Questo documento elenca le quote e i limiti di sistema che si applicano a Cloud Next Generation Firewall.
- Le quote hanno valori predefiniti, ma in genere puoi richiedere modifiche.
- I limiti di sistema sono valori fissi che non possono essere modificati.
Google Cloud utilizza le quote per garantire l'equità e ridurre i picchi di utilizzo e disponibilità delle risorse. Una quota limita la quantità di una Google Cloud risorsa che Google Cloud il progetto può utilizzare. Le quote si applicano a una serie di tipi di risorse, inclusi hardware, software e componenti di rete. Ad esempio, le quote possono limitare il numero di chiamate API a un servizio, il numero di bilanciatori del carico utilizzati contemporaneamente dal tuo progetto o il numero di progetti che puoi creare. Le quote proteggono la community degli utentiGoogle Cloud impedendo il sovraccarico dei servizi. Le quote ti aiutano inoltre a gestire le tue Google Cloud risorse.
Il sistema delle quote di Cloud esegue le seguenti operazioni:
- Monitora il tuo consumo di Google Cloud prodotti e servizi
- Limita il consumo di queste risorse
- Fornisce un modo per richiedere modifiche al valore della quota e automatizzare gli aggiustamenti della quota
Nella maggior parte dei casi, quando provi a utilizzare una risorsa per un volume maggiore di quello consentito dalla quota, il sistema blocca l'accesso alla risorsa e l'attività che stai tentando di eseguire non va a buon fine.
In genere, le quote si applicano a livello di Google Cloud progetto. L'utilizzo di una risorsa in un progetto non influisce sulla quota disponibile in un altro progetto. All'interno di un Google Cloud progetto, le quote vengono condivise tra tutte le applicazioni e gli indirizzi IP.
Per maggiori informazioni, consulta la panoramica di Cloud Quotas.Esistono anche limiti di sistema per le risorse Cloud NGFW. I limiti di sistema non possono essere modificati.
Quote
Questa sezione elenca le quote che si applicano a Cloud Next Generation Firewall.
Per monitorare le quote per progetto che utilizzano Cloud Monitoring, configura il monitoraggio
per la metrica serviceruntime.googleapis.com/quota/allocation/usage sul
tipo di risorsa Consumer Quota. Imposta filtri per le etichette aggiuntivi (service,
quota_metric) per accedere al tipo di quota. Per informazioni sul monitoraggio delle metriche
delle quote, consulta Grafico e monitoraggio delle metriche delle quote.
Ogni quota ha un limite e un valore di utilizzo.
Se non diversamente specificato, per modificare una quota, vedi Richiedi un aggiustamento della quota.
Per progetto
La seguente tabella evidenzia le quote di Cloud NGFW per progetto:
| Quota | Descrizione |
|---|---|
| Regole firewall VPC | Il numero di regole firewall VPC che puoi creare in un progetto, indipendentemente dalla rete VPC a cui si applica ogni regola firewall. |
| Policy del firewall di rete globali | Il numero di criteri firewall di rete globali in un progetto, indipendentemente dal numero di reti VPC associate a ciascun criterio. |
| Policy firewall di rete regionali | Il numero di policy del firewall di rete regionali in ogni regione di un progetto, indipendentemente dal numero di reti VPC associate a ogni policy. |
| Gruppi di indirizzi globali per progetto | Il numero di gruppi di indirizzi globali a livello di progetto che puoi definire in un progetto. |
| Gruppi di indirizzi regionali per progetto per regione | Il numero di gruppi di indirizzi a livello di progetto e di regione che puoi definire in ciascuna regione di un progetto. |
Per organizzazione
La tabella seguente evidenzia le quote di Cloud NGFW per organizzazione. Per modificare una quota a livello di organizzazione, apri una richiesta di assistenza.
