Dokumen ini berisi daftar quotas dan quotas yang berlaku untuk Firewall Cloud Next Generation.
Kuota membatasi jumlah resource Google Cloud bersama yang dapat digunakan project Google Cloud Anda, termasuk komponen hardware, software, dan jaringan. Oleh karena itu, kuota adalah bagian dari sistem yang melakukan hal berikut:
- Memantau penggunaan atau pemakaian produk dan layanan Google Cloud oleh Anda.
- Membatasi Anda konsumsi resource tersebut, karena alasan yang mencakup memastikan keadilan dan mengurangi lonjakan penggunaan.
- Mempertahankan konfigurasi yang secara otomatis menerapkan pembatasan yang telah ditentukan.
- Menyediakan sarana untuk meminta atau membuat perubahan pada kuota.
Pada umumnya, jika kuota terlampaui, sistem akan langsung memblokir akses ke resource Google yang relevan, dan tugas yang Anda coba lakukan akan gagal. Pada umumnya, kuota berlaku untuk setiap project Google Cloud serta digunakan bersama oleh semua aplikasi dan alamat IP yang menggunakan project Google Cloud tersebut.
Ada juga batasan pada resource Cloud NGFW. Batas ini tidak terkait dengan sistem kuota. Batas tidak dapat diubah kecuali jika dinyatakan lain.
Kuota
Bagian ini mencantumkan kuota yang berlaku untuk Cloud Next Generation Firewall.
Anda dapat melihat kuota dan batas yang terkait dengan Virtual Private Cloud (VPC) di halaman Kuota dan batas VPC.
Per project
Kuota per project adalah kuota yang dapat disesuaikan. Anda dapat meminta perubahan kuota per project menggunakan Konsol Google Cloud. Untuk mempelajari lebih lanjut cara meminta perubahan kuota, lihat Meminta kuota tambahan. Jika opsi edit tidak tersedia untuk suatu kuota, ajukan kasus dukungan untuk menanyakan apakah kuota dapat ditambah atau dikurangi.
Untuk memantau kuota per project yang menggunakan Cloud Monitoring, siapkan pemantauan untuk metrik serviceruntime.googleapis.com/quota/allocation/usage pada jenis resource Consumer Quota. Tetapkan filter label tambahan (service,
quota_metric) untuk mendapatkan jenis kuota. Untuk mengetahui informasi tentang pemantauan metrik kuota, lihat Membuat diagram dan memantau metrik kuota.
Setiap kuota memiliki batas dan nilai penggunaan.
Tabel berikut menyoroti kuota global penting untuk resource Cloud NGFW di setiap project. Untuk mengetahui kuota lainnya, lihat halaman Quotas di Konsol Google Cloud.
| Kuota | Deskripsi |
|---|---|
| Aturan firewall VPC | Jumlah aturan firewall VPC yang dapat Anda buat untuk semua jaringan VPC di project Anda. |
| Grup alamat global per project | Jumlah grup alamat global yang dapat Anda tentukan dalam sebuah project. |
| Grup alamat regional per project per region | Jumlah grup alamat regional yang dapat Anda tentukan untuk sebuah project di suatu region. |
| Kebijakan firewall jaringan global | Jumlah Kebijakan firewall jaringan global dalam sebuah project. |
| Kebijakan firewall jaringan regional | Jumlah Kebijakan firewall jaringan regional per region dalam sebuah project. |
Per organisasi
Tabel ini menyoroti kuota global yang penting untuk resource Cloud NGFW di setiap organisasi. Untuk meminta pembaruan kuota ini, ajukan kasus dukungan.
| Item | Kuota default | Notes |
|---|---|---|
| Kebijakan firewall hierarkis yang tidak dikaitkan per organisasi | 50 | Kebijakan firewall hierarkis yang tidak terkait ada di organisasi Google Cloud Anda, tetapi tidak terkait dengan node. Tidak ada batasan jumlah kebijakan yang dapat dikaitkan oleh organisasi Anda dengan node, meskipun setiap node hanya dapat memiliki satu kebijakan terkait. |
Per kebijakan firewall
Kuota berikut berlaku untuk kebijakan firewall.
| Kuota | Deskripsi |
|---|---|
| Kebijakan firewall hierarkis | |
| Jumlah atribut aturan per kebijakan firewall hierarkis | Kuota ini adalah jumlah atribut aturan dari semua aturan dalam kebijakan firewall hierarkis. Batas defaultnya adalah 2.000. Untuk meminta penambahan kuota, ajukan kasus dukungan. Untuk mengetahui informasi selengkapnya, lihat Detail jumlah atribut aturan. |
| Nama domain (FQDN) per kebijakan firewall hierarkis | Kuota ini adalah jumlah semua nama domain sumber dari semua aturan masuk dalam kebijakan, ditambah jumlah semua nama domain tujuan dari semua aturan keluar dalam kebijakan. Batas defaultnya adalah 100. Untuk meminta penambahan kuota, ajukan kasus dukungan. |
| Kebijakan firewall jaringan global | |
| Atribut aturan per kebijakan firewall jaringan global | Jumlah atribut aturan dari semua aturan dalam kebijakan firewall jaringan global. Untuk mengetahui informasi selengkapnya, lihat Detail jumlah atribut aturan. |
| Nama domain (FQDN) per kebijakan firewall jaringan global | Jumlah nama domain yang dapat Anda sertakan di semua aturan kebijakan firewall jaringan global. Kuota ini adalah jumlah semua nama domain sumber dari semua aturan masuk dalam kebijakan ditambah jumlah semua nama domain tujuan dari semua aturan keluar dalam kebijakan. |
| Kebijakan firewall jaringan regional | |
| Atribut aturan per kebijakan firewall jaringan regional | Jumlah atribut aturan dari semua aturan dalam kebijakan firewall jaringan regional. Untuk mengetahui informasi selengkapnya, lihat Detail jumlah atribut aturan. |
| Nama domain (FQDN) per kebijakan firewall jaringan regional | Jumlah nama domain (FQDN) yang dapat Anda sertakan di semua aturan kebijakan firewall jaringan regional: Kuota ini adalah jumlah semua nama domain sumber dari semua aturan masuk dalam kebijakan ditambah jumlah semua nama domain tujuan dari semua aturan keluar dalam kebijakan. |
Detail jumlah atribut aturan
Setiap kebijakan firewall mendukung jumlah total atribut aturan maksimum. Jumlah atribut aturan untuk semua aturan firewall di kebijakan firewall adalah jumlah atribut aturan untuk kebijakan firewall tersebut.
Contoh aturan berikut menggambarkan cara Google Cloud menghitung atribut aturan per aturan firewall. Untuk mempelajari cara Google Cloud menghitung jumlah atribut aturan untuk setiap kebijakan firewall, lihat Menjