In diesem Dokument sind die Kontingente und Limits für Cloud Next Generation Firewall aufgeführt.
Ein Kontingent schränkt ein, wie viel von einer bestimmten gemeinsam genutzten Google Cloud-Ressource Ihr Google Cloud-Projekt nutzen kann, einschließlich Hardware, Software und Netzwerkkomponenten. Daher sind Kontingente Teil eines Systems, das Folgendes tut:
- Ihre Nutzung oder Ihren Verbrauch von Google Cloud-Produkten und -Diensten überwachen.
- Ihren Verbrauch dieser Ressourcen einschränken, um u. a. für Fairness zu sorgen und Nutzungsspitzen zu reduzieren.
- Konfigurationen verwalten, die automatisch vorgeschriebene Einschränkungen erzwingen.
- Möglichkeit, das Kontingent anzufordern oder zu ändern.
Wenn ein Kontingentlimit überschritten wird, blockiert das System in den meisten Fällen den Zugriff auf die entsprechende Google-Ressource und die Aufgabe, die Sie ausführen möchten, schlägt fehl. In den meisten Fällen gelten Kontingente für jedes Google Cloud-Projekt und werden von allen Anwendungen und IP-Adressen geteilt, die dieses Google Cloud-Projekt verwenden.
Für Cloud NGFW-Ressourcen gelten außerdem Limits. Diese Limits stehen nicht im Zusammenhang mit dem Kontingentsystem. Limits können nur geändert werden, wenn etwas anderes angegeben ist.
Kontingente
In diesem Abschnitt sind die Kontingente für Cloud Next Generation Firewall aufgeführt.
Sie können sich die mit Virtual Private Cloud (VPC) verknüpften Kontingente und Limits auf der Seite VPC-Kontingente und -Limits ansehen.
Pro Projekt
Kontingente pro Projekt sind anpassbare Kontingente. Sie können eine Änderung für ein projektspezifisches Kontingent über die Google Cloud Console anfordern. Weitere Informationen zum Anfordern von Kontingentänderungen finden Sie unter Zusätzliche Kontingente anfordern. Wenn die Bearbeitungsoption für ein Kontingent nicht verfügbar ist, reichen Sie eine Supportanfrage ein, um zu fragen, ob das Kontingent erhöht oder verringert werden kann.
Richten Sie das Monitoring für den Messwert serviceruntime.googleapis.com/quota/allocation/usage für den Ressourcentyp Consumer Quota ein, um projektspezifische Kontingente zu überwachen, die Cloud Monitoring verwenden. Legen Sie weitere Labelfilter (service, quota_metric) fest, um den Kontingenttyp abzurufen. Informationen zum Monitoring von Kontingentmesswerten finden Sie unter Kontingentmesswerte grafisch darstellen und überwachen.
Für jedes Kontingent gibt es ein Limit und einen Nutzungswert.
In der folgenden Tabelle sind wichtige globale Kontingente für Cloud NGFW-Ressourcen pro Projekt aufgeführt. Informationen zu anderen Kontingenten finden Sie in der Google Cloud Console auf der Seite Kontingente.
| Kontingent | Beschreibung |
|---|---|
| VPC-Firewallregeln | Die Anzahl der VPC-Firewallregeln, die Sie für alle VPC-Netzwerke in Ihrem Projekt erstellen können. |
| Globale Adressgruppen pro Projekt | Die Anzahl globaler Adressgruppen, die Sie in einem Projekt definieren können. |
| Regionale Adressgruppen pro Projekt und Region | Die Anzahl regionaler Adressgruppen, die Sie für ein Projekt in einer Region definieren können. |
| Globale Netzwerk-Firewallrichtlinien | Die Anzahl der globalen Netzwerk-Firewallrichtlinien in einem Projekt. |
| Regionale Netzwerk-Firewallrichtlinien | Die Anzahl der regionalen Netzwerk-Firewallrichtlinien pro Region in einem Projekt. |
Pro Organisation
In dieser Tabelle sind wichtige Kontingente für Cloud NGFW-Ressourcen in jeder Organisation aufgeführt. Um eine Aktualisierung dieser Kontingente anzufordern, reichen Sie eine Supportanfrage ein.
| Element | Standardkontingent | Hinweise |
|---|---|---|
| Nicht zugeordnete hierarchische Firewallrichtlinien pro Organisation | 50 | Eine nicht verknüpfte hierarchische Firewallrichtlinie ist in Ihrer Google Cloud-Organisation vorhanden, aber nicht mit einer Ressource verknüpft. Es gibt keine Beschränkung für die Anzahl von Richtlinien in Ihrer Organisation mit Ressourcen. Jeder Ressource kann jedoch nur eine Richtlinie zugeordnet werden. |
Pro Firewallrichtlinie
Für Firewallrichtlinien gelten die folgenden Kontingente.
