Kontingente und Limits

In diesem Dokument sind die Kontingente und Systemlimits für Cloud Next Generation Firewall aufgeführt. Kontingente geben an, wie viel einer zählbaren, freigegebenen Ressource Sie verwenden können. Sie werden von Google Cloud-Diensten wie der Cloud Next Generation Firewall definiert. Systemlimits sind feste Werte, die nicht geändert werden können.

Google Cloud nutzt Kontingente, um Fairness zu gewährleisten und Spitzen bei Ressourcennutzung und -verfügbarkeit zu reduzieren. Ein Kontingent schränkt ein, wie viel von einer Google Cloud-Ressource Ihr Google Cloud-Projekt nutzen darf. Kontingente gelten für eine Reihe von Ressourcentypen, einschließlich Hardware, Software und Netzwerkkomponenten. Mit Kontingenten können Sie beispielsweise die Anzahl der API-Aufrufe an einen Dienst, die Anzahl der von Ihrem Projekt gleichzeitig verwendeten Load Balancer oder die Anzahl der Projekte begrenzen, die Sie erstellen können. Die Kontingente sollen eine Überlastung von Diensten verhindern und dadurch die Community der Google Cloud-Nutzer schützen. Sie helfen Ihnen auch bei der Verwaltung Ihrer eigenen Google Cloud-Ressourcen.

Das Cloud-Kontingentsystem ermöglicht Folgendes:

  • Ihren Verbrauch von Google Cloud-Produkten und -Diensten überwachen
  • Ihren Verbrauch dieser Ressourcen einschränken
  • Eine Möglichkeit bieten, Änderungen am Kontingentwert anzufordern

Wenn Sie versuchen, mehr von einer Ressource zu verbrauchen, als das Kontingent zulässt, blockiert das System in den meisten Fällen den Zugriff auf die Ressource. Die Aufgabe, die Sie ausführen möchten, schlägt fehl.

Kontingente gelten in der Regel auf Google Cloud-Projektebene. Ihre Nutzung einer Ressource in einem Projekt hat keinen Einfluss auf Ihr verfügbares Kontingent in einem anderen Projekt. Innerhalb eines Google Cloud-Projekts werden die Kontingente für alle Anwendungen und IP-Adressen gemeinsam genutzt.

Für Cloud NGFW-Ressourcen gelten außerdem Systemlimits. Systemlimits können nicht geändert werden.

Kontingente

In diesem Abschnitt sind die Kontingente für Cloud Next Generation Firewall aufgeführt.

Richten Sie das Monitoring für den Messwert serviceruntime.googleapis.com/quota/allocation/usage für den Ressourcentyp Consumer Quota ein, um projektspezifische Kontingente zu überwachen, die Cloud Monitoring verwenden. Legen Sie weitere Labelfilter (service, quota_metric) fest, um den Kontingenttyp abzurufen. Informationen zum Monitoring von Kontingentmesswerten finden Sie unter Kontingentmesswerte grafisch darstellen und überwachen. Für jedes Kontingent gibt es ein Limit und einen Nutzungswert.

Sofern nicht anders angegeben, finden Sie unter Höheres Kontingentlimit anfordern Informationen zum Ändern eines Kontingents.

Pro Projekt

In der folgenden Tabelle sind die Cloud NGFW-Kontingente pro Projekt aufgeführt:

Kontingent Beschreibung
VPC-Firewallregeln Die Anzahl der VPC-Firewallregeln, die Sie in einem Projekt erstellen können, unabhängig vom VPC-Netzwerk, für das die einzelnen Firewallregeln gelten.
Globale Netzwerk-Firewallrichtlinien Die Anzahl der globalen Netzwerk-Firewallrichtlinien in einem Projekt, unabhängig davon, wie viele VPC-Netzwerke mit jeder Richtlinie verknüpft sind.
Regionale Netzwerk-Firewallrichtlinien Die Anzahl der Firewallrichtlinien für regionale Netzwerke in jeder Region eines Projekts, unabhängig davon, wie viele VPC-Netzwerke mit jeder Richtlinie verknüpft sind.
Globale Adressgruppen pro Projekt Die Anzahl globaler Adressgruppen, die Sie in einem Projekt definieren können.
Regionale Adressgruppen pro Projekt und Region Die Anzahl regionaler Adressgruppen, die Sie in jeder Region eines Projekts definieren können.

Pro Organisation

In der folgenden Tabelle sind die Cloud NGFW-Kontingente pro Organisation aufgeführt. Wenn Sie ein Kontingent auf Organisationsebene ändern möchten, reichen Sie einen Supportfall ein.