| Quota | Descrizione |
|---|---|
| Criteri firewall gerarchici non associati in un'organizzazione | Il numero di criteri firewall gerarchici in un'organizzazione che non sono associati a nessuna risorsa dell'organizzazione o cartella. Non esiste alcun limite al numero di criteri firewall gerarchici in un'organizzazione associati a una risorsa. |
| Gruppi di indirizzi globali per organizzazione | Il numero di gruppi di indirizzi globali e con ambito organizzativo che puoi definire in un'organizzazione. |
| Gruppi di indirizzi regionali per organizzazione per regione | Il numero di gruppi di indirizzi regionali con ambito organizzazione che puoi definire in ciascuna regione di un'organizzazione. |
Per policy del firewall
La tabella seguente evidenzia le quote di Cloud NGFW per risorsa di policy firewall:
| Quota | Descrizione |
|---|---|
| Criteri firewall gerarchici | |
| Attributi di regola per criterio firewall gerarchico | Questa quota è la somma degli attributi di regola di tutte le regole di un criterio firewall gerarchico. Per ulteriori informazioni, vedi Dettagli sul conteggio degli attributi delle regole. |
| Nomi di dominio (FQDN) per criterio firewall gerarchico | Il numero di nomi di dominio che puoi includere in tutte le regole di un criterio firewall gerarchico. Questa quota è la somma di tutti i nomi di dominio di origine di tutte le regole di ingresso nel criterio più la somma di tutti i nomi di dominio di destinazione di tutte le regole di uscita nel criterio. |
| Policy del firewall di rete globali | |
| Attributi delle regole per policy del firewall di rete globale | La somma degli attributi di regola di tutte le regole di un criterio firewall di rete globale. Per ulteriori informazioni, vedi Dettagli sul conteggio degli attributi delle regole. |
| Nomi di dominio (FQDN) per policy firewall di rete globale | Il numero di nomi di dominio che puoi includere in tutte le regole di un criterio firewall di rete globale. Questa quota è la somma di tutti i nomi di dominio di origine di tutte le regole di ingresso nel criterio più la somma di tutti i nomi di dominio di destinazione di tutte le regole di uscita nel criterio. |
| Policy firewall di rete regionali | |
| Attributi delle regole per policy firewall di rete regionali | La somma degli attributi di regola di tutte le regole di un criterio firewall di rete regionale. Per ulteriori informazioni, vedi Dettagli sul conteggio degli attributi delle regole. |
| Nomi di dominio (FQDN) per policy firewall di rete regionale | Il numero di nomi di dominio (FQDN) che puoi includere in tutte le regole di un criterio firewall di rete regionale: questa quota è la somma di tutti i nomi di dominio di origine di tutte le regole di ingresso nel criterio più la somma di tutti i nomi di dominio di destinazione di tutte le regole di uscita nel criterio. |
Dettagli sul conteggio degli attributi regola
Ogni criterio firewall supporta un numero totale massimo di attributi di tutte le regole del criterio. Per determinare il conteggio degli attributi di regola per una determinata policy firewall, descrivi la policy. Per le indicazioni, vedi quanto segue:
- Descrivi una policy nella documentazione sui criteri firewall gerarchici
- Descrivere una policy del firewall di rete globale
- Descrivi una policy del firewall di rete regionale
La tabella seguente elenca regole di esempio e il conteggio degli attributi per ciascuna regola.
| Regola firewall di esempio | Conteggio attributi regola | Spiegazione |
|---|---|---|
Regola firewall di autorizzazione in entrata con intervallo di indirizzi IP di origine
10.100.0.1/32, protocollo tcp e
intervallo di porte 5000-6000.
|
3 | Un intervallo di origine, un protocollo e un intervallo di porte. |
Regola firewall di negazione in entrata con intervalli di indirizzi IP di origine
10.0.0.0/8, 192.168.0.0/16, intervallo di indirizzi IP di destinazione
100.64.0.7/32, protocolli tcp e
udp, intervalli di porte 53-53 e
5353-5353.