| Kontingent | Beschreibung |
|---|---|
| Hierarchische Firewallrichtlinien | |
| Anzahl der Regelattribute pro hierarchischer Firewallrichtlinie | Dieses Kontingent ist die Summe der Regelattribute aus allen Regeln in einer hierarchischen Firewallrichtlinie. Das Standardlimit beträgt 2.000. Fordern Sie einen Supportfall an, um eine Erhöhung des Kontingents anzufordern. Weitere Informationen finden Sie unter Details zur Regelattributanzahl. |
| Domainnamen (FQDNs) pro hierarchischer Firewallrichtlinie | Dieses Kontingent ist die Summe aller Quelldomainnamen aus allen Regeln für eingehenden Traffic in der Richtlinie plus die Summe aller Zieldomainnamen aus allen Regeln für ausgehenden Traffic in der Richtlinie. Das Standardlimit beträgt 100. Fordern Sie einen Supportfall an, um eine Erhöhung des Kontingents anzufordern. |
| Globale Netzwerk-Firewallrichtlinien | |
| Regelattribute pro globaler Netzwerk-Firewallrichtlinie | Die Summe der Regelattribute aus allen Regeln in einer globalen Netzwerk-Firewallrichtlinie. Weitere Informationen finden Sie unter Details zur Regelattributanzahl. |
| Domainnamen (FQDNs) pro globaler Netzwerk-Firewallrichtlinie | Die Anzahl der Domainnamen, die Sie in alle Regeln einer globalen Netzwerk-Firewallrichtlinie aufnehmen können. Dieses Kontingent entspricht der Summe aller Quelldomainnamen aus allen Regeln für eingehenden Traffic in der Richtlinie plus der Summe aller Zieldomainnamen aus allen Regeln für ausgehenden Traffic in der Richtlinie. |
| Regionale Netzwerk-Firewallrichtlinien | |
| Regelattribute pro regionaler Netzwerk-Firewallrichtlinie | Die Summe der Regelattribute aus allen Regeln in einer regionalen Netzwerk-Firewallrichtlinie. Weitere Informationen finden Sie unter Details zur Regelattributanzahl. |
| Domainnamen (FQDNs) pro regionaler Netzwerk-Firewallrichtlinie | Die Anzahl der Domainnamen (FQDNs), die Sie in alle Regeln einer regionalen Netzwerk-Firewallrichtlinie aufnehmen können: Dieses Kontingent ist die Summe aller Quelldomainnamen aus allen Regeln für eingehenden Traffic in der Richtlinie plus der Summe aller Zieldomainnamen aus allen Regeln für ausgehenden Traffic in der Richtlinie. |
Details zur Regelattributanzahl
Jede Firewallrichtlinie unterstützt eine maximale Gesamtzahl von Regelattributen. Die Summe der Regelattributanzahlen für alle Firewallregeln in einer Firewallrichtlinie ist die Regelattributanzahl für diese Firewallrichtlinie.
Die folgenden Beispielregeln zeigen, wie Google Cloud Regelattribute pro Firewallregel zählt. Informationen dazu, wie Google Cloud die Regelattributanzahl für jede Firewallrichtlinie berechnet, finden Sie unter Richtlinie beschreiben.
| Beispiel für eine Firewallregel | Regelattributanzahl | Erklärung |
|---|---|---|
Firewallregel zum Zulassen von eingehendem Traffic mit Quell-IP-Adressbereich 10.100.0.1/32, Protokoll tcp und Portbereich 5000-6000.
|
3 | Ein Quellbereich; ein Protokoll, ein Portbereich. |
Firewallregel zum Ablehnen von eingehendem Traffic mit Quell-IP-Adressbereichen 10.0.0.0/8, 192.168.0.0/16, Ziel-IP-Adressbereich 100.64.0.7/32, Protokollen tcp und udp, Portbereichen 53-53 und 5353-5353.
