Ce document recense les quotas et limites qui s'appliquent à Cloud Next Generation Firewall. Les quotas spécifient la quantité d'une ressource partagée dénombrable que vous pouvez utiliser. Ils sont définis par des services Google Cloud tels que Cloud Next Generation Firewall. Les limites système sont des valeurs fixes qui ne peuvent pas être modifiées.
Google Cloud utilise des quotas pour garantir l'équité et réduire les pics d'utilisation et de disponibilité des ressources. Un quota limite la quantité de ressources Google Cloud que votre projet Google Cloud peut utiliser. Les quotas s'appliquent à différents types de ressources, y compris les composants matériels, logiciels et réseau. Par exemple, les quotas peuvent limiter le nombre d'appels d'API à un service, le nombre d'équilibreurs de charge utilisés simultanément par votre projet ou le nombre de projets que vous pouvez créer. Les quotas protègent la communauté des utilisateurs de Google Cloud en empêchant la surcharge des services. Les quotas vous aident également à gérer vos propres ressources Google Cloud.
Le système Cloud Quotas effectue les opérations suivantes :
- Surveille votre consommation de produits et services Google Cloud
- Limite votre consommation de ces ressources
- Permet de demander des modifications de la valeur du quota
Dans la plupart des cas, lorsque vous tentez d'utiliser plus d'une ressource que son quota ne le permet, le système bloque l'accès à la ressource et la tâche que vous essayez d'effectuer échoue.
Les quotas s'appliquent généralement au niveau du projet Google Cloud. Votre utilisation d'une ressource dans un projet n'affecte pas votre quota disponible dans un autre projet. Dans un projet Google Cloud, les quotas sont partagés entre toutes les applications et adresses IP.
Des limites système s'appliquent également aux ressources Cloud NGFW. Les limites système ne peuvent pas être modifiées.
Quotas
Cette section répertorie les quotas qui s'appliquent à Cloud Next Generation Firewall.
Pour surveiller les quotas par projet qui utilisent Cloud Monitoring, configurez la surveillance de la métrique serviceruntime.googleapis.com/quota/allocation/usage sur le type de ressource Consumer Quota. Définissez des filtres de libellés supplémentaires (service, quota_metric) afin d'obtenir le type de quota. Pour en savoir plus sur la surveillance des métriques de quota, consultez la page Représentation graphique et surveillance des métriques de quota.
Chaque quota est associé à une limite et à une valeur d'utilisation.
Sauf indication contraire, pour modifier un quota, consultez la section Demander une augmentation de quota.
Par projet
Le tableau suivant présente les quotas Cloud NGFW par projet :
| Quota | Description |
|---|---|
| Règles de pare-feu VPC | Nombre de règles de pare-feu VPC que vous pouvez créer dans un projet, quel que soit le réseau VPC auquel chaque règle de pare-feu s'applique. |
| Stratégies de pare-feu de réseau au niveau mondial | Nombre de stratégies de pare-feu réseau au niveau mondial dans un projet, quel que soit le nombre de réseaux VPC associés à chaque stratégie. |
| Stratégies de pare-feu de réseau régionales | Nombre de stratégies de pare-feu de réseau régionales dans chaque région d'un projet, quel que soit le nombre de réseaux VPC associés à chaque stratégie. |
| Groupes d'adresses mondiales par projet | Nombre de groupes d'adresses mondiales que vous pouvez définir dans un projet. |
| Groupes d'adresses régionales par projet et par région | Nombre de groupes d'adresses régionales que vous pouvez définir dans chaque région d'un projet. |
Par organisation
Le tableau suivant présente les quotas Cloud NGFW par organisation. Pour modifier un quota au niveau de l'organisation, envoyez une demande d'assistance.
