このドキュメントでは、Cloud Next Generation Firewall に適用される割り当てと上限について説明します。
Google Cloud では、割り当てを使用して公平性を確保し、リソースの使用量と可用性の急増を抑えます。割り当ては、Google Cloud プロジェクトで使用できる Google Cloud リソースの量を制限します。割り当ては、ハードウェア、ソフトウェア、ネットワーク コンポーネントなど、さまざまなリソースタイプに適用されます。たとえば、割り当てによって、サービスへの API 呼び出しの数、プロジェクトで同時に使用されるロードバランサの数、作成可能なプロジェクトの数を制限できます。割り当てを適用することで、サービスの過負荷を防ぎ、Google Cloud ユーザーのコミュニティを保護します。割り当ては、自組織で使用している Google Cloud リソースの管理にも役立ちます。
Cloud Quotas システムは次のことを行います。
- Google Cloud のプロダクトとサービスの消費量をモニタリングする
- これらのリソースの消費量を制限する
- 割り当て値の変更をリクエストする手段を提供する
ほとんどの場合、割り当ての許容量を超えるリソースを消費しようとすると、システムによってリソースへのアクセスがブロックされ、実行しようとしているタスクは失敗します。
割り当ては通常、Google Cloud プロジェクト レベルで適用されます。あるプロジェクトでリソースを使用しても、別のプロジェクトで使用可能な割り当てに影響することはありません。Google Cloud プロジェクト内では、すべてのアプリケーションと IP アドレスで割り当てが共有されます。
Cloud NGFW リソースには上限もあります。これらの上限は、割り当てシステムとは無関係です。上限は、特に明記されていない限り、変更できません。
割り当て
このセクションでは、Cloud Next Generation Firewall に適用される割り当てについて説明します。
Cloud Monitoring を使用するプロジェクトごとの割り当てをモニタリングするには、Consumer Quota リソースタイプで指標 serviceruntime.googleapis.com/quota/allocation/usage のモニタリングを設定します。割り当てタイプに到達するように、追加のラベルフィルタ(service、quota_metric)を設定します。割り当て指標のモニタリングの詳細については、割り当て指標をグラフ化してモニタリングするをご覧ください。各割り当てには上限と使用量の値があります。
特に明記されていない限り、割り当てを変更するには、より大きな割り当てをリクエストするをご覧ください。
プロジェクト単位
次の表に、プロジェクトごとの Cloud NGFW 割り当てを示します。
| 割り当て | 説明 |
|---|---|
| VPC ファイアウォール ルール | 各ファイアウォール ルールが適用される VPC ネットワークに関係なく、プロジェクト内に作成できる VPC ファイアウォール ルールの数。 |
| グローバル ネットワーク ファイアウォール ポリシー | プロジェクト内のグローバル ネットワーク ファイアウォール ポリシーの数。各ポリシーに関連付けられている VPC ネットワークの数は関係ありません。 |
| リージョン ネットワーク ファイアウォール ポリシー | プロジェクトの各リージョンにあるリージョン ネットワーク ファイアウォール ポリシーの数。各ポリシーに関連付けられている VPC ネットワークの数は関係ありません。 |
| プロジェクトごとのグローバル アドレス グループ | 1 つのプロジェクトで定義できるグローバル アドレス グループの数。 |
| 1 リージョン、1 プロジェクトあたりのリージョン アドレス グループ | プロジェクトの各リージョンで定義できるリージョン アドレス グループの数。 |
組織単位
次の表に、組織ごとの Cloud NGFW の割り当てを示します。組織レベルの割り当てを変更するには、サポートケースを登録してください。
| 割り当て | 説明 |
|---|---|
