Quote e limiti

Questo documento elenca le quote e i limiti di sistema che si applicano a Cloud Next Generation Firewall.

  • Le quote specificano la quantità di una risorsa condivisa e conteggiabile che puoi utilizzare. Le quote sono definite dai servizi Google Cloud come Cloud Next Generation Firewall.
  • I limiti di sistema sono valori fissi che non possono essere modificati.

Google Cloud utilizza le quote per contribuire a garantire l'equità e ridurre gli picchi di utilizzo e disponibilità delle risorse. Una quota limita la quantità di una risorsa Google Cloud che può essere utilizzata nel progetto Google Cloud. Le quote si applicano a una serie di tipi di risorse, inclusi hardware, software e componenti di rete. Ad esempio, le quote possono limitare il numero di chiamate API a un servizio, il numero di bilanciatori del carico utilizzati contemporaneamente dal tuo progetto o il numero di progetti che puoi creare. Le quote proteggono la community degli utenti di Google Cloud impedendo il sovraccarico dei servizi. Le quote ti aiutano anche a gestire le tue risorse Google Cloud.

Il sistema delle quote di Cloud esegue le seguenti operazioni:

  • Monitora il tuo consumo di prodotti e servizi Google Cloud
  • Limita il consumo di queste risorse
  • Fornisce un modo per richiedere modifiche al valore della quota

Nella maggior parte dei casi, quando provi a utilizzare una risorsa per un volume maggiore di quello consentito dalla quota, il sistema blocca l'accesso alla risorsa e l'attività che stai tentando di eseguire non va a buon fine.

In genere, le quote si applicano a livello di progetto Google Cloud. L'utilizzo di una risorsa in un progetto non influisce sulla quota disponibile in un altro progetto. All'interno di un progetto Google Cloud, le quote sono condivise tra tutte le applicazioni e gli indirizzi IP.

Esistono anche limiti di sistema per le risorse Cloud NGFW. I limiti di sistema non possono essere modificati.

Quote

Questa sezione elenca le quote che si applicano a Cloud Next Generation Firewall.

Per monitorare le quote per progetto che utilizzano Cloud Monitoring, configura il monitoraggio per la metrica serviceruntime.googleapis.com/quota/allocation/usage sul tipo di risorsa Consumer Quota. Imposta filtri delle etichette aggiuntivi (service, quota_metric) per accedere al tipo di quota. Per informazioni sul monitoraggio delle metriche delle quote, consulta Grafico e monitoraggio delle metriche delle quote. Ogni quota ha un limite e un valore di utilizzo.

Se non diversamente indicato, per modificare una quota, consulta Richiedere una quota più alta.

Per progetto

La tabella seguente evidenzia le quote di Cloud NGFW per progetto:

Quota Descrizione
Regole firewall VPC Il numero di regole firewall VPC che puoi creare in un progetto, indipendentemente dalla rete VPC a cui si applica ogni regola firewall.
Criteri firewall di rete globali Il numero di criteri del firewall di rete globale in un progetto, indipendentemente dal numero di reti VPC associate a ciascun criterio.
Criteri firewall di rete regionali Il numero di criteri di firewall di rete regionale in ogni regione di un progetto, indipendentemente dal numero di reti VPC associate a ciascun criterio.
Gruppi di indirizzi globali per progetto Il numero di gruppi di indirizzi globali che puoi definire in un progetto.
Gruppi di indirizzi regionali per progetto per regione Il numero di gruppi di indirizzi regionali che puoi definire in ogni regione di un progetto.

Per organizzazione

La tabella seguente evidenzia le quote di Cloud NGFW per organizzazione. Per modificare una quota a livello di organizzazione, apri una richiesta di assistenza.

Quota Descrizione
Criteri firewall gerarchici non associati in un'organizzazione Il numero di criteri firewall gerarchici in un'organizzazione non associati a nessuna cartella o risorsa dell'organizzazione. Non esiste alcun limite al numero di criteri firewall gerarchici in un'organizzazione associati a una risorsa.