| Quota | Description |
|---|---|
| Stratégies de pare-feu hiérarchiques non associées dans une organisation | Nombre de stratégies de pare-feu hiérarchiques dans une organisation qui ne sont associées à aucun dossier ou ressource d'organisation. Le nombre de stratégies de pare-feu hiérarchiques associées à une ressource n'est pas limité au sein d'une organisation. |
Par stratégie de pare-feu
Le tableau suivant présente les quotas Cloud NGFW par ressource de stratégie de pare-feu :
| Quota | Description |
|---|---|
| Stratégies de pare-feu hiérarchiques | |
| Attributs de règle par stratégie de pare-feu hiérarchique | Ce quota correspond à la somme des attributs de règle de toutes les règles d'une stratégie de pare-feu hiérarchique. Pour en savoir plus, consultez la section Détails du nombre d'attributs de règle. |
| Noms de domaine (FQDN) par stratégie de pare-feu hiérarchique | Nombre de noms de domaine que vous pouvez inclure dans toutes les règles d'une stratégie de pare-feu hiérarchique. Ce quota correspond à la somme de tous les noms de domaine source de toutes les règles d'entrée de la stratégie, plus la somme de tous les noms de domaine de destination de toutes les règles de sortie de la stratégie. |
| Stratégies de pare-feu de réseau au niveau mondial | |
| Attributs de règle par stratégie de pare-feu de réseau au niveau mondial | Somme des attributs de règle de toutes les règles d'une stratégie de pare-feu de réseau au niveau mondial. Pour en savoir plus, consultez la section Détails du nombre d'attributs de règle. |
| Noms de domaine (FQDN) par stratégie de pare-feu de réseau au niveau mondial | Nombre de noms de domaine que vous pouvez inclure dans toutes les règles d'une stratégie de pare-feu de réseau au niveau mondial. Ce quota correspond à la somme de tous les noms de domaine source de toutes les règles d'entrée de la stratégie, plus la somme de tous les noms de domaine de destination de toutes les règles de sortie de la stratégie. |
| Stratégies de pare-feu de réseau régionales | |
| Attributs de règle par stratégie de pare-feu de réseau régionale | Somme des attributs de règle de toutes les règles d'une stratégie de pare-feu de réseau régionale. Pour en savoir plus, consultez la section Détails du nombre d'attributs de règle. |
| Noms de domaine (FQDN) par stratégie de pare-feu de réseau régionale | Nombre de noms de domaine (FQDN) que vous pouvez inclure dans toutes les règles d'une stratégie de pare-feu de réseau régionale : ce quota correspond à la somme de tous les noms de domaine source de toutes les règles d'entrée de la stratégie, plus la somme de tous les noms de domaine de destination de toutes les règles de sortie de la stratégie. |
Détails du nombre d'attributs de règle
Chaque stratégie de pare-feu accepte un nombre total maximal d'attributs de toutes les règles de la stratégie. Pour déterminer le nombre d'attributs de règle pour une stratégie de pare-feu donnée, décrivez-la. Pour obtenir des instructions, consultez les sections suivantes :
- Décrire une règle dans la documentation sur les règles de pare-feu hiérarchiques.
- Décrire une stratégie de pare-feu de réseau au niveau mondial.
- Décrire une stratégie de pare-feu réseau régionale.
Le tableau suivant présente des exemples de règles ainsi que le nombre d'attributs pour chaque exemple de règle.
| Exemple de règle de pare-feu | Nombre d'attributs de règle | Explication |
|---|---|---|
Règle de pare-feu autorisant le trafic entrant avec la plage d'adresses IP sources 10.100.0.1/32, le protocole tcp et la plage de ports 5000-6000.
|
3 | Une plage source ; un protocole, une plage de ports. |
Règle de pare-feu refusant le trafic entrant avec les plages d'adresses IP sources 10.0.0.0/8, 192.168.0.0/16, les plages d'adresses IP de destination 100.64.0.7/32, les protocoles tcp et udp, les plages de ports 53-53 et 5353-5353.
|
11 | Il existe quatre combinaisons de protocoles et de ports : tcp:53-53, tcp:5353-5353, udp:53-53 et udp:5353-5353. Chaque combinaison protocole/port utilise deux attributs. Un attribut pour chacune des deux plages d'adresses IP sources, un attribut pour la plage d'adresses IP de destination, et huit attributs pour les combinaisons de protocoles et de ports, ce qui donne un nombre d'attributs de 11. |
Règle de pare-feu refusant le trafic sortant avec la plage d'adresses IP sources 100.64.0.7/32, la plage d'adresses IP de destination 10.100.0.1/32, 10.100.1.1/32, tcp:80, tcp:443 et udp:4000-5000.
