このドキュメントでは、Cloud Next Generation Firewall に適用される割り当てと上限について説明します。
割り当ては、Google Cloud プロジェクトで使用できる共有 Google Cloud リソース(ハードウェア、ソフトウェア、ネットワーク コンポーネントなど)の量を制限します。つまり、割り当てはシステムの一部で、次の機能があります。
- Google Cloud のプロダクトとサービスの使用量や消費量をモニタリングする。
- 公平性の確保や使用量急増の抑制などのため、これらのリソースの消費量を制限する。
- 規定の制限を自動的に適用する構成を維持する。
- 割り当てをリクエストまたは変更する手段を提供する。
ほとんどの場合、割り当てを超過すると、システムは関連する Google リソースへのアクセスをすぐにブロックするため、ユーザーが試行しているタスクは失敗します。ほとんどの場合、割り当ては各 Google Cloud プロジェクトに適用され、その Google Cloud プロジェクトを使用するすべてのアプリケーションと IP アドレスで共有されます。
Cloud NGFW リソースには上限もあります。これらの上限は、割り当てシステムとは無関係です。上限は、特に明記されていない限り、変更できません。
割り当て
このセクションでは、Cloud Next Generation Firewall に適用される割り当てについて説明します。
Virtual Private Cloud(VPC)に関連付けられた割り当てと上限は、VPC の割り当てと上限ページで確認できます。
プロジェクト単位
プロジェクトごとの割り当ては調整可能な割り当てです。プロジェクトごとの割り当ての変更をリクエストするには、Google Cloud コンソールを使用します。割り当ての変更をリクエストする方法については、追加の割り当てをリクエストするをご覧ください。割り当ての編集オプションがない場合は、サポートケースを登録して、割り当ての増減が可能かどうかを確認します。
Cloud Monitoring を使用するプロジェクトごとの割り当てをモニタリングするには、Consumer Quota リソースタイプで指標 serviceruntime.googleapis.com/quota/allocation/usage のモニタリングを設定します。割り当てタイプに到達するように、追加のラベルフィルタ(service、quota_metric)を設定します。割り当て指標のモニタリングの詳細については、割り当て指標をグラフ化してモニタリングするをご覧ください。各割り当てには上限と使用量の値があります。
次の表に、各プロジェクトの Cloud NGFW リソースで重要なグローバル割り当てを示します。その他の割り当てについては、Google Cloud コンソールの [割り当て] ページをご覧ください。
| 割り当て | 説明 |
|---|---|
| VPC ファイアウォール ルール | プロジェクト内のすべての VPC ネットワークに対して作成できる VPC ファイアウォール ルールの数。 |
| プロジェクトごとのグローバル アドレス グループ | 1 つのプロジェクトで定義できるグローバル アドレス グループの数。 |
| 1 リージョン、1 プロジェクトあたりのリージョン アドレス グループ | 1 つのリージョンで 1 つのプロジェクトに対して定義できるリージョン アドレス グループの数。 |
| グローバル ネットワーク ファイアウォール ポリシー | 1 つのプロジェクトで定義できるグローバル ネットワーク ファイアウォール ポリシーの数。 |
| リージョン ネットワーク ファイアウォール ポリシー | 1 つのリージョンで 1 つのプロジェクトに対して定義できるリージョン ネットワーク ファイアウォール ポリシーの数。 |
組織単位
次の表に、各組織の Cloud NGFW リソースで重要なグローバル割り当てを示します。これらの割り当ての更新をリクエストするには、サポートケースを登録してください。
| 項目 | デフォルトの割り当て | 注 |
|---|---|---|
