Ce document recense les quotas et limites qui s'appliquent à Cloud Next Generation Firewall.
Un quota limite la quantité d'une ressource Google Cloud partagée particulière que votre projet Google Cloud peut utiliser, y compris les composants matériels, logiciels et réseau. Par conséquent, les quotas font partie d'un système qui effectue les opérations suivantes :
- Surveille votre utilisation ou votre consommation des produits et services Google Cloud
- Limite la consommation de ces ressources pour des raisons telles que l'équité et la réduction des pics d'utilisation.
- Gère des configurations qui appliquent automatiquement des restrictions recommandées.
- Fournit un moyen de demander ou d'effectuer des modifications de quota.
Dans la plupart des cas, lorsqu'un quota est dépassé, le système bloque immédiatement l'accès à la ressource Google concernée et la tâche que vous essayez d'effectuer échoue. Dans la plupart des cas, les quotas s'appliquent à chaque projet Google Cloud. Ils sont partagés entre toutes les applications et adresses IP qui utilisent ce projet.
Des limites s'appliquent également aux ressources Cloud NGFW. Ces limites ne sont pas liées au système de quotas. Sauf indication contraire, les limites ne peuvent pas être modifiées.
Quotas
Cette section répertorie les quotas qui s'appliquent à Cloud Next Generation Firewall.
Vous pouvez afficher les quotas et les limites associés au cloud privé virtuel (VPC) sur la page Quotas et limites du VPC.
Par projet
Les quotas par projet sont ajustables. Vous pouvez demander une modification de quota par projet à l'aide de la console Google Cloud. Pour en savoir plus sur le processus de demande de modification de quota, consultez la page Demander une augmentation de quota. Si l'option de modification n'est pas disponible pour un quota, envoyez une demande d'assistance pour demander si le quota peut être augmenté ou diminué.
Pour surveiller les quotas par projet qui utilisent Cloud Monitoring, configurez la surveillance de la métrique serviceruntime.googleapis.com/quota/allocation/usage sur le type de ressource Consumer Quota. Définissez des filtres de libellés supplémentaires (service, quota_metric) afin d'obtenir le type de quota. Pour en savoir plus sur la surveillance des métriques de quota, consultez la page Représentation graphique et surveillance des métriques de quota.
Chaque quota est associé à une limite et à une valeur d'utilisation.
Le tableau suivant présente les principaux quotas mondiaux pour les ressources Cloud NGFW de chaque projet. Pour les autres quotas, accédez à la page Quotas dans la console Google Cloud.
| Quota | Description |
|---|---|
| Règles de pare-feu VPC | Nombre de règles de pare-feu VPC que vous pouvez créer pour l'ensemble des réseaux VPC de votre projet. |
| Groupes d'adresses mondiales par projet | Nombre de groupes d'adresses mondiales que vous pouvez définir dans un projet. |
| Groupes d'adresses régionales par projet et par région | Nombre de groupes d'adresses régionales que vous pouvez définir pour un projet dans une région. |
| Stratégies de pare-feu de réseau au niveau mondial | Nombre de stratégies de pare-feu de réseau au niveau mondial dans un projet. |
| Stratégies de pare-feu de réseau régionales | Nombre de stratégies de pare-feu de réseau régionales par région dans un projet. |
Par organisation
Ce tableau présente les principaux quotas mondiaux pour les ressources Cloud NGFW dans chaque organisation. Pour demander une mise à jour de ces quotas, envoyez une demande d'assistance.
| Élément | Quota par défaut | Remarques |
|---|---|---|
| Stratégies de pare-feu hiérarchiques non associées par organisation | 50 | Une stratégie de pare-feu hiérarchique non associée existe dans votre organisation Google Cloud, mais n'est associée à aucune ressource. Le nombre de stratégies que votre organisation peut associer à des ressources n'est pas limité, bien que chaque ressource ne puisse être associée qu'à une seule stratégie. |
Par stratégie de pare-feu
Les quotas suivants s'appliquent aux stratégies de pare-feu.
