Neste documento, listamos as quotas e os limites que se aplicam ao firewall do Cloud Next Generation.
O Google Cloud usa cotas para garantir a imparcialidade e reduzir picos no uso e na disponibilidade de recursos. Uma cota restringe quanto de um recurso do Google Cloud o projeto do Google Cloud pode usar. As cotas se aplicam a vários tipos de recursos, incluindo hardware, software e componentes de rede. Por exemplo, as cotas podem restringir o número de chamadas de API para um serviço, o número de balanceadores de carga usados simultaneamente pelo projeto ou o número de projetos que podem ser criados. As cotas protegem a comunidade de usuários do Google Cloud, impedindo a sobrecarga de serviços. As cotas também ajudam você a gerenciar seus próprios recursos do Google Cloud.
O sistema de cotas do Cloud faz o seguinte:
- Monitora o consumo de produtos e serviços do Google Cloud.
- Restringe o consumo desses recursos.
- Fornece um meio de solicitar mudanças no valor da cota
Na maioria dos casos, quando você tenta consumir mais de um recurso do que a cota permite, o sistema bloqueia o acesso ao recurso e a tarefa que você está tentando executar falha.
As cotas geralmente se aplicam ao projeto do nível Google Cloud. O uso de um recurso em um projeto não afeta a cota disponível em outro. Em um projeto do Google Cloud, as cotas são compartilhadas entre todos os aplicativos e endereços IP.
Também há limites para os recursos do Cloud Interconnect. Esses limites não estão relacionados ao sistema de cotas. Não é possível mudar os limites, a menos que seja indicado o contrário.
Cotas
Nesta seção, listamos as cotas que se aplicam ao Cloud Next Generation Firewall.
Para monitorar cotas por projeto que usam o Cloud Monitoring, configure o monitoramento
da métrica serviceruntime.googleapis.com/quota/allocation/usage
no
tipo de recurso Consumer Quota
. Defina outros filtros de rótulo (service
, quota_metric
) para chegar ao tipo de cota. Para informações sobre como monitorar métricas de cota, consulte Gráfico e monitoramento de métricas de cota.
Cada cota tem um limite e um valor de uso.
Salvo indicação em contrário, para alterar uma cota, consulte Solicitar um aumento de cota.
Por projeto
A tabela a seguir destaca as cotas de NGFW do Cloud que são por projeto.
Cota | Descrição |
---|---|
Regras de firewall da VPC | O número de regras de firewall da VPC que podem ser criadas em um projeto, independentemente da rede VPC em que cada regra de firewall se aplica. |
Políticas globais de firewall de rede | O número de políticas de firewall de rede global em um projeto, não importa quantas redes VPC são associadas a cada política. |
Políticas de firewall da rede regional | O número de Políticas regionais de firewall de rede em cada região de um projeto, seja qual for a quantidade de redes VPC associadas a cada política. |
Grupos de endereços globais por projeto | O número de grupos de endereços globais que você pode definir em um projeto. |
Grupos de endereços regionais por projeto e por região | O número de grupos de endereços regionais que você pode definir em cada região de um projeto. |
Por organização
A tabela a seguir destaca as cotas de NGFW do Cloud que são por organização. Para alterar uma cota no nível da organização, registre uma consulta ao suporte.
Cota | Descrição |
---|---|
Políticas de firewall hierárquicas não associadas em uma organização | O número de Políticas de firewall hierárquicas em uma organização que não estão associadas a qualquer recurso de pasta ou organização. Não há limite para o número de políticas hierárquicas de firewall em uma organização que estão associadas a um recurso. |
Por política de firewall
A tabela a seguir destaca as cotas de NGFW do Cloud que são por recurso de política de firewall.
