In diesem Dokument sind die Kontingente und Systemlimits für Cloud Next Generation Firewall aufgeführt. Kontingente geben an, wie viel einer zählbaren, freigegebenen Ressource Sie verwenden können. Sie werden von Google Cloud-Diensten wie der Cloud Next Generation Firewall definiert. Systemlimits sind feste Werte, die nicht geändert werden können.
Google Cloud nutzt Kontingente, um Fairness zu gewährleisten und Spitzen bei Ressourcennutzung und -verfügbarkeit zu reduzieren. Ein Kontingent schränkt ein, wie viel von einer Google Cloud-Ressource Ihr Google Cloud-Projekt nutzen darf. Kontingente gelten für eine Reihe von Ressourcentypen, einschließlich Hardware, Software und Netzwerkkomponenten. Mit Kontingenten können Sie beispielsweise die Anzahl der API-Aufrufe an einen Dienst, die Anzahl der von Ihrem Projekt gleichzeitig verwendeten Load Balancer oder die Anzahl der Projekte begrenzen, die Sie erstellen können. Die Kontingente sollen eine Überlastung von Diensten verhindern und dadurch die Community der Google Cloud-Nutzer schützen. Sie helfen Ihnen auch bei der Verwaltung Ihrer eigenen Google Cloud-Ressourcen.
Das Cloud-Kontingentsystem ermöglicht Folgendes:
- Ihren Verbrauch von Google Cloud-Produkten und -Diensten überwachen
- Ihren Verbrauch dieser Ressourcen einschränken
- Eine Möglichkeit bieten, Änderungen am Kontingentwert anzufordern
Wenn Sie versuchen, mehr von einer Ressource zu verbrauchen, als das Kontingent zulässt, blockiert das System in den meisten Fällen den Zugriff auf die Ressource. Die Aufgabe, die Sie ausführen möchten, schlägt fehl.
Kontingente gelten in der Regel auf Google Cloud-Projektebene. Ihre Nutzung einer Ressource in einem Projekt hat keinen Einfluss auf Ihr verfügbares Kontingent in einem anderen Projekt. Innerhalb eines Google Cloud-Projekts werden die Kontingente für alle Anwendungen und IP-Adressen gemeinsam genutzt.
Für Cloud NGFW-Ressourcen gelten außerdem Systemlimits. Systemlimits können nicht geändert werden.
Kontingente
In diesem Abschnitt sind die Kontingente für Cloud Next Generation Firewall aufgeführt.
Richten Sie das Monitoring für den Messwert serviceruntime.googleapis.com/quota/allocation/usage
für den Ressourcentyp Consumer Quota
ein, um projektspezifische Kontingente zu überwachen, die Cloud Monitoring verwenden. Legen Sie weitere Labelfilter (service
, quota_metric
) fest, um den Kontingenttyp abzurufen. Informationen zum Monitoring von Kontingentmesswerten finden Sie unter Kontingentmesswerte grafisch darstellen und überwachen.
Für jedes Kontingent gibt es ein Limit und einen Nutzungswert.
Sofern nicht anders angegeben, finden Sie unter Höheres Kontingentlimit anfordern Informationen zum Ändern eines Kontingents.
Pro Projekt
In der folgenden Tabelle sind die Cloud NGFW-Kontingente pro Projekt aufgeführt:
Kontingent | Beschreibung |
---|---|
VPC-Firewallregeln | Die Anzahl der VPC-Firewallregeln, die Sie in einem Projekt erstellen können, unabhängig vom VPC-Netzwerk, für das die einzelnen Firewallregeln gelten. |
Globale Netzwerk-Firewallrichtlinien | Die Anzahl der globalen Netzwerk-Firewallrichtlinien in einem Projekt, unabhängig davon, wie viele VPC-Netzwerke mit jeder Richtlinie verknüpft sind. |
Regionale Netzwerk-Firewallrichtlinien | Die Anzahl der Firewallrichtlinien für regionale Netzwerke in jeder Region eines Projekts, unabhängig davon, wie viele VPC-Netzwerke mit jeder Richtlinie verknüpft sind. |
Globale Adressgruppen pro Projekt | Die Anzahl globaler Adressgruppen, die Sie in einem Projekt definieren können. |
Regionale Adressgruppen pro Projekt und Region | Die Anzahl regionaler Adressgruppen, die Sie in jeder Region eines Projekts definieren können. |
Pro Organisation
In der folgenden Tabelle sind die Cloud NGFW-Kontingente pro Organisation aufgeführt. Wenn Sie ein Kontingent auf Organisationsebene ändern möchten, reichen Sie einen Supportfall ein.