| Quota | Description |
|---|---|
| Stratégies de pare-feu hiérarchiques | |
| Nombre d'attributs de règle par stratégie de pare-feu hiérarchique | Ce quota correspond à la somme des attributs de règle de toutes les règles d'une stratégie de pare-feu hiérarchique. La limite par défaut est de 2 000. Pour demander une augmentation de quota, envoyez une demande d'assistance. Pour en savoir plus, consultez la section Détails du nombre d'attributs de règle. |
| Noms de domaine (FQDN) par stratégie de pare-feu hiérarchique | Ce quota correspond à la somme de tous les noms de domaine source de toutes les règles d'entrée de la stratégie, plus la somme de tous les noms de domaine de destination de toutes les règles de sortie de la stratégie. La limite par défaut est de 100. Pour demander une augmentation de quota, envoyez une demande d'assistance. |
| Stratégies de pare-feu de réseau au niveau mondial | |
| Attributs de règle par stratégie de pare-feu de réseau au niveau mondial | Somme des attributs de règle de toutes les règles d'une stratégie de pare-feu de réseau au niveau mondial. Pour en savoir plus, consultez la section Détails du nombre d'attributs de règle. |
| Noms de domaine (FQDN) par stratégie de pare-feu de réseau au niveau mondial | Nombre de noms de domaine que vous pouvez inclure dans toutes les règles d'une stratégie de pare-feu de réseau au niveau mondial. Ce quota correspond à la somme de tous les noms de domaine source de toutes les règles d'entrée de la stratégie, plus la somme de tous les noms de domaine de destination de toutes les règles de sortie de la stratégie. |
| Stratégies de pare-feu de réseau régionales | |
| Attributs de règle par stratégie de pare-feu de réseau régionale | Somme des attributs de règle de toutes les règles d'une stratégie de pare-feu de réseau régionale. Pour en savoir plus, consultez la section Détails du nombre d'attributs de règle. |
| Noms de domaine (FQDN) par stratégie de pare-feu de réseau régionale | Nombre de noms de domaine (FQDN) que vous pouvez inclure dans toutes les règles d'une stratégie de pare-feu de réseau régionale : ce quota correspond à la somme de tous les noms de domaine source de toutes les règles d'entrée de la stratégie, plus la somme de tous les noms de domaine de destination de toutes les règles de sortie de la stratégie. |
Détails du nombre d'attributs de règle
Chaque stratégie de pare-feu accepte un nombre total maximal d'attributs de règle. La somme des nombres d'attributs de règles pour toutes les règles de pare-feu d'une stratégie de pare-feu est le nombre d'attributs de règles pour cette stratégie de pare-feu.
Les exemples de règles suivants illustrent la façon dont Google Cloud compte les attributs de règles pour chaque règle de pare-feu. Pour savoir comment Google Cloud calcule le nombre d'attributs de règle pour chaque stratégie de pare-feu, consultez la page Décrire une stratégie.
| Exemple de règle de pare-feu | Nombre d'attributs de règle | Explication |
|---|---|---|
Règle de pare-feu autorisant le trafic entrant avec la plage d'adresses IP sources 10.100.0.1/32, le protocole tcp et la plage de ports 5000-6000.
|
3 | Une plage source ; un protocole, une plage de ports. |
Règle de pare-feu refusant le trafic entrant avec les plages d'adresses IP sources 10.0.0.0/8, 192.168.0.0/16, les plages d'adresses IP de destination 100.64.0.7/32, les protocoles tcp et udp, les plages de ports 53-53 et 5353-5353.
|
11 | Il existe quatre combinaisons de protocoles et de ports : tcp:53-53, tcp:5353-5353, udp:53-53 et udp:5353-5353. Chaque combinaison protocole/port utilise deux attributs. Un attribut pour chacune des deux plages d'adresses IP sources, un attribut pour la plage d'adresses IP de destination, et huit attributs pour les combinaisons de protocoles et de ports, ce qui donne un nombre d'attributs de 11. |
Règle de pare-feu refusant le trafic sortant avec la plage d'adresses IP sources 100.64.0.7/32, la plage d'adresses IP de destination 10.100.0.1/32, 10.100.1.1/32, tcp:80, tcp:443 et udp:4000-5000.
