本文档列出了适用于 Cloud 新一代防火墙的配额和限制。
- 配额用于指定您可以使用的可计数共享资源的数量。配额由 Cloud 新一代防火墙等 Google Cloud 服务定义。
- 系统限制是无法更改的固定值。
Google Cloud 使用配额来帮助确保公平性并减少资源使用和可用性的激增。配额用于限制您的 Google Cloud 项目可使用的Google Cloud 资源的数量。配额适用于一系列资源类型,包括硬件、软件和网络组件。例如,配额可以限制对某项服务的 API 调用次数、您的项目并发使用的负载均衡器数量或者您可以创建的项目数量。配额可以防止服务过载,从而保护Google Cloud 用户社区。配额还可帮助您管理自己的 Google Cloud 资源。
Cloud 配额系统执行以下操作:
- 监控 Google Cloud 产品和服务的消耗情况
- 限制这些资源的消耗量
- 提供请求更改配额值的方法
在大多数情况下,当您尝试消耗的资源超出其配额允许的范围时,系统会阻止对资源的访问,并且您尝试执行的任务会失败。
配额通常在 Google Cloud 项目级层应用。您在一个项目中使用资源不会影响您在另一个项目中的可用配额。在 Google Cloud 项目中,配额在所有应用和 IP 地址间共享。
Cloud NGFW 资源也有系统限制。系统限制不能更改。
配额
本部分列出了适用于 Cloud 新一代防火墙的配额。
如需监控使用 Cloud Monitoring 的每个项目的配额,请对 Consumer Quota 资源类型的指标 serviceruntime.googleapis.com/quota/allocation/usage 设置监控。设置其他标签过滤条件(service、quota_metric)以获取配额类型。如需了解如何监控配额指标,请参阅图表和监控配额指标。每个配额都有限制值和用量值。
除非另有说明,否则如需更改配额,请参阅申请更高配额。
每个项目
下表重点介绍了针对每个项目的 Cloud NGFW 配额:
| 配额 | 说明 |
|---|---|
| VPC 防火墙规则 | 您可以在项目中创建的 VPC 防火墙规则的数量,无论每条防火墙规则应用于哪个 VPC 网络。 |
| 全球网络防火墙政策 | 项目中的全球网络防火墙政策的数量,无论每个政策关联的 VPC 网络数量如何。 |
| 区域级网络防火墙政策 | 项目中每个区域的区域级网络防火墙政策的数量,无论每个政策关联的 VPC 网络数量如何。 |
| 每个项目的全球地址组 | 您可以在一个项目中定义的全球地址组的数量。 |
| 每个区域每个项目的区域级地址组 | 您可以在项目的每个区域中定义的区域级地址组的数量。 |
每个组织
下表重点介绍了针对每个组织的 Cloud NGFW 配额。如需更改组织级配额,请提交支持请求。
| 配额 | 说明 |
|---|---|
| 组织中未关联的分层防火墙政策 | 组织中未与任何文件夹或组织资源关联的分层防火墙政策的数量。组织中与资源关联的分层防火墙政策的数量没有限制。 |
每个防火墙政策
下表重点介绍了针对每个防火墙政策资源的 Cloud NGFW 配额:
| 配额 | 说明 |
|---|---|
| 分层防火墙政策 | |
| 每个分层防火墙政策的规则属性 | 此配额是分层防火墙政策中所有规则的规则属性总和。如需了解详情,请参阅规则属性计数详细信息。 |
| 每个分层防火墙政策的域名 (FQDN) | 可以包含在分层防火墙政策的所有规则中的域名数量。此配额是政策中所有入站流量规则的所有来源域名的总和,加上政策中所有出站流量规则的所有目的地域名的总和。 |
| 全球网络防火墙政策 | |
| 每个全球网络防火墙政策的规则属性数量 | 全球网络防火墙政策中所有规则的规则属性总和。如需了解详情,请参阅规则属性计数详细信息。 |
| 每个全球网络防火墙政策的域名 (FQDN) | 可以包含在全球网络防火墙政策的所有规则中的域名数量。此配额是政策中所有入站流量规则的所有来源域名的总和,以及政策中所有出站流量规则的所有目标域名的总和。 |
| 区域级网络防火墙政策 | |
| 每个区域级网络防火墙政策的规则属性数量 | 区域级网络防火墙政策中所有规则的规则属性总和。如需了解详情,请参阅规则属性计数详细信息。 |
| 每个区域级网络防火墙政策的域名 (FQDN) | 可以包含在区域级网络防火墙政策的所有规则中的域名 (FQDN) 数量:此配额是政策中所有入站规则的所有来源域名的总和,以及政策中所有出站规则的所有目的地域名的总和。 |
规则属性计数详细信息
每个防火墙政策支持政策中所有规则的最大属性总数。如需确定给定防火墙政策的规则属性计数,请描述该政策。如需查看相关说明,请参阅以下内容:
- 在分层防火墙政策文档中描述政策
- 描述全球网络防火墙政策
- 描述区域级网络防火墙政策
下表列出了示例规则以及每个示例规则的属性计数。
| 示例防火墙规则 | 规则属性计数 | 说明 |
|---|---|---|
来源 IP 地址范围为 10.100.0.1/32、协议为 tcp、端口范围为 5000-6000 的入站允许防火墙规则。 |
3 | 一个来源范围、一项协议、一个端口范围。 |
来源 IP 地址范围为 10.0.0.0/8, 192.168.0.0/16、目标 IP 地址范围为 100.64.0.7/32、协议为 tcp 和 udp、端口范围为 53-53 和 5353-5353 的入站拒绝防火墙规则。 |
11 | 有四种协议和端口组合:tcp:53-53、tcp:5353-5353、udp:53-53 和 udp:5353-5353。每个协议和端口的组合都使用两个属性。两个来源 IP 地址范围各有一个属性,目标 IP 地址范围有一个属性,协议和端口组合有 8 个属性,因此,属性数量总共有 11 个。 |
来源 IP 地址范围为 100.64.0.7/32、目标 IP 地址范围为 10.100.0.1/32, 10.100.1.1/32、tcp:80、tcp:443 和 udp:4000-5000 的出站拒绝防火墙规则。 |