| 組織単位の非関連階層型ファイアウォール ポリシー数 | 50 | 非階層型のファイアウォール ポリシーは Google Cloud 組織に存在しますが、ノードに関連付けられていません。組織がノードに関連付けることができるポリシーの数に上限はありませんが、各ノードに関連付けることができるポリシーは 1 つだけです。 |
ファイアウォール ポリシー単位
以下の割り当てがファイアウォール ポリシーに適用されます。割り当ての引き上げをリクエストするには、サポートケースを登録してください。
| 項目 | デフォルトの割り当て | 注 |
|---|---|---|
| 階層型ファイアウォール ポリシー | ||
| 階層型ファイアウォール ポリシーあたりのルール属性の数 | 2,000 | 階層型ファイアウォール ポリシーにおけるすべてのルールのルール属性の合計。詳細については、ルール属性の数の詳細をご覧ください。 |
| 階層型ファイアウォール ポリシーあたりのドメイン名(FQDN) | 100 | 階層型ファイアウォール ポリシーのすべてのルールに含めることができるドメイン名の数。この割り当ては、ポリシーにおけるすべての上り(内向き)ルールのすべての送信元ドメイン名の合計と、ポリシーにおけるすべての下り(外向き)ルールのすべての宛先ドメイン名の合計です。 |
| グローバル ネットワーク ファイアウォール ポリシー | ||
| グローバル ネットワーク ファイアウォール ポリシーあたりのルール属性の数 | 10,000 | グローバル ネットワーク ファイアウォール ポリシーにおけるすべてのルールのルール属性の合計。詳細については、ルール属性の数の詳細をご覧ください。 |
| グローバル ネットワーク ファイアウォール ポリシーあたりのドメイン名(FQDN) | 100 | グローバル ネットワーク ファイアウォール ポリシーのすべてのルールに含めることができるドメイン名の数。この割り当ては、ポリシーにおけるすべての上り(内向き)ルールのすべての送信元ドメイン名の合計と、ポリシーにおけるのすべての下り(外向き)ルールのすべての宛先ドメイン名の合計です。 |
| リージョン ネットワーク ファイアウォール ポリシー | ||
| リージョン ネットワーク ファイアウォール ポリシーあたりのルール属性の数 | 10,000 | リージョン ネットワーク ファイアウォール ポリシーにおけるすべてのルールのルール属性の合計。詳細については、ルール属性の数の詳細をご覧ください。 |
| リージョン ネットワーク ファイアウォール ポリシーあたりのドメイン名(FQDN) | 100 | リージョン ネットワーク ファイアウォール ポリシーのすべてのルールに含めることができるドメイン名(FQDN)の数: この割り当ては、ポリシーにおけるすべての上り(内向き)ルールのすべての送信元ドメイン名の合計と、ポリシーにおけるすべての下り(外向き)ルールの宛先ドメイン名の合計です。 |
ルール属性の数の詳細
各ファイアウォール ポリシーは、ルール属性の最大合計数をサポートします。ファイアウォール ポリシーにおけるすべてのファイアウォール ルールのルール属性の数の合計が、そのファイアウォール ポリシーのルール属性の数になります。
次のルールの例は、Google Cloud におけるファイアウォール ルールごとのルール属性のカウント方法を示しています。Google Cloud におけるファイアウォール ポリシーごとのルール属性のカウント方法については、ポリシーの説明をご覧ください。
| ファイアウォール ルールの例 | ルール属性の数 | 説明 |
|---|---|---|
送信元 IP アドレス範囲が 10.100.0.1/32、プロトコルが tcp、ポート範囲が 5000-6000 の上り(内向き)許可ファイアウォール ルール。 |
3 | 1 つの送信元 IP アドレス範囲、1 つのプロトコル、1 つのポート範囲。 |
送信元 IP アドレス範囲が 10.0.0.0/8, 192.168.0.0/16、宛先 IP アドレス範囲が 100.64.0.7/32、プロトコルが tcp および udp、ポート範囲が 53-53 と 5353-5353 の上り(内向き)拒否ファイアウォール ルール。 |