Kontingent Beschreibung
Nicht verknüpfte hierarchische Firewallrichtlinien in einer Organisation Die Anzahl der hierarchischen Firewallrichtlinien in einer Organisation, die keinem Ordner oder keiner Organisationsressource zugeordnet sind. Die Anzahl der hierarchischen Firewallrichtlinien in einer Organisation, die mit einer Ressource verknüpft sind, ist nicht begrenzt.

Pro Firewallrichtlinie

In der folgenden Tabelle sind die Cloud NGFW-Kontingente pro Firewallrichtlinienressource aufgeführt:

Kontingent Beschreibung
Hierarchische Firewallrichtlinien
Regelattribute pro hierarchischer Firewallrichtlinie Dieses Kontingent ist die Summe der Regelattribute aus allen Regeln in einer hierarchischen Firewallrichtlinie. Weitere Informationen finden Sie unter Details zur Regelattributanzahl.
Domainnamen (FQDNs) pro hierarchischer Firewallrichtlinie Die Anzahl der Domainnamen, die Sie in alle Regeln einer hierarchischen Firewallrichtlinie aufnehmen können. Dieses Kontingent entspricht der Summe aller Quelldomainnamen aus allen Regeln für eingehenden Traffic in der Richtlinie plus der Summe aller Zieldomainnamen aus allen Regeln für ausgehenden Traffic in der Richtlinie.
Globale Netzwerk-Firewallrichtlinien
Regelattribute pro globaler Netzwerk-Firewallrichtlinie Die Summe der Regelattribute aus allen Regeln in einer globalen Netzwerk-Firewallrichtlinie. Weitere Informationen finden Sie unter Details zur Regelattributanzahl.
Domainnamen (FQDNs) pro globaler Netzwerk-Firewallrichtlinie Die Anzahl der Domainnamen, die Sie in alle Regeln einer globalen Netzwerk-Firewallrichtlinie aufnehmen können: Dieses Kontingent ist die Summe aller Quelldomainnamen aus allen Regeln für eingehenden Traffic in der Richtlinie plus der Summe aller Zieldomainnamen aus allen Regeln für ausgehenden Traffic in der Richtlinie.
Regionale Netzwerk-Firewallrichtlinien
Regelattribute pro regionaler Netzwerk-Firewallrichtlinie Die Summe der Regelattribute aus allen Regeln in einer regionalen Netzwerk-Firewallrichtlinie. Weitere Informationen finden Sie unter Details zur Regelattributanzahl.
Domainnamen (FQDNs) pro regionaler Netzwerk-Firewallrichtlinie Die Anzahl der Domainnamen (FQDNs), die Sie in alle Regeln einer regionalen Netzwerk-Firewallrichtlinie aufnehmen können: Dieses Kontingent ist die Summe aller Quelldomainnamen aus allen Regeln für eingehenden Traffic in der Richtlinie plus der Summe aller Zieldomainnamen aus allen Regeln für ausgehenden Traffic in der Richtlinie.

Details zur Regelattributanzahl

Jede Firewallrichtlinie unterstützt eine maximale Gesamtzahl von Attributen aus allen Regeln in der Richtlinie. Beschreiben Sie die Richtlinie, um die Anzahl der Regelattribute für eine bestimmte Firewallrichtlinie zu ermitteln. Weitere Informationen finden Sie hier:

In der folgenden Tabelle sind Beispielregeln und die Attributanzahl für jede Beispielregel aufgeführt.

Beispiel für eine Firewallregel Regelattributanzahl Erklärung
Firewallregel zum Zulassen von eingehendem Traffic mit Quell-IP-Adressbereich 10.100.0.1/32, Protokoll tcp und Portbereich 5000-6000. 3 Ein Quellbereich; ein Protokoll, ein Portbereich.
Firewallregel zum Ablehnen von eingehendem Traffic mit Quell-IP-Adressbereichen 10.0.0.0/8, 192.168.0.0/16, Ziel-IP-Adressbereich 100.64.0.7/32, Protokollen tcp und udp, Portbereichen 53-53 und 5353-5353. 11 Es gibt vier Protokoll- und Portkombinationen: tcp:53-53, tcp:5353-5353, udp:53-53 und udp:5353-5353. Jede Kombination aus Protokoll und Port verwendet zwei Attribute. Jeweils ein Attribut für die beiden Quell-IP-Adressbereiche, ein Attribut für den Ziel-IP-Adressbereich und acht Attribute für die Protokoll- und Portkombinationen ergeben eine Attributanzahl von 11.
Firewallregel zum Ablehnen von ausgehendem Traffic mit Quell-IP-Adressbereich 100.64.0.7/32, Ziel-IP-Adressbereich 10.100.0.1/32, 10.100.1.1/32, tcp:80, tcp:443 und udp:4000-5000. 9 Protokoll- und Portkombinationen werden auf drei erweitert: tcp:80-80, tcp:443-443 und udp:4000-5000. Jede Kombination aus Protokoll und Port verwendet zwei Attribute. Ein Attribut für den Quellbereich, jeweils ein Attribut für die beiden Ziel-IP-Adressbereiche und sechs Attribute für die Protokoll- und Portkombinationen ergeben eine Attributanzahl von 9.

