이 문서에서는 Cloud Next Generation Firewall에 적용되는 할당량과 한도를 설명합니다. 할당량에 대한 자세한 내용은 가상 프라이빗 클라우드(VPC) 할당량을 참조하세요.
할당량은 하드웨어, 소프트웨어, 네트워크 구성요소를 포함하여 Google Cloud 프로젝트에서 사용할 수 있는 공유 Google Cloud 리소스의 양을 제한합니다. 따라서 할당량은 다음을 수행하는 시스템에 속합니다.
- Google Cloud 제품 및 서비스 사용 또는 소비를 모니터링합니다.
- 공정성 보장 및 사용량 급증 방지 등의 이유로 리소스 소비를 제한합니다.
- 사전 정의된 제한사항을 자동으로 적용하는 구성을 유지합니다.
- 할당량을 요청하거나 변경할 수 있는 수단을 제공합니다.
대부분의 경우 할당량이 초과되면 시스템에서 관련 Google 리소스에 대한 액세스를 즉시 차단하고 수행하려는 작업이 실패합니다. 대부분의 경우 할당량은 각 Google Cloud 프로젝트에 적용되며 해당 Google Cloud 프로젝트를 사용하는 모든 애플리케이션과 IP 주소 전반에 공유됩니다.
Cloud NGFW 리소스에도 한도가 있습니다. 이 한도는 할당량 시스템과 관련이 없습니다. 별도로 명시되지 않는 한 한도를 변경할 수 없습니다.
할당량
이 섹션에는 Cloud Next Generation Firewall에 적용되는 할당량이 나와 있습니다.
VPC 할당량 및 한도 페이지에서 Virtual Private Cloud(VPC)와 관련된 할당량 및 한도를 확인할 수 있습니다.
프로젝트별
프로젝트별 할당량은 조정 가능한 할당량입니다. Google Cloud 콘솔을 사용하여 프로젝트별 할당량 변경을 요청할 수 있습니다. 할당량 변경을 요청하는 방법에 대한 자세한 내용은 추가 할당량 요청을 참조하세요. 할당량에 수정 옵션이 제공되지 않으면 지원 케이스를 제출하여 할당량을 늘리거나 줄일 수 있는지 문의합니다.
Cloud Monitoring을 사용하는 프로젝트별 할당량을 모니터링하려면 Consumer Quota 리소스 유형에서 serviceruntime.googleapis.com/quota/allocation/usage 측정항목의 모니터링을 설정합니다. 추가 라벨 필터(service, quota_metric)를 설정하여 할당량 유형으로 이동합니다. 할당량 측정항목 모니터링에 대한 자세한 내용은 할당량 측정항목 차트 생성 및 모니터링을 참조하세요.
각 할당량에는 한도와 사용량 값이 있습니다.
다음 표는 각 프로젝트의 Cloud NGFW 리소스에 대해 중요한 전역 할당량을 보여줍니다. 기타 할당량에 관한 내용은 Google Cloud 콘솔의 할당량 페이지를 참조하세요.
| 할당량 | 설명 |
|---|---|
| VPC 방화벽 규칙 | 프로젝트의 모든 VPC 네트워크에 만들 수 있는 VPC 방화벽 규칙의 수입니다. |
| 프로젝트당 전역 주소 그룹 | 프로젝트에서 정의할 수 있는 전역 주소 그룹 수입니다. |
| 리전별 프로젝트당 리전 주소 그룹 | 리전에서 프로젝트에 정의할 수 있는 리전 주소 그룹 수입니다. |
| 전역 네트워크 방화벽 정책 | 프로젝트의 전역 네트워크 방화벽 정책 수입니다. |
| 리전 네트워크 방화벽 정책 | 프로젝트의 리전별 리전 네트워크 방화벽 정책 수입니다. |
조직별
이 표에서는 각 조직의 Cloud NGFW 리소스에 대해 중요한 전역 할당량을 보여줍니다. 이러한 할당량의 업데이트를 요청하려면 지원 케이스를 접수하세요.