9 | 协议和端口组合扩展为三种:tcp:80-80、tcp:443-443 和 udp:4000-5000。每个协议和端口的组合都使用两个属性。来源范围有一个属性,两个目标 IP 地址范围各有一个属性,协议和端口组合有 6 个属性,因此,属性数量总共有 9 个。 |
限制
除非特别说明,否则无法提高限制。
每个组织
以下限制适用于组织:
| 内容 | limit | 备注 |
|---|---|---|
| 每个组织的全球地址组 | 100 | 您可以为每个组织创建的全球地址组的数量上限。 |
| 每个区域每个组织的区域级地址组 | 100 | 您可以为一个区域中的每个组织创建的区域级地址组的数量上限。 |
| 组织地址组 | 100 | 您可以为每个组织创建的地址组的数量上限,与位置(全球性或区域级)无关。 |
| 地址组容量上限 | 1000 | 每个组织或项目的地址组的容量上限。 |
| 每个组织或每个项目的安全标记键的数量上限 | 1000 | 您可以为每个组织或项目创建的安全标记键的数量上限。如需了解详情,请参阅标记限制。 |
| 每个组织或项目的每个键的安全标记值数量上限 | 1000 | 您可以为一个组织或项目中的每个键添加的安全标记值的数量上限。如需了解详情,请参阅标记限制。 |
| 每个组织每个资源的安全标记键值对的数量上限 | 10 | 您可以为一个组织或项目中的每个资源添加的安全标记键值对的数量上限。如需详细了解防火墙安全标记的规范,请参阅规范。 如需了解网络限制,请参阅每个网络的限制。 |
| 每个组织的威胁防护安全配置文件 | 40 | 你可以为每个组织创建的威胁防护类型的安全配置文件数量上限。 |
| 每个组织的安全配置文件组 | 40 | 您可以为每个组织创建的使用威胁防护安全配置文件的安全配置文件组数量上限。 |
| 每个组织每个可用区的防火墙端点 | 10 | 您可以为为每个组织的每个可用区创建的防火墙端点数量上限。 |
每个网络
以下限制适用于 VPC 网络:
| 内容 | 限制 | 备注 |
|---|---|---|
| 每个网络的全球网络防火墙政策的数量上限 | 1 | 您可以与 VPC 网络关联的全球网络防火墙政策数量上限。 |
| 每个区域每个网络的区域级网络防火墙政策的数量上限 | 1 | 您可以将 VPC 网络和区域组合关联的区域级网络防火墙政策数量上限。 |
| 每个网络的域名 (FQDN) 数量上限 | 1000 | 来自与 VPC 网络关联的分层防火墙政策、全球网络防火墙政策和区域网络防火墙政策的防火墙规则中可使用的最大域名总数。 |
| 每个网络每个可用区的防火墙端点 | 1 | 您可以为每个网络的每个可用区分配的防火墙端点数量上限。 |
每条防火墙规则
以下限制适用于防火墙规则:
| 内容 | 限制 | 备注 |
|---|---|---|
| 每个入站防火墙政策规则的来源安全标记的数量上限 | 256 | 仅适用于入站流量防火墙政策规则,即防火墙规则中可用作来源标记的安全标记的数量上限。此限制无法提高。 |
| 每个防火墙政策规则的目标安全标记的数量上限 | 256 | 仅适用于防火墙政策规则,即防火墙规则中可用作目标标记的安全标记的数量上限。此限制无法提高。 |
| 每个入站流量 VPC 防火墙规则的来源网络标记的数量上限 | 30 | 仅适用于入站流量 VPC 防火墙规则,即防火墙规则中可用作来源标记的网络标记的数量上限。此限制无法提高。 |
| 每个 VPC 防火墙规则的目标网络标记数量上限 | 70 | 仅适用于 VPC 防火墙规则,即防火墙规则中可用作目标标记的网络标记的数量上限。此限制无法提高。 |
| 每个入站流量 VPC 防火墙规则的源服务账号数量上限 | 10 | 仅适用于入站流量 VPC 防火墙规则,即防火墙规则中可用作来源的服务账号数量上限。此限制无法提高。 |
| 每条防火墙规则的目标服务账号数量上限 | 10 | 可用作 VPC 防火墙规则或防火墙政策中的规则的目标的服务账号数量上限。此限制无法提高。 |
| 每条防火墙规则的源 IP 地址范围数量上限 | 5,000 | 您可以在 VPC 防火墙规则或防火墙政策中的规则中指定的来源 IP 地址范围数上限。IP 地址范围仅限 IPv4 或仅限 IPv6。此限制无法提高。 |
| 每条防火墙规则的目标 IP 地址范围数量上限 | 5,000 | 您可以在 VPC 防火墙规则或防火墙政策中的规则中指定的目标 IP 地址范围数上限。IP 地址范围仅限 IPv4 或仅限 IPv6。此限制无法提高。 |
| 防火墙政策中每个入站流量防火墙规则的源地址组数量上限 | 10 | 您可以在防火墙政策的入站流量防火墙规则中指定的来源地址组数上限。此限制无法提高。 |
| 防火墙政策中每条防火墙规则的目标地址组数量上限 | 10 | 您可以在防火墙政策中的出站流量防火墙规则中指定的目标地址组数上限。此限额无法提高。 |
| 防火墙政策中每条防火墙规则的域名 (FQDN) 数量上限 | 100 | 防火墙政策的规则中可以包含的域名 (FQDN) 的数量。此限制无法提高。 |
每个防火墙端点
以下限制适用于防火墙端点:
| 内容 | 限制 | 备注 |
|---|---|---|
| 每个防火墙端点的关联 | 50 | 可与一个防火墙端点关联的 VPC 网络数量上限。您可以在同一可用区中创建其他防火墙端点,以避免此限制。 |
每个安全配置文件
以下限制适用于安全配置文件:
| 内容 | 限制 | 备注 |
|---|---|---|
| 每个安全配置文件的威胁替换项数量 | 100 | 您可以在威胁防护安全配置文件中添加的威胁替换项数量上限。 |
每个虚拟机的网络接口
以下限制适用于虚拟机网络接口:
| 内容 | 限制 | 备注 |
|---|---|---|
| 每个虚拟机接口的安全标记的数量上限 | 10 | 您可以为每个虚拟机每个 NIC 添加的安全标记的数量上限。 |
Manage quotas
