Este documento lista as quotas e os limites do sistema que se aplicam à firewall de nova geração da nuvem.
- As quotas têm valores predefinidos, mas normalmente pode pedir ajustes.
- Os limites do sistema são valores fixos que não podem ser alterados.
Google Cloud usa quotas para ajudar a garantir a equidade e reduzir os picos na utilização e disponibilidade de recursos. Uma quota restringe a quantidade de um Google Cloud recurso que o seu Google Cloud projeto pode usar. As quotas aplicam-se a uma variedade de tipos de recursos, incluindo componentes de hardware, software e rede. Por exemplo, as quotas podem restringir o número de chamadas API para um serviço, o número de balanceadores de carga usados em simultâneo pelo seu projeto ou o número de projetos que pode criar. As quotas protegem a comunidade de Google Cloud utilizadores, impedindo a sobrecarga dos serviços. As quotas também ajudam a gerir os seus próprios Google Cloud recursos.
O sistema de quotas da nuvem faz o seguinte:
- Monitoriza o seu consumo de Google Cloud produtos e serviços
- Restringe o seu consumo desses recursos
- Oferece uma forma de pedir alterações ao valor da quota e automatizar os ajustes de quotas
Na maioria dos casos, quando tenta consumir mais de um recurso do que a respetiva quota permite, o sistema bloqueia o acesso ao recurso e a tarefa que está a tentar realizar falha.
Geralmente, as quotas aplicam-se ao nível do Google Cloud projeto A sua utilização de um recurso num projeto não afeta a sua quota disponível noutro projeto. Num Google Cloud projeto, as quotas são partilhadas por todas as aplicações e endereços IP.
Para mais informações, consulte a vista geral das quotas da nuvem.Também existem limites do sistema nos recursos do NGFW na nuvem. Não é possível alterar os limites do sistema.
Quotas
Esta secção apresenta as quotas que se aplicam à firewall de nova geração da nuvem.
Para monitorizar quotas por projeto que usam o Cloud Monitoring, configure a monitorização
para a métrica serviceruntime.googleapis.com/quota/allocation/usage no
tipo de recurso Consumer Quota. Defina filtros de etiquetas adicionais (service,
quota_metric) para aceder ao tipo de quota. Para obter informações sobre a monitorização das métricas de quota, consulte o artigo Represente graficamente e monitorize as métricas de quota.
Cada quota tem um limite e um valor de utilização.
Salvo indicação em contrário, para alterar uma quota, consulte o artigo Peça um ajuste de quota.
Por projeto
A tabela seguinte realça as quotas da NGFW da nuvem que são por projeto:
| Quota | Descrição |
|---|---|
| Regras de firewall de VPC | O número de regras de firewall da VPC que pode criar num projeto, independentemente da rede VPC à qual cada regra de firewall se aplica. |
| Políticas de firewall de rede global | O número de políticas de firewall de rede globais num projeto, independentemente do número de redes VPC associadas a cada política. |
| Políticas de firewall de rede regionais | O número de políticas de firewall de rede regionais em cada região de um projeto, independentemente do número de redes VPC associadas a cada política. |
| Grupos de endereços globais por projeto | O número de grupos de endereços globais e ao nível do projeto que pode definir num projeto. |
| Grupos de moradas regionais por projeto por região | O número de grupos de endereços regionais ao nível do projeto que pode definir em cada região de um projeto. |
Por organização
A tabela seguinte realça as quotas da Cloud NGFW que são por organização. Para alterar uma quota ao nível da organização, apresente um registo de apoio técnico.
