本文档列出了适用于 Cloud 新一代防火墙的配额和限制。 如需详细了解配额,请参阅虚拟私有云配额。
配额用于限制您的 Google Cloud 项目可使用的共享 Google Cloud 资源(包括硬件、软件和网络组件)的数量。因此,有以下功能的系统具有配额:
- 监控 Google Cloud 产品和服务的使用情况或消耗情况。
- 出于某些原因限制这些资源的消耗量,包括确保公平性和减少使用量高峰。
- 维护可自动强制执行规定限制的配置。
- 提供请求或更改配额的方法。
在大多数情况下,当超过配额时,系统会立即阻止对相关 Google 资源的访问,并且您尝试执行的任务将失败。在大多数情况下,配额适用于每个 Google Cloud 项目,并由使用该 Google Cloud 项目的所有应用和 IP 地址共享。
Cloud NGFW 资源也有限制。这些限制与配额系统无关。除非另有说明,否则无法更改限制。
配额
本部分列出了适用于 Cloud 新一代防火墙的配额。
您可以在 VPC 配额和限制页面上查看与 Virtual Private Cloud (VPC) 关联的配额和限制。
每个项目
每个项目的配额都是可调整的配额。您可以使用 Google Cloud 控制台申请更改每个项目的配额。如需详细了解如何申请更改配额,请参阅申请更多配额。如果修改选项不适用于配额,请提交支持请求,询问是否可以增加或减少配额。
如需监控使用 Cloud Monitoring 的每个项目的配额,请对 Consumer Quota 资源类型的指标 serviceruntime.googleapis.com/quota/allocation/usage 设置监控。设置其他标签过滤条件(service、quota_metric)以获取配额类型。如需了解如何监控配额指标,请参阅为配额指标绘制图表并进行监控。每个配额都有限制值和用量值。
下表重点介绍每个项目中 Cloud NGFW 资源的重要全球配额。如需了解其他配额,您可以查看 Google Cloud 控制台中的配额页面。
| 配额 | 说明 |
|---|---|
| VPC 防火墙规则 | 您可以为项目中的所有 VPC 网络创建的 VPC 防火墙规则的数量。 |
| 每个项目的全球地址组 | 您可以在一个项目中定义的全球地址组的数量。 |
| 每个区域每个项目的区域级地址组 | 您可以为一个区域中的一个项目定义的区域级地址组的数量。 |
| 全球网络防火墙政策 | 项目中的全球网络防火墙政策的数量。 |
| 区域级网络防火墙政策 | 项目中每个区域的区域级网络防火墙政策的数量。 |
每个组织
下表重点介绍每个组织中 Cloud NGFW 资源的重要全球配额。如需申请更新这些配额,请提交支持请求。
| 项 | 默认配额 | 备注 |
|---|---|---|
| 每个组织的未关联的分层防火墙政策 | 50 | 您的 Google Cloud 组织中存在未关联的分层防火墙政策,但与该资源无关联。虽然您的组织可以将不限数量的政策与资源关联,但每个资源只能有一个关联政策。 |
每个防火墙政策
以下配额适用于防火墙政策。
| 配额 | 说明 |
|---|---|
| 分层防火墙政策 | |
| 每项分层防火墙政策的规则属性数量 | 此配额是分层防火墙政策中所有规则的规则属性总和。默认限制为 2000。如需申请增加配额,请提交支持请求。如需了解详情,请参阅规则属性计数详细信息。 |
| 每项分层防火墙政策的域名 (FQDN) | 此配额是政策中所有入站流量规则的所有来源域名的总和,以及政策中所有出站流量规则的所有目标域名的总和。默认上限为 100。如需申请增加配额,请提交支持请求。 |
| 全球网络防火墙政策 | |
| 每个全球网络防火墙政策的规则属性数量 | 全球网络防火墙政策中所有规则的规则属性总和。如需了解详情,请参阅规则属性计数详细信息。 |
| 每项全球网络防火墙政策的域名 (FQDN) | 可以包含在全球网络防火墙政策的所有规则中的域名数量。此配额是政策中所有入站规则的所有来源域名的总和,以及政策中所有出站规则的所有目的地域名的总和。 |
| 区域级网络防火墙政策 | |
| 每个区域级网络防火墙政策的规则属性数量 | 区域级网络防火墙政策中所有规则的规则属性总和。如需了解详情,请参阅规则属性计数详细信息。 |
| 每项区域级网络防火墙政策的域名 (FQDN) | 可以包含在区域级网络防火墙政策的所有规则中的域名 (FQDN) 数量:此配额是政策中所有入站规则的所有来源域名的总和,以及政策中所有出站规则的所有目的地域名的总和。 |
规则属性计数详情
每项防火墙政策支持规则属性数量上限。防火墙政策中所有防火墙规则的规则属性数量总和就是该防火墙政策的规则属性计数。
以下示例规则说明了 Google Cloud 如何按防火墙规则统计规则属性。如需了解 Google Cloud 如何计算每项防火墙政策的规则属性数量,请参阅描述政策。
| 防火墙规则示例 | 规则属性计数 | 说明 |