11 | プロトコルとポートの組み合わせは、tcp:53-53、tcp:5353-5353、udp:53-53、udp:5353-5353 の 4 つ。プロトコルとポートの組み合わせごとに、2 つの属性を使用します。2 つの送信元 IP アドレス範囲にそれぞれ 1 つの属性、宛先 IP アドレス範囲に 1 つの属性、プロトコルとポートの組み合わせに 8 つの属性がある場合は、属性数は 11 になります。 |
送信元 IP アドレス範囲が 100.64.0.7/32、宛先 IP アドレス範囲が 10.100.0.1/32, 10.100.1.1/32、tcp:80、tcp:443、udp:4000-5000 の下り(外向き)拒否ファイアウォール ルール。 |
9 | プロトコルとポートの組み合わせは、tcp:80-80、tcp:443-443、udp:4000-5000 の 3 つ。プロトコルとポートの組み合わせごとに、2 つの属性を使用します。送信元 IP アドレス範囲に 1 つの属性、2 つの宛先 IP アドレス範囲にそれぞれ 1 つの属性、プロトコルとポートの組み合わせに 6 つの属性がある場合、属性数は 9 になります。 |
上限
具体的に注記がある場合を除き、通常、上限を引き上げることはできません。
組織単位
以下の上限は、組織に適用されます。
| 項目 | 上限 | 注 |
|---|---|---|
| 組織あたりのグローバル アドレス グループ | 100 | 1 つの組織に作成できるグローバル アドレス グループの最大数。 |
| 1 リージョン、1 組織あたりのリージョン アドレス グループ | 100 | 1 つのリージョンの 1 つの組織に作成できるリージョン アドレス グループの最大数。 |
| 組織のアドレス グループ | 100 | ロケーション(グローバルまたはリージョン)に関係なく、組織ごとに作成できるアドレス グループの最大数。 |
| アドレス グループの最大容量 | 1,000 | 組織またはプロジェクトごとのアドレス グループの最大容量。 |
| 組織またはプロジェクトごとのセキュアタグの最大数 | 1,000 | 組織またはプロジェクトごとに作成できるセキュアタグ キーの最大数。詳細については、タグの制限をご覧ください。 |
| 組織またはプロジェクトごとの鍵あたりのセキュアタグの最大値 | 1,000 | 組織またはプロジェクトのキーごとに追加できるセキュアタグの値の最大数。詳細については、タグの制限をご覧ください。 |
| 組織ごとのリソースあたりのセキュアタグの Key-Value ペアの最大数 | 50 | 組織またはプロジェクト内のリソースごとに追加できる、セキュアタグの Key-Value ペアの最大数。詳細については、タグの制限をご覧ください。 ネットワークの上限については、ネットワークごとの上限をご覧ください。 |
| 組織ごとの脅威防止セキュリティ プロファイル | 30 | 組織ごとに作成できる脅威防止タイプのセキュリティ プロファイルの最大数。 |
| 組織あたりのセキュリティ プロファイル グループ数 | 10 | 脅威防止セキュリティ プロファイルを使用するセキュリティ プロファイル グループのうち、組織ごとに作成できる最大数。 |
| 組織、ゾーンあたりのファイアウォール エンドポイント | 2 | 組織の 1 つのゾーンに作成できるファイアウォール エンドポイントの最大数。 |
ネットワークごと
VPC ネットワークには次の上限が適用されます。
| 項目 | 上限 | メモ |
|---|---|---|
| ネットワークあたりの最大グローバル ネットワーク ファイアウォール ポリシー | 1 | VPC ネットワークに関連付けることができる、グローバル ネットワーク ファイアウォール ポリシーの最大数。 |
| ネットワークごとのリージョンあたりのリージョン ネットワーク ファイアウォール ポリシーの最大数 | 1 | VPC ネットワークとリージョンの組み合わせに関連付けることができる、リージョン ネットワーク ファイアウォール ポリシーの最大数。 |
| ネットワークあたりのドメイン名(FQDN)の最大数 | 1,000 | 階層型ファイアウォール ポリシー、グローバル ネットワーク ファイアウォール ポリシー、および VPC ネットワークに関連付けられたリージョン ネットワーク ファイアウォール ポリシーのファイアウォール ルールで使用できるドメイン名の最大合計数。 |