| 組織内の関連付けられていない階層型ファイアウォール ポリシー | フォルダまたは組織リソースに関連付けられていない、組織内の階層型ファイアウォール ポリシーの数。リソースに関連付けられている、組織内の階層型ファイアウォール ポリシーの数に制限はありません。 |
ファイアウォール ポリシー単位
次の表に、ファイアウォール ポリシー リソースごとの Cloud NGFW 割り当てを示します。
| 割り当て | 説明 |
|---|---|
| 階層型ファイアウォール ポリシー | |
| 階層型ファイアウォール ポリシーごとのルール属性 | この割り当ては、階層型ファイアウォール ポリシーにおけるすべてのルールのルール属性の合計です。詳細については、ルール属性の数の詳細をご覧ください。 |
| 階層型ファイアウォール ポリシーあたりのドメイン名(FQDN) | 階層型ファイアウォール ポリシーのすべてのルールに含めることができるドメイン名の数。この割り当ては、ポリシーにおけるすべての上り(内向き)ルールのすべての送信元ドメイン名の合計と、ポリシーにおけるすべての下り(外向き)ルールのすべての宛先ドメイン名の合計です。 |
| グローバル ネットワーク ファイアウォール ポリシー | |
| グローバル ネットワーク ファイアウォール ポリシーごとのルール属性 | グローバル ネットワーク ファイアウォール ポリシーにおけるすべてのルールのルール属性の合計。詳細については、ルール属性の数の詳細をご覧ください。 |
| グローバル ネットワーク ファイアウォール ポリシーごとのドメイン名(FQDN) | グローバル ネットワーク ファイアウォール ポリシーのすべてのルールに含めることができるドメイン名の数。この割り当ては、ポリシーにおけるすべての上り(内向き)ルールのすべての送信元ドメイン名の合計と、ポリシーにおけるすべての下り(外向き)ルールのすべての宛先ドメイン名の合計です。 |
| リージョン ネットワーク ファイアウォール ポリシー | |
| リージョン ネットワーク ファイアウォール ポリシーごとのルール属性 | リージョン ネットワーク ファイアウォール ポリシーにおけるすべてのルールのルール属性の合計。詳細については、ルール属性の数の詳細をご覧ください。 |
| リージョン ネットワーク ファイアウォール ポリシーごとのドメイン名(FQDN) | リージョン ネットワーク ファイアウォール ポリシーのすべてのルールに含めることができるドメイン名(FQDN)の数: この割り当ては、ポリシーにおけるすべての上り(内向き)ルールのすべての送信元ドメイン名の合計と、ポリシーにおけるすべての下り(外向き)ルールの宛先ドメイン名の合計です。 |
ルール属性の数の詳細
各ファイアウォール ポリシーは、ルール属性の最大合計数をサポートします。ファイアウォール ポリシーにおけるすべてのファイアウォール ルールのルール属性の数の合計が、そのファイアウォール ポリシーのルール属性の数になります。
次のルールの例は、Google Cloud におけるファイアウォール ルールごとのルール属性のカウント方法を示しています。Google Cloud におけるファイアウォール ポリシーごとのルール属性のカウント方法については、ポリシーの説明をご覧ください。
| ファイアウォール ルールの例 | ルール属性の数 | 説明 |
|---|---|---|
送信元 IP アドレス範囲が 10.100.0.1/32、プロトコルが tcp、ポート範囲が 5000-6000 の上り(内向き)許可ファイアウォール ルール。 |
3 | 1 つの送信元 IP アドレス範囲、1 つのプロトコル、1 つのポート範囲。 |
送信元 IP アドレス範囲が 10.0.0.0/8, 192.168.0.0/16、宛先 IP アドレス範囲が 100.64.0.7/32、プロトコルが tcp および udp、ポート範囲が 53-53 と 5353-5353 の上り(内向き)拒否ファイアウォール ルール。 |
11 | プロトコルとポートの組み合わせは、tcp:53-53、tcp:5353-5353、udp:53-53、udp:5353-5353 の 4 つ。プロトコルとポートの組み合わせごとに、2 つの属性を使用します。2 つの送信元 IP アドレス範囲にそれぞれ 1 つの属性、宛先 IP アドレス範囲に 1 つの属性、プロトコルとポートの組み合わせに 8 つの属性がある場合は、属性数は 11 になります。 |