Limits

Limits können nicht erhöht werden, sofern nicht ausdrücklich anders angegeben.

Pro Organisation

Für Organisationen gelten die folgenden Limits:

Element Limit Hinweise
Globale Adressgruppen pro Organisation 100 Die maximale Anzahl globaler Adressgruppen, die Sie pro Organisation erstellen können.
Regionale Adressgruppen pro Organisation und Region 100 Die maximale Anzahl regionaler Adressgruppen, die Sie pro Organisation in einer Region erstellen können.
Organisationsadressgruppen 100 Die maximale Anzahl von Adressgruppen, die Sie pro Organisation erstellen können, unabhängig vom Standort (global oder regional).
Maximale Adressgruppenkapazität 1.000 Die maximale Kapazität einer Adressgruppe pro Organisation oder Projekt.
Maximale Anzahl sicherer Tag-Schlüssel pro Organisation oder Projekt 1.000 Die maximale Anzahl sicherer Tag-Schlüssel, die Sie pro Organisation oder Projekt erstellen können. Weitere Informationen finden Sie unter Tag-Limits.
Maximale Anzahl sicherer Tag-Werte pro Schlüssel, Organisation oder Projekt 1.000 Die maximale Anzahl sicherer Tag-Werte, die Sie pro Schlüssel in einer Organisation oder einem Projekt hinzufügen können. Weitere Informationen finden Sie unter Tag-Limits.
Maximale Anzahl von Schlüssel/Wert-Paaren für sichere Tags pro Ressource und Organisation 50 Die maximale Anzahl von Schlüssel/Wert-Paaren für sichere Tags, die Sie in einer Organisation oder einem Projekt pro Ressource hinzufügen können. Weitere Informationen finden Sie unter Tag-Limits.

Informationen zu den Netzwerklimits finden Sie unter Limits pro Netzwerk.

Sicherheitsprofile zur Vermeidung von Bedrohungen pro Organisation 40 Die maximale Anzahl von Sicherheitsprofilen vom Schutz vor Bedrohungen, die Sie pro Organisation erstellen können.
Sicherheitsprofilgruppen pro Organisation 40 Die maximale Anzahl von Sicherheitsprofilgruppen mit einem Sicherheitsprofil zum Bedrohungsschutz, die Sie pro Organisation erstellen können.
Firewallendpunkte pro Zone und Organisation 10 Die maximale Anzahl von Firewallendpunkten, die Sie pro Zone und Organisation erstellen können.

Pro Netzwerk

Die folgenden Limits gelten für VPC-Netzwerke:

Element Limit Hinweise
Maximale Anzahl globaler Netzwerk-Firewallrichtlinien pro Netzwerk 1 Die maximale Anzahl globaler Netzwerk-Firewallrichtlinien, die Sie einem VPC-Netzwerk zuordnen können.
Maximale regionale Netzwerk-Firewallrichtlinien pro Region und Netzwerk 1 Die maximale Anzahl regionaler Netzwerk-Firewallrichtlinien, die Sie einer Kombination aus VPC-Netzwerk und Region zuordnen können.
Maximale Anzahl von Domainnamen (FQDNs) pro Netzwerk 1.000 Die maximale Gesamtzahl der Domainnamen, die in Firewallregeln verwendet werden können, die aus hierarchischen Firewallrichtlinien, globalen Netzwerk-Firewallrichtlinien und regionalen Netzwerk-Firewallrichtlinien stammen, die mit einem VPC-Netzwerk verknüpft sind.
Firewallendpunkte pro Zone und Netzwerk 1 Die maximale Anzahl von Firewallendpunkten, die Sie pro Zone und Netzwerk zuweisen können.