| 항목 | 기본 할당량 | 참고 |
|---|---|---|
| 조직별 연결되지 않은 계층식 방화벽 정책 | 50 | 연결되지 않은 계층식 방화벽 정책이 Google Cloud 조직에 있지만 리소스와 연결되어 있지 않습니다. 각 리소스에는 연결된 정책을 하나만 지정할 수 있지만 조직에서 리소스와 연결할 수 있는 정책 수에는 제한이 없습니다. |
방화벽 정책별
다음 할당량이 방화벽 정책에 적용됩니다.
| 할당량 | 설명 |
|---|---|
| 계층식 방화벽 정책 | |
| 방화벽 정책당 규칙 속성 수 | 이 할당량은 계층식 방화벽 정책 내 모든 규칙에서 규칙 속성의 합계입니다. 기본 한도는 2,000입니다. 할당량 상향을 요청하려면 지원 케이스를 제출하세요. 자세한 내용은 규칙 속성 수 세부정보를 참조하세요. |
| 계층식 방화벽 정책당 도메인 이름(FQDN) | 이 할당량은 정책의 모든 인그레스 규칙에 있는 모든 소스 도메인 이름 합계에 정책의 모든 이그레스 규칙에 있는 모든 대상 도메인 이름 합계를 더한 것입니다. 기본 한도는 100입니다. 할당량 상향을 요청하려면 지원 케이스를 제출하세요. |
| 전역 네트워크 방화벽 정책 | |
| 전역 네트워크 방화벽 정책당 규칙 속성 | 글로벌 네트워크 방화벽 정책 내 모든 규칙의 규칙 속성 합계입니다. 자세한 내용은 규칙 속성 수 세부정보를 참조하세요. |
| 글로벌 네트워크 방화벽 정책당 도메인 이름(FQDN) | 글로벌 네트워크 방화벽 정책의 모든 규칙에 포함할 수 있는 도메인 이름 수 이 할당량은 정책의 모든 인그레스 규칙의 모든 소스 도메인 이름의 합계에 정책의 모든 이그레스 규칙에서 가져온 모든 대상 도메인 이름의 합계입니다. |
| 리전 네트워크 방화벽 정책 | |
| 리전 네트워크 방화벽 정책당 규칙 속성 | 리전 네트워크 방화벽 정책 내 모든 규칙의 규칙 속성 합계입니다. 자세한 내용은 규칙 속성 수 세부정보를 참조하세요. |
| 리전 네트워크 방화벽 정책당 도메인 이름(FQDN) | 리전 네트워크 방화벽 정책의 모든 규칙에 포함할 수 있는 도메인 이름(FQDN) 수: 이 할당량은 정책의 모든 인그레스 규칙에 있는 모든 소스 도메인 이름의 합계에 정책에 있는 모든 이그레스 규칙의 대상 도메인 이름 합계를 더한 것입니다. |
규칙 속성 수 세부정보
각 방화벽 정책은 규칙 속성의 최대 총개수를 지원합니다. 방화벽 정책에 있는 모든 방화벽 규칙의 규칙 속성 수 합계는 해당 방화벽 정책의 규칙 속성 수입니다.
다음 예시 규칙은 Google Cloud가 방화벽 규칙별로 규칙 속성을 계산하는 방법을 보여줍니다. Google Cloud가 각 방화벽 정책에 대한 규칙 속성 수를 계산하는 방법을 알아보려면 정책 설명을 참조하세요.
| 방화벽 규칙 예시 | 규칙 속성 수 | 설명 |
|---|---|---|
인그레스 허용 방화벽 규칙은 소스 IP 주소 범위 10.100.0.1/32, tcp 프로토콜, 5000-6000 포트 범위를 포함합니다.
|
3 | 하나의 소스 범위, 프로토콜 1개, 포트 범위 1개 |
방화벽 규칙이 소스 IP 주소 범위 10.0.0.0/8, 192.168.0.0/16, 대상 IP 주소 범위 100.64.0.7/32, tcp, udp 프로토콜, 포트 범위 53-53 및 5353-5353이면 인그레스가 거부합니다.