送信元 IP アドレス範囲が 100.64.0.7/32、宛先 IP アドレス範囲が 10.100.0.1/32, 10.100.1.1/32、tcp:80、tcp:443、udp:4000-5000 の下り(外向き)拒否ファイアウォール ルール。 |
9 | プロトコルとポートの組み合わせは、tcp:80-80、tcp:443-443、udp:4000-5000 の 3 つ。プロトコルとポートの組み合わせごとに、2 つの属性を使用します。送信元 IP アドレス範囲に 1 つの属性、2 つの宛先 IP アドレス範囲にそれぞれ 1 つの属性、プロトコルとポートの組み合わせに 6 つの属性がある場合、属性数は 9 になります。 |
上限
具体的に注記がある場合を除き、通常、上限を引き上げることはできません。
組織単位
組織には次の上限が適用されます。
| 項目 | 上限 | 注 |
|---|---|---|
| 組織あたりのグローバル アドレス グループ | 100 | 1 つの組織に作成できるグローバル アドレス グループの最大数。 |
| 1 リージョン、1 組織あたりのリージョン アドレス グループ | 100 | 1 つのリージョンの 1 つの組織に作成できるリージョン アドレス グループの最大数。 |
| 組織のアドレス グループ | 100 | ロケーション(グローバルまたはリージョン)に関係なく、組織ごとに作成できるアドレス グループの最大数。 |
| アドレス グループの最大容量 | 1,000 | 組織またはプロジェクトごとのアドレス グループの最大容量。 |
| 組織またはプロジェクトごとのセキュアタグの最大数 | 1,000 | 組織またはプロジェクトごとに作成できるセキュアタグ キーの最大数。詳細については、タグの制限をご覧ください。 |
| 組織またはプロジェクトごとのキーあたりのセキュアタグの最大値 | 1,000 | 組織またはプロジェクトのキーごとに追加できるセキュアタグの値の最大数。詳細については、タグの制限をご覧ください。 |
| 組織ごとのリソースあたりのセキュアタグの Key-Value ペアの最大数 | 50 | 組織またはプロジェクト内のリソースごとに追加できる、セキュアタグの Key-Value ペアの最大数。詳細については、タグの制限をご覧ください。 ネットワークの上限については、ネットワークごとの上限をご覧ください。 |
| 組織ごとの脅威防止セキュリティ プロファイル | 40 | 組織ごとに作成できる脅威防止タイプのセキュリティ プロファイルの最大数。 |
| 組織あたりのセキュリティ プロファイル グループ数 | 40 | 脅威防止セキュリティ プロファイルを使用するセキュリティ プロファイル グループのうち、組織ごとに作成できる最大数。 |
| 組織、ゾーンあたりのファイアウォール エンドポイント | 10 | 組織の 1 つのゾーンに作成できるファイアウォール エンドポイントの最大数。 |
ネットワーク単位
VPC ネットワークには次の上限が適用されます。
| 項目 | 上限 | 注 |
|---|---|---|
| ネットワークあたりの最大グローバル ネットワーク ファイアウォール ポリシー | 1 | VPC ネットワークに関連付けることができる、グローバル ネットワーク ファイアウォール ポリシーの最大数。 |
| ネットワークごとのリージョンあたりのリージョン ネットワーク ファイアウォール ポリシーの最大数 | 1 | VPC ネットワークとリージョンの組み合わせに関連付けることができる、リージョン ネットワーク ファイアウォール ポリシーの最大数。 |
| ネットワークあたりのドメイン名(FQDN)の最大数 | 1,000 | 階層型ファイアウォール ポリシー、グローバル ネットワーク ファイアウォール ポリシー、および VPC ネットワークに関連付けられたリージョン ネットワーク ファイアウォール ポリシーのファイアウォール ルールで使用できるドメイン名の最大合計数。 |
| 1 ゾーン、1 ネットワークあたりのファイアウォール エンドポイント | 1 | ネットワークごとのゾーンあたりに割り当て可能なファイアウォール エンドポイントの最大数。 |
ファイアウォール ルール単位
ファイアウォール ルールには、次の上限が適用されます。
| 項目 | 上限 | 注 |
|---|---|---|