Pro Firewallregel

Die folgenden Limits gelten für Firewallregeln:

Element Limit Hinweise
Maximale Anzahl sicherer Quelltags pro Firewallrichtlinienregel für eingehenden Traffic 256 Gilt nur für die Firewallregel für eingehenden Traffic – die maximale Anzahl sicherer Tags, die Sie in der Firewallregel als Quell-Tags verwenden können. Dieses Limit kann nicht erhöht werden.
Maximale Anzahl von sicheren Ziel-Tags pro Firewallrichtlinienregel 256 Gilt nur für die Firewallrichtlinienregel – die maximale Anzahl sicherer Tags, die Sie in der Firewallregel als Ziel-Tags verwenden können. Dieses Limit kann nicht erhöht werden.
Maximale Anzahl von Quellnetzwerktags pro VPC-Firewallregel für eingehenden Traffic 30 Gilt nur für VPC-Firewallregeln für eingehenden Traffic – die maximale Anzahl von Netzwerk-Tags, die Sie in der Firewallregel als Quell-Tags verwenden können. Dieses Limit kann nicht erhöht werden.
Maximale Anzahl von Zielnetzwerk-Tags pro VPC-Firewallregel 70 Gilt nur für VPC-Firewallregeln – die maximale Anzahl von Netzwerk-Tags, die Sie in der Firewallregel als Ziel-Tags verwenden können. Dieses Limit kann nicht erhöht werden.
Maximale Anzahl von Quelldienstkonten pro VPC-Firewallregel für eingehenden Traffic 10 Gilt nur für VPC-Firewallregeln für eingehenden Traffic – die maximale Anzahl von Dienstkonten, die Sie in der Firewallregel als Quellen verwenden können. Dieses Limit kann nicht erhöht werden.
Maximale Anzahl von Zieldienstkonten pro Firewallregel 10 Die maximale Anzahl von Dienstkonten, die Sie als Ziele in einer VPC-Firewallregel oder -regel in einer Firewallrichtlinie verwenden können. Dieses Limit kann nicht erhöht werden.
Maximale Anzahl von Quell-IP-Adressbereichen pro Firewallregel 5.000 Die maximale Anzahl von Quell-IP-Adressbereichen, die Sie in einer VPC-Firewallregel oder Regel in einer Firewallrichtlinie angeben können. IP-Adressbereiche sind entweder nur IPv4 oder nur IPv6. Dieses Limit kann nicht erhöht werden.
Maximale Anzahl von Ziel-IP-Adressbereichen pro Firewallregel 5.000 Die maximale Anzahl von Ziel-IP-Adressbereichen, die Sie in einer VPC-Firewallregel oder Regel in einer Firewallrichtlinie angeben können. IP-Adressbereiche sind entweder nur IPv4 oder nur IPv6. Dieses Limit kann nicht erhöht werden.
Maximale Anzahl von Quelladressgruppen pro Firewallregel für eingehenden Traffic in einer Firewallrichtlinie 10 Die maximale Anzahl von Quelladressgruppen, die Sie in einer Firewallregel für eingehenden Traffic in einer Firewallrichtlinie angeben können. Dieses Limit kann nicht erhöht werden.
Maximale Anzahl von Zieladressgruppen pro Firewallregel in einer Firewallrichtlinie 10 Die maximale Anzahl von Zieladressgruppen, die Sie in einer Firewallregel für ausgehenden Traffic in einer Firewallrichtlinie angeben können. Dieses Limit kann nicht erhöht werden.
Maximale Anzahl von Domainnamen (FQDNs) pro Firewallregel in einer Firewallrichtlinie 100 Die Anzahl von Domainnamen (FQDNs), die Sie in eine Regel einer Firewallrichtlinie aufnehmen können. Dieses Limit kann nicht erhöht werden.

Pro Firewallendpunkt

Die folgenden Limits gelten für Firewallendpunkte:

Element Limit Hinweise
Verknüpfungen pro Firewallendpunkt 50 Die maximale Anzahl von VPC-Netzwerken, die Sie mit einem Firewallendpunkt verknüpfen können. Sie können zusätzliche Firewallendpunkte in derselben Zone erstellen, um dieses Limit zu umgehen.

Pro Sicherheitsprofil

Für Sicherheitsprofile gelten die folgenden Limits:

Element Limit Hinweise
Anzahl der Überschreibungen für Bedrohungen pro Sicherheitsprofil 100 Die maximale Anzahl von Bedrohungsüberschreibungen, die Sie einem Sicherheitsprofil zur Vermeidung von Bedrohungen hinzufügen können.

Pro VM-Netzwerkschnittstelle

Für VM-Netzwerkschnittstellen gelten die folgenden Limits:

Element Limit Hinweise
Maximale Anzahl sicherer Tags pro VM-Schnittstelle 10 Die maximale Anzahl sicherer Tags, die Sie pro VM und NIC hinzufügen können.