Per criteri firewall

La tabella seguente evidenzia le quote di Cloud NGFW per risorsa delle norme del firewall:

Quota Descrizione
Criteri firewall gerarchici
Attributi delle regole per criterio firewall gerarchico Questa quota è la somma degli attributi di regola di tutte le regole di un criterio firewall gerarchico. Per ulteriori informazioni, consulta Dettagli sul conteggio degli attributi delle regole.
Nomi di dominio (FQDN) per criterio firewall gerarchico Il numero di nomi di dominio che puoi includere in tutte le regole di un criterio firewall gerarchico. Questa quota è la somma di tutti i nomi di dominio di origine di tutte le regole di ingresso del criterio più la somma di tutti i nomi di dominio di destinazione di tutte le regole di uscita del criterio.
Criteri firewall di rete globali
Attributi delle regole per il criterio firewall di rete globale La somma degli attributi delle regole di tutte le regole di un criterio firewall di rete globale. Per ulteriori informazioni, consulta Dettagli sul conteggio degli attributi delle regole.
Nomi di dominio (FQDN) per il criterio firewall di rete globale Il numero di nomi di dominio che puoi includere in tutte le regole di un criterio firewall di rete globale. Questa quota è la somma di tutti i nomi di dominio di origine di tutte le regole di ingresso del criterio più la somma di tutti i nomi di dominio di destinazione di tutte le regole di uscita del criterio.
Criteri firewall di rete regionali
Attributi delle regole per il criterio firewall di rete regionale La somma degli attributi delle regole di tutte le regole in un criterio firewall di rete regionale. Per ulteriori informazioni, consulta Dettagli sul conteggio degli attributi delle regole.
Nomi di dominio (FQDN) per ogni criterio firewall di rete regionale Il numero di nomi di dominio (FQDN) che puoi includere in tutte le regole di un criterio firewall di rete regionale: questa quota è la somma di tutti i nomi di dominio di origine di tutte le regole di ingresso del criterio più la somma di tutti i nomi di dominio di destinazione di tutte le regole di uscita del criterio.

Dettagli del conteggio degli attributi delle regole

Ogni criterio firewall supporta un numero totale massimo di attributi di tutte le regole del criterio. Per determinare il numero di attributi delle regole per un determinato criterio firewall, descrivi il criterio. Per le indicazioni, consulta quanto segue:

La tabella seguente elenca le regole di esempio e il conteggio degli attributi per ogni regola di esempio.

Esempio di regola firewall Conteggio degli attributi regola Spiegazione
Regola firewall di autorizzazione in entrata con intervallo di indirizzi IP di origine10.100.0.1/32, protocollo tcp e intervallo di porte5000-6000. 3 Un intervallo di origine, un protocollo, un intervallo di porte.
Regola firewall di rifiuto in entrata con intervalli di indirizzi IP di origine 10.0.0.0/8, 192.168.0.0/16, intervallo di indirizzi IP di destinazione 100.64.0.7/32, protocolli tcp e udp, intervalli di porte 53-53 e 5353-5353. 11 Esistono quattro combinazioni di protocolli e porte: tcp:53-53, tcp:5353-5353, udp:53-53 e udp:5353-5353. Ogni combinazione di protocollo e porta utilizza due attributi. Un attributo ciascuno per i due intervalli di indirizzi IP di origine, un attributo per l'intervallo di indirizzi IP di destinazione e otto attributi per le combinazioni di protocollo e porta producono un conteggio degli attributi pari a 11.
Regola firewall di rifiuto in uscita con intervallo di indirizzi IP di origine 100.64.0.7/32, intervallo di indirizzi IP di destinazione 10.100.0.1/32, 10.100.1.1/32, tcp:80, tcp:443 e udp:4000-5000. 9 Le combinazioni di protocolli e porte diventano tre: tcp:80-80, tcp:443-443 e udp:4000-5000. Ogni combinazione di protocollo e porta utilizza due attributi. Un attributo per l'intervallo di origine, uno per ciascuno dei due intervalli di indirizzi IP di destinazione e sei attributi per le combinazioni di protocollo e porta producono un conteggio degli attributi pari a 9.

Limiti

I limiti non possono essere aumentati se non diversamente specificato.

Per organizzazione

Alle organizzazioni si applicano i seguenti limiti:

Elemento limite Note
Gruppi di indirizzi globali per organizzazione 100 Il numero massimo di gruppi di indirizzi globali che puoi creare per organizzazione.
Gruppi di indirizzi regionali per organizzazione per regione 100 Il numero massimo di gruppi di indirizzi regionali che puoi creare per organizzazione in una regione.
Gruppi di indirizzi dell'organizzazione 100 Il numero massimo di gruppi di indirizzi che puoi creare per organizzazione, indipendentemente dalla località (globale o regionale).
Capacità massima del gruppo di indirizzi 1000 La capacità massima di un gruppo di indirizzi per organizzazione o progetto.
Chiavi dei tag sicuri massime per organizzazione o progetto 1000 Il numero massimo di chiavi dei tag sicuri che puoi creare per organizzazione o progetto. Per ulteriori informazioni, consulta Limiti dei tag.
Valori tag sicuri massimi per chiave, per organizzazione o per progetto 1000 Il numero massimo di valori tag sicuri che puoi aggiungere per chiave in un'organizzazione o un progetto. Per ulteriori informazioni, consulta Limiti dei tag.
Coppie chiave-valore di tag sicuri massime per risorsa per organizzazione 50 Il numero massimo di coppie chiave-valore dei tag sicuri che puoi aggiungere per risorsa in un'organizzazione o un progetto. Per ulteriori informazioni, consulta Limiti dei tag.