Cota | Descrição |
---|---|
Políticas de firewall hierárquicas | |
Atributos de regra por política hierárquica de firewall | Essa cota é a soma dos atributos de todas as regras em uma política hierárquica de firewall. Saiba mais em Detalhes da contagem de atributos de regras. |
Nomes de domínio (FQDNs) por política hierárquica de firewall | O número de nomes de domínio que podem ser incluídos em todas as regras de uma política hierárquica de firewall. Essa cota é a soma de todos os nomes de domínio de origem de todas as regras de entrada na política mais a soma de todos os nomes de domínio de destino de todas as regras de saída na política. |
Políticas globais de firewall de rede | |
Atributos de regra por política de firewall de rede global | A soma dos atributos de todas as regras em uma política de firewall de rede global. Saiba mais em Detalhes da contagem de atributos de regras. |
Nomes de domínio (FQDNs) por política de firewall de rede global | O número de nomes de domínio que podem ser incluídos em todas as regras de uma política de firewall de rede global. Essa cota é a soma de todos os nomes de domínio de origem de todas as regras de entrada na política mais a soma de todos os nomes de domínio de destino de todas as regras de saída na política. |
Políticas de firewall da rede regional | |
Atributos de regra por política de firewall de rede regional | A soma dos atributos de todas as regras em uma política de firewall de rede regional. Saiba mais em Detalhes da contagem de atributos de regras. |
Nomes de domínio (FQDNs) por política de firewall de rede regional | O número de nomes de domínio (FQDNs) que você pode incluir em todas as regras de uma política de firewall de rede regional: essa cota é a soma de todos os nomes de domínio de origem de todas as regras de entrada na política mais a soma de todos nomes de domínio de destino de todas as regras de saída da política. |
Detalhes da contagem de atributos da regra
Cada política de firewall é compatível com um número total máximo de atributos de todas as regras na política. Determinar a contagem de atributos de regra para um determinado firewall descreva a política. Para ver instruções, consulte:
- Descrever uma política na documentação de políticas hierárquicas de firewall
- Descrever uma política de firewall de rede global
- Descrever uma política de firewall de rede regional
A tabela a seguir lista exemplos de regras e a contagem de atributos para cada exemplo regra de firewall.
Exemplo de regra de firewall | Contagem de atributos da regra | Explicação |
---|---|---|
Regra de firewall de permissão de entrada com intervalo de endereços IP de origem
10.100.0.1/32 , protocolo tcp e
intervalo de portas 5000-6000 .
|
3 | Um intervalo de origem. um protocolo, um intervalo de portas. |
Regra de firewall de negação de entrada com intervalos de endereços IP de origem
10.0.0.0/8, 192.168.0.0/16 , intervalo de endereços IP
de destino 100.64.0.7/32 , protocolos tcp e
udp , intervalos de portas 53-53 e 5353-5353 .
|
11 | Há quatro combinações de protocolo e porta: tcp:53-53 ,
tcp:5353-5353 , udp:53-53 e
udp:5353-5353 . Cada combinação de protocolo e porta usa dois atributos. Um atributo para os dois intervalos de endereços IP de origem, um
atributo para o intervalo de endereços IP de destino e oito atributos para as combinações
de protocolo e porta produz uma contagem de atributos de 11. |
Regra de firewall de negação de saída com intervalo de endereços IP de origem
100.64.0.7/32 , intervalo de endereços IP de destino
10.100.0.1/32, 10.100.1.1/32 , tcp:80 ,
tcp:443 e udp:4000-5000 .
|
9 | As combinações de protocolo e porta se expandem para três: tcp:80-80 ,
tcp:443-443 e udp:4000-5000 . Cada combinação de protocolo e porta usa dois atributos. Um atributo para o intervalo de origem,
um atributo para os dois intervalos de endereços IP de destino e seis
atributos para as combinações de protocolo e porta produzem uma contagem
de atributos de nove. |
Limites
Não é possível aumentar os limites a menos que especificado de outra maneira.
Por organização
Os limites a seguir se aplicam a organizações.
Item | limite | Observações |
---|---|---|
Grupos de endereços globais por organização | 100 | O número máximo de grupos de endereços globais que você pode criar por organização. |
Grupos de endereços regionais por organização e região | 100 | O número máximo de grupos de endereços regionais que você pode criar por organização em uma região. |
Grupos de endereços da organização | 100 | O número máximo de grupos de endereços que você pode criar por organização, independentemente do local (global ou regional). |
Capacidade máxima do grupo de endereços | 1.000 | A capacidade máxima de um grupo de endereços por organização ou projeto. |
Máximo de chaves de tag seguras por organização ou por projeto | 1.000 | O número máximo de chaves de tag seguras que podem ser criadas por organização ou projeto. Para mais informações, consulte Limites de tags. |
Valores máximos de tags seguras por chave, por organização ou por projeto | 1.000 | O número máximo de valores de tag seguros que podem ser adicionados por chave em uma organização ou um projeto. Para mais informações, consulte Limites de tags. |
Máximo de pares de chave-valor de tags seguras por recurso por organização | 50 | O número máximo de pares de chave-valor de tags seguras que podem ser adicionados por recurso em uma organização ou um projeto. Para mais informações, consulte Limites de tags.