|
11 | 프로토콜과 포트 조합에는 tcp:53-53, tcp:5353-5353, udp:53-53, udp:5353-5353의 4가지가 있습니다. 각 프로토콜 및 포트 조합은 두 가지 속성을 사용합니다. 2개의 소스 IP 주소 범위에 속성 1개, 대상 IP 주소 범위에 속성 1개, 프로토콜 및 포트 조합에 속성 8개로 총 11개의 속성을 생성합니다. |
소스 IP 주소 범위 100.64.0.7/32, 대상 IP 주소 범위 10.100.0.1/32, 10.100.1.1/32, tcp:80, tcp:443, udp:4000-5000이 있는 이그레스 거부 방화벽 규칙
|
9 | 프로토콜 및 포트 조합은 tcp:80-80, tcp:443-443, udp:4000-5000 3개로 확장됩니다. 각 프로토콜 및 포트 조합은 두 가지 속성을 사용합니다. 소스 범위에 속성 1개, 대상 IP 주소 범위 2개에 속성 1개씩, 프로토콜 맟 포트에 6개로 총 9개의 속성을 생성합니다. |
한도
일반적으로 한도는 별도로 언급된 경우를 제외하고는 늘릴 수 없습니다.
조직별
조직에는 다음 한도가 적용됩니다.
| 항목 | 한도 | 참고 |
|---|---|---|
| 조직별 전역 주소 그룹 | 100 | 조직별로 만들 수 있는 전역 주소 그룹의 최대 수입니다. |
| 리전별 조직당 리전 주소 그룹 | 100 | 한 리전에서 조직당 만들 수 있는 리전 주소 그룹의 최대 수입니다. |
| 조직 주소 그룹 | 100 | 위치(전역 또는 리전)에 관계없이 조직당 만들 수 있는 최대 주소 그룹 수입니다. |
| 최대 주소 그룹 용량 | 1,000 | 조직 또는 프로젝트당 주소 그룹의 최대 용량 |
| 조직 또는 프로젝트당 최대 보안 태그 키 수 | 1,000 | 조직 또는 프로젝트당 만들 수 있는 보안 태그 키의 최대 수입니다. 자세한 내용은 태그 한도를 참조하세요. |
| 조직 또는 프로젝트당 키별 최대 보안 태그 값 | 1,000 | 조직 또는 프로젝트에서 키당 추가할 수 있는 최대 보안 태그 값 수입니다. 자세한 내용은 태그 한도를 참조하세요. |
| 조직별 리소스당 최대 보안 태그 키-값 쌍 | 50 | 조직 또는 프로젝트의 리소스당 추가할 수 있는 최대 보안 태그 키-값 쌍의 수입니다. 자세한 내용은 태그 한도를 참조하세요.
네트워크 한도는 네트워크별 한도를 참조하세요. |
| 조직별 위협 방지 보안 프로필 | 40 | 조직별로 만들 수 있는 위협 방지 유형의 최대 보안 프로필 수입니다. |
| 조직별 보안 프로필 그룹 | 40 | 조직별로 만들 수 있는 위협 방지 보안 프로필을 사용하는 최대 보안 프로필 그룹 수입니다. |
| 조직별 영역당 방화벽 엔드포인트 | 10 | 조직별로 영역당 만들 수 있는 최대 방화벽 엔드포인트 수입니다. |
네트워크별
VPC 네트워크에는 다음 한도가 적용됩니다.
| 항목 | 한도 | Notes |
|---|---|---|
| 네트워크당 최대 글로벌 네트워크 방화벽 정책 | 1 | VPC 네트워크와 연결할 수 있는 최대 글로벌 네트워크 방화벽 정책의 수입니다. |
| 네트워크당 리전별 최대 리전 네트워크 방화벽 정책 | 1 | VPC 네트워크 및 리전 조합과 연결할 수 있는 최대 리전 네트워크 방화벽 정책의 수입니다. |
| 네트워크당 최대 도메인 이름(FQDN) 수 | 1,000 | 계층 방화벽 정책, 글로벌 네트워크 방화벽 정책, VPC 네트워크와 연결된 리전 네트워크 방화벽 정책에서 오는 방화벽 규칙에서 사용할 수 있는 최대 총 도메인 이름 수 |
| 네트워크별 영역당 방화벽 엔드포인트 | 1 | 네트워크별로 영역당 할당할 수 있는 최대 방화벽 엔드포인트 수입니다. |
방화벽 규칙별
방화벽 규칙에 다음 한도가 적용됩니다.