|
9 | Les combinaisons de protocoles et de ports sont étendues à trois : tcp:80-80, tcp:443-443 et udp:4000-5000. Chaque combinaison protocole/port utilise deux attributs. Un attribut pour la plage source, un attribut pour chacune des deux plages d'adresses IP de destination, et six attributs pour les combinaisons de protocoles et de ports, ce qui donne un nombre d'attributs de 9. |
Limites
Sauf stipulation contraire, les limites ne peuvent pas être augmentées.
Par organisation
Les limites suivantes s'appliquent aux organisations :
| Élément | limit | Remarques |
|---|---|---|
| Groupes d'adresses mondiales par organisation | 100 | Nombre maximal de groupes d'adresses mondiales que vous pouvez créer par organisation. |
| Groupes d'adresses régionales par organisation et par région | 100 | Nombre maximal de groupes d'adresses régionales que vous pouvez créer par organisation dans une région. |
| Groupes d'adresses de l'organisation | 100 | Nombre maximal de groupes d'adresses que vous pouvez créer par organisation, quel que soit l'emplacement (mondial ou régional) |
| Capacité maximale du groupe d'adresses | 1 000 | Capacité maximale d'un groupe d'adresses par organisation ou par projet. |
| Nombre maximal de clés de tag sécurisées par organisation ou par projet | 1 000 | Nombre maximal de clés de tags sécurisées que vous pouvez créer par organisation ou par projet. Pour en savoir plus, consultez la section Limites de tags. |
| Nombre maximal de valeurs de tags sécurisés par clé par organisation ou par projet | 1 000 | Nombre maximal de valeurs de tags sécurisés que vous pouvez ajouter par clé dans une organisation ou un projet. Pour en savoir plus, consultez la section Limites de tags. |
| Nombre maximal de paires clé-valeur de tags sécurisés par ressource et par organisation | 50 | Nombre maximal de paires clé/valeur de tags sécurisés que vous pouvez ajouter par ressource dans une organisation ou un projet. Pour en savoir plus, consultez la section Limites de tags.
Pour connaître les limites du réseau, consultez la section Limites par réseau. |
| Profils de sécurité de prévention des menaces par organisation | 40 | Nombre maximal de profils de sécurité de type prévention des menaces que vous pouvez créer par organisation. |
| Groupes de profils de sécurité par organisation | 40 | Nombre maximal de groupes de profils de sécurité qui utilisent un profil de sécurité de prévention des menaces que vous pouvez créer par organisation. |
| Points de terminaison de pare-feu par zone et par organisation | 10 | Nombre maximal de points de terminaison de pare-feu que vous pouvez créer par zone et par organisation. |
Par réseau
Les limites suivantes s'appliquent aux réseaux VPC :
| Élément | Limite | Remarques |
|---|---|---|
| Nombre maximal de stratégies de pare-feu de réseau au niveau mondial par réseau | 1 | Nombre maximal de stratégies de pare-feu de réseau au niveau mondial que vous pouvez associer à un réseau VPC. |
| Nombre maximal de stratégies de pare-feu de réseau régional par région et par réseau | 1 | Nombre maximal de stratégies de pare-feu de réseau régional que vous pouvez associer à une combinaison de réseau VPC et de région. |
| Nombre maximal de noms de domaine (FQDN) par réseau | 1 000 | Nombre total maximal de noms de domaine pouvant être utilisés dans les règles de pare-feu provenant de stratégies de pare-feu hiérarchiques, de stratégies de pare-feu de réseau au niveau mondial et de stratégies de pare-feu de réseau régional associées à un réseau VPC. |
| Points de terminaison de pare-feu par zone et par réseau | 1 | Nombre maximal de points de terminaison de pare-feu que vous pouvez attribuer par zone et par réseau. |