|
11 | Es gibt vier Kombinationen aus Protokollen und Ports: tcp:53-53, tcp:5353-5353, udp:53-53 und udp:5353-5353. Jede Kombination aus Protokoll und Port verwendet zwei Attribute. Jeweils ein Attribut für die beiden Quell-IP-Adressbereiche, ein Attribut für den Ziel-IP-Adressbereich und acht Attribute für die Protokoll- und Portkombinationen ergeben eine Attributanzahl von 11. |
Firewallregel zum Ablehnen von ausgehendem Traffic mit Quell-IP-Adressbereich 100.64.0.7/32, Ziel-IP-Adressbereich 10.100.0.1/32, 10.100.1.1/32, tcp:80, tcp:443 und udp:4000-5000.
|
9 | Protokoll- und Portkombinationen werden auf drei erweitert: tcp:80-80, tcp:443-443 und udp:4000-5000. Jede Kombination aus Protokoll und Port verwendet zwei Attribute. Ein Attribut für den Quellbereich, jeweils ein Attribut für die beiden Ziel-IP-Adressbereiche und sechs Attribute für die Protokoll- und Portkombinationen ergeben eine Attributanzahl von 9. |
Limits
Limits können nicht erhöht werden, sofern nicht ausdrücklich anders angegeben.
Pro Organisation
Für Organisationen gelten die folgenden Limits.
| Element | Limit | Hinweise |
|---|---|---|
| Globale Adressgruppen pro Organisation | 100 | Die maximale Anzahl globaler Adressgruppen, die Sie pro Organisation erstellen können. |
| Regionale Adressgruppen pro Organisation und Region | 100 | Die maximale Anzahl regionaler Adressgruppen, die Sie pro Organisation in einer Region erstellen können. |
| Organisationsadressgruppen | 100 | Die maximale Anzahl von Adressgruppen, die Sie pro Organisation erstellen können, unabhängig vom Standort (global oder regional). |
| Maximale Adressgruppenkapazität | 1.000 | Die maximale Kapazität einer Adressgruppe pro Organisation oder Projekt. |
| Maximale Anzahl sicherer Tag-Schlüssel pro Organisation oder Projekt | 1.000 | Die maximale Anzahl sicherer Tag-Schlüssel, die Sie pro Organisation oder Projekt erstellen können. Weitere Informationen finden Sie unter Tag-Limits. |
| Maximale Anzahl sicherer Tag-Werte pro Schlüssel, Organisation oder Projekt | 1.000 | Die maximale Anzahl sicherer Tag-Werte, die Sie pro Schlüssel in einer Organisation oder einem Projekt hinzufügen können. Weitere Informationen finden Sie unter Tag-Limits. |
| Maximale Anzahl von Schlüssel/Wert-Paaren für sichere Tags pro Ressource und Organisation | 50 | Die maximale Anzahl von Schlüssel/Wert-Paaren für sichere Tags, die Sie in einer Organisation oder einem Projekt pro Ressource hinzufügen können. Weitere Informationen finden Sie unter Tag-Limits.
Informationen zu den Netzwerklimits finden Sie unter Limits pro Netzwerk. |
| Sicherheitsprofile zur Vermeidung von Bedrohungen pro Organisation | 40 | Die maximale Anzahl von Sicherheitsprofilen vom Schutz vor Bedrohungen, die Sie pro Organisation erstellen können. |
| Sicherheitsprofilgruppen pro Organisation | 40 | Die maximale Anzahl von Sicherheitsprofilgruppen mit einem Sicherheitsprofil zum Bedrohungsschutz, die Sie pro Organisation erstellen können. |
| Firewallendpunkte pro Zone und Organisation | 10 | Die maximale Anzahl von Firewallendpunkten, die Sie pro Zone und Organisation erstellen können. |
Pro Netzwerk
Die folgenden Limits gelten für VPC-Netzwerke.