Per i limiti di rete, consulta Limiti per rete.

Profili di sicurezza per la prevenzione delle minacce per organizzazione 40 Il numero massimo di profili di sicurezza di tipo Prevenzione delle minacce che puoi creare per organizzazione.
Gruppi di profili di sicurezza per organizzazione 40 Il numero massimo di gruppi di profili di sicurezza che utilizzano un profilo di sicurezza per la prevenzione delle minacce che puoi creare per organizzazione.
Endpoint firewall per zona per organizzazione 10 Il numero massimo di endpoint firewall che puoi creare per zona per organizzazione.

Per rete

I seguenti limiti si applicano alle reti VPC:

Elemento Limite Note
Criteri firewall di rete globali massimi per rete 1 Il numero massimo di criteri firewall di rete globali che puoi associare a una rete VPC.
Criteri firewall di rete regionali massimi per regione e per rete 1 Il numero massimo di criteri firewall di rete regionali che puoi associare a una combinazione di rete VPC e regione.
Numero massimo di nomi di dominio (FQDN) per rete 1000 Il numero totale massimo di nomi di dominio che possono essere utilizzati nelle regole del firewall provenienti da criteri firewall gerarchici, criteri firewall di rete globali e criteri firewall di rete regionali associati a una rete VPC.
Endpoint firewall per zona per rete 1 Il numero massimo di endpoint firewall che puoi assegnare per zona per rete.

Per regola firewall

Ai seguenti limiti si applicano le regole firewall:

Elemento Limite Note
Numero massimo di tag di origine sicuri per regola del criterio firewall in entrata 256 Applicabile solo alla regola del criterio firewall in entrata: il numero massimo di tag sicuri che puoi utilizzare come tag di origine nella regola firewall. Questo limite non può essere aumentato.
Numero massimo di tag di destinazione protetti per regola di criteri firewall 256 Applicabile solo alla regola del criterio firewall: il numero massimo di tag sicuri che puoi utilizzare come tag di destinazione nella regola firewall. Questo limite non può essere aumentato.
Numero massimo di tag di rete di origine per regola firewall VPC in entrata 30 Applicabile solo alle regole firewall VPC in entrata: il numero massimo di tag di rete che puoi utilizzare come tag di origine nella regola firewall. Questo limite non può essere aumentato.
Numero massimo di tag di rete di destinazione per regola firewall VPC 70 Applicabile solo alle regole firewall VPC: il numero massimo di tag di rete che puoi utilizzare come tag di destinazione nella regola firewall. Questo limite non può essere aumentato.
Numero massimo di account di servizio di origine per regola firewall VPC in entrata 10 Applicabile solo alle regole firewall VPC in entrata: il numero massimo di account di servizio che puoi utilizzare come origini nella regola firewall. Questo limite non può essere aumentato.
Numero massimo di account di servizio di destinazione per regola firewall 10 Il numero massimo di account di servizio che puoi utilizzare come target in una regola firewall VPC o in una regola in un criterio firewall. Questo limite non può essere aumentato.
Numero massimo di intervalli di indirizzi IP di origine per regola firewall 5000 Il numero massimo di intervalli di indirizzi IP di origine che puoi specificare in una regola firewall VPC o in una regola in un criterio firewall. Gli intervalli di indirizzi IP sono solo IPv4 o solo IPv6. Questo limite non può essere aumentato.
Numero massimo di intervalli di indirizzi IP di destinazione per regola firewall 5000 Il numero massimo di intervalli di indirizzi IP di destinazione che puoi specificare in una regola firewall VPC o in una regola in un criterio firewall. Gli intervalli di indirizzi IP sono solo IPv4 o solo IPv6. Questo limite non può essere aumentato.
Numero massimo di gruppi di indirizzi di origine per regola firewall in entrata in un criterio firewall 10 Il numero massimo di gruppi di indirizzi di origine che puoi specificare in una regola firewall in entrata in un criterio firewall. Questo limite non può essere aumentato.
Numero massimo di gruppi di indirizzi di destinazione per regola firewall in un criterio firewall 10 Il numero massimo di gruppi di indirizzi di destinazione che puoi specificare in una regola firewall in uscita in un criterio firewall. Questo limite non può essere aumentato.
Numero massimo di nomi di dominio (FQDN) per regola firewall in un criterio firewall 100 Il numero di nomi di dominio (FQDN) che puoi includere in una regola di un criterio firewall. Questo limite non può essere aumentato.

