Questo documento elenca le quotas e i quotas che si applicano Firewall di nuova generazione.
Una quota limita la quantità di risorse Google Cloud condivise È possibile usare un progetto Google Cloud, inclusi hardware, software e rete componenti. Di conseguenza, le quote fanno parte di un sistema che seguenti:
- Monitora l'utilizzo o il consumo dei prodotti Google Cloud e i servizi di machine learning.
- Limita il tuo consumo di queste risorse, per motivi che includono: garantendo l'equità e riducendo i picchi di utilizzo.
- Mantiene configurazioni che applicano automaticamente le limitazioni prescritte.
- Consente di richiedere o modificare la quota.
Nella maggior parte dei casi, quando viene superata una quota, il sistema blocca immediatamente alla risorsa Google pertinente e all'attività che vuoi non riesce a eseguire l'esecuzione. Nella maggior parte dei casi, le quote vengono applicate a ogni progetto Google Cloud e vengono condivisi tra tutte le applicazioni e gli indirizzi IP che utilizzano progetto Google Cloud.
Esistono anche limiti per le risorse Cloud NGFW. Questi non sono correlati al sistema delle quote. I limiti non possono essere modificati se non diversamente specificato.
Quote
Questa sezione elenca le quote che si applicano a Cloud Next Generation Firewall.
Per monitorare le quote per progetto che utilizzano Cloud Monitoring, configura il monitoraggio
per la metrica serviceruntime.googleapis.com/quota/allocation/usage nella
Tipo di risorsa Consumer Quota. Imposta filtri aggiuntivi per le etichette (service,
quota_metric) per arrivare al tipo di quota. Per informazioni sul monitoraggio della quota
consulta Riportare in grafici e monitorare le metriche delle quote.
Ogni quota ha un limite e un valore di utilizzo.
Se non diversamente indicato, per modificare una quota, consulta la sezione Richiedere un di archiviazione.
Per progetto
La tabella seguente evidenzia le quote Cloud NGFW per progetto.
| Quota | Descrizione |
|---|---|
| Regole firewall VPC | Il numero di istanze VPC regole firewall che puoi creare in un progetto, indipendentemente Rete VPC a cui si applica ogni regola firewall. |
| Criteri firewall di rete globali | Il numero di conversioni globali criteri firewall di rete in un progetto, indipendentemente dal numero Le reti VPC sono associate a ogni criterio. |
| Criteri firewall di rete a livello di regione | Il numero di Criteri firewall di rete regionali in ogni regione di un progetto indipendentemente dal numero di reti VPC associate . |
| Gruppi di indirizzi globali per progetto | Il numero di gruppi di indirizzi globali che puoi definire in un progetto. |
| Gruppi di indirizzi regionali per progetto per regione | Il numero di gruppi di indirizzi a livello di regione che puoi definire in ogni regione di un progetto. |
Per organizzazione
La tabella seguente evidenzia le quote Cloud NGFW per dell'organizzazione. Per modificare una quota a livello di organizzazione, invia una richiesta di assistenza richiesta.
| Quota | Descrizione |
|---|---|
| Criteri firewall gerarchici non associati in un'organizzazione | Il numero di Criteri firewall gerarchici in un'organizzazione non associati con qualsiasi cartella o risorsa dell'organizzazione. Non c’è limite al numero di Criteri firewall gerarchici in un'organizzazione associati a un risorsa. |
Per criterio firewall
La tabella seguente evidenzia le quote Cloud NGFW per risorsa del criterio firewall.
| Quota | Descrizione |
|---|---|
| Criteri firewall gerarchici | |
| Attributi delle regole per criterio firewall gerarchico | Questa quota è la somma degli attributi di tutte le regole in un ambito criterio firewall. Per ulteriori informazioni, vedi Conteggio attributi della regola dettagli. |
| Nomi di dominio (FQDN) per criterio firewall gerarchico | Il numero di nomi di dominio che puoi includere in tutte le regole di un il criterio firewall gerarchico. Questa quota è la somma di tutte le origini nomi di dominio da tutte le regole in entrata nel criterio più la somma di tutte i nomi di dominio di destinazione da tutte le regole in uscita nel criterio. |
| Criteri firewall di rete globali | |
| Regola attributi per criterio firewall di rete globale | La somma degli attributi delle regole di tutte le regole in un firewall di rete globale . Per ulteriori informazioni, vedi Conteggio attributi della regola dettagli. |
| Nomi di dominio (FQDN) per criterio firewall di rete globale | Il numero di nomi di dominio che puoi includere in tutte le regole di un il criterio firewall di rete globale. Questa quota è la somma di tutte le origini nomi di dominio da tutte le regole in entrata nel criterio più la somma di tutte i nomi di dominio di destinazione da tutte le regole in uscita nel criterio. |
| Criteri firewall di rete a livello di regione | |
| Regola attributi per criterio firewall di rete a livello di regione | La somma degli attributi delle regole di tutte le regole in un firewall di rete a livello di regione . Per ulteriori informazioni, vedi Conteggio attributi della regola dettagli. |
| Nomi di dominio (FQDN) per criterio firewall di rete regionale | Il numero di nomi di dominio (FQDN) che puoi includere in tutte le regole di un criterio firewall di rete regionale: questa quota è la somma di tutte le origini nomi di dominio da tutte le regole in entrata nel criterio più la somma di tutte i nomi di dominio di destinazione da tutte le regole in uscita nel criterio. |
Dettagli conteggio attributi regola
Ogni criterio firewall supporta un numero totale massimo di attributi delle regole. La la somma del numero di attributi delle regole per tutte le regole firewall in un criterio firewall è il numero di attributi della regola per quel criterio firewall.