| Quota | Descrição |
|---|---|
| Políticas de firewall hierárquicas não associadas numa organização | O número de políticas de firewall hierárquicas numa organização que não estão associadas a nenhuma pasta ou recurso da organização. Não existe limite para o número de políticas de firewall hierárquicas numa organização associadas a um recurso. |
| Grupos de endereços globais por organização | O número de grupos de endereços globais ao nível da organização que pode definir numa organização. |
| Grupos de moradas regionais por organização por região | O número de grupos de endereços regionais e ao nível da organização que pode definir em cada região numa organização. |
Por política de firewall
A tabela seguinte realça as quotas da NGFW da nuvem que são por recurso de política de firewall:
| Quota | Descrição |
|---|---|
| Políticas de firewall hierárquicas | |
| Atributos das regras por política de firewall hierárquica | Esta quota é a soma dos atributos das regras de todas as regras numa política de firewall hierárquica. Para mais informações, consulte os detalhes da contagem de atributos das regras. |
| Nomes de domínios (FQDNs) por política de firewall hierárquica | O número de nomes de domínios que pode incluir em todas as regras de uma política de firewall hierárquica. Esta quota é a soma de todos os nomes de domínio de origem de todas as regras de entrada na política, mais a soma de todos os nomes de domínio de destino de todas as regras de saída na política. |
| Políticas de firewall de rede global | |
| Atributos das regras por política de firewall de rede global | A soma dos atributos das regras de todas as regras numa política de firewall de rede global. Para mais informações, consulte os detalhes da contagem de atributos das regras. |
| Nomes de domínios (FQDNs) por política de firewall de rede global | O número de nomes de domínios que pode incluir em todas as regras de uma política de firewall de rede global. Esta quota é a soma de todos os nomes de domínio de origem de todas as regras de entrada na política, mais a soma de todos os nomes de domínio de destino de todas as regras de saída na política. |
| Políticas de firewall de rede regionais | |
| Atributos das regras por política de firewall de rede regional | A soma dos atributos das regras de todas as regras numa política de firewall de rede regional. Para mais informações, consulte os detalhes da contagem de atributos das regras. |
| Nomes de domínios (FQDNs) por política de firewall de rede regional | O número de nomes de domínio (FQDNs) que pode incluir em todas as regras de uma política de firewall de rede regional: esta quota é a soma de todos os nomes de domínio de origem de todas as regras de entrada na política, mais a soma de todos os nomes de domínio de destino de todas as regras de saída na política. |
Detalhes da contagem de atributos da regra
Cada política de firewall suporta um número total máximo de atributos de todas as regras na política. Para determinar a contagem de atributos de regras para uma determinada política de firewall, descreva a política. Para ver direções, consulte o seguinte:
- Descreva uma política na documentação da política de firewall hierárquica
- Descreva uma política de firewall de rede global
- Descreva uma política de firewall de rede regional
A tabela seguinte apresenta exemplos de regras e a contagem de atributos para cada exemplo de regra.
| Exemplo de regra de firewall | Contagem de atributos de regras | Explicação |
|---|---|---|
Regra de firewall de permissão de entrada com intervalo de endereços IP de origem
10.100.0.1/32, protocolo tcp e
intervalo de portas 5000-6000.
|
3 | Um intervalo de origem, um protocolo e um intervalo de portas. |
Regra de firewall de recusa de entrada com intervalos de endereços IP de origem
10.0.0.0/8, 192.168.0.0/16, intervalo de endereços IP de destino
100.64.0.7/32, protocolos tcp e
udp, intervalos de portas 53-53 e
5353-5353.
|
11 | Existem quatro combinações de protocolo e porta: tcp:53-53,
tcp:5353-5353, udp:53-53 e
udp:5353-5353. Cada combinação de protocolo e porta usa dois atributos. Um atributo para cada um dos dois intervalos de endereços IP de origem, um atributo para o intervalo de endereços IP de destino e oito atributos para as combinações de protocolos e portas produzem uma contagem de atributos de 11. |
Regra de firewall de recusa de saída com intervalo de endereços IP de origem
100.64.0.7/32, intervalo de endereços IP de destino
10.100.0.1/32, 10.100.1.1/32, tcp:80,
tcp:443 e udp:4000-5000.
|
9 | As combinações de protocolo e porta expandem-se para três: tcp:80-80,
tcp:443-443 e udp:4000-5000. Cada combinação de protocolo e porta usa dois atributos. Um atributo para o intervalo de origem,
um atributo para cada um dos dois intervalos de endereços IP de destino e seis
atributos para as combinações de protocolo e porta geram uma quantidade
de 9 atributos. |
Limites
Os limites não podem ser aumentados, exceto se for especificamente indicado.
