir en todas las reglas de una política de firewall de red regional: esta cuota es la suma de todos los nombres de dominio de origen de todas las reglas de entrada en la política más la suma de todos los nombres de dominio de destino de todas las reglas de salida en la política.

Detalles del recuento de atributos de la regla

Cada política de firewall admite una cantidad total máxima de atributos de todas las reglas de la política. Para determinar el recuento de atributos de la regla de una política de firewall determinada, describe la política. Para obtener instrucciones, consulta lo siguiente:

En la siguiente tabla, se enumeran ejemplos de reglas y el recuento de atributos para cada una de ellas.

Ejemplo de regla de firewall Recuento de atributos de la regla Explicación
Regla de firewall de permiso de entrada con un rango de direcciones IP de origen 10.100.0.1/32, un protocolo tcp y un rango de puertos 5000-6000. 3 Un rango de origen; un protocolo, un rango de puertos.
Regla de firewall de denegación de entrada con rangos de direcciones IP de origen 10.0.0.0/8, 192.168.0.0/16, rango de direcciones IP de destino 100.64.0.7/32, tcp y protocolos udp, rangos de puertos 53-53 y 5353-5353. 11 Hay cuatro combinaciones de protocolo y puerto: tcp:53-53, tcp:5353-5353, udp:53-53 y udp:5353-5353. Cada combinación de protocolo y puerto usa dos atributos. Un atributo para cada uno de los dos rangos de direcciones IP de origen, un atributo para el rango de direcciones IP de destino y ocho atributos para las combinaciones de protocolo y puerto produce un recuento de atributos de 11.
Regla de firewall de denegación de salida con el rango de direcciones IP de origen 100.64.0.7/32, el rango de direcciones IP de destino 10.100.0.1/32, 10.100.1.1/32, tcp:80, tcp:443 y udp:4000-5000. 9 Las combinaciones de protocolo y puerto se expanden a tres: tcp:80-80, tcp:443-443 y udp:4000-5000. Cada combinación de protocolo y puerto usa dos atributos. Un atributo para el rango de origen, uno para cada uno de los dos rangos de direcciones IP de destino y seis atributos para las combinaciones de protocolo y puerto produce un recuento de atributos de 9.

Límites

Por lo general, los límites no se pueden aumentar, a menos que esto se indique de forma específica.

Por organización

Los siguientes límites se aplican a las organizaciones:

Elemento límite Notas
Grupos de direcciones globales por organización 100 La cantidad máxima de grupos de direcciones globales que puedes crear por organización.
Grupos de direcciones regionales por proyecto por región 100 La cantidad máxima de grupos de direcciones regionales que puedes crear por organización en una región.
Grupos de direcciones de la organización 100 El número máximo de grupos de direcciones que puedes crear por organización, sin importar la ubicación (global o regional).
Capacidad máxima del grupo de direcciones 1,000 La capacidad máxima de un grupo de direcciones por organización o proyecto.
Cantidad máxima de claves de etiquetas seguras por organización o por proyecto 1,000 La cantidad máxima de claves de etiquetas seguras que puedes crear por organización o proyecto. Para obtener más información, consulta Límites de etiquetas.
Valores máximos de etiquetas seguras por clave por organización o por proyecto 1,000 La cantidad máxima de valores de etiquetas seguras que puedes agregar por clave en una organización o proyecto. Para obtener más información, consulta Límites de etiquetas.
Cantidad máxima de pares clave-valor de etiquetas seguras por recurso y por organización 50 La cantidad máxima de pares clave-valor de etiquetas seguras que puedes agregar por recurso en una organización o proyecto. Para obtener más información, consulta Límites de etiquetas.

Para conocer los límites de red, consulta Límites por red.

Perfiles de seguridad de prevención de amenazas por organización 40 La cantidad máxima de perfiles de seguridad de prevención de amenazas de tipo que puedes crear por organización.
Grupos de perfiles de seguridad por organización 40 La cantidad máxima de grupos de perfil de seguridad que usan un perfil de seguridad de prevención de amenazas que puedes crear por organización.
Extremos de firewall por zona por organización 10 La cantidad máxima de extremos de firewall que puedes crear por zona por organización.