| 1 ゾーン、1 ネットワークあたりのファイアウォール エンドポイント | 1 | ネットワークごとのゾーンあたりに割り当て可能なファイアウォール エンドポイントの最大数。 |
ファイアウォール ルール単位
ファイアウォール ルールには、次の上限が適用されます。
| 項目 | 上限 | メモ |
|---|---|---|
| 上り(内向き)VPC ファイアウォール ルールあたりのソース ネットワーク タグの最大数 | 30 | 上り(内向き)VPC ファイアウォール ルールにのみ適用される、ファイアウォール ルールでソースタグとして使用できるネットワーク タグの最大数。この上限を引き上げることはできません。 |
| VPC ファイアウォール ルールあたりのターゲット ネットワーク タグの最大数 | 70 | VPC ファイアウォール ルールにのみ適用される、ファイアウォール ルールでターゲット タグとして使用できるネットワーク タグの最大数。この上限を引き上げることはできません。 |
| 上り(内向き)VPC ファイアウォール ルールあたりのソースサービス アカウントの最大数 | 10 | 上り(内向き)VPC ファイアウォール ルールにのみ適用される、ファイアウォール ルールでソースとして使用できるサービス アカウントの最大数。この上限を引き上げることはできません。 |
| ファイアウォール ルール単位の最大ターゲット サービス アカウント数 | 10 | VPC ファイアウォール ルールまたはファイアウォール ポリシーのルールでターゲットとして使用できるサービス アカウントの最大数。この上限を引き上げることはできません。 |
| ファイアウォール ルールあたりの送信元 IP アドレス範囲の最大数 | 5,000 | VPC ファイアウォール ルールまたはファイアウォール ポリシーのルールで指定できる送信元 IP アドレス範囲の最大数。IP アドレス範囲は、IPv4 のみ、または IPv6 のみです。この上限を引き上げることはできません。 |
| ファイアウォール ルールあたりの宛先 IP アドレス範囲の最大数 | 5,000 | VPC ファイアウォール ルールまたはファイアウォール ポリシーのルールで指定できる宛先 IP アドレス範囲の最大数。IP アドレス範囲は、IPv4 のみ、または IPv6 のみです。この上限を引き上げることはできません。 |
| ファイアウォール ポリシーの上り(内向き)ファイアウォール ルールあたりの送信元アドレス グループの最大数 | 10 | ファイアウォール ポリシーの上り(内向き)ファイアウォール ルールで指定できる送信元アドレス グループの最大数。この上限を引き上げることはできません。 |
| ファイアウォール ポリシーのファイアウォール ルールあたりの宛先アドレス グループの最大数 | 10 | ファイアウォール ポリシーの下り(外向き)ファイアウォール ルールで指定できる宛先アドレス グループの最大数。この上限を引き上げることはできません。 |
| ファイアウォール ポリシーのファイアウォール ルールあたりのドメイン名(FQDN)の最大数 | 100 | ファイアウォール ポリシーのルールに含めることができるドメイン名(FQDN)の数。この上限を引き上げることはできません。 |
ファイアウォール エンドポイント単位
ファイアウォール エンドポイントには、次の上限が適用されます。
| 項目 | デフォルトの割り当て | メモ |
|---|---|---|
| ファイアウォール エンドポイントあたりの関連付け | 10 | ファイアウォール エンドポイントに関連付けることができる VPC ネットワークの最大数。この上限を回避するには、同じゾーンに追加のファイアウォール エンドポイントを作成します。 |
セキュリティ プロファイルごと
セキュリティ プロファイルには次の上限が適用されます。
| 項目 | デフォルトの割り当て | メモ |
|---|---|---|
| セキュリティ プロファイルごとの脅威のオーバーライド数 | 100 | 脅威防止のセキュリティ プロファイルに追加できる脅威のオーバーライドの最大数。 |
VM ネットワーク インターフェース単位
VM ネットワーク インターフェースには次の上限が適用されます。
| 項目 | 上限 | メモ |