Kontingent | Beschreibung |
---|---|
Nicht verknüpfte hierarchische Firewallrichtlinien in einer Organisation | Die Anzahl der hierarchischen Firewallrichtlinien in einer Organisation, die keinem Ordner oder keiner Organisationsressource zugeordnet sind. Die Anzahl der hierarchischen Firewallrichtlinien in einer Organisation, die mit einer Ressource verknüpft sind, ist nicht begrenzt. |
Pro Firewallrichtlinie
In der folgenden Tabelle sind die Cloud NGFW-Kontingente pro Firewallrichtlinienressource aufgeführt:
Kontingent | Beschreibung |
---|---|
Hierarchische Firewallrichtlinien | |
Regelattribute pro hierarchischer Firewallrichtlinie | Dieses Kontingent ist die Summe der Regelattribute aus allen Regeln in einer hierarchischen Firewallrichtlinie. Weitere Informationen finden Sie unter Details zur Regelattributanzahl. |
Domainnamen (FQDNs) pro hierarchischer Firewallrichtlinie | Die Anzahl der Domainnamen, die Sie in alle Regeln einer hierarchischen Firewallrichtlinie aufnehmen können. Dieses Kontingent entspricht der Summe aller Quelldomainnamen aus allen Regeln für eingehenden Traffic in der Richtlinie plus der Summe aller Zieldomainnamen aus allen Regeln für ausgehenden Traffic in der Richtlinie. |
Globale Netzwerk-Firewallrichtlinien | |
Regelattribute pro globaler Netzwerk-Firewallrichtlinie | Die Summe der Regelattribute aus allen Regeln in einer globalen Netzwerk-Firewallrichtlinie. Weitere Informationen finden Sie unter Details zur Regelattributanzahl. |
Domainnamen (FQDNs) pro globaler Netzwerk-Firewallrichtlinie | Die Anzahl der Domainnamen, die Sie in alle Regeln einer globalen Netzwerk-Firewallrichtlinie aufnehmen können: Dieses Kontingent ist die Summe aller Quelldomainnamen aus allen Regeln für eingehenden Traffic in der Richtlinie plus der Summe aller Zieldomainnamen aus allen Regeln für ausgehenden Traffic in der Richtlinie. |
Regionale Netzwerk-Firewallrichtlinien | |
Regelattribute pro regionaler Netzwerk-Firewallrichtlinie | Die Summe der Regelattribute aus allen Regeln in einer regionalen Netzwerk-Firewallrichtlinie. Weitere Informationen finden Sie unter Details zur Regelattributanzahl. |
Domainnamen (FQDNs) pro regionaler Netzwerk-Firewallrichtlinie | Die Anzahl der Domainnamen (FQDNs), die Sie in alle Regeln einer regionalen Netzwerk-Firewallrichtlinie aufnehmen können: Dieses Kontingent ist die Summe aller Quelldomainnamen aus allen Regeln für eingehenden Traffic in der Richtlinie plus der Summe aller Zieldomainnamen aus allen Regeln für ausgehenden Traffic in der Richtlinie. |
Details zur Regelattributanzahl
Jede Firewallrichtlinie unterstützt eine maximale Gesamtzahl von Attributen aus allen Regeln in der Richtlinie. Beschreiben Sie die Richtlinie, um die Anzahl der Regelattribute für eine bestimmte Firewallrichtlinie zu ermitteln. Weitere Informationen finden Sie hier:
- Richtlinie beschreiben in der Dokumentation zu hierarchischen Firewallrichtlinien
- Globale Netzwerk-Firewallrichtlinie beschreiben
- Regionale Netzwerk-Firewallrichtlinie beschreiben
In der folgenden Tabelle sind Beispielregeln und die Attributanzahl für jede Beispielregel aufgeführt.