|---|---|---|
来源 IP 地址范围为 10.100.0.1/32、协议为 tcp、端口范围为 5000-6000 的入站允许防火墙规则。 |
3 | 一个来源范围、一项协议、一个端口范围。 |
来源 IP 地址范围为 10.0.0.0/8, 192.168.0.0/16、目标 IP 地址范围为 100.64.0.7/32、协议为 tcp 和 udp、端口范围为 53-53 和 5353-5353 的入站拒绝防火墙规则。 |
11 | 有四种协议和端口组合:tcp:53-53、tcp:5353-5353、udp:53-53 和 udp:5353-5353。每个协议和端口的组合都使用两个属性。两个来源 IP 地址范围各有一个属性,目标 IP 地址范围有一个属性,协议和端口组合有 8 个属性,因此,属性数量总共有 11 个。 |
来源 IP 地址范围为 100.64.0.7/32、目标 IP 地址范围为 10.100.0.1/32, 10.100.1.1/32、tcp:80、tcp:443 和 udp:4000-5000 的出站拒绝防火墙规则。 |
9 | 协议和端口组合扩展到三个:tcp:80-80、tcp:443-443 和 udp:4000-5000。每个协议和端口的组合都使用两个属性。来源范围有一个属性,两个目标 IP 地址范围各有一个属性,协议和端口组合有 6 个属性,因此,属性数量总共有 9 个。 |
限制
除非特别说明,否则无法提高限制。
每个组织
以下限制适用于组织。
| 项 | 限制 | 备注 |
|---|---|---|
| 每个组织的全球地址组 | 100 | 您可以为每个组织创建的全球地址组的数量上限。 |
| 每个区域每个组织的区域级地址组 | 100 | 您可以为一个区域中的每个组织创建的区域级地址组的数量上限。 |
| 组织地址组 | 100 | 您可以为每个组织创建的地址组的数量上限,与位置(全球性或区域级)无关。 |
| 地址组容量上限 | 1000 | 每个组织或项目的地址组的容量上限。 |
| 每个组织或每个项目的安全标记键的数量上限 | 1000 | 您可以为每个组织或项目创建的安全标记键的数量上限。如需了解详情,请参阅标记限制。 |
| 每个组织或项目的每个键的安全标记值数量上限 | 1000 | 您可以为一个组织或项目中的每个键添加的安全标记值的数量上限。如需了解详情,请参阅标记限制。 |
| 每个组织每个资源的安全标记键值对的数量上限 | 50 | 您可以为一个组织或项目中的每个资源添加的安全标记键值对的数量上限。如需了解详情,请参阅标记限制。
如需了解网络限制,请参阅每个网络的限制。 |
| 每个组织的威胁防护安全配置文件 | 40 | 你可以为每个组织创建的威胁防护类型的安全配置文件数量上限。 |
| 每个组织的安全配置文件组 | 40 | 您可以为每个组织创建的使用威胁防护安全配置文件的安全配置文件组数量上限。 |
| 每个组织每个可用区的防火墙端点 | 10 | 您可以为为每个组织的每个可用区创建的防火墙端点数量上限。 |
每个网络
以下限制适用于 VPC 网络。
| 项 | 限额 | Notes |
|---|---|---|
| 每个网络的全球网络防火墙政策的数量上限 | 1 | 可与 VPC 网络关联的全球网络防火墙政策的数量上限。 |
| 每个网络每个区域的区域网络防火墙政策数上限 | 1 | 可与 VPC 网络和区域组合相关联的区域级网络防火墙政策的数量上限。 |
| 每个网络的域名 (FQDN) 数量上限 | 1000 | 来自与 VPC 网络关联的分层防火墙政策、全球网络防火墙政策和区域网络防火墙政策的防火墙规则中可使用的最大域名总数。 |
| 每个网络每个可用区的防火墙端点 | 1 | 您可以为每个网络的每个可用区分配的防火墙端点数量上限。 |
每条防火墙规则
以下限制适用于防火墙规则:
| 项 | 限额 | Notes |
|---|---|---|
| 每个入站流量防火墙政策规则的来源安全标记的数量上限 | 256 | 仅适用于入站流量防火墙政策规则,即防火墙规则中可用作来源标记的安全标记的数量上限。此限制无法提高。 |
| 每个防火墙政策规则的目标安全标记的数量上限 | 256 | 仅适用于防火墙政策规则,即防火墙规则中可用作目标标记的安全标记的数量上限。此限制无法提高。 |
| 每个入站流量 VPC 防火墙规则的来源网络标记的数量上限 | 30 | 仅适用于入站 VPC 防火墙规则,即防火墙规则中可用作来源标记的网络标记数上限。此限制无法提高。 |
| 每个 VPC 防火墙规则的目标网络标记数上限 | 70 | 仅适用于 VPC 防火墙规则,即可用作防火墙规则中的目标标记的网络标记数上限。此限制无法提高。 |
| 每个入站流量 VPC 防火墙规则的源服务账号数量上限 | 10 | 仅适用于入站流量 VPC 防火墙规则,即可用作防火墙规则来源的服务账号数上限。此限制无法提高。 |