Le regole di esempio seguenti illustrano come Google Cloud conteggia le regole. in base alle regole firewall. Per scoprire come Google Cloud calcola il numero di attributi delle regole per ciascun criterio firewall; consulta la sezione Descrivere un .
| Esempio di regola firewall | Conteggio attributi regola | Spiegazione |
|---|---|---|
Regola firewall di autorizzazione in entrata con intervallo di indirizzi IP di origine
10.100.0.1/32, tcp e
Intervallo di porte 5000-6000.
|
3 | Un intervallo di origine; un protocollo e un intervallo di porte. |
Regola firewall di negazione in entrata con intervalli di indirizzi IP di origine
10.0.0.0/8, 192.168.0.0/16, IP di destinazione
di indirizzi 100.64.0.7/32, tcp e
protocolli udp, intervalli di porte 53-53 e
5353-5353.
|
11 | Esistono quattro combinazioni di protocollo e porta: tcp:53-53,
tcp:5353-5353, udp:53-53 e
udp:5353-5353. Ogni combinazione di protocollo e porta utilizza due
attributi. un attributo per i due intervalli di indirizzi IP di origine, uno
per l'intervallo di indirizzi IP di destinazione e otto attributi per il
di protocollo e porta genera un conteggio degli attributi pari a 11. |
Regola firewall di negazione in uscita con intervallo di indirizzi IP di origine
100.64.0.7/32, intervallo di indirizzi IP di destinazione
10.100.0.1/32, 10.100.1.1/32, tcp:80
tcp:443 e udp:4000-5000.
|
9 | Le combinazioni di protocollo e porta si espandono in tre: tcp:80-80,
tcp:443-443 e udp:4000-5000. Ogni protocollo
di porte utilizza due attributi. Un attributo per l'intervallo di origine,
un attributo per i due intervalli di indirizzi IP di destinazione e sei
per le combinazioni di protocollo e porta produce un attributo
contando fino a 9. |
Limiti
I limiti non possono essere aumentati se non diversamente specificato.
Per organizzazione
I seguenti limiti si applicano alle organizzazioni.
| Elemento | limite | Note |
|---|---|---|
| Gruppi di indirizzi globali per organizzazione | 100 | Il numero massimo di gruppi di indirizzi globali che puoi creare per organizzazione. |
| Gruppi di indirizzi regionali per organizzazione per regione | 100 | Il numero massimo di gruppi di indirizzi a livello di regione che puoi creare per organizzazione in una regione. |
| Gruppi di indirizzi dell'organizzazione | 100 | Il numero massimo di gruppi di indirizzi che puoi creare per organizzazione, indipendentemente dalla località (globale o regionale). |
| Capacità massima del gruppo di indirizzi | 1000 | La capacità massima di un gruppo di indirizzi per organizzazione o progetto. |
| Numero massimo di chiavi tag sicure per organizzazione o progetto | 1000 | Il numero massimo di chiavi tag sicure che puoi creare per organizzazione o progetto. Per ulteriori informazioni, consulta la sezione Limiti dei tag. |
| Numero massimo di valori di tag sicuri per chiave per organizzazione o progetto | 1000 | Il numero massimo di valori di tag sicuri che puoi aggiungere per chiave in un'organizzazione o un progetto. Per ulteriori informazioni, consulta la sezione Limiti dei tag. |
| Numero massimo di coppie chiave-valore di tag sicuri per risorsa e organizzazione | 50 | Il numero massimo di coppie chiave-valore di tag sicuri che puoi aggiungere per risorsa in un'organizzazione o in un progetto. Per ulteriori informazioni, consulta la sezione Limiti dei tag.