| Element | Limit | Notes |
|---|---|---|
| Maximale Anzahl globaler Netzwerk-Firewallrichtlinien pro Netzwerk | 1 | Die maximale Anzahl globaler Netzwerk-Firewallrichtlinien, die Sie einem VPC-Netzwerk zuordnen können. |
| Maximale regionale Netzwerk-Firewallrichtlinien pro Region und Netzwerk | 1 | Die maximale Anzahl regionaler Netzwerk-Firewallrichtlinien, die Sie mit einer Kombination aus VPC-Netzwerk und Region verknüpfen können. |
| Maximale Anzahl von Domainnamen (FQDNs) pro Netzwerk | 1.000 | Die maximale Gesamtzahl der Domainnamen, die in Firewallregeln verwendet werden können, die aus hierarchischen Firewallrichtlinien, globalen Netzwerk-Firewallrichtlinien und regionalen Netzwerk-Firewallrichtlinien stammen, die mit einem VPC-Netzwerk verknüpft sind. |
| Firewallendpunkte pro Zone und Netzwerk | 1 | Die maximale Anzahl von Firewallendpunkten, die Sie pro Zone und Netzwerk zuweisen können. |
Pro Firewallregel
Die folgenden Limits gelten für Firewallregeln:
| Element | Limit | Notes |
|---|---|---|
| Maximale Anzahl von Quellnetzwerk-Tags pro VPC-Firewallregel für eingehenden Traffic | 30 | Gilt nur für VPC-Firewallregeln für eingehenden Traffic – die maximale Anzahl von Netzwerk-Tags, die Sie in der Firewallregel als Quell-Tags verwenden können. Dieses Limit kann nicht erhöht werden. |
| Maximale Anzahl von Zielnetzwerk-Tags pro VPC-Firewallregel | 70 | Gilt nur für VPC-Firewallregeln – die maximale Anzahl von Netzwerk-Tags, die Sie in der Firewallregel als Ziel-Tags verwenden können. Dieses Limit kann nicht erhöht werden. |
| Maximale Anzahl von Quelldienstkonten pro VPC-Firewallregel für eingehenden Traffic | 10 | Gilt nur für Firewallregeln für eingehenden Traffic – die maximale Anzahl von Dienstkonten, die Sie als Quellen in der Firewallregel verwenden können. Dieses Limit kann nicht erhöht werden. |
| Maximale Anzahl von Zieldienstkonten pro Firewallregel | 10 | Die maximale Anzahl von Dienstkonten, die Sie als Ziele in einer VPC-Firewallregel oder Regel in einer Firewallrichtlinie verwenden können. Dieses Limit kann nicht erhöht werden. |
| Maximale Anzahl von Quell-IP-Adressbereichen pro Firewallregel | 5.000 | Die maximale Anzahl von Quell-IP-Adressbereichen, die Sie in einer VPC-Firewallregel oder einer Regel in einer Firewallrichtlinie angeben können. IP-Adressbereiche sind entweder nur IPv4 oder nur IPv6. Dieses Limit kann nicht erhöht werden. |
| Maximale Anzahl von Ziel-IP-Adressbereichen pro Firewallregel | 5.000 | Die maximale Anzahl von Ziel-IP-Adressbereichen, die Sie in einer VPC-Firewallregel oder einer Regel in einer Firewallrichtlinie angeben können. IP-Adressbereiche sind entweder nur IPv4 oder nur IPv6. Dieses Limit kann nicht erhöht werden. |
| Maximale Anzahl von Quelladressgruppen pro Firewallregel für eingehenden Traffic in einer Firewallrichtlinie | 10 | Die maximale Anzahl von Quelladressgruppen, die Sie in einer Firewallregel für eingehenden Traffic in einer Firewallrichtlinie angeben können. Dieses Limit kann nicht erhöht werden. |
| Maximale Anzahl Zieladressgruppen pro Firewallregel in einer Firewallrichtlinie | 10 | Die maximale Anzahl von Zieladressgruppen, die Sie in einer Firewallregel für ausgehenden Traffic in einer Firewallrichtlinie angeben können. Dieses Limit kann nicht erhöht werden. |
| Maximale Anzahl von Domainnamen (FQDNs) pro Firewallregel in einer Firewallrichtlinie | 100 | Die Anzahl der Domainnamen (FQDNs), die Sie in eine Regel einer Firewallrichtlinie aufnehmen können. Dieses Limit kann nicht erhöht werden. |
Pro Firewallendpunkt
Die folgenden Limits gelten für Firewallendpunkte.
| Element | Standardkontingent | Hinweise |
|---|---|---|
| Verknüpfungen pro Firewallendpunkt | 50 | Die maximale Anzahl von VPC-Netzwerken, die Sie mit einem Firewallendpunkt verknüpfen können. Sie können zusätzliche Firewallendpunkte in derselben Zone erstellen, um dieses Limit zu umgehen. |
Pro Sicherheitsprofil
Für Sicherheitsprofile gelten die folgenden Limits.
| Element | Standardkontingent | Hinweise |
|---|---|---|
| Anzahl der Überschreibungen für Bedrohungen pro Sicherheitsprofil | 100 | Die maximale Anzahl von Bedrohungsüberschreibungen, die Sie einem Sicherheitsprofil zur Vermeidung von Bedrohungen hinzufügen können. |
Pro VM-Netzwerkschnittstelle
Die folgenden Limits gelten für VM-Netzwerkschnittstellen:
| Element | Limit | Notes |
|---|---|---|
| Maximale Anzahl sicherer Tags pro VM-Schnittstelle | 10 | Die maximale Anzahl sicherer Tags, die Sie pro VM und NIC hinzufügen können. |
Verwalten von Kontingenten
Mit Cloud Next Generation Firewall werden Kontingente für die Ressourcennutzung aus verschiedenen Gründen festgelegt. Kontingente schützen unter anderem die gesamte Google Cloud-Community vor unerwarteten Nutzungsspitzen. Außerdem unterstützen Kontingente Nutzer, die Google Cloud mit der kostenlosen Stufe prüfen, dabei, im Rahmen der Testversion zu verbleiben.