Par règle de pare-feu
Les limites suivantes s'appliquent aux règles de pare-feu :
| Élément | Limite | Remarques |
|---|---|---|
| Nombre maximal de tags sécurisés sources par règle de stratégie de pare-feu d'entrée | 256 | Applicable uniquement à la règle de stratégie de pare-feu d'entrée : nombre maximal de tags sécurisés que vous pouvez utiliser en tant que tags sources dans la règle de pare-feu. Cette limite ne peut pas être augmentée. |
| Nombre maximal de tags sécurisés cibles par règle de stratégie de pare-feu | 256 | Applicable uniquement à la règle de stratégie de pare-feu : nombre maximal de tags sécurisés que vous pouvez utiliser en tant que tags cibles dans la règle de pare-feu. Cette limite ne peut pas être augmentée. |
| Nombre maximal de tags réseau sources par règle de pare-feu VPC entrant | 30 | Applicable uniquement aux règles de pare-feu VPC entrant : nombre maximal de tags réseau que vous pouvez utiliser en tant que tags sources dans la règle de pare-feu. Cette limite ne peut pas être augmentée. |
| Nombre maximal de tags réseau cibles par règle de pare-feu VPC | 70 | Applicable uniquement aux règles de pare-feu VPC : nombre maximal de tags réseau que vous pouvez utiliser en tant que tags cibles dans la règle de pare-feu. Cette limite ne peut pas être augmentée. |
| Nombre maximal de comptes de service sources par règle de pare-feu VPC entrant | 10 | Applicable uniquement aux règles de pare-feu VPC entrant : nombre maximal de comptes de service que vous pouvez utiliser en tant que sources dans la règle de pare-feu. Cette limite ne peut pas être augmentée. |
| Nombre maximal de comptes de service cibles par règle de pare-feu | 10 | Nombre maximal de comptes de service que vous pouvez utiliser en tant que cibles dans une règle de pare-feu VPC ou une règle d'une stratégie de pare-feu. Cette limite ne peut pas être augmentée. |
| Nombre maximal de plages d'adresses IP sources par règle de pare-feu | 5 000 | Nombre maximal de plages d'adresses IP sources que vous pouvez spécifier dans une règle de pare-feu VPC ou une règle d'une stratégie de pare-feu. Les plages d'adresses IP sont de type IPv4 uniquement ou IPv6 uniquement. Cette limite ne peut pas être augmentée. |
| Nombre maximal de plages d'adresses IP de destination par règle de pare-feu | 5 000 | Nombre maximal de plages d'adresses IP de destination que vous pouvez spécifier dans une règle de pare-feu VPC ou une règle dans une stratégie de pare-feu. Les plages d'adresses IP sont de type IPv4 uniquement ou IPv6 uniquement. Cette limite ne peut pas être augmentée. |
| Nombre maximal de groupes d'adresses sources par règle de pare-feu d'entrée dans une stratégie de pare-feu | 10 | Nombre maximal de groupes d'adresses sources que vous pouvez spécifier dans une règle de pare-feu d'entrée dans une stratégie de pare-feu. Cette limite ne peut pas être augmentée. |
| Nombre maximal de groupes d'adresses de destination par règle de pare-feu dans une stratégie de pare-feu | 10 | Nombre maximal de groupes d'adresses de destination que vous pouvez spécifier dans une règle de pare-feu de sortie dans une stratégie de pare-feu. Cette limite ne peut pas être augmentée. |
| Nombre maximal de noms de domaine (FQDN) par règle de pare-feu dans une stratégie de pare-feu | 100 | Nombre de noms de domaine (FQDN) que vous pouvez inclure dans une règle d'une stratégie de pare-feu. Cette limite ne peut pas être augmentée. |
Par point de terminaison de pare-feu
Les limites suivantes s'appliquent aux points de terminaison de pare-feu.