Para ver os limites de rede, consulte Limites por rede. |
Perfis de segurança da prevenção de ameaças por organização | 40 | O número máximo de perfis de segurança do tipo prevenção de ameaças que você pode criar por organização. |
Grupos de perfis de segurança por organização | 40 | O número máximo de grupos de perfil de segurança que usam um perfil de segurança contra prevenção que pode ser criado por organização. |
Endpoints de firewall por zona e organização | 10 | O número máximo de endpoints de firewall que podem ser criados por zona e organização. |
Por rede
Os limites a seguir se aplicam a redes VPC.
Item | Limite | Observações |
---|---|---|
Política máxima de firewall de rede global por rede | 1 | O número máximo de políticas de firewall de rede global que podem ser associadas a uma rede VPC. |
Políticas máximas de firewall de rede regional por região por rede | 1 | O número máximo de políticas de firewall de rede regional que podem ser associadas a uma combinação de rede VPC e região. |
Número máximo de nomes de domínio (FQDNs) por rede | 1.000 | O número máximo total de nomes de domínio que podem ser usados em regras de firewall que vêm de políticas hierárquicas de firewall, políticas de firewall de rede global e políticas de firewall de rede regional associadas a uma rede VPC. |
Endpoints de firewall por zona e rede | 1 | O número máximo de endpoints de firewall que podem ser atribuídos por zona e rede. |
Por regra de firewall
Os limites a seguir se aplicam aos endpoints de firewall.
Item | Limite | Observações |
---|---|---|
Número máximo de tags seguras de origem por regra da política de firewall de entrada | 256 | Aplicável apenas à regra da política de firewall de entrada: o número máximo de tags seguras que podem ser usadas como tags de origem na regra de firewall. Esse limite não pode ser aumentado. |
Número máximo de tags seguras de destino por regra da política de firewall | 256 | Aplicável apenas à regra da política de firewall: o número máximo de tags seguras que podem ser usadas como tags de destino na regra de firewall. Esse limite não pode ser aumentado. |
Número máximo de tags de rede de origem por regra de firewall VPC de entrada | 30 | Aplicável apenas a regras de firewall VPC de entrada: o número máximo de tags de rede que podem ser usadas como tags de origem na regra de firewall. Esse limite não pode ser aumentado. |
Número máximo de tags de rede de destino por regra de firewall da VPC | 70 | Aplicável apenas a regras de firewall da VPC: o número máximo de tags de rede que podem ser usadas como tags de destino na regra de firewall. Esse limite não pode ser aumentado. |
Número máximo de contas de serviço de origem por regra de firewall da VPC de entrada | 10 | Aplicável apenas a regras de firewall da VPC de entrada: o número máximo de contas de serviço que podem ser usadas como origens na regra de firewall. Esse limite não pode ser aumentado. |
Número máximo de contas de serviço de destino por regra de firewall | 10 | O número máximo de contas de serviço que podem ser usadas como destinos em uma regra de firewall de VPC ou regre em uma política de firewall. Esse limite não pode ser aumentado. |
Número máximo de intervalos de endereços IP de origem por regra de firewall | 5.000 | O número máximo de intervalos de endereços IP de origem que pode ser especificado em uma regra de firewall da VPC ou em uma política de firewall. Os intervalos de endereços IP são somente IPv4 ou somente IPv6. Esse limite não pode ser aumentado. |
Número máximo de intervalos de endereços IP de destino por regra de firewall | 5.000 | O número máximo de intervalos de endereços IP de destino que pode ser especificado em uma regra de firewall de VPC ou em uma política de firewall. Os intervalos de endereços IP são somente IPv4 ou somente IPv6. Esse limite não pode ser aumentado. |
Número máximo de grupos de endereços de origem por regra de firewall de entrada em uma política de firewall | 10 | O número máximo de grupos de endereços de origem que pode ser especificado em uma regra de firewall de entrada em uma política de firewall. Esse limite não pode ser aumentado. |
Número máximo de grupos de endereços de destino por regra de firewall em uma política de firewall | 10 | O número máximo de grupos de endereços de destino que é possível especificar em uma regra de firewall de saída em uma política de firewall. Não é possível aumentar esse limite. |
Número máximo de nomes de domínio (FQDNs) por regra de firewall em uma política de firewall | 100 | O número de nomes de domínio (FQDNs) que é possível incluir na regra de uma política de firewall. Esse limite não pode ser aumentado. |
Por endpoint de firewall
Os limites a seguir se aplicam aos endpoints de firewall.