| 항목 | 한도 | 참고 |
|---|---|---|
| 인그레스 방화벽 정책 규칙당 최대 소스 보안 태그 수 | 256 | 인그레스 방화벽 정책 규칙에만 적용됩니다. 방화벽 규칙에서 소스 태그로 사용할 수 있는 최대 보안 태그 수입니다. 이 한도는 상향 조정할 수 없습니다. |
| 방화벽 정책 규칙당 최대 대상 보안 태그 수 | 256 | 방화벽 정책 규칙에만 적용됩니다. 방화벽 규칙에서 대상 태그로 사용할 수 있는 최대 보안 태그 수입니다. 이 한도는 상향 조정할 수 없습니다. |
| 인그레스 VPC 방화벽 규칙당 최대 소스 네트워크 태그 수 | 30 | 인그레스 VPC 방화벽 규칙에만 적용됩니다. 방화벽 규칙에서 소스 태그로 사용할 수 있는 최대 네트워크 태그 수입니다. 이 한도는 상향 조정할 수 없습니다. |
| VPC 방화벽 규칙당 최대 대상 네트워크 태그 수 | 70 | VPC 방화벽 규칙에만 적용됩니다. 방화벽 규칙에서 대상 태그로 사용할 수 있는 최대 네트워크 태그 수입니다. 이 한도는 상향 조정할 수 없습니다. |
| 인그레스 VPC 방화벽 규칙당 최대 소스 서비스 계정 수 | 10 | 인그레스 VPC 방화벽 규칙에만 적용됩니다. 방화벽 규칙에서 소스로 사용할 수 있는 최대 서비스 계정 수입니다. 이 한도는 상향 조정할 수 없습니다. |
| 방화벽 규칙당 최대 대상 서비스 계정 수 | 10 | VPC 방화벽 규칙 또는 방화벽 정책의 규칙에서 대상으로 사용할 수 있는 최대 서비스 계정 수입니다. 이 한도는 상향 조정할 수 없습니다. |
| 방화벽 규칙당 최대 소스 IP 주소 범위 수 | 5,000 | VPC 방화벽 규칙 또는 방화벽 정책의 규칙에서 지정할 수 있는 최대 소스 IP 주소 범위의 수입니다. IP 주소 범위는 IPv4 전용 또는 IPv6 전용입니다. 이 한도는 상향 조정할 수 없습니다. |
| 방화벽 규칙당 최대 대상 IP 주소 범위 수 | 5,000 | VPC 방화벽 규칙 또는 방화벽 정책의 규칙에서 지정할 수 있는 최대 대상 IP 주소 범위의 수입니다. IP 주소 범위는 IPv4 전용 또는 IPv6 전용입니다. 이 한도는 상향 조정할 수 없습니다. |
| 방화벽 정책 내 인그레스 방화벽 규칙당 최대 소스 주소 그룹 수 | 10 | 방화벽 정책의 인그레스 방화벽 규칙에서 지정할 수 있는 최대 소스 주소 그룹 수입니다. 이 한도는 상향 조정할 수 없습니다. |
| 방화벽 정책 내 방화벽 규칙당 최대 대상 주소 그룹 수 | 10 | 방화벽 정책의 이그레스 방화벽 규칙에 지정할 수 있는 최대 대상 주소 그룹 수입니다. 이 한도는 늘릴 수 없습니다. |
| 방화벽 정책의 방화벽 규칙당 최대 도메인 이름(FQDN) 수입니다. | 100 | 방화벽 정책의 규칙에 포함할 수 있는 도메인 이름(FQDN) 수입니다. 이 한도는 상향 조정할 수 없습니다. |
방화벽 엔드포인트별
방화벽 엔드포인트에 다음 한도가 적용됩니다.
| 항목 | 기본 할당량 | 참고 |
|---|---|---|
| 방화벽 엔드포인트별 연결 | 50 | 방화벽 엔드포인트와 연결할 수 있는 최대 VPC 네트워크 수입니다. 같은 영역에 추가 방화벽 엔드포인트를 만들어 이 한도를 해결할 수 있습니다. |
보안 프로필별
보안 프로필에는 다음 한도가 적용됩니다.
| 항목 | 기본 할당량 | 참고 |
|---|---|---|
| 보안 프로필별 위협 재정의 수 | 100 | 위협 방지 보안 프로필에 추가할 수 있는 최대 위협 재정의 수 |
VM 네트워크 인터페이스별
VM 네트워크 인터페이스에는 다음 한도가 적용됩니다.