Per i limiti di rete, vedi Limiti per rete. |
| Profili di sicurezza per la prevenzione delle minacce per organizzazione | 40 | Il numero massimo di profili di sicurezza di tipo prevenzione delle minacce che è possibile creare per azienda. |
| Gruppi di profili di sicurezza per organizzazione | 40 | Il numero massimo di gruppi di profili di sicurezza che utilizzano un profilo di sicurezza per la prevenzione delle minacce che puoi creare per organizzazione. |
| Endpoint firewall per zona per organizzazione | 10 | Il numero massimo di endpoint firewall che puoi creare per zona e per organizzazione. |
Per rete
I seguenti limiti sono applicabili alle reti VPC.
| Elemento | Limite | Note |
|---|---|---|
| Numero massimo di criteri firewall di rete globali per rete | 1 | Il numero massimo di criteri firewall di rete globali che puoi a una rete VPC. |
| Numero massimo di criteri firewall di rete a livello di regione per regione e rete | 1 | Il numero massimo di criteri firewall di rete a livello di regione che puoi associare a una combinazione di rete VPC e regione. |
| Numero massimo di nomi di dominio (FQDN) per rete | 1000 | Il numero massimo totale di nomi di dominio che possono essere utilizzati in le regole firewall che provengono da criteri firewall gerarchici, la rete criteri firewall e criteri firewall di rete regionali associati a un rete VPC. |
| Endpoint firewall per zona per rete | 1 | Il numero massimo di endpoint firewall che puoi assegnare per zona e per in ogni rete. |
Per regola firewall
Alle regole firewall si applicano i seguenti limiti:
| Elemento | Limite | Note |
|---|---|---|
| Numero massimo di tag protetti di origine per criterio firewall in entrata regola | 256 | Applicabile solo alla regola del criterio firewall in entrata, ovvero numero massimo di tag protetti che puoi utilizzare come tag di origine nella una regola firewall. Questo limite non può essere aumentato. |
| Numero massimo di tag protetti di destinazione per regola di criterio firewall | 256 | Applicabile solo alla regola del criterio firewall, ovvero numero massimo di tag protetti che puoi utilizzare come tag di destinazione una regola firewall. Questo limite non può essere aumentato. |
| Numero massimo di tag di rete di origine per VPC in entrata regola firewall | 30 | Applicabile solo alle regole firewall VPC in entrata: numero massimo di tag di rete che puoi utilizzare come tag di origine nella una regola firewall. Questo limite non può essere aumentato. |
| Numero massimo di tag di rete di destinazione per firewall VPC regola | 70 | Applicabile solo alle regole firewall VPC: il numero massimo numero di tag di rete che puoi usare come tag di destinazione nel firewall personalizzata. Questo limite non può essere aumentato. |
| Numero massimo di account di servizio di origine per VPC in entrata regola firewall | 10 | Applicabile solo alle regole firewall VPC in entrata: numero massimo di account di servizio che puoi utilizzare come origini nel una regola firewall. Questo limite non può essere aumentato. |
| Numero massimo di account di servizio di destinazione per regola firewall | 10 | Il numero massimo di account di servizio che puoi utilizzare come destinazioni in una Regola o regola firewall VPC in un criterio firewall. Questo limite non possono essere aumentati. |
| Numero massimo di intervalli di indirizzi IP di origine per regola firewall | 5000 | Il numero massimo di intervalli di indirizzi IP di origine che puoi specificare in un Regola o regola firewall VPC in un criterio firewall. Indirizzo IP sono solo IPv4 o solo IPv6. Questo limite non può essere aumentato. |
| Numero massimo di intervalli di indirizzi IP di destinazione per regola firewall | 5000 | Il numero massimo di intervalli di indirizzi IP di destinazione che puoi specificare in una regola o in una regola firewall VPC in un criterio firewall. PROPRIETÀ INTELLETTUALE gli intervalli di indirizzi sono solo IPv4 o solo IPv6. Questo limite non può essere aumentati. |
| Numero massimo di gruppi di indirizzi di origine per regola firewall in entrata in un criterio firewall | 10 | Il numero massimo di gruppi di indirizzi di origine che puoi specificare in un una regola firewall in entrata in un criterio firewall. Questo limite non può essere aumentato. |
| Numero massimo di gruppi di indirizzi di destinazione per regola firewall in un criterio firewall | 10 | Il numero massimo di gruppi di indirizzi di destinazione che puoi specificare in una regola firewall in uscita in un criterio firewall. Questo limite non può essere aumentato. |
| Numero massimo di nomi di dominio (FQDN) per regola firewall in un criterio firewall | 100 | Il numero di nomi di dominio (FQDN) che puoi includere in una regola di un criterio firewall. Questo limite non può essere aumentato. |
Per endpoint firewall
I seguenti limiti si applicano agli endpoint firewall.