Por red

Los siguientes límites se aplican a las redes de VPC:

Elemento Límite Notas
Cantidad máxima de políticas de firewall de red globales por red 1 Cantidad máxima de políticas de firewall de red globales que puedes asociar a una red de VPC.
Cantidad máxima de políticas de firewall de red regionales por región y por red 1 El número máximo de las políticas de firewall de red regionales que puedes asociar con una combinación de la red de VPC y la región.
Cantidad máxima de nombres de dominio (FQDN) por red 1,000 Cantidad máxima total de nombres de dominio que se pueden usar en reglas de firewall que provienen de políticas jerárquicas de firewall, políticas de firewall de red globales y políticas de firewall de red regionales asociadas con una a red de VPC.
Extremos de firewall por zona por red 1 Cantidad máxima de extremos de firewall que puedes asignar por zona y por red.

Por regla de firewall

Los siguientes límites se aplican a las reglas de firewall:

Elemento Límite Notas
Cantidad máxima de etiquetas seguras de origen por regla de política de firewall de entrada 256 Solo se aplica a la regla de política de firewall de entrada: la cantidad máxima de etiquetas seguras que puedes usar como etiquetas de origen en la regla de firewall. No se puede aumentar este límite.
Cantidad máxima de etiquetas seguras de destino por regla de política de firewall 256 Solo se aplica a la regla de política de firewall: la cantidad máxima de etiquetas seguras que puedes usar como etiquetas de destino en la regla de firewall. No se puede aumentar este límite.
Cantidad máxima de etiquetas de red de origen por regla de firewall de VPC de entrada 30 Solo se aplica a las reglas de firewall de VPC de entrada: la cantidad máxima de etiquetas de red que puedes usar como etiquetas de origen en la regla de firewall. No se puede aumentar este límite.
Cantidad máxima de etiquetas de red de destino por regla de firewall de VPC 70 Solo se aplica a las reglas de firewall de VPC: la cantidad máxima de etiquetas de red que puedes usar como etiquetas de destino en la regla de firewall. No se puede aumentar este límite.
Cantidad máxima de cuentas de servicio de origen por regla de firewall de VPC de entrada 10 Aplicable solo a las reglas de firewall de VPC de entrada: la cantidad máxima de cuentas de servicio que puedes usar como fuentes en la regla de firewall. No se puede aumentar este límite.
Cantidad máxima de cuentas de servicio de destino por regla de firewall 10 Cantidad máxima de cuentas de servicio que puedes usar como destinos en una regla de firewall o una regla de firewall en una política de firewall. No se puede aumentar este límite.
Cantidad máxima de rangos de direcciones IP de origen por regla de firewall 5,000 Cantidad máxima de rangos de direcciones IP de origen que puedes especificar en una regla de firewall de VPC o una regla en una política de firewall. Los rangos de direcciones IP solo pueden ser IPv4 o IPv6. No se puede aumentar este límite.
Cantidad máxima de rangos de direcciones IP de destino por regla de firewall 5,000 Cantidad máxima de rangos de direcciones IP de destino que puedes especificar en una regla de firewall de VPC o una regla en una política de firewall. Los rangos de direcciones IP solo pueden ser IPv4 o IPv6. No se puede aumentar este límite.
Cantidad máxima de grupos de direcciones de origen por regla de firewall de entrada en una política de firewall 10 Cantidad máxima de grupos de direcciones de origen que puedes especificar en una regla de firewall de entrada en una política de firewall. No se puede aumentar este límite.
Cantidad máxima de grupos de direcciones de destino por regla de firewall en una política de firewall 10 Cantidad máxima de grupos de direcciones de destino que puedes especificar en una regla de firewall de salida en una política de firewall. Este límite no se puede aumentar.
Cantidad máxima de nombres de dominio (FQDN) por regla de firewall en una política de firewall 100 La cantidad de nombres de dominio (FQDN) que puedes incluir en una regla de una política de firewall. No se puede aumentar este límite.

Por extremo de firewall

Los siguientes límites se aplican a los extremos de firewall:

Elemento Límite Notas
Asociaciones por extremo de firewall 50 Cantidad máxima de redes de VPC que puedes asociar con un extremo de firewall. Puedes crear extremos de firewall adicionales en la misma zona para superar este límite.