Por organização
Os seguintes limites aplicam-se às organizações:
| Item | limite | Notas |
|---|---|---|
| Número máximo de chaves de etiquetas seguras por organização | 1000 | O número máximo de chaves de etiquetas seguras que têm uma organização principal. Para mais informações, consulte o artigo Limites de etiquetas. |
Valores máximos de etiquetas seguras usados por todas as chaves de etiquetas cujo purpose
é GCE_FIREWALL e purpose-data é uma organização
|
16384 | Este limite é aplicado a todos os valores de etiquetas usados por chaves de etiquetas criadas na organização que correspondem aos dados de finalidade, incluindo chaves de etiquetas cujo elemento principal é a organização ou um projeto na mesma. |
| Perfis de segurança de prevenção contra ameaças por organização | 40 | O número máximo de perfis de segurança do tipo prevenção de ameaças que pode criar por organização. |
| Grupos de perfis de segurança por organização | 40 | O número máximo de grupos de perfis de segurança que usam um perfil de segurança de prevenção de ameaças que pode criar por organização. |
| Pontos finais de firewall por zona por organização | 50 | O número máximo de pontos finais de firewall que pode criar por zona por organização. |
Por projeto
Os seguintes limites aplicam-se ao projeto:
| Item | limite | Notas |
|---|---|---|
| Número máximo de chaves de etiquetas seguras por projeto | 1000 | O número máximo de chaves de etiquetas seguras que têm um projeto principal. Para mais informações, consulte o artigo Limites de etiquetas. |
Por rede
Os seguintes limites aplicam-se às redes de VPC:
| Item | Limite | Notas |
|---|---|---|
| Número máximo de políticas de firewall de rede global por rede | 1 | O número máximo de políticas de firewall de rede global que pode associar a uma rede VPC. |
| Número máximo de políticas de firewall de rede regionais por região por rede | 1 | O número máximo de políticas de firewall de rede regionais que pode associar a uma combinação de rede de VPC e região. |
| Número máximo de nomes de domínio (FQDNs) por rede | 1000 | O número total máximo de nomes de domínios que podem ser usados em regras de firewall provenientes de políticas de firewall hierárquicas, políticas de firewall de rede globais e políticas de firewall de rede regionais associadas a uma rede VPC. |
Valores máximos de etiquetas seguras usados por todas as chaves de etiquetas cujo purpose
é GCE_FIREWALL e purpose-data é uma rede de VPC
|
16383 | Este limite é aplicado a todos os valores de etiquetas usados por chaves de etiquetas cujo
purpose-data corresponde à rede VPC especificada,
incluindo chaves de etiquetas cujo elemento principal é a organização ou um projeto.