| 每个防火墙规则的目标服务账号数量上限 | 10 | 可用作 VPC 防火墙规则或防火墙政策中的规则的目标的服务账号数量上限。此限制无法提高。 |
| 每个防火墙规则的来源 IP 地址范围数量上限 | 5,000 | 您可在 VPC 防火墙规则或防火墙政策中的规则中指定的来源 IP 地址范围数上限。IP 地址范围仅限 IPv4 或仅限 IPv6。此限制无法提高。 |
| 每个防火墙规则的目标 IP 地址范围数量上限 | 5,000 | 您可以在 VPC 防火墙规则或防火墙政策中的规则中指定的目标 IP 地址范围数上限。IP 地址范围仅限 IPv4 或仅限 IPv6。此限制无法提高。 |
| 防火墙政策中每个入站防火墙规则的来源地址组数量上限 | 10 | 您可在防火墙政策的入站防火墙规则中指定的来源地址组数上限。此限制无法提高。 |
| 防火墙政策中每个防火墙规则的目标地址组数量上限 | 10 | 您可在防火墙政策的出站防火墙规则中指定的目标地址组数量上限。此限额无法提高。 |
| 防火墙政策中每个防火墙规则的域名 (FQDN) 数量上限 | 100 | 防火墙政策的规则中可以包含的域名 (FQDN) 的数量。此限制无法提高。 |
每个防火墙端点
以下限制适用于防火墙端点。
| 项 | 默认配额 | 备注 |
|---|---|---|
| 每个防火墙端点的关联 | 50 | 可与一个防火墙端点关联的 VPC 网络数量上限。您可以在同一可用区中创建其他防火墙端点,以避免此限制。 |
每个安全配置文件
以下限制适用于安全配置文件。
| 项 | 默认配额 | 备注 |
|---|---|---|
| 每个安全配置文件的威胁替换项数量 | 100 | 您可以在威胁防护安全配置文件中添加的威胁替换项数量上限。 |
每个虚拟机网络接口
以下限制适用于虚拟机网络接口:
| 项 | 限额 | Notes |
|---|---|---|
| 每个虚拟机接口的安全标记的数量上限 | 10 | 您可以为每个虚拟机每个 NIC 添加的安全标记的数量上限。 |
管理配额
出于各种原因,Cloud Next Generation Firewall 会对资源用量实施配额限制。例如,配额可避免出现意料之外的用量突增,从而为 Google Cloud 用户社区提供保护。配额还可帮助正在通过免费层级探索 Google Cloud 的用户避免中断试用。
所有项目在开始时都具有相同的配额,您可以通过申请更多配额来进行更改。根据您使用产品的情况,一些配额可能会自动增加。
权限
如需查看配额或申请增加配额,Identity and Access Management (IAM) 主账号需要具备以下某个角色:
| 任务 | 所需角色 |
|---|---|
| 检查项目的配额 | 以下之一:
|
| 修改配额,申请更多配额 | 以下之一:
|
查看您的配额
控制台
- 在 Google Cloud 控制台中,转到配额页面。
- 如需搜索要更新的配额,请使用过滤表。 如果您不知道配额的名称,请使用此页面上的链接。
gcloud
使用 Google Cloud CLI 运行以下命令来查看您的配额。请将 PROJECT_ID 替换为您自己的项目 ID。
gcloud compute project-info describe --project PROJECT_ID
如需查看您在某一区域中已使用的配额,请运行以下命令:
gcloud compute regions describe example-region
超出配额时引发的错误
如果在发出 gcloud 命令时超过了配额,gcloud 会显示一条 quota exceeded 错误消息,并返回退出代码 1。
如果在发出 API 请求时超出了配额,Google Cloud 会返回以下 HTTP 状态代码:HTTP 413 Request Entity Too Large。
申请更多配额
如需增加或减少大多数配额,请使用 Google Cloud 控制台。如需了解详情,请参阅申请更高的配额。
控制台
- 在 Google Cloud 控制台中,转到配额页面。
- 在配额页面上,选择您要更改的配额。
- 点击位于页面顶部的修改配额。
- 填写您的姓名、电子邮件地址和电话号码,然后点击下一步。
- 填写您的配额申请,然后点击完成。
- 提交您的申请。 配额申请需要 24 到 48 小时才能完成处理。
资源可用性
每个配额代表您可以创建的特定类型资源的数量上限(如果该资源可用)。必须要注意的是,配额无法保证资源可用。即使您具有可用配额,如果新资源不可用,您也无法创建新资源。
例如,您的配额可能足以在 us-central1 区域中创建新的区域性外部 IP 地址。但是,如果该区域中没有可用的外部 IP 地址,则无法执行此操作。区域级资源可用性也会影响您能否创建新资源。
导致资源在整个区域不可用的情况非常罕见。但是,地区内的资源有时可能会耗尽,通常不会影响资源类型的服务等级协议 (SLA)。如需了解详情,请参阅资源的相关 SLA。