Per endpoint firewall

Ai seguenti endpoint del firewall si applicano i seguenti limiti:

Elemento Limite Note
Associazioni per endpoint firewall 50 Il numero massimo di reti VPC che puoi associare a un endpoint firewall. Per superare questo limite, puoi creare endpoint firewall aggiuntivi nella stessa zona.

Per profilo di sicurezza

Ai profili di sicurezza si applicano i seguenti limiti:

Elemento Limite Note
Numero di sostituzioni delle minacce per profilo di sicurezza 100 Il numero massimo di sostituzioni delle minacce che puoi aggiungere in un profilo di sicurezza per la prevenzione delle minacce.

Per interfaccia di rete VM

I seguenti limiti si applicano alle interfacce di rete delle VM:

Elemento Limite Note
Numero massimo di tag sicuri per interfaccia VM 10 Il numero massimo di tag sicuri che puoi aggiungere per VM e per NIC.

Gestisci quote

Cloud Next Generation Firewall applica le quote sull'utilizzo delle risorse per vari motivi. Ad esempio, le quote proteggono la community di utenti di Google Cloud da picchi di utilizzo imprevisti. Le quote sono utilizzate anche per aiutare gli utenti che esplorano Google Cloud con il Livello gratuito a restare entro i limiti previsti per la prova.

Tutti i progetti iniziano con le stesse quote, che puoi modificare richiedendo quota aggiuntiva. Alcune quote potrebbero aumentare automaticamente in base all'uso che fai del prodotto.

Autorizzazioni

Per visualizzare le quote o richiedere aumenti di quota, i principali di Identity and Access Management (IAM) devono disporre di uno dei seguenti ruoli.

Attività Ruolo richiesto
Controllare le quote per un progetto Uno dei seguenti:
Modificare quote, richiedere quota aggiuntiva Uno dei seguenti:
  • Proprietario del progetto (roles/owner)
  • Editor del progetto (roles/editor)
  • Amministratore quota (roles/servicemanagement.quotaAdmin)
  • Un ruolo personalizzato con l'autorizzazione serviceusage.quotas.update

Controlla la quota

Console

  1. Nella console Google Cloud, vai alla pagina Quote.

    Vai a Quote

  2. Per cercare la quota da aggiornare, utilizza Filtra tabella. Se non conosci il nome della quota, utilizza invece i link in questa pagina.

gcloud

Con Google Cloud CLI, esegui il comando seguente per verificare le quote. Sostituisci PROJECT_ID con l'ID del tuo progetto.

    gcloud compute project-info describe --project PROJECT_ID

Per verificare la quota utilizzata in un'area geografica, esegui questo comando:

    gcloud compute regions describe example-region
    

Errori quando superi la quota

Se superi una quota con un comando gcloud, gcloud restituisce un messaggio di errore quota exceeded e il codice di uscita 1.

Se superi una quota con una richiesta API, Google Cloud restituisce il seguente codice di stato HTTP: 413 Request Entity Too Large.

Richiedi quota aggiuntiva

Per modificare la maggior parte delle quote, utilizza la console Google Cloud. Per ulteriori informazioni, consulta Richiedere un aggiustamento della quota.

Console

  1. Nella console Google Cloud, vai alla pagina Quote.

    Vai a Quote

  2. Nella pagina Quote, seleziona le quote che vuoi modificare.
  3. Nella parte superiore della pagina, fai clic su Modifica quote.
  4. In Nome, inserisci il tuo nome.
  5. (Facoltativo) Per Telefono, inserisci un numero di telefono.
  6. Invia la richiesta. Per elaborare le richieste di quota sono necessarie dalle 24 alle 48 ore.

Disponibilità delle risorse

Ciascuna quota rappresenta un numero massimo per un determinato tipo di risorsa che puoi creare, se la risorsa è disponibile. È importante notare che le quote non garantiscono la disponibilità delle risorse. Anche se hai quota disponibile, non puoi creare una nuova risorsa se non è disponibile.

Ad esempio, potresti avere quota sufficiente per creare un nuovo indirizzo IP esterno a livello di regione in una determinata regione. Tuttavia, ciò non è possibile se non sono disponibili indirizzi IP esterni in quella regione. Anche la disponibilità di risorse a livello di zona potrebbe influire sulla tua possibilità di creare una nuova risorsa.

Situazioni in cui le risorse non sono disponibili in un'intera area geografica sono rare. Tuttavia, le risorse all'interno di una zona possono esaurirsi di tanto in tanto, generalmente senza impatto sull'accordo sul livello del servizio (SLA) per il tipo di risorsa. Per ulteriori informazioni, consulta lo SLA pertinente per la risorsa.