Cloud Next Generation Firewall enforces quotas on resource usage for various reasons. For example, quotas protect the community of Google Cloud users by preventing unforeseen spikes in usage. Quotas also help users who are exploring Google Cloud with the free tier to stay within their trial.
All projects start with the same quotas, which you can change by requesting additional quota. Some quotas might increase automatically based on your use of a product.
Permissions
To view quotas or request quota increases, Identity and Access Management (IAM) principals need one of the following roles.
| Task | Required role |
|---|---|
| Check quotas for a project | One of the following:
|
| Modify quotas, request additional quota | One of the following:
|
Check your quota
Console
- In the Google Cloud console, go to the Quotas page.
- To search for the quota that you want to update, use the Filter table. If you don't know the name of the quota, use the links on this page instead.
gcloud
Using the Google Cloud CLI, run the following command to
check your quotas. Replace PROJECT_ID with your own project ID.
gcloud compute project-info describe --project PROJECT_IDTo check your used quota in a region, run the following command:
gcloud compute regions describe example-region
Errors when exceeding your quota
If you exceed a quota with a gcloud command,
gcloud outputs a quota exceeded error
message and returns with the exit code 1.
If you exceed a quota with an API request, Google Cloud returns the
following HTTP status code: 413 Request Entity Too Large.
Request additional quota
To adjust most quotas, use the Google Cloud console. For more information, see Request a higher quota value.
Resource availability
Each quota represents a maximum number for a particular type of resource that you can create, if that resource is available. It's important to note that quotas don't guarantee resource availability. Even if you have available quota, you can't create a new resource if it is not available.
For example, you might have sufficient quota to create a new regional, external IP address in a given region. However, that is not possible if there are no available external IP addresses in that region. Zonal resource availability can also affect your ability to create a new resource.
Situations where resources are unavailable in an entire region are rare. However, resources within a zone can be depleted from time to time, typically without impact to the service level agreement (SLA) for the type of resource. For more information, review the relevant SLA for the resource.