|
| Pontos finais de firewall por zona por rede | 1 | O número máximo de pontos finais de firewall que pode atribuir por zona por rede. |
Por regra de firewall
Os seguintes limites aplicam-se às regras de firewall:
| Item | Limite | Notas |
|---|---|---|
| Número máximo de etiquetas seguras de origem por regra de política de firewall de entrada | 256 | Aplicável apenas à regra da política de firewall de entrada: o número máximo de etiquetas seguras que pode usar como etiquetas de origem na regra de firewall. Não é possível aumentar este limite. |
| Número máximo de etiquetas seguras de destino por regra de política de firewall | 256 | Aplicável apenas à regra de política de firewall: o número máximo de etiquetas seguras que pode usar como etiquetas de destino na regra de firewall. Não é possível aumentar este limite. |
| Número máximo de etiquetas de rede de origem por regra de firewall de VPC de entrada | 30 | Aplicável apenas a regras de firewall de VPC de entrada: o número máximo de etiquetas de rede que pode usar como etiquetas de origem na regra de firewall. Não é possível aumentar este limite. |
| Número máximo de etiquetas de rede de destino por regra de firewall da VPC | 70 | Aplicável apenas às regras de firewall da VPC: o número máximo de etiquetas de rede que pode usar como etiquetas de destino na regra de firewall. Não é possível aumentar este limite. |
| Número máximo de contas de serviço de origem por regra de firewall de VPC de entrada | 10 | Aplicável apenas a regras de firewall de VPC de entrada: o número máximo de contas de serviço que pode usar como origens na regra de firewall. Não é possível aumentar este limite. |
| Número máximo de contas de serviço de destino por regra de firewall | 10 | O número máximo de contas de serviço que pode usar como destinos numa regra de firewall da VPC ou numa regra de uma política de firewall. Não é possível aumentar este limite. |
| Número máximo de intervalos de endereços IP de origem por regra de firewall | 5000 | O número máximo de intervalos de endereços IP de origem que pode especificar numa regra de firewall de VPC ou numa regra de uma política de firewall. Os intervalos de endereços IP são apenas IPv4 ou apenas IPv6. Não é possível aumentar este limite. |
| Número máximo de intervalos de endereços IP de destino por regra de firewall | 5000 | O número máximo de intervalos de endereços IP de destino que pode especificar numa regra de firewall de VPC ou numa regra de uma política de firewall. Os intervalos de endereços IP são apenas IPv4 ou apenas IPv6. Não é possível aumentar este limite. |
| Número máximo de grupos de endereços de origem por regra de firewall de entrada numa política de firewall | 10 | O número máximo de grupos de endereços de origem que pode especificar numa regra de firewall de entrada numa política de firewall. Não é possível aumentar este limite. |
| Número máximo de grupos de endereços de destino por regra de firewall numa política de firewall | 10 | O número máximo de grupos de endereços de destino que pode especificar numa regra de firewall de saída numa política de firewall. Não é possível aumentar este limite. |
| Número máximo de nomes de domínio (FQDNs) por regra de firewall numa política de firewall | 100 | O número de nomes de domínio (FQDNs) que pode incluir numa regra de uma política de firewall. Não é possível aumentar este limite. |
Por grupo de endereços
Os seguintes limites aplicam-se aos grupos de endereços usados pelo Cloud NGFW.
| Item | Limite | Notas |
|---|---|---|
| Número máximo de endereços IP por grupo de endereços | 1000 | Aplica-se individualmente a cada grupo de endereços usado pelo NGFW da nuvem. O grupo de endereços pode ser um grupo de endereços global com âmbito do projeto; um grupo de endereços global com âmbito da organização; um grupo de endereços regional com âmbito do projeto; ou um grupo de endereços regional com âmbito da organização. |
Por ponto final de firewall
Os seguintes limites aplicam-se aos pontos finais da firewall:
| Item | Limite | Notas |
|---|---|---|
| Associações por ponto final de firewall | 50 | O número máximo de redes VPC que pode associar a um ponto final da firewall. Pode criar pontos finais de firewall adicionais na mesma zona para ultrapassar este limite. |
| Débito máximo por ligação com Transport Layer Security (TLS) | 250 Mbps | A taxa de transferência máxima por ligação com inspeção TLS. |
| Débito máximo por ligação sem TLS | 1,25 Gbps | A taxa de transferência máxima por ligação sem inspeção TLS. |
| Tráfego máximo com TLS | 2 Gbps | O tráfego máximo que os pontos finais da firewall podem processar com a inspeção TLS. |
| Tráfego máximo sem TLS | 10 Gbps | O tráfego máximo que os pontos finais da firewall podem processar sem inspeção de TLS. |
Por perfil de segurança
Os seguintes limites aplicam-se aos perfis de segurança:
| Item | Limite | Notas |
|---|---|---|
| Número de substituições de ameaças por perfil de segurança | 100 | O número máximo de substituições de ameaças que pode adicionar num perfil de segurança de prevenção de ameaças. |
Por etiqueta segura
Os seguintes limites aplicam-se a etiquetas seguras:
| Item | Limite | Notas |
|---|---|---|
| Valores máximos de etiquetas seguras por chave de etiqueta | 1000 | O número máximo de valores de etiquetas seguras que pode adicionar por chave de etiqueta. Para mais informações, consulte o artigo Limites de etiquetas. |
Por interface de rede de VM
Os seguintes limites aplicam-se às interfaces de rede de VMs:
| Item | Limite | Notas |
|---|---|---|
| Valores máximos de etiquetas seguras anexados a uma interface de rede de VM | 10 | O número máximo de valores de etiquetas seguras que podem ser anexados a cada interface de rede da VM. Para mais informações sobre as especificações das etiquetas seguras da firewall, consulte Especificações.