| 항목 | 한도 | Notes |
|---|---|---|
| VM 인터페이스당 최대 보안 태그 | 10 | NIC별 VM당 추가할 수 있는 최대 보안 태그 수입니다. |
할당량 관리
Cloud Next Generation Firewall는 다양한 이유로 리소스 사용량에 할당량을 적용합니다. 예를 들어 할당량은 사용량이 예기치 않게 급증하는 것을 방지하여 Google Cloud 사용자 커뮤니티를 보호합니다. 또한 할당량은 무료 등급으로 Google Cloud 제품을 둘러보는 사용자가 계속해서 체험판을 사용할 수 있게 해줍니다.
모든 프로젝트가 동일한 할당량으로 시작하며 추가 할당량을 요청하여 할당량을 변경할 수 있습니다. 제품 사용에 따라 일부 할당량이 자동으로 증가할 수 있습니다.
권한
할당량을 확인하거나 할당량 상향 조정을 요청하려면 Identity and Access Management (IAM) 주 구성원에게 다음 역할 중 하나가 필요합니다.
| 작업 | 필요한 역할 |
|---|---|
| 프로젝트의 할당량 확인 | 다음 중 하나: |
| 할당량 수정, 추가 할당량 요청 | 다음 중 하나: |
할당량 확인
Console
- Google Cloud 콘솔에서 할당량 페이지로 이동합니다.
- 업데이트하려는 할당량을 검색하려면 테이블 필터링을 사용합니다. 할당량 이름을 모르는 경우 대신 이 페이지의 링크를 사용하세요.
gcloud
Google Cloud CLI를 사용하여 다음 명령어를 실행하여 할당량을 확인하세요. 여기서 PROJECT_ID는 프로젝트 ID로 바꿉니다.
gcloud compute project-info describe --project PROJECT_ID
리전에서 사용한 할당량을 확인하려면 다음 명령어를 실행합니다.
gcloud compute regions describe example-region
할당량 초과 시 오류
gcloud 명령어 사용 시 할당량을 초과하면 gcloud에서 quota exceeded라는 오류 메시지를 출력하고 종료 코드 1을 반환합니다.
API 요청 시 할당량을 초과하면 Google Cloud에서 HTTP 상태 코드 413 Request Entity Too Large를 반환합니다.
추가 할당량 요청
대부분의 할당량은 Google Cloud 콘솔을 사용해 늘리거나 줄입니다. 자세한 내용은 할당량 상향 요청을 참조하세요.
Console
- Google Cloud 콘솔에서 할당량 페이지로 이동합니다.
- 할당량 페이지에서 변경할 할당량을 선택합니다.
- 페이지 상단에서 할당량 수정을 클릭합니다.
- 이름에 개발자 이름을 입력합니다.
- (선택사항) 전화에 전화번호를 입력합니다.
- 요청을 제출합니다. 할당량 요청이 처리되는 데는 24~48 시간이 소요됩니다.
리소스 가용성
각 할당량은 특정 유형의 리소스를 사용할 수 있는 경우에 만들 수 있는 해당 리소스의 최대 개수를 나타냅니다. 할당량이 리소스 가용성을 보장하지는 않는다는 점에 유의해야 합니다. 사용 가능한 할당량이 있어도 리소스를 사용할 수 없으면 새 리소스를 만들 수 없습니다.
예를 들어 us-central1 리전에 새로운 리전의 외부 IP 주소를 만드는 데 충분한 할당량이 있을 수 있습니다. 그러나 이 리전에 사용 가능한 외부 IP 주소가 없으면 새 주소를 만들 수 없습니다. 또한 영역별 리소스 가용성은 새 리소스를 만들 수 있는지 여부에도 영향을 줄 수 있습니다.
전체 리전에서 리소스를 사용할 수 없는 경우는 드뭅니다. 그러나 영역 내 리소스가 소진되는 경우가 발생할 수 있으며 이러한 경우에도 일반적으로 해당 리소스 유형에 적용되는 서비스수준계약(SLA)에는 영향을 미치지 않습니다. 자세한 내용을 확인하려면 리소스의 관련 SLA를 검토하세요.