Beispiel für eine Firewallregel | Regelattributanzahl | Erklärung |
---|---|---|
Firewallregel zum Zulassen von eingehendem Traffic mit Quell-IP-Adressbereich 10.100.0.1/32 , Protokoll tcp und Portbereich 5000-6000 .
|
3 | Ein Quellbereich; ein Protokoll, ein Portbereich. |
Firewallregel zum Ablehnen von eingehendem Traffic mit Quell-IP-Adressbereichen 10.0.0.0/8, 192.168.0.0/16 , Ziel-IP-Adressbereich 100.64.0.7/32 , Protokollen tcp und udp , Portbereichen 53-53 und 5353-5353 .
|
11 | Es gibt vier Protokoll- und Portkombinationen: tcp:53-53 , tcp:5353-5353 , udp:53-53 und udp:5353-5353 . Jede Kombination aus Protokoll und Port verwendet zwei Attribute. Jeweils ein Attribut für die beiden Quell-IP-Adressbereiche, ein Attribut für den Ziel-IP-Adressbereich und acht Attribute für die Protokoll- und Portkombinationen ergeben eine Attributanzahl von 11. |
Firewallregel zum Ablehnen von ausgehendem Traffic mit Quell-IP-Adressbereich 100.64.0.7/32 , Ziel-IP-Adressbereich 10.100.0.1/32, 10.100.1.1/32 , tcp:80 , tcp:443 und udp:4000-5000 .
|
9 | Protokoll- und Portkombinationen werden auf drei erweitert: tcp:80-80 , tcp:443-443 und udp:4000-5000 . Jede Kombination aus Protokoll und Port verwendet zwei Attribute. Ein Attribut für den Quellbereich, jeweils ein Attribut für die beiden Ziel-IP-Adressbereiche und sechs Attribute für die Protokoll- und Portkombinationen ergeben eine Attributanzahl von 9. |
Limits
Limits können nicht erhöht werden, sofern nicht ausdrücklich anders angegeben.
Pro Organisation
Für Organisationen gelten die folgenden Limits:
Element | Limit | Hinweise |
---|---|---|
Globale Adressgruppen pro Organisation | 100 | Die maximale Anzahl globaler Adressgruppen, die Sie pro Organisation erstellen können. |
Regionale Adressgruppen pro Organisation und Region | 100 | Die maximale Anzahl regionaler Adressgruppen, die Sie pro Organisation in einer Region erstellen können. |
Organisationsadressgruppen | 100 | Die maximale Anzahl von Adressgruppen, die Sie pro Organisation erstellen können, unabhängig vom Standort (global oder regional). |
Maximale Adressgruppenkapazität | 1.000 | Die maximale Kapazität einer Adressgruppe pro Organisation oder Projekt. |
Maximale Anzahl sicherer Tag-Schlüssel pro Organisation oder Projekt | 1.000 | Die maximale Anzahl sicherer Tag-Schlüssel, die Sie pro Organisation oder Projekt erstellen können. Weitere Informationen finden Sie unter Tag-Limits. |
Maximale Anzahl sicherer Tag-Werte pro Schlüssel, Organisation oder Projekt | 1.000 | Die maximale Anzahl sicherer Tag-Werte, die Sie pro Schlüssel in einer Organisation oder einem Projekt hinzufügen können. Weitere Informationen finden Sie unter Tag-Limits. |
Maximale Anzahl von Schlüssel/Wert-Paaren für sichere Tags pro Ressource und Organisation | 50 | Die maximale Anzahl von Schlüssel/Wert-Paaren für sichere Tags, die Sie in einer Organisation oder einem Projekt pro Ressource hinzufügen können. Weitere Informationen finden Sie unter Tag-Limits.