| 上り(内向き)ファイアウォール ポリシールールあたりの送信元セキュアタグの最大数 | 256 | 上り(内向き)ファイアウォール ポリシールールにのみ適用される、ファイアウォール ルールでソースタグとして使用できるセキュアタグの最大数。この上限を引き上げることはできません。 |
| ファイアウォール ポリシールールあたりの最大ターゲット セキュアタグ数 | 256 | ファイアウォール ポリシールールにのみ適用される、ファイアウォール ルールでターゲットタグとして使用できるセキュアタグの最大数。この上限を引き上げることはできません。 |
| 上り(内向き)VPC ファイアウォール ルールあたりのソース ネットワーク タグの最大数 | 30 | 上り(内向き)VPC ファイアウォール ルールにのみ適用される、ファイアウォール ルールでソースタグとして使用できるネットワーク タグの最大数。この上限を引き上げることはできません。 |
| VPC ファイアウォール ルールあたりのターゲット ネットワーク タグの最大数 | 70 | VPC ファイアウォール ルールにのみ適用される、ファイアウォール ルールでターゲット タグとして使用できるネットワーク タグの最大数。この上限を引き上げることはできません。 |
| 上り(内向き)VPC ファイアウォール ルールあたりのソースサービス アカウントの最大数 | 10 | 上り(内向き)VPC ファイアウォール ルールにのみ適用される、ファイアウォール ルールでソースとして使用できるサービス アカウントの最大数。この上限を引き上げることはできません。 |
| ファイアウォール ルール単位の最大ターゲット サービス アカウント数 | 10 | VPC ファイアウォール ルールまたはファイアウォール ポリシーのルールでターゲットとして使用できるサービス アカウントの最大数。この上限を引き上げることはできません。 |
| ファイアウォール ルールあたりの送信元 IP アドレス範囲の最大数 | 5,000 | VPC ファイアウォール ルールまたはファイアウォール ポリシーのルールで指定できる送信元 IP アドレス範囲の最大数。IP アドレス範囲は、IPv4 のみ、または IPv6 のみです。この上限を引き上げることはできません。 |
| ファイアウォール ルールあたりの宛先 IP アドレス範囲の最大数 | 5,000 | VPC ファイアウォール ルールまたはファイアウォール ポリシーのルールで指定できる宛先 IP アドレス範囲の最大数。IP アドレス範囲は、IPv4 のみ、または IPv6 のみです。この上限を引き上げることはできません。 |
| ファイアウォール ポリシーの上り(内向き)ファイアウォール ルールあたりの送信元アドレス グループの最大数 | 10 | ファイアウォール ポリシーの上り(内向き)ファイアウォール ルールで指定できる送信元アドレス グループの最大数。この上限を引き上げることはできません。 |
| ファイアウォール ポリシーのファイアウォール ルールあたりの宛先アドレス グループの最大数 | 10 | ファイアウォール ポリシーの下り(外向き)ファイアウォール ルールで指定できる宛先アドレス グループの最大数。この上限を引き上げることはできません。 |
| ファイアウォール ポリシーのファイアウォール ルールあたりのドメイン名(FQDN)の最大数 | 100 | ファイアウォール ポリシーのルールに含めることができるドメイン名(FQDN)の数。この上限を引き上げることはできません。 |
ファイアウォール エンドポイント単位
ファイアウォール エンドポイントには、次の上限が適用されます。
| 項目 | 上限 | 注 |
|---|---|---|
| ファイアウォール エンドポイントあたりの関連付け | 50 | ファイアウォール エンドポイントに関連付けることができる VPC ネットワークの最大数。この上限を回避するには、同じゾーンに追加のファイアウォール エンドポイントを作成します。 |
セキュリティ プロファイル単位
セキュリティ プロファイルには次の上限が適用されます。
| 項目 | 上限 | 注 |
|---|---|---|
| セキュリティ プロファイルごとの脅威のオーバーライド数 | 100 | 脅威防止のセキュリティ プロファイルに追加できる脅威のオーバーライドの最大数。 |
VM ネットワーク インターフェース単位