Para ver os limites da rede, consulte a secção Limites por rede. |
Gerenciar cotas
OCloud Next Generation Firewall aplica cotas no uso de recursos por vários motivos. Por exemplo, as cotas protegem a comunidade de usuários Google Cloud , impedindo picos de uso inesperados. As cotas também ajudam os usuários que estão explorando o Google Cloud com o nível gratuito a permanecer na avaliação.
Todos os projetos começam com as mesmas cotas, que podem ser alteradas com uma solicitação de cota extra. Algumas cotas podem aumentar automaticamente dependendo do uso de um produto.
Permissões
Para ver cotas ou solicitar aumentos de cotas, os membros do gerenciamento de identidade e acesso (IAM, na sigla em inglês) precisam ter um dos papéis a seguir:
| Tarefa | Papel necessário |
|---|---|
| Verificar cotas para um projeto | Uma das seguintes opções:
|
| Modificar cotas, solicitar cota extra | Uma das seguintes opções:
|
Verificar sua cota
Console
- No console Google Cloud , acesse a página Cotas.
- Para pesquisar a cota a ser atualizada, use a tabela de filtros. Se você não souber o nome da cota, use os links desta página.
gcloud
Com a Google Cloud CLI, execute o comando a seguir para
verificar suas cotas. Substitua PROJECT_ID pelo seu código do projeto:
gcloud compute project-info describe --project PROJECT_IDPara verificar a cota utilizada em uma região, execute o comando a seguir:
gcloud compute regions describe example-region
Erros ao exceder a cota
Se você exceder uma cota com um comando gcloud, o gcloud emitirá uma mensagem de erro quota exceeded e retornará com o código de saída 1.
Se você exceder uma cota com uma solicitação de API, Google Cloud vai retornar o
seguinte código de status HTTP: 413 Request Entity Too Large.
Solicitar cota adicional
Para ajustar a maioria das cotas, use o console Google Cloud . Para mais informações, consulte Solicitar um ajuste de cota.
Disponibilidade de recursos
Cada cota representa um número máximo para um tipo específico de recurso que é possível criar, desde que o recurso esteja disponível. É importante observar que as cotas não garantem a disponibilidade de recursos. Mesmo que você tenha cota disponível, não será possível criar um novo recurso se ele não estiver disponível.
Por exemplo, você pode ter cota suficiente para criar um novo endereço IP externo regional em uma determinada região. No entanto, isso não é possível se não houver endereços IP externos disponíveis naquela região. A disponibilidade de recursos zonais também pode afetar sua capacidade de criar um novo recurso.
São raras as situações em que os recursos não estão disponíveis em uma região inteira. No entanto, os recursos dentro de uma zona podem ser usados periodicamente, normalmente sem impacto no contrato de nível de serviço (SLA) para o tipo de recurso. Para mais informações, leia o SLA relevante do recurso.