| Élément | Limite | Remarques |
|---|---|---|
| Associations par point de terminaison de pare-feu | 50 | Nombre maximal de réseaux VPC que vous pouvez associer à un point de terminaison de pare-feu. Vous pouvez créer des points de terminaison de pare-feu supplémentaires dans la même zone pour contourner cette limite. |
Par profil de sécurité
Les limites suivantes s'appliquent aux profils de sécurité :
| Élément | Limite | Remarques |
|---|---|---|
| Nombre de remplacements de menaces par profil de sécurité | 100 | Nombre maximal de remplacements de menaces que vous pouvez ajouter dans un profil de sécurité de prévention des menaces. |
Par interface réseau de VM
Les limites suivantes s'appliquent aux interfaces réseau de VM :
| Élément | Limite | Remarques |
|---|---|---|
| Nombre maximal de tags sécurisés par interface de VM | 10 | Nombre maximal de tags sécurisés que vous pouvez ajouter par VM et par carte d'interface réseau. |
Gérer les quotas
Cloud Next Generation Firewall impose des quotas sur l'utilisation des ressources pour différentes raisons. Il s'agit, par exemple, de préserver la communauté des utilisateurs Google Cloud en empêchant les pics d'utilisation imprévus. Les quotas aident également les utilisateurs qui explorent Google Cloud avec la version gratuite à ne pas dépasser les limites de leur version d'essai.
Tous les projets débutent avec les mêmes quotas, que vous pouvez modifier en demandant un quota supplémentaire. Certains quotas peuvent augmenter automatiquement en fonction de votre utilisation d'un produit.
Autorisations
Pour afficher les quotas ou demander des augmentations de quotas, les entités principales IAM (gestion de l'authentification et des accès) doivent disposer de l'un des rôles suivants :
| Tâche | Rôle requis |
|---|---|
| Vérifier les quotas d'un projet | Choisissez l'une des options suivantes :
|
| Modifier les quotas, demander un quota supplémentaire | Choisissez l'une des options suivantes :
|
Vérifier les quotas
Console
- Dans Google Cloud Console, accédez à la page Quotas.
- Pour rechercher le quota à mettre à jour, utilisez l'option Filtrer le tableau. Si vous ne connaissez pas le nom du quota, utilisez les liens disponibles sur cette page à la place.
gcloud
À l'aide de Google Cloud CLI, exécutez la commande suivante pour vérifier vos quotas. Remplacez PROJECT_ID par votre ID de projet :
gcloud compute project-info describe --project PROJECT_ID
Pour vérifier le quota que vous avez déjà consommé dans une région, exécutez la commande suivante :
gcloud compute regions describe example-region
Erreurs lors du dépassement de votre quota
Si vous dépassez un quota avec une commande gcloud, gcloud génère un message d'erreur quota exceeded et renvoie le code de sortie 1.
Si vous dépassez un quota avec une requête API, Google Cloud renvoie le code d'état HTTP suivant : 413 Request Entity Too Large.
Demander un quota supplémentaire
Pour demander une augmentation ou une diminution de la plupart des quotas, vous pouvez utiliser Google Cloud Console. Pour en savoir plus, consultez Demander une augmentation de quota.
Console
- Dans Google Cloud Console, accédez à la page Quotas.
- Sur la page Quotas, sélectionnez les quotas à modifier.
- En haut de la page, cliquez sur Modifier les quotas.
- Dans le champ Name (Nom), saisissez votre nom.
- Facultatif: Dans le champ Téléphone, saisissez un numéro de téléphone.
- Envoyez la demande. Le traitement des demandes de quotas nécessite un délai de 24 à 48 heures.
Disponibilité des ressources
Chaque quota représente le nombre maximal de ressources que vous pouvez créer pour un type de ressource donné, sous réserve de disponibilité. Il est important de noter que les quotas ne garantissent pas la disponibilité des ressources. Même si vous disposez d'un quota, vous ne pouvez pas créer une ressource si celle-ci n'est pas disponible.
Par exemple, vous pouvez disposer d'un quota suffisant pour créer une adresse IP régionale externe dans la région us-central1. Toutefois, cela n'est pas possible si aucune adresse IP externe n'est disponible dans cette région. La disponibilité des ressources par zone peut également avoir une incidence sur votre capacité à créer des ressources.
Les situations dans lesquelles des ressources sont indisponibles dans une région entière sont rares. Toutefois, les ressources d'une zone peuvent parfois être épuisées de temps en temps, ce qui n'a généralement pas d'incidence sur le contrat de niveau de service pour le type de ressource. Pour plus d'informations, consultez le contrat de niveau de service correspondant à la ressource.