|
11 | Esistono quattro combinazioni di protocollo e porta: tcp:53-53,
tcp:5353-5353, udp:53-53 e
udp:5353-5353. Ogni combinazione di protocollo e porta utilizza due
attributi. Un attributo per ciascuno dei due intervalli di indirizzi IP di origine, un attributo per l'intervallo di indirizzi IP di destinazione e otto attributi per le combinazioni di protocollo e porta producono un conteggio di 11 attributi. |
Regola firewall di negazione dell'uscita con intervallo di indirizzi IP di origine
100.64.0.7/32, intervallo di indirizzi IP di destinazione
10.100.0.1/32, 10.100.1.1/32, tcp:80,
tcp:443 e udp:4000-5000.
|
9 | Le combinazioni di protocollo e porta si espandono a tre: tcp:80-80,
tcp:443-443 e udp:4000-5000. Ogni combinazione di protocollo e porta utilizza due attributi. Un attributo per l'intervallo di origine, un attributo per ciascuno dei due intervalli di indirizzi IP di destinazione e sei attributi per le combinazioni di protocollo e porta producono un conteggio degli attributi pari a 9. |
Limiti
I limiti non possono essere aumentati se non diversamente specificato.
Per organizzazione
I seguenti limiti si applicano alle organizzazioni:
| Elemento | limite | Note |
|---|---|---|
| Numero massimo di chiavi tag sicure per organizzazione | 1000 | Il numero massimo di chiavi di tag sicure che hanno un'organizzazione principale. Per ulteriori informazioni, consulta Limiti dei tag. |
Valori tag sicuri massimi utilizzati da tutte le chiavi tag il cui purpose
è GCE_FIREWALL e purpose-data è un'organizzazione
|
16384 | Questo limite viene applicato a tutti i valori dei tag utilizzati dalle chiavi dei tag create nell'organizzazione corrispondente ai dati sullo scopo, incluse le chiavi dei tag il cui elemento principale è l'organizzazione o un progetto al suo interno. |
| Profili di sicurezza per la prevenzione delle minacce per organizzazione | 40 | Il numero massimo di profili di sicurezza di tipo prevenzione delle minacce che puoi creare per organizzazione. |
| Gruppi di profili di sicurezza per organizzazione | 40 | Il numero massimo di gruppi di profili di sicurezza che utilizzano un profilo di sicurezza di prevenzione delle minacce che puoi creare per organizzazione. |
| Endpoint firewall per zona per organizzazione | 50 | Il numero massimo di endpoint firewall che puoi creare per zona per organizzazione. |
Per progetto
Al progetto si applicano i seguenti limiti:
| Elemento | limite | Note |
|---|---|---|
| Numero massimo di chiavi tag sicure per progetto | 1000 | Il numero massimo di chiavi di tag sicuri che hanno un progetto padre. Per ulteriori informazioni, consulta Limiti dei tag. |
Per rete
I seguenti limiti sono applicabili alle reti VPC:
| Elemento | Limite | Note |
|---|---|---|
| Numero massimo di policy firewall di rete globali per rete | 1 | Il numero massimo di criteri firewall di rete globali che puoi associare a una rete VPC. |
| Numero massimo di policy firewall di rete regionali per regione per rete | 1 | Il numero massimo di policy firewall di rete regionali che puoi associare a una combinazione di rete VPC e regione. |
| Numero massimo di nomi di dominio (FQDN) per rete | 1000 | Il numero totale massimo di nomi di dominio che possono essere utilizzati nelle regole firewall provenienti da policy firewall gerarchiche, policy firewall di rete globali e policy firewall di rete regionali associate a una rete VPC. |
Valori massimi dei tag sicuri utilizzati da tutte le chiavi tag il cui purpose
è GCE_FIREWALL e purpose-data è una
rete VPC
|
16383 | Questo limite viene applicato a tutti i valori dei tag utilizzati dalle chiavi tag il cui
purpose-data corrisponde alla rete VPC specificata,
incluse le chiavi tag il cui parent è l'organizzazione o un progetto.