|
9 | Les combinaisons de protocoles et de ports sont étendues à trois : tcp:80-80, tcp:443-443 et udp:4000-5000. Chaque combinaison protocole/port utilise deux attributs. Un attribut pour la plage source, un attribut pour chacune des deux plages d'adresses IP de destination, et six attributs pour les combinaisons de protocoles et de ports, ce qui donne un nombre d'attributs de 9. |
Limites
Sauf stipulation contraire, les limites ne peuvent pas être augmentées.
Par organisation
Les limites suivantes s'appliquent aux organisations.
| Élément | limite | Remarques |
|---|---|---|
| Groupes d'adresses mondiales par organisation | 100 | Nombre maximal de groupes d'adresses mondiales que vous pouvez créer par organisation. |
| Groupes d'adresses régionales par organisation et par région | 100 | Nombre maximal de groupes d'adresses régionales que vous pouvez créer par organisation dans une région. |
| Groupes d'adresses de l'organisation | 100 | Nombre maximal de groupes d'adresses que vous pouvez créer par organisation, quel que soit l'emplacement (mondial ou régional) |
| Capacité maximale du groupe d'adresses | 1 000 | Capacité maximale d'un groupe d'adresses par organisation ou par projet. |
| Nombre maximal de clés de tag sécurisées par organisation ou par projet | 1 000 | Nombre maximal de clés de tags sécurisées que vous pouvez créer par organisation ou par projet. Pour en savoir plus, consultez la section Limites de tags. |
| Nombre maximal de valeurs de tags sécurisés par clé par organisation ou par projet | 1 000 | Nombre maximal de valeurs de tags sécurisés que vous pouvez ajouter par clé dans une organisation ou un projet. Pour en savoir plus, consultez la section Limites de tags. |
| Nombre maximal de paires clé-valeur de tags sécurisés par ressource et par organisation | 50 | Nombre maximal de paires clé/valeur de tags sécurisés que vous pouvez ajouter par ressource dans une organisation ou un projet. Pour en savoir plus, consultez la section Limites de tags.
Pour connaître les limites du réseau, consultez la section Limites par réseau. |
| Profils de sécurité de prévention des menaces par organisation | 40 | Nombre maximal de profils de sécurité de type prévention des menaces que vous pouvez créer par organisation. |
| Groupes de profils de sécurité par organisation | 40 | Nombre maximal de groupes de profils de sécurité qui utilisent un profil de sécurité de prévention des menaces que vous pouvez créer par organisation. |
| Points de terminaison de pare-feu par zone et par organisation | 10 | Nombre maximal de points de terminaison de pare-feu que vous pouvez créer par zone et par organisation. |
Par réseau
Les limites suivantes s'appliquent aux réseaux VPC.