Informationen zu den Netzwerklimits finden Sie unter Limits pro Netzwerk. |
Sicherheitsprofile zur Vermeidung von Bedrohungen pro Organisation | 40 | Die maximale Anzahl von Sicherheitsprofilen vom Schutz vor Bedrohungen, die Sie pro Organisation erstellen können. |
Sicherheitsprofilgruppen pro Organisation | 40 | Die maximale Anzahl von Sicherheitsprofilgruppen mit einem Sicherheitsprofil zum Bedrohungsschutz, die Sie pro Organisation erstellen können. |
Firewallendpunkte pro Zone und Organisation | 10 | Die maximale Anzahl von Firewallendpunkten, die Sie pro Zone und Organisation erstellen können. |
Pro Netzwerk
Die folgenden Limits gelten für VPC-Netzwerke:
Element | Limit | Hinweise |
---|---|---|
Maximale Anzahl globaler Netzwerk-Firewallrichtlinien pro Netzwerk | 1 | Die maximale Anzahl globaler Netzwerk-Firewallrichtlinien, die Sie einem VPC-Netzwerk zuordnen können. |
Maximale regionale Netzwerk-Firewallrichtlinien pro Region und Netzwerk | 1 | Die maximale Anzahl regionaler Netzwerk-Firewallrichtlinien, die Sie einer Kombination aus VPC-Netzwerk und Region zuordnen können. |
Maximale Anzahl von Domainnamen (FQDNs) pro Netzwerk | 1.000 | Die maximale Gesamtzahl der Domainnamen, die in Firewallregeln verwendet werden können, die aus hierarchischen Firewallrichtlinien, globalen Netzwerk-Firewallrichtlinien und regionalen Netzwerk-Firewallrichtlinien stammen, die mit einem VPC-Netzwerk verknüpft sind. |
Firewallendpunkte pro Zone und Netzwerk | 1 | Die maximale Anzahl von Firewallendpunkten, die Sie pro Zone und Netzwerk zuweisen können. |
Pro Firewallregel
Die folgenden Limits gelten für Firewallregeln:
Element | Limit | Hinweise |
---|---|---|
Maximale Anzahl sicherer Quelltags pro Firewallrichtlinienregel für eingehenden Traffic | 256 | Gilt nur für die Firewallregel für eingehenden Traffic – die maximale Anzahl sicherer Tags, die Sie in der Firewallregel als Quell-Tags verwenden können. Dieses Limit kann nicht erhöht werden. |
Maximale Anzahl von sicheren Ziel-Tags pro Firewallrichtlinienregel | 256 | Gilt nur für die Firewallrichtlinienregel – die maximale Anzahl sicherer Tags, die Sie in der Firewallregel als Ziel-Tags verwenden können. Dieses Limit kann nicht erhöht werden. |
Maximale Anzahl von Quellnetzwerktags pro VPC-Firewallregel für eingehenden Traffic | 30 | Gilt nur für VPC-Firewallregeln für eingehenden Traffic – die maximale Anzahl von Netzwerk-Tags, die Sie in der Firewallregel als Quell-Tags verwenden können. Dieses Limit kann nicht erhöht werden. |
Maximale Anzahl von Zielnetzwerk-Tags pro VPC-Firewallregel | 70 | Gilt nur für VPC-Firewallregeln – die maximale Anzahl von Netzwerk-Tags, die Sie in der Firewallregel als Ziel-Tags verwenden können. Dieses Limit kann nicht erhöht werden. |
Maximale Anzahl von Quelldienstkonten pro VPC-Firewallregel für eingehenden Traffic | 10 | Gilt nur für VPC-Firewallregeln für eingehenden Traffic – die maximale Anzahl von Dienstkonten, die Sie in der Firewallregel als Quellen verwenden können. Dieses Limit kann nicht erhöht werden. |