Alle Projekte beginnen mit den gleichen Kontingenten, die Sie ändern können, indem Sie zusätzliche Kontingente anfordern. Einige Kontingente können entsprechend Ihrer Nutzung eines Produkts automatisch erhöht werden.
Berechtigungen
Zur Anzeige von Kontingenten oder zur Anforderung von Kontingenterhöhungen benötigen IAM-Hauptkonten (Identity and Access Management) eine der folgenden Rollen:
| Aufgabe | Erforderliche Rolle |
|---|---|
| Kontingente für ein Projekt prüfen | Beispiele:
|
| Kontingente ändern, zusätzliche Kontingente anfordern | Beispiele:
|
Kontingent prüfen
Console
- Öffnen Sie in der Google Cloud Console die Seite Kontingente.
- Mit dem Feld Tabelle filtern können Sie nach den zu aktualisierenden Kontingenten suchen. Wenn Sie den Namen des Kontingents nicht kennen, verwenden Sie stattdessen die Links auf dieser Seite.
gcloud
Führen Sie mit der Google Cloud CLI den folgenden Befehl aus, um Ihre Kontingente zu prüfen. Ersetzen Sie PROJECT_ID durch Ihre Projekt-ID:
gcloud compute project-info describe --project PROJECT_ID
Mit dem folgenden Befehl prüfen Sie das genutzte Kontingent in einer Region:
gcloud compute regions describe example-region
Fehler beim Überschreiten Ihres Kontingents
Wenn Sie ein Kontingent mit einem gcloud-Befehl überschreiten, gibt gcloud eine quota exceeded-Fehlermeldung aus und liefert den Exit-Code 1.
Wenn Sie ein Kontingent mit einer API-Anfrage überschreiten, liefert Google Cloud folgenden HTTP-Statuscode: HTTP 413 Request Entity Too Large.
Weitere Kontingente anfordern
Verwenden Sie zur Erhöhung/Verringerung der meisten Kontingenten die Google Cloud Console. Weitere Informationen finden Sie unter Höheres Kontingentlimit anfordern.
Console
- Öffnen Sie in der Google Cloud Console die Seite Kontingente.
- Wählen Sie auf der Seite Kontingente die Kontingente aus, die Sie ändern möchten.
- Klicken Sie oben auf der Seite auf Kontingente bearbeiten.
- Geben Sie Ihren Namen, Ihre E-Mail-Adresse und Ihre Telefonnummer ein und klicken Sie auf Weiter.
- Geben Sie Ihre Kontingentanforderung ein und klicken Sie auf Fertig.
- Senden Sie die Anfrage. Die Bearbeitung von Kontingentanforderungen dauert 24 bis 48 Stunden.
Ressourcenverfügbarkeit
Jedes Kontingent stellt die maximale Anzahl an Ressourcen eines bestimmten Typs dar, die Sie erstellen können, sofern der Ressourcentyp verfügbar ist. Beachten Sie, dass Kontingente die Verfügbarkeit von Ressourcen nicht garantieren. Selbst wenn Sie ein verfügbares Kontingent haben, können Sie keine neue Ressource erstellen, wenn keine verfügbar ist.
Beispiel: Sie haben noch ein ausreichendes Kontingent zum Erstellen einer neuen regionalen, externen IP-Adresse in der Region us-central1. Dies ist jedoch nicht möglich, wenn in dieser Region keine externen IP-Adressen verfügbar sind. Die Verfügbarkeit von zonalen Ressourcen kann sich auch auf Ihre Fähigkeit auswirken, eine neue Ressource zu erstellen.
Es kommt nur selten vor, dass Ressourcen in einer kompletten Region nicht verfügbar sind. Ressourcen innerhalb einer Zone können aber manchmal vorübergehend ausgeschöpft sein, ohne dass sich das auf das Service Level Agreement (SLA) für den Ressourcentyp auswirkt. Weitere Informationen finden Sie im entsprechenden SLA für die Ressource.