Por perfil de seguridad

Los siguientes límites se aplican a los perfiles de seguridad:

Elemento Límite Notas
Cantidad de anulaciones de amenazas por perfil de seguridad 100 La cantidad máxima de anulaciones de amenazas que puedes agregar en un perfil de seguridad de prevención de amenazas.

Por interfaz de red de VM

Los siguientes límites se aplican a las interfaces de red de la VM:

Elemento Límite Notas
Cantidad máxima de etiquetas seguras por interfaz de VM 10 El número máximo de etiquetas seguras que puedes agregar por VM por NIC.

Administrar las cuotas

Cloud Next Generation Firewall aplica cuotas al uso de recursos por varios motivos. Por ejemplo, las cuotas protegen a la comunidad de usuarios Google Cloud a través de la prevención de los aumentos imprevistos en el uso. Las cuotas también ayudan a que los usuarios que exploran Google Cloud con el nivel gratuito permanezcan dentro de su prueba.

Todos los proyectos comienzan con las mismas cuotas, que puedes cambiar mediante la solicitud de cuotas adicionales. Algunas cuotas pueden aumentar de forma automática en función del uso que haces del producto.

Permisos

Para ver cuotas o solicitar aumentos de cuota, los principales de administración de identidades y accesos (IAM) necesitan una de las siguientes funciones:

Tarea Función requerida
Consultar cuotas para un proyecto Uno de los siguientes:
Modificar cuotas, solicitar cuota adicional Uno de los siguientes:
  • Propietario del proyecto (roles/owner)
  • Editor de proyecto (roles/editor)
  • Administrador de cuotas (roles/servicemanagement.quotaAdmin)
  • Una función personalizada con el permiso serviceusage.quotas.update

Comprueba tu cuota

Console

  1. En la consola de Google Cloud, ve a la página Cuotas.

    Ir a Cuotas

  2. Para buscar la cuota que quieres actualizar, usa la tabla de filtros. Si no sabes el nombre de la cuota, usa los vínculos que aparecen en esta página en su lugar.

gcloud

Con la CLI de Google Cloud, ejecuta el siguiente comando para comprobar tus cuotas. Reemplaza PROJECT_ID con el ID de tu proyecto.

    gcloud compute project-info describe --project PROJECT_ID

Para verificar la cuota usada en una región, ejecuta el siguiente comando:

    gcloud compute regions describe example-region
    

Errores cuando excedes la cuota

Si excedes una cuota con un comando gcloud, gcloud muestra un mensaje de error quota exceeded y el código de salida 1.

Si excedes una cuota con una solicitud a la API, Google Cloud muestra el siguiente código de estado HTTP: 413 Request Entity Too Large.

Solicitar cuota adicional

Para ajustar la mayoría de las cuotas, usa la consola de Google Cloud. Para obtener más información, consulta Solicita un ajuste de cuota.

Console

  1. En la consola de Google Cloud, ve a la página Cuotas.

    Ir a Cuotas

  2. En la página Cuotas, selecciona las cuotas que deseas cambiar.
  3. En la parte superior de la página, haz clic en Editar cuotas.
  4. En Nombre, ingresa tu nombre.
  5. Opcional: En Teléfono, ingresa un número de teléfono.
  6. Envía la solicitud. Las solicitudes de cuotas toman entre 24 y 48 horas en procesarse.

Disponibilidad de recursos

Cada cuota representa la cantidad máxima de un tipo particular de recurso que puedes crear, siempre y cuando el recurso esté disponible. Es importante tener en cuenta que las cuotas no garantizan la disponibilidad del recurso. Incluso si tienes cuotas disponibles, no podrás crear un recurso nuevo si no está disponible.

Por ejemplo, podrías tener una cuota suficiente para crear una nueva dirección IP externa regional en la región us-central1. Sin embargo, eso no es posible si no hay direcciones IP externas disponibles en esa región. La disponibilidad zonal de recursos también puede afectar tu capacidad para crear un nuevo recurso.

Las situaciones en las que los recursos no están disponibles en toda una región son poco frecuentes. Sin embargo, los recursos dentro de una zona pueden agotarse cada tanto, lo que generalmente no tiene ningún impacto en el Acuerdo de Nivel de Servicio (ANS) del tipo de recurso. Si deseas obtener más información, revisa el ANS que sea relevante para el recurso.