|---|---|---|
| VM インターフェースあたりのセキュアタグの最大数 | 10 | NIC ごとに 1 台の VM に追加できるセキュアタグの最大数。 |
割り当てを管理する
Cloud Next Generation Firewall では、さまざまな理由から、使用できるリソースの割り当て量に上限が設けられています。たとえば、割り当て量の上限を設定して予期しない使用量の急増を防ぐことで、Google Cloud ユーザーのコミュニティを保護しています。割り当て量は、無料枠で Google Cloud を試しているユーザーをトライアルに留めておくのにも役立ちます。
すべてのプロジェクトは同じ割り当て量で開始しますが、追加の割り当て量をリクエストすることで変更できます。一部の割り当て量は、プロダクトの使用状況に応じて自動的に増える場合があります。
権限
Identity and Access Management(IAM)のプリンシパルが割り当ての表示や、割り当ての増加のリクエストをするには、以下のいずれかのロールが必要です。
| タスク | 必要なロール |
|---|---|
| プロジェクトの割り当て量をチェックする | 次のいずれかが必要です。 |
| 割り当て量の変更、割り当て量の追加のリクエストを行う | 次のいずれかが必要です。 |
割り当て量を確認する
コンソール
- Google Cloud コンソールで [割り当て] ページに移動します。
- 更新する割り当てを検索するには、[表をフィルタリング] を使用します。割り当ての名前がわからない場合は、このページにあるリンクを使用します。
gcloud
Google Cloud CLI で次のコマンドを実行して、割り当てを確認します。PROJECT_ID は、実際のプロジェクト ID に置き換えます。
gcloud compute project-info describe --project PROJECT_ID
ある特定のリージョンで使用済みの割り当て量を確認するには、次のコマンドを実行します。
gcloud compute regions describe example-region
割り当て量を超えたときのエラー
gcloud コマンドで割り当て量を超えた場合、gcloud は quota exceeded エラー メッセージを出力し、終了コード 1 を返します。
API リクエストで割り当て量を超えた場合、Google Cloud は HTTP ステータス コード HTTP 413 Request Entity Too Large を返します。
追加の割り当てをリクエストする
ほどんどの場合、割り当ての増減を行うには Google Cloud コンソールを使用します。詳細については、割り当ての増加をリクエストするをご覧ください。
コンソール
- Google Cloud コンソールで [割り当て] ページに移動します。
- [割り当て] ページで、変更する割り当てを選択します。
- ページの上部にある [割り当てを編集] をクリックします。
- 名前、メールアドレス、電話番号を入力して、[次へ] をクリックします。
- 割り当てリクエストを入力して、[完了] をクリックします。
- リクエストを送信します。割り当てのリクエストが処理されるまでに、24~48 時間かかります。
リソースの可用性
各割り当て量は、リソースが利用可能な場合に作成できる特定のリソースタイプの最大数を表します。割り当て量によってリソースの可用性が保証されるわけではありません。この点は注意が必要です。割り当て量が使用可能でも、新しいリソースを使用できなければ、そのリソースを作成することはできません。
たとえば、us-central1 リージョンで新しいリージョンの外部 IP アドレスを作成するための割り当て量が十分にあっても、そのリージョンに使用可能な外部 IP アドレスがない場合、外部 IP アドレスは作成できません。ゾーンリソースの可用性は、新しいリソースを作成できるかにも影響を及ぼす可能性があります。
リージョン全体でリソースを使用できない状況はまれです。ただし、ゾーン内のリソースが使い果たされることはあります。通常、そのリソースタイプのサービスレベル契約(SLA)に影響はありません。詳細については、リソースに関連する SLA をご覧ください。