Maximale Anzahl von Zieldienstkonten pro Firewallregel | 10 | Die maximale Anzahl von Dienstkonten, die Sie als Ziele in einer VPC-Firewallregel oder -regel in einer Firewallrichtlinie verwenden können. Dieses Limit kann nicht erhöht werden. |
Maximale Anzahl von Quell-IP-Adressbereichen pro Firewallregel | 5.000 | Die maximale Anzahl von Quell-IP-Adressbereichen, die Sie in einer VPC-Firewallregel oder Regel in einer Firewallrichtlinie angeben können. IP-Adressbereiche sind entweder nur IPv4 oder nur IPv6. Dieses Limit kann nicht erhöht werden. |
Maximale Anzahl von Ziel-IP-Adressbereichen pro Firewallregel | 5.000 | Die maximale Anzahl von Ziel-IP-Adressbereichen, die Sie in einer VPC-Firewallregel oder Regel in einer Firewallrichtlinie angeben können. IP-Adressbereiche sind entweder nur IPv4 oder nur IPv6. Dieses Limit kann nicht erhöht werden. |
Maximale Anzahl von Quelladressgruppen pro Firewallregel für eingehenden Traffic in einer Firewallrichtlinie | 10 | Die maximale Anzahl von Quelladressgruppen, die Sie in einer Firewallregel für eingehenden Traffic in einer Firewallrichtlinie angeben können. Dieses Limit kann nicht erhöht werden. |
Maximale Anzahl von Zieladressgruppen pro Firewallregel in einer Firewallrichtlinie | 10 | Die maximale Anzahl von Zieladressgruppen, die Sie in einer Firewallregel für ausgehenden Traffic in einer Firewallrichtlinie angeben können. Dieses Limit kann nicht erhöht werden. |
Maximale Anzahl von Domainnamen (FQDNs) pro Firewallregel in einer Firewallrichtlinie | 100 | Die Anzahl von Domainnamen (FQDNs), die Sie in eine Regel einer Firewallrichtlinie aufnehmen können. Dieses Limit kann nicht erhöht werden. |
Pro Firewallendpunkt
Die folgenden Limits gelten für Firewallendpunkte:
Element | Limit | Hinweise |
---|---|---|
Verknüpfungen pro Firewallendpunkt | 50 | Die maximale Anzahl von VPC-Netzwerken, die Sie mit einem Firewallendpunkt verknüpfen können. Sie können zusätzliche Firewallendpunkte in derselben Zone erstellen, um dieses Limit zu umgehen. |
Pro Sicherheitsprofil
Für Sicherheitsprofile gelten die folgenden Limits:
Element | Limit | Hinweise |
---|---|---|
Anzahl der Überschreibungen für Bedrohungen pro Sicherheitsprofil | 100 | Die maximale Anzahl von Bedrohungsüberschreibungen, die Sie einem Sicherheitsprofil zur Vermeidung von Bedrohungen hinzufügen können. |
Pro VM-Netzwerkschnittstelle
Für VM-Netzwerkschnittstellen gelten die folgenden Limits:
Element | Limit | Hinweise |
---|---|---|
Maximale Anzahl sicherer Tags pro VM-Schnittstelle | 10 | Die maximale Anzahl sicherer Tags, die Sie pro VM und NIC hinzufügen können. |
Kontingente verwalten
MitCloud Next Generation Firewall werden Kontingente für die Ressourcennutzung aus verschiedenen Gründen festgelegt. Kontingente schützen unter anderem die gesamte Google Cloud -Community vor unerwarteten Nutzungsspitzen. Außerdem unterstützen Kontingente Nutzer, die Google Cloud mit der kostenlosen Stufe prüfen, dabei, im Rahmen der Testversion zu verbleiben.