Item | Limite | Observações |
---|---|---|
Associações por endpoint de firewall | 50 | O número máximo de redes VPC que podem ser associadas a um endpoint de firewall. Você pode criar outros endpoints de firewall na mesma zona para superar esse limite. |
Por perfil de segurança
Os limites a seguir se aplicam aos perfis de segurança.
Item | Limite | Observações |
---|---|---|
Número de modificações de ameaças por perfil de segurança | 100 | O número máximo de modificações de ameaças que podem ser adicionadas a um perfil de segurança contra prevenção de ameaças. |
Interface de rede por VM
Os limites a seguir se aplicam às interfaces de rede da VM:
Item | Limite | Observações |
---|---|---|
Máximo de tags seguras por interface de VM | 10 | O número máximo de tags seguras que podem ser adicionadas por VM por NIC. |
Gerenciar cotas
OCloud Next Generation Firewall aplica cotas no uso de recursos por vários motivos. Por exemplo, as cotas protegem a comunidade de usuários Google Cloud , impedindo picos de uso inesperados. As cotas também ajudam os usuários que estão explorando o Google Cloud com o nível gratuito a permanecer na avaliação.
Todos os projetos começam com as mesmas cotas, que podem ser alteradas com uma solicitação de cota extra. Algumas cotas podem aumentar automaticamente dependendo do uso de um produto.
Permissões
Para ver cotas ou solicitar aumentos de cotas, os membros do gerenciamento de identidade e acesso (IAM, na sigla em inglês) precisam ter um dos papéis a seguir:
Tarefa | Papel necessário |
---|---|
Verificar cotas para um projeto | Uma das seguintes opções:
|
Modificar cotas, solicitar cota extra | Uma das seguintes opções:
|
Verificar sua cota
Console
- No Console do Google Cloud, acesse a página Cotas.
- Para pesquisar a cota a ser atualizada, use a tabela de filtros. Se você não souber o nome da cota, use os links desta página.
gcloud
Com a Google Cloud CLI, execute o comando a seguir para
verificar suas cotas. Substitua PROJECT_ID
pelo seu código do projeto:
gcloud compute project-info describe --project PROJECT_ID
Para verificar a cota utilizada em uma região, execute o comando a seguir:
gcloud compute regions describe example-region
Erros ao exceder a cota
Se você exceder uma cota com um comando gcloud
, o gcloud
emitirá uma mensagem de erro quota exceeded
e retornará com o código de saída 1
.
Se você exceder uma cota com uma solicitação de API, o Google Cloud retornará o
seguinte código de status HTTP: 413 Request Entity Too Large
.
Solicitar cota adicional
Para aumentar ou diminuir a maioria das cotas, use o console do Google Cloud. Para mais informações, consulte Solicitar uma cota maior.
Console
- No Console do Google Cloud, acesse a página Cotas.
- Na página Cotas, selecione as que você quer alterar.
- Na parte superior da página, clique em Editar cotas.
- Em Nome, digite seu nome.
- Opcional: em Telefone, digite um número de telefone.
- Envie a solicitação. As solicitações de cota demoram de 24 a 48 horas para serem processadas.
Disponibilidade de recursos
Cada cota representa um número máximo para um tipo específico de recurso que é possível criar, desde que o recurso esteja disponível. É importante observar que as cotas não garantem a disponibilidade de recursos. Mesmo que você tenha cota disponível, não será possível criar um novo recurso se ele não estiver disponível.
Por exemplo, é possível ter cota suficiente para criar um novo endereço IP externo regional
na região us-central1
. No entanto, isso não é possível se não houver
endereços IP externos disponíveis naquela região. A disponibilidade de recursos zonais também pode afetar sua capacidade de criar um novo recurso.
São raras as situações em que os recursos não estão disponíveis em uma região inteira. No entanto, os recursos dentro de uma zona podem ser usados periodicamente, normalmente sem impacto no contrato de nível de serviço (SLA) para o tipo de recurso. Para mais informações, leia o SLA relevante do recurso.