配額與限制

本文列出 Cloud Next Generation Firewall 適用的配額和系統限制。

  • 配額會指定您可使用的可計數共用資源數量。配額是由 Cloud Next Generation Firewall 等 Google Cloud 服務定義。
  • 系統限制是固定值,無法變更。

Google Cloud 會使用配額來確保公平性,並減少資源使用量和可用性突然暴增的情況。配額會限制專案可使用的Google Cloud 資源 Google Cloud 數量。配額適用於各種資源類型,包括硬體、軟體和網路元件。舉例來說,配額可以限制對服務發出的 API 呼叫數、專案並行使用的負載平衡器數量,或是可建立的專案數量。配額可以預防服務過載,進而保障Google Cloud 使用者社群的權益。配額也能協助您管理自己的 Google Cloud 資源。

Cloud Quotas 系統會執行下列操作:

在大多數情況下,如果您嘗試使用的資源超過配額,系統會封鎖資源存取權,導致您嘗試執行的工作失敗。

配額通常是在 Google Cloud 專案 層級套用。在一個專案中使用資源,不會影響另一個專案的可用配額。在 Google Cloud 專案中,所有應用程式和 IP 位址會共用配額。

詳情請參閱 Cloud Quotas 總覽

Cloud NGFW 資源也有系統限制。 系統限制無法變更。

配額

本節列出 Cloud Next Generation Firewall 適用的配額。

如要使用 Cloud Monitoring 監控各專案的配額,請為 Consumer Quota 資源類型設定指標 serviceruntime.googleapis.com/quota/allocation/usage 的監控功能。設定其他標籤篩選器 (servicequota_metric) 即可取得配額類型。如要瞭解如何監控配額指標,請參閱「繪製配額指標圖表並監控配額指標」。每個配額都有上限和用量值。

除非另有說明,如要變更配額,請參閱「申請調整配額」。

每項專案

下表列出每個專案的 Cloud NGFW 配額:

配額 說明
虛擬私有雲防火牆規則 您可以在專案中建立的虛擬私有雲防火牆規則數量,與每個防火牆規則套用的虛擬私有雲網路無關。
全域網路防火牆政策 專案中的全域網路防火牆政策數量,無論每個政策關聯的虛擬私有雲網路數量為何。
區域網路防火牆政策 專案中每個區域的 區域網路防火牆政策數量,與每個政策關聯的虛擬私有雲網路數量無關。
每個專案的全域地址群組 您可以在專案中定義的專案範圍全域位址群組數量。
每個區域每項專案的區域地址群組數量 您可以在專案的每個區域中定義的區域性專案範圍位址群組數量。

每個機構

下表列出每個機構的 Cloud NGFW 配額。如要變更機構層級配額,請提出支援案件

配額 說明
機構中未建立關聯的階層式防火牆政策 機構中未與任何資料夾或機構資源建立關聯的 階層式防火牆政策數量。機構中與資源相關聯的階層式防火牆政策數量沒有限制。
每個機構的全域地址群組數量 您可以在機構中定義的全域和機構範圍地址群組數量。
每個區域每個機構的區域地址群組 您可以在機構的每個區域中定義的區域性機構範圍地址群組數量。

每個防火牆政策

下表列出每個防火牆政策資源的 Cloud NGFW 配額:

配額 說明
階層式防火牆政策
每個階層式防火牆政策的規則屬性 此配額是階層式防火牆政策中所有規則的規則屬性總和。詳情請參閱「規則屬性計數詳細資料」。
每個階層式防火牆政策的網域名稱 (FQDN) 您可以在階層式防火牆政策的所有規則中加入的網域名稱數量。這項配額是政策中所有連入規則的來源網域名稱總和,加上政策中所有連出規則的目的地網域名稱總和。
全域網路防火牆政策
每個全域網路防火牆政策的規則屬性 全域網路防火牆政策中所有規則的規則屬性總和。詳情請參閱「規則屬性計數詳細資料」。
每個全域網路防火牆政策的網域名稱 (FQDN) 您可以在全域網路防火牆政策的所有規則中加入的網域名稱數量。這項配額是政策中所有連入規則的來源網域名稱總和,加上政策中所有連出規則的目的地網域名稱總和。
區域網路防火牆政策
每個區域網路防火牆政策的規則屬性 區域網路防火牆政策中所有規則的規則屬性總和。詳情請參閱「規則屬性計數詳細資料」。
每個區域網路防火牆政策的網域名稱 (FQDN) 您可在區域網路防火牆政策的所有規則中加入的網域名稱 (FQDN) 數量:這項配額是政策中所有連入規則的來源網域名稱總和,加上政策中所有連出規則的目的地網域名稱總和。

規則屬性計數詳細資料

每項防火牆政策最多可支援政策中所有規則的屬性總數。如要判斷特定防火牆政策的規則屬性計數,請說明該政策。如需相關指示,請參閱下列文章:

下表列出範例規則,以及各範例規則的屬性計數。

防火牆規則範例 規則屬性計數 說明
輸入允許防火牆規則,其中包含來源 IP 位址範圍 10.100.0.1/32tcp 通訊協定和 5000-6000 通訊埠範圍。 3 一個來源範圍、一個通訊協定、一個通訊埠範圍。
輸入拒絕防火牆規則,來源 IP 位址範圍為 10.0.0.0/8, 192.168.0.0/16,目的地 IP 位址範圍為 100.64.0.7/32tcpudp 通訊協定,通訊埠範圍為 53-535353-5353 11 有四種通訊協定和通訊埠組合:tcp:53-53tcp:5353-5353udp:53-53udp:5353-5353。每個通訊協定和通訊埠組合會使用兩個屬性。兩個來源 IP 位址範圍各有一個屬性、目的地 IP 位址範圍有一個屬性,以及通訊協定和通訊埠組合有八個屬性,因此屬性總數為 11。
具有來源 IP 位址範圍 100.64.0.7/32、目的地 IP 位址範圍 10.100.0.1/32, 10.100.1.1/32tcp:80tcp:443udp:4000-5000 的輸出拒絕防火牆規則。 9 通訊協定和通訊埠組合會擴充為三種:tcp:80-80tcp:443-443udp:4000-5000。每個通訊協定和通訊埠組合會使用兩個屬性。來源範圍有一個屬性、兩個目的地 IP 位址範圍各有一個屬性,以及通訊協定和通訊埠組合有六個屬性,因此屬性計數為 9。

限制

除非另有註明,否則上限「無法」提高。

每個機構

以下限制適用於機構:

項目 限制 附註
每個機構的安全標記金鑰數量上限 1,000 擁有上層機構的安全代碼金鑰數量上限。 詳情請參閱「標記限制」。
所有標記鍵使用的最高安全標記值,其中 purposeGCE_FIREWALL,且 purpose-data 為機構 16384 系統會對與目的資料相符的機構中建立的所有代碼鍵所使用的代碼值強制執行這項限制,包括上層是機構或機構內專案的代碼鍵。
每個機構的威脅防護安全性設定檔 40 每個機構可建立的威脅防護類型安全設定檔數量上限。
每個機構的安全性設定檔群組 40 每個機構可建立的安全性設定檔群組數量上限,這些群組使用威脅防範安全性設定檔。
每個機構在每個可用區的防火牆端點數量 50 每個機構的每個可用區,最多可建立的防火牆端點數量。

每項專案

以下限制適用於專案:

項目 限制 附註
每個專案的安全代碼金鑰數量上限 1,000 具有上層專案的安全代碼金鑰數量上限。 詳情請參閱「標記限制」。

每個網路

以下限制適用於 VPC 網路:

項目 限制 附註
每個網路的全域網路防火牆政策數量上限 1 您可以與 VPC 網路建立關聯的全球網路防火牆政策數量上限。
每個網路在每個區域的區域網路防火牆政策數量上限 1 可與虛擬私有雲網路和區域組合建立關聯的區域網路防火牆政策數量上限。
每個網路的網域名稱 (FQDN) 數上限 1,000 可透過與虛擬私有雲網路相關聯的階層式防火牆政策、全域網路防火牆政策和區域網路防火牆政策,在防火牆規則中使用的網域名稱總數上限。
所有標記鍵使用的安全標記值上限,這些標記鍵的 purposeGCE_FIREWALL,且 purpose-data 為虛擬私有雲網路 16383 這項限制會針對標記鍵使用的所有標記值強制執行,這些標記鍵的 purpose-data 符合指定的 VPC 網路,包括上層為機構或專案的標記鍵。
每個網路每個可用區的防火牆端點數量 1 每個網路的每個可用區,可指派的防火牆端點數量上限。

每項防火牆規則

防火牆規則有下列限制:

項目 限制 附註
每項輸入防火牆政策規則的來源安全標記數量上限 256 僅適用於輸入防火牆政策規則,您可以在防火牆規則中做為來源標記使用的安全標記數量上限。這項上限無法提高。
每項防火牆政策規則的目標安全標記數量上限 256 僅適用於防火牆政策規則,您可以在防火牆規則中,將安全標記做為目標標記,但數量不得超過上限。這項上限無法提高。
每項輸入虛擬私有雲防火牆規則的來源網路標記數量上限 30 僅適用於輸入虛擬私有雲防火牆規則,也就是您在防火牆規則中,可做為來源標記使用的網路標記數量上限。這項上限無法提高。
每項虛擬私有雲防火牆規則的目標網路標記數量上限 70 僅適用於虛擬私有雲防火牆規則,您可在防火牆規則中使用的網路標記數量上限。這項上限無法提高。
每項輸入虛擬私有雲防火牆規則的來源服務帳戶數量上限 10 僅適用於輸入虛擬私有雲防火牆規則,也就是您可在防火牆規則中做為來源的服務帳戶數量上限。這項上限無法提高。
每項防火牆規則的目標服務帳戶數量上限 10 您可以在虛擬私有雲防火牆規則或防火牆政策中的規則,將服務帳戶做為目標。這項上限無法提高。
每項防火牆規則的來源 IP 位址範圍數量上限 5,000 您可以在虛擬私有雲防火牆規則或防火牆政策中的規則中,指定的來源 IP 位址範圍數量上限。IP 位址範圍只能是 IPv4 或 IPv6。這項上限無法提高。
每項防火牆規則的目的地 IP 位址範圍數量上限 5,000 您在虛擬私有雲防火牆規則或防火牆政策規則中,可以指定的目的地 IP 位址範圍數量上限。IP 位址範圍只能是 IPv4 或 IPv6。這項上限無法提高。
防火牆政策中每項輸入防火牆規則的來源位址群組數量上限 10 防火牆政策中,輸入防火牆規則可指定的來源位址群組數量上限。這項上限無法提高。
防火牆政策中每項防火牆規則的目的地位址群組數量上限 10 防火牆政策中輸出防火牆規則可指定的目的地位址群組數量上限。這項上限無法提高。
防火牆政策中每項防火牆規則的網域名稱 (FQDN) 數量上限 100 您可以在防火牆政策的規則中加入的網域名稱 (FQDN) 數量。這項上限無法提高。

每個位址群組

下列限制適用於 Cloud NGFW 使用的位址群組。

項目 限制 附註
每個位址群組的 IP 位址數量上限 1,000 個別套用至 Cloud NGFW 使用的每個位址群組。位址群組可以是全域或專案範圍的位址群組;全域或機構範圍的位址群組;區域或專案範圍的位址群組;或是區域或機構範圍的位址群組。

每個防火牆端點

下列限制適用於防火牆端點:

項目 限制 附註
每個防火牆端點的關聯 50 可與防火牆端點建立關聯的虛擬私有雲網路數量上限。您可以在相同區域中建立額外的防火牆端點,藉此克服這項限制。
使用傳輸層安全標準 (TLS) 時,每個連線的最大輸送量 250 Mbps 使用 TLS 檢查時,每個連線的最高總處理量。
不使用 TLS 時的單一連線處理量上限 1.25 Gbps 不進行 TLS 檢查時,每個連線的最高處理量。
傳輸層安全標準 (TLS) 流量上限 2 Gbps 防火牆端點可透過 TLS 檢查處理的流量上限。
不使用 TLS 的最大流量 10 Gbps 防火牆端點可處理的流量上限 (不含 TLS 檢查)。

每個安全性設定檔

安全性設定檔有下列限制:

項目 限制 附註
每個安全性設定檔的威脅覆寫次數 100 您可以在威脅防護安全設定檔中新增的威脅覆寫規則數量上限。

每個安全標記

安全代碼有下列限制:

項目 限制 附註
每個標記鍵的安全標記值數量上限 1,000 每個標記鍵可新增的安全標記值數量上限。 詳情請參閱「標記限制」。

每個 VM 網路介面

下列限制適用於 VM 網路介面:

項目 限制 附註
附加至 VM 網路介面的安全標記值數量上限 10 可附加至每個 VM 網路介面的安全標記值數量上限。如要進一步瞭解防火牆安全標記的規格,請參閱「規格」。

如需網路限制,請參閱「每個網路的限制」。

管理配額

Cloud Next Generation Firewall 會基於多種原因,對資源用量實施配額限制。舉例來說,限制配額可以預防用量突然暴增的情況,進而保障 Google Cloud 使用者社群的權益。採用 Google Cloud 免費方案探索的使用者也能透過配額,確保不會超出試用範圍。

所有專案最初的配額均相同,您可以要求額外配額來變更配額數量。某些配額可能會依據您使用產品的狀況而自動增加。

權限

如要查看配額或要求增加配額,身分與存取權管理 (IAM) 主體需要具有下列其中一種角色。

工作 必要角色
查看專案的配額 下列任一項:
修改配額,要求額外配額 下列任一項:
  • 專案業主 (roles/owner)
  • 專案編輯器 (roles/editor)
  • 配額管理員 (roles/servicemanagement.quotaAdmin)
  • 具備 serviceusage.quotas.update 權限的自訂角色

查看配額

控制台

  1. 前往 Google Cloud 控制台的「Quotas」(配額) 頁面。

    前往「配額」頁面

  2. 使用篩選表格搜尋要更新的配額。 如果不知道配額名稱,請改用本頁面上的連結。

gcloud

請使用 Google Cloud CLI 執行下列指令,查看配額。使用您自己的專案 ID 替換 PROJECT_ID

    gcloud compute project-info describe --project PROJECT_ID

如要查看特定區域的配額用量,請執行下列指令:

    gcloud compute regions describe example-region

超出配額時產生錯誤

一旦超出 gcloud 指令的配額上限,gcloud 就會輸出 quota exceeded 錯誤訊息並傳回結束代碼 1

如果您是在傳送 API 要求時超出配額, Google Cloud 會傳回下列 HTTP 狀態碼:413 Request Entity Too Large

要求增加配額

如要調整大部分配額,請使用 Google Cloud 控制台。詳情請參閱「要求配額調整」。

資源可用性

如果特定類型的資源可以使用,則每項配額代表您能針對該資源建立的最大數量。請特別留意,配額「並不」保證資源可用性。即使您有可用的配額,如果資源無法提供使用,您也無法建立新的資源。

舉例來說,您可能有足夠的配額,可以在特定區域中建立全新區域性外部 IP 位址。不過,如果該區域沒有可用的外部 IP 位址,則無法建立。區域的資源可用性也會影響您建立新資源的能力。

整個區域的資源皆無法提供使用的狀況很罕見。然而,可用區內的資源有時可能會耗盡,不過一般來說並不會對該資源類型的服務水準協議 (SLA) 造成影響。如需更多資訊,請參閱與該資源相關的 SLA。