Kontingente verwalten

MitCloud Next Generation Firewall werden Kontingente für die Ressourcennutzung aus verschiedenen Gründen festgelegt. Kontingente schützen unter anderem die gesamte Google Cloud -Community vor unerwarteten Nutzungsspitzen. Außerdem unterstützen Kontingente Nutzer, die Google Cloud mit der kostenlosen Stufe prüfen, dabei, im Rahmen der Testversion zu verbleiben.

Alle Projekte beginnen mit den gleichen Kontingenten, die Sie ändern können, indem Sie zusätzliche Kontingente anfordern. Einige Kontingente könnten entsprechend Ihrer Nutzung eines Produkts automatisch erhöht werden.

Berechtigungen

Zur Anzeige von Kontingenten oder zur Anforderung von Kontingenterhöhungen benötigen IAM-Hauptkonten (Identity and Access Management) eine der folgenden Rollen:

Aufgabe Erforderliche Rolle
Kontingente für ein Projekt prüfen Beispiele:
Kontingente ändern, zusätzliche Kontingente anfordern Beispiele:
  • Project Owner (roles/owner)
  • Project Editor (roles/editor)
  • Quota Administrator (roles/servicemanagement.quotaAdmin)
  • Eine benutzerdefinierte Rolle mit der Berechtigung serviceusage.quotas.update

Kontingent prüfen

Console

  1. Öffnen Sie in der Google Cloud Console die Seite Kontingente.

    Kontingente aufrufen

  2. Mit dem Feld Tabelle filtern können Sie nach den zu aktualisierenden Kontingenten suchen. Wenn Sie den Namen des Kontingents nicht kennen, verwenden Sie stattdessen die Links auf dieser Seite.

gcloud

Führen Sie mit der Google Cloud CLI den folgenden Befehl aus, um Ihre Kontingente zu prüfen. Ersetzen Sie PROJECT_ID durch Ihre Projekt-ID:

    gcloud compute project-info describe --project PROJECT_ID

Mit dem folgenden Befehl prüfen Sie das genutzte Kontingent in einer Region:

    gcloud compute regions describe example-region
    

Fehler beim Überschreiten Ihres Kontingents

Wenn Sie ein Kontingent mit einem gcloud-Befehl überschreiten, gibt gcloud eine quota exceeded-Fehlermeldung aus und liefert den Exit-Code 1.

Wenn Sie ein Kontingent mit einer API-Anfrage überschreiten, liefert Google Cloud folgenden HTTP-Statuscode: 413 Request Entity Too Large.

Weitere Kontingente anfordern

Verwenden Sie die Google Cloud Console, um die meisten Kontingente anzupassen. Weitere Informationen finden Sie unter Höheres Kontingentlimit anfordern.

Console

  1. Öffnen Sie in der Google Cloud Console die Seite Kontingente.

    Kontingente aufrufen

  2. Wählen Sie auf der Seite Kontingente die Kontingente aus, die Sie ändern möchten.
  3. Klicken Sie oben auf der Seite auf Kontingente bearbeiten.
  4. Geben Sie unter Name Ihren Namen ein.
  5. Optional: Geben Sie unter Telefon eine Telefonnummer ein.
  6. Senden Sie die Anfrage. Die Bearbeitung von Kontingentanforderungen dauert 24 bis 48 Stunden.

Ressourcenverfügbarkeit

Jedes Kontingent stellt die maximale Anzahl an Ressourcen eines bestimmten Typs dar, die Sie erstellen können, sofern der Ressourcentyp verfügbar ist. Beachten Sie, dass Kontingente die Verfügbarkeit von Ressourcen nicht garantieren. Selbst wenn Sie ein verfügbares Kontingent haben, können Sie keine neue Ressource erstellen, wenn keine verfügbar ist.

Beispiel: Sie haben noch ein ausreichendes Kontingent zum Erstellen einer neuen regionalen, externen IP-Adresse in der Region us-central1. Dies ist jedoch nicht möglich, wenn in dieser Region keine externen IP-Adressen verfügbar sind. Die Verfügbarkeit von zonalen Ressourcen kann sich auch auf Ihre Fähigkeit auswirken, eine neue Ressource zu erstellen.

Es kommt nur selten vor, dass Ressourcen in einer kompletten Region nicht verfügbar sind. Ressourcen innerhalb einer Zone können aber manchmal vorübergehend ausgeschöpft sein, ohne dass sich das auf das Service Level Agreement (SLA) für den Ressourcentyp auswirkt. Weitere Informationen finden Sie im entsprechenden SLA für die Ressource.