VM ネットワーク インターフェースには次の上限が適用されます。
| 項目 | 上限 | 注 |
|---|---|---|
| VM インターフェースあたりのセキュアタグの最大数 | 10 | NIC ごとに 1 台の VM に追加できるセキュアタグの最大数。 |
割り当てを管理する
Cloud Next Generation Firewall では、さまざまな理由から、使用できるリソースの割り当て量に上限が設けられています。たとえば、割り当て量の上限を設定して予期しない使用量の急増を防ぐことで、 Google Cloud ユーザーのコミュニティを保護しています。割り当て量は、無料枠で Google Cloud を試しているユーザーをトライアルに留めておくのにも役立ちます。
すべてのプロジェクトは同じ割り当て量で開始しますが、追加の割り当て量をリクエストすることで変更できます。割り当てによっては、プロダクトの使用状況に応じて自動的に増加される場合もあります。
権限
Identity and Access Management(IAM)のプリンシパルが割り当ての表示や、割り当ての増加のリクエストをするには、以下のいずれかのロールが必要です。
| タスク | 必要なロール |
|---|---|
| プロジェクトの割り当て量をチェックする | 次のいずれかが必要です。 |
| 割り当て量の変更、割り当て量の追加のリクエストを行う | 次のいずれかが必要です。 |
割り当て量を確認する
コンソール
- Google Cloud コンソールで [割り当て] ページに移動します。
- 更新する割り当てを検索するには、[表をフィルタリング] を使用します。割り当ての名前がわからない場合は、このページにあるリンクを使用します。
gcloud
Google Cloud CLI で次のコマンドを実行して、割り当てを確認します。PROJECT_ID は、実際のプロジェクト ID に置き換えます。
gcloud compute project-info describe --project PROJECT_IDある特定のリージョンで使用済みの割り当て量を確認するには、次のコマンドを実行します。
gcloud compute regions describe example-region
割り当て量を超えたときのエラー
gcloud コマンドで割り当て量を超えた場合、gcloud は quota exceeded エラー メッセージを出力し、終了コード 1 を返します。
API リクエストで割り当て量を超えた場合、Google Cloud は HTTP ステータス コード 413 Request Entity Too Large を返します。
追加の割り当てをリクエスト
ほどんどの場合、割り当ての増減を行うには Google Cloud コンソールを使用します。詳細については、割り当ての増加をリクエストするをご覧ください。
コンソール
- Google Cloud コンソールで [割り当て] ページに移動します。
- [割り当て] ページで、変更する割り当てを選択します。
- ページの上部にある [割り当てを編集] をクリックします。
- [名前] に氏名を入力します。
- 省略可: [電話番号] に有効な電話番号を入力します。
- リクエストを送信します。割り当てのリクエストが処理されるまでに、24~48 時間かかります。
リソースの可用性
各割り当て量は、リソースが利用可能な場合に作成できる特定のリソースタイプの最大数を表します。割り当て量によってリソースの可用性が保証されるわけではありません。この点は注意が必要です。割り当て量が使用可能でも、新しいリソースを使用できなければ、そのリソースを作成することはできません。
たとえば、us-central1 リージョンで新しいリージョンの外部 IP アドレスを作成するための割り当て量が十分にあっても、そのリージョンに使用可能な外部 IP アドレスがない場合、外部 IP アドレスは作成できません。ゾーンリソースの可用性は、新しいリソースを作成できるかにも影響を及ぼす可能性があります。
リージョン全体でリソースを使用できない状況はまれです。ただし、ゾーン内のリソースが使い果たされることはあります。通常、そのリソースタイプのサービスレベル契約(SLA)に影響はありません。詳細については、リソースに関連する SLA をご覧ください。