| Élément | Limite | Remarques |
|---|---|---|
| Nombre maximal de stratégies de pare-feu de réseau au niveau mondial par réseau | 1 | Nombre maximal de stratégies de pare-feu de réseau au niveau mondial que vous pouvez associer à un réseau VPC. |
| Nombre maximal de stratégies de pare-feu de réseau régional par région et par réseau | 1 | Nombre maximal de stratégies de pare-feu de réseau régional que vous pouvez associer à une combinaison de réseau VPC et de région. |
| Nombre maximal de noms de domaine (FQDN) par réseau | 1 000 | Nombre total maximal de noms de domaine pouvant être utilisés dans les règles de pare-feu provenant de stratégies de pare-feu hiérarchiques, de stratégies de pare-feu de réseau au niveau mondial et de stratégies de pare-feu de réseau régional associées à un réseau VPC. |
| Points de terminaison de pare-feu par zone et par réseau | 1 | Nombre maximal de points de terminaison de pare-feu que vous pouvez attribuer par zone et par réseau. |
Par règle de pare-feu
Les limites suivantes s'appliquent aux règles de pare-feu :
| Élément | Limite | Remarques |
|---|---|---|
| Nombre maximal de tags réseau sources par règle de pare-feu VPC entrant | 30 | Applicable uniquement aux règles de pare-feu VPC entrant : nombre maximal de tags réseau que vous pouvez utiliser en tant que tags sources dans la règle de pare-feu. Cette limite ne peut pas être augmentée. |
| Nombre maximal de tags réseau cibles par règle de pare-feu VPC | 70 | Applicable uniquement aux règles de pare-feu VPC : nombre maximal de tags réseau que vous pouvez utiliser en tant que tags cibles dans la règle de pare-feu. Cette limite ne peut pas être augmentée. |
| Nombre maximal de comptes de service sources par règle de pare-feu VPC entrant | 10 | Applicable uniquement aux règles de pare-feu VPC entrant : nombre maximal de comptes de service que vous pouvez utiliser en tant que sources dans la règle de pare-feu. Cette limite ne peut pas être augmentée. |
| Nombre maximal de comptes de service cibles par règle de pare-feu | 10 | Nombre maximal de comptes de service que vous pouvez utiliser en tant que cibles dans une règle de pare-feu VPC ou une règle d'une stratégie de pare-feu. Cette limite ne peut pas être augmentée. |
| Nombre maximal de plages d'adresses IP sources par règle de pare-feu | 5 000 | Nombre maximal de plages d'adresses IP sources que vous pouvez spécifier dans une règle de pare-feu VPC ou une règle d'une stratégie de pare-feu. Les plages d'adresses IP sont de type IPv4 uniquement ou IPv6 uniquement. Cette limite ne peut pas être augmentée. |
| Nombre maximal de plages d'adresses IP de destination par règle de pare-feu | 5 000 | Nombre maximal de plages d'adresses IP de destination que vous pouvez spécifier dans une règle de pare-feu VPC ou une règle dans une stratégie de pare-feu. Les plages d'adresses IP sont de type IPv4 uniquement ou IPv6 uniquement. Cette limite ne peut pas être augmentée. |
| Nombre maximal de groupes d'adresses sources par règle de pare-feu d'entrée dans une stratégie de pare-feu | 10 | Nombre maximal de groupes d'adresses sources que vous pouvez spécifier dans une règle de pare-feu d'entrée dans une stratégie de pare-feu. Cette limite ne peut pas être augmentée. |
| Nombre maximal de groupes d'adresses de destination par règle de pare-feu dans une stratégie de pare-feu | 10 | Nombre maximal de groupes d'adresses de destination que vous pouvez spécifier dans une règle de pare-feu de sortie dans une stratégie de pare-feu. Cette limite ne peut pas être augmentée. |
| Nombre maximal de noms de domaine (FQDN) par règle de pare-feu dans une stratégie de pare-feu | 100 | Nombre de noms de domaine (FQDN) que vous pouvez inclure dans une règle d'une stratégie de pare-feu. Cette limite ne peut pas être augmentée. |
Par point de terminaison de pare-feu
Les limites suivantes s'appliquent aux points de terminaison de pare-feu.
| Élément | Quota par défaut | Remarques |
|---|---|---|
| Associations par point de terminaison de pare-feu | 50 | Nombre maximal de réseaux VPC que vous pouvez associer à un point de terminaison de pare-feu. Vous pouvez créer des points de terminaison de pare-feu supplémentaires dans la même zone pour contourner cette limite. |
Par profil de sécurité
Les limites suivantes s'appliquent aux profils de sécurité.