Alle Projekte beginnen mit den gleichen Kontingenten, die Sie ändern können, indem Sie zusätzliche Kontingente anfordern. Einige Kontingente könnten entsprechend Ihrer Nutzung eines Produkts automatisch erhöht werden.
Berechtigungen
Zur Anzeige von Kontingenten oder zur Anforderung von Kontingenterhöhungen benötigen IAM-Hauptkonten (Identity and Access Management) eine der folgenden Rollen:
Aufgabe | Erforderliche Rolle |
---|---|
Kontingente für ein Projekt prüfen | Beispiele:
|
Kontingente ändern, zusätzliche Kontingente anfordern | Beispiele:
|
Kontingent prüfen
Console
- Öffnen Sie in der Google Cloud Console die Seite Kontingente.
- Mit dem Feld Tabelle filtern können Sie nach den zu aktualisierenden Kontingenten suchen. Wenn Sie den Namen des Kontingents nicht kennen, verwenden Sie stattdessen die Links auf dieser Seite.
gcloud
Führen Sie mit der Google Cloud CLI den folgenden Befehl aus, um Ihre Kontingente zu prüfen. Ersetzen Sie PROJECT_ID
durch Ihre Projekt-ID:
gcloud compute project-info describe --project PROJECT_ID
Mit dem folgenden Befehl prüfen Sie das genutzte Kontingent in einer Region:
gcloud compute regions describe example-region
Fehler beim Überschreiten Ihres Kontingents
Wenn Sie ein Kontingent mit einem gcloud
-Befehl überschreiten, gibt gcloud
eine quota exceeded
-Fehlermeldung aus und liefert den Exit-Code 1
.
Wenn Sie ein Kontingent mit einer API-Anfrage überschreiten, liefert Google Cloud folgenden HTTP-Statuscode: 413 Request Entity Too Large
.
Weitere Kontingente anfordern
Verwenden Sie zur Erhöhung/Verringerung der meisten Kontingenten die Google Cloud Console. Weitere Informationen finden Sie unter Höheres Kontingentlimit anfordern.
Console
- Öffnen Sie in der Google Cloud Console die Seite Kontingente.
- Wählen Sie auf der Seite Kontingente die Kontingente aus, die Sie ändern möchten.
- Klicken Sie oben auf der Seite auf Kontingente bearbeiten.
- Geben Sie unter Name Ihren Namen ein.
- Optional: Geben Sie unter Telefon eine Telefonnummer ein.
- Senden Sie die Anfrage. Die Bearbeitung von Kontingentanforderungen dauert 24 bis 48 Stunden.
Ressourcenverfügbarkeit
Jedes Kontingent stellt die maximale Anzahl an Ressourcen eines bestimmten Typs dar, die Sie erstellen können, sofern der Ressourcentyp verfügbar ist. Beachten Sie, dass Kontingente die Verfügbarkeit von Ressourcen nicht garantieren. Selbst wenn Sie ein verfügbares Kontingent haben, können Sie keine neue Ressource erstellen, wenn keine verfügbar ist.
Beispiel: Sie haben noch ein ausreichendes Kontingent zum Erstellen einer neuen regionalen, externen IP-Adresse in der Region us-central1
. Dies ist jedoch nicht möglich, wenn in dieser Region keine externen IP-Adressen verfügbar sind. Die Verfügbarkeit von zonalen Ressourcen kann sich auch auf Ihre Fähigkeit auswirken, eine neue Ressource zu erstellen.
Es kommt nur selten vor, dass Ressourcen in einer kompletten Region nicht verfügbar sind. Ressourcen innerhalb einer Zone können aber manchmal vorübergehend ausgeschöpft sein, ohne dass sich das auf das Service Level Agreement (SLA) für den Ressourcentyp auswirkt. Weitere Informationen finden Sie im entsprechenden SLA für die Ressource.