|
| Endpoint firewall per zona per rete | 1 | Il numero massimo di endpoint firewall che puoi assegnare per zona per rete. |
Per regola firewall
Ai firewall si applicano i seguenti limiti:
| Elemento | Limite | Note |
|---|---|---|
| Numero massimo di tag sicuri di origine per regola firewall in entrata | 256 | Applicabile solo alla regola del criterio firewall in entrata: il numero massimo di tag sicuri che puoi utilizzare come tag di origine nella regola firewall. Questo limite non può essere aumentato. |
| Numero massimo di tag di destinazione protetti per regola dei criteri firewall | 256 | Applicabile solo alla regola della policy firewall: il numero massimo di tag sicuri che puoi utilizzare come tag di destinazione nella regola firewall. Questo limite non può essere aumentato. |
| Numero massimo di tag di rete di origine per regola firewall VPC in entrata | 30 | Applicabile solo alle regole firewall VPC in entrata: il numero massimo di tag di rete che puoi utilizzare come tag di origine nella regola firewall. Questo limite non può essere aumentato. |
| Numero massimo di tag di rete di destinazione per regola firewall VPC | 70 | Applicabile solo alle regole firewall VPC: il numero massimo di tag di rete che puoi utilizzare come tag di destinazione nella regola firewall. Questo limite non può essere aumentato. |
| Numero massimo di service account di origine per regola firewall VPC in entrata | 10 | Applicabile solo alle regole firewall VPC in entrata: il numero massimo di service account che puoi utilizzare come origini nella regola firewall. Questo limite non può essere aumentato. |
| Numero massimo di account di servizio di destinazione per regola firewall | 10 | Il numero massimo di service account che puoi utilizzare come destinazioni in una regola firewall VPC o in una regola di un criterio firewall. Questo limite non può essere aumentato. |
| Numero massimo di intervalli di indirizzi IP di origine per regola firewall | 5000 | Il numero massimo di intervalli di indirizzi IP di origine che puoi specificare in una regola firewall VPC o in una regola di una policy firewall. Gli intervalli di indirizzi IP sono solo IPv4 o solo IPv6. Questo limite non può essere aumentato. |
| Numero massimo di intervalli di indirizzi IP di destinazione per regola firewall | 5000 | Il numero massimo di intervalli di indirizzi IP di destinazione che puoi specificare in una regola firewall VPC o in una regola di una policy firewall. Gli intervalli di indirizzi IP sono solo IPv4 o solo IPv6. Questo limite non può essere aumentato. |
| Numero massimo di gruppi di indirizzi di origine per regola firewall in entrata in un criterio firewall | 10 | Il numero massimo di gruppi di indirizzi di origine che puoi specificare in una regola firewall in entrata di un criterio firewall. Questo limite non può essere aumentato. |
| Numero massimo di gruppi di indirizzi di destinazione per regola firewall in un criterio firewall | 10 | Il numero massimo di gruppi di indirizzi di destinazione che puoi specificare in una regola firewall in uscita in un criterio firewall. Questo limite non può essere aumentato. |
| Numero massimo di nomi di dominio (FQDN) per regola firewall in un criterio firewall | 100 | Il numero di nomi di dominio (FQDN) che puoi includere in una regola di un criterio firewall. Questo limite non può essere aumentato. |
Per gruppo di indirizzi
I seguenti limiti si applicano ai gruppi di indirizzi utilizzati da Cloud NGFW.