| Elemento | Quota predefinita | Note |
|---|---|---|
| Associazioni per endpoint firewall | 50 | Il numero massimo di reti VPC che puoi associare a un endpoint firewall. Puoi creare endpoint firewall aggiuntivi nella stessa zona per superare questo limite. |
Per profilo di sicurezza
I seguenti limiti si applicano ai profili di sicurezza.
| Elemento | Quota predefinita | Note |
|---|---|---|
| Numero di override delle minacce per profilo di sicurezza | 100 | Il numero massimo di override delle minacce che puoi aggiungere a un profilo di sicurezza per la prevenzione delle minacce. |
Interfaccia di rete per VM
Alle interfacce di rete delle VM si applicano i seguenti limiti:
| Elemento | Limite | Note |
|---|---|---|
| Numero massimo di tag sicuri per interfaccia VM | 10 | Il numero massimo di tag sicuri che puoi aggiungere per VM e per NIC. |
Gestisci quote
Cloud Next Generation Firewall applica quote sull'utilizzo delle risorse per vari motivi. Ad esempio, le quote proteggono la community di Google Cloud utenti da picchi di utilizzo imprevisti. Le quote aiutano inoltre gli utenti che esplorano Google Cloud con il livello gratuito a rimanere entro i limiti del periodo di prova.
Tutti i progetti iniziano con le stesse quote, che puoi modificare richiedendo una quota aggiuntiva. Alcune quote potrebbero aumentare automaticamente in base all'utilizzo del prodotto.
Autorizzazioni
Per visualizzare le quote o richiedere aumenti di quota, le entità Identity and Access Management (IAM) devono avere uno dei seguenti ruoli.
| Attività | Ruolo richiesto |
|---|---|
| Controllare le quote per un progetto | Uno dei seguenti valori:
|
| Modificare quote, richiedere quota aggiuntiva | Uno dei seguenti valori:
|
Controlla la tua quota
Console
- Nella console Google Cloud, vai alla pagina Quote.
- Per cercare la quota da aggiornare, utilizza Filtra tabella. Se non conosci il nome della quota, utilizza invece i link in questa pagina.
gcloud
Con Google Cloud CLI, esegui questo comando per verificare le quote. Sostituisci PROJECT_ID con l'ID del tuo progetto.
gcloud compute project-info describe --project PROJECT_ID
Per verificare la quota utilizzata in un'area geografica, esegui questo comando:
gcloud compute regions describe example-region
Errori quando superi la quota
Se superi una quota con un comando gcloud, gcloud restituisce un messaggio di errore quota exceeded e il codice di uscita 1.
Se superi una quota con una richiesta API, Google Cloud restituisce il seguente codice di stato HTTP: 413 Request Entity Too Large.
Richiedi quota aggiuntiva
Per aumentare o diminuire la maggior parte delle quote, utilizza la console Google Cloud. Per ulteriori informazioni, consulta Richiedere una quota superiore.
Console
- Nella console Google Cloud, vai alla pagina Quote.
- Nella pagina Quote, seleziona le quote che vuoi modificare.
- Nella parte superiore della pagina, fai clic su Modifica quote.
- In Nome, inserisci il tuo nome.
- (Facoltativo) Per Telefono, inserisci un numero di telefono.
- Invia la richiesta. Per elaborare le richieste di quota sono necessarie dalle 24 alle 48 ore.
Disponibilità delle risorse
Ogni quota rappresenta un numero massimo per un determinato tipo di risorsa che puoi creare, se disponibile. È importante notare che le quote non garantiscono la disponibilità delle risorse. Anche se disponi di quota disponibile, non puoi creare una nuova risorsa se non è disponibile.
Ad esempio, potresti disporre di una quota sufficiente per creare un nuovo indirizzo IP esterno a livello di regione nella regione us-central1. Tuttavia, ciò non è possibile se non sono disponibili indirizzi IP esterni in quella regione. Anche la disponibilità di risorse a livello di zona potrebbe influire sulla tua possibilità di creare una nuova risorsa.
Situazioni in cui le risorse non sono disponibili in un'intera regione sono rare. Tuttavia, le risorse all'interno di una zona possono essere esaurite di tanto in tanto, in genere senza impatto sull'accordo sul livello del servizio (SLA) per il tipo di risorsa. Per ulteriori informazioni, consulta lo SLA pertinente per la risorsa.