| Élément | Quota par défaut | Remarques |
|---|---|---|
| Nombre de remplacements de menaces par profil de sécurité | 100 | Nombre maximal de remplacements de menaces que vous pouvez ajouter dans un profil de sécurité de prévention des menaces. |
Par interface réseau de VM
Les limites suivantes s'appliquent aux interfaces réseau de VM :
| Élément | Limite | Remarques |
|---|---|---|
| Nombre maximal de tags sécurisés par interface de VM | 10 | Nombre maximal de tags sécurisés que vous pouvez ajouter par VM et par carte d'interface réseau. |
Gestion des quotas
Cloud Next Generation Firewall impose des quotas sur l'utilisation des ressources pour différentes raisons. Il s'agit, par exemple, de préserver la communauté des utilisateurs de Google Cloud en empêchant les pics d'utilisation imprévus. Les quotas aident également les utilisateurs qui explorent Google Cloud avec la version gratuite à ne pas dépasser les limites de leur version d'essai.
Tous les projets débutent avec les mêmes quotas, que vous pouvez modifier en demandant un quota supplémentaire. Certains quotas peuvent augmenter automatiquement en fonction de votre utilisation d'un produit.
Autorisations
Pour afficher les quotas ou demander une augmentation de quotas, les comptes principaux IAM (Identity and Access Management) doivent disposer de l'un des rôles suivants.
| Tâche | Rôle requis |
|---|---|
| Vérifier les quotas d'un projet | Choisissez l'une des options suivantes :
|
| Modifier les quotas, demander un quota supplémentaire | Choisissez l'une des options suivantes :
|
Vérifier les quotas
Console
- Dans la console Google Cloud, accédez à la page Quotas.
- Pour rechercher le quota à mettre à jour, utilisez l'option Filtrer le tableau. Si vous ne connaissez pas le nom du quota, utilisez les liens disponibles sur cette page à la place.
gcloud
À l'aide de l'interface de ligne de commande Google Cloud, exécutez la commande suivante pour vérifier vos quotas. Remplacez PROJECT_ID par votre ID de projet :
gcloud compute project-info describe --project PROJECT_ID
Pour vérifier le quota que vous avez déjà consommé dans une région, exécutez la commande suivante :
gcloud compute regions describe example-region
Erreurs lors du dépassement de votre quota
Si vous dépassez un quota avec une commande gcloud, gcloud génère un message d'erreur quota exceeded et renvoie le code de sortie 1.
Si vous dépassez un quota avec une requête API, Google Cloud renvoie le code d'état HTTP suivant: HTTP 413 Request Entity Too Large.
Demander des quotas supplémentaires
Pour demander une augmentation ou une diminution de la plupart des quotas, vous pouvez utiliser Google Cloud Console. Pour en savoir plus, consultez Demander une augmentation de quota.
Console
- Dans la console Google Cloud, accédez à la page Quotas.
- Sur la page Quotas, sélectionnez les quotas à modifier.
- En haut de la page, cliquez sur Modifier les quotas.
- Indiquez votre nom, votre adresse e-mail et votre numéro de téléphone, puis cliquez sur Suivant.
- Remplissez votre demande de quota, puis cliquez sur Terminé.
- Envoyez la demande. Le traitement des demandes de quotas nécessite un délai de 24 à 48 heures.
Disponibilité des ressources
Chaque quota représente le nombre maximal de ressources que vous pouvez créer pour un type de ressource donné, sous réserve de disponibilité. Il est important de noter que les quotas ne garantissent pas la disponibilité des ressources. Même si vous disposez d'un quota, vous ne pouvez pas créer une ressource si celle-ci n'est pas disponible.
Par exemple, vous pouvez disposer d'un quota suffisant pour créer une adresse IP régionale externe dans la région us-central1. Toutefois, cela n'est pas possible si aucune adresse IP externe n'est disponible dans cette région. La disponibilité des ressources par zone peut également avoir une incidence sur votre capacité à créer des ressources.
Les situations dans lesquelles des ressources sont indisponibles dans une région entière sont rares. Toutefois, les ressources d'une zone peuvent parfois être épuisées de temps en temps, ce qui n'a généralement pas d'incidence sur le contrat de niveau de service pour le type de ressource. Pour plus d'informations, consultez le contrat de niveau de service correspondant à la ressource.