| Elemento | Limite | Note |
|---|---|---|
| Numero massimo di indirizzi IP per gruppo di indirizzi | 1000 | Si applica individualmente a ogni gruppo di indirizzi utilizzato da Cloud NGFW. Il gruppo di indirizzi può essere un gruppo di indirizzi globale a livello di progetto, un gruppo di indirizzi globale a livello di organizzazione, un gruppo di indirizzi regionale a livello di progetto o un gruppo di indirizzi regionale a livello di organizzazione. |
Per endpoint firewall
Ai firewall endpoint si applicano i seguenti limiti:
| Elemento | Limite | Note |
|---|---|---|
| Associazioni per endpoint firewall | 50 | Il numero massimo di reti VPC che puoi associare a un endpoint firewall. Per superare questo limite, puoi creare endpoint firewall aggiuntivi nella stessa zona. |
| Throughput massimo per connessione con Transport Layer Security (TLS) | 250 Mbps | La velocità effettiva massima per connessione con l'ispezione TLS. |
| Throughput massimo per connessione senza TLS | 1,25 Gbps | La velocità effettiva massima per connessione senza ispezione TLS. |
| Traffico massimo con TLS | 2 Gbps | Il traffico massimo che gli endpoint firewall possono elaborare con l'ispezione TLS. |
| Traffico massimo senza TLS | 10 Gbps | Il traffico massimo che gli endpoint firewall possono elaborare senza ispezione TLS. |
Per profilo di sicurezza
Ai profili di sicurezza si applicano i seguenti limiti:
| Elemento | Limite | Note |
|---|---|---|
| Numero di override delle minacce per profilo di sicurezza | 100 | Il numero massimo di override delle minacce che puoi aggiungere in un profilo di sicurezza per la prevenzione delle minacce. |
Per tag protetto
Ai tag sicuri si applicano i seguenti limiti:
| Elemento | Limite | Note |
|---|---|---|
| Valori massimi dei tag protetti per chiave tag | 1000 | Il numero massimo di valori di tag sicuri che puoi aggiungere per chiave tag. Per ulteriori informazioni, consulta Limiti dei tag. |
Per interfaccia di rete VM
I seguenti limiti sono applicabili alle interfacce di rete VM:
| Elemento | Limite | Note |
|---|---|---|
| Valori massimi dei tag sicuri collegati a un'interfaccia di rete VM | 10 | Il numero massimo di valori di tag sicuri che possono essere collegati a ogni interfaccia di rete VM. Per ulteriori informazioni sulle specifiche dei tag sicuri del firewall, consulta Specifiche.
Per i limiti di rete, vedi Limiti per rete. |
Manage quotas
Cloud Next Generation Firewall enforces quotas on resource usage for various reasons. For example, quotas protect the community of Google Cloud users by preventing unforeseen spikes in usage. Quotas also help users who are exploring Google Cloud with the free tier to stay within their trial.
All projects start with the same quotas, which you can change by requesting additional quota. Some quotas might increase automatically based on your use of a product.
Permissions
To view quotas or request quota increases, Identity and Access Management (IAM) principals need one of the following roles.
| Task | Required role |
|---|---|
| Check quotas for a project | One of the following:
|
| Modify quotas, request additional quota | One of the following:
|
Check your quota
Console
- In the Google Cloud console, go to the Quotas page.
- To search for the quota that you want to update, use the Filter table. If you don't know the name of the quota, use the links on this page instead.
gcloud
Using the Google Cloud CLI, run the following command to
check your quotas. Replace PROJECT_ID with your own project ID.
gcloud compute project-info describe --project PROJECT_IDTo check your used quota in a region, run the following command:
gcloud compute regions describe example-region
Errors when exceeding your quota
If you exceed a quota with a gcloud command,
gcloud outputs a quota exceeded error
message and returns with the exit code 1.
If you exceed a quota with an API request, Google Cloud returns the
following HTTP status code: 413 Request Entity Too Large.
Request additional quota
To adjust most quotas, use the Google Cloud console. For more information, see Request a quota adjustment.
Resource availability
Each quota represents a maximum number for a particular type of resource that you can create, if that resource is available. It's important to note that quotas don't guarantee resource availability. Even if you have available quota, you can't create a new resource if it is not available.
For example, you might have sufficient quota to create a new regional, external IP address in a given region. However, that is not possible if there are no available external IP addresses in that region. Zonal resource availability can also affect your ability to create a new resource.
Situations where resources are unavailable in an entire region are rare. However, resources within a zone can be depleted from time to time, typically without impact to the service level agreement (SLA) for the type of resource. For more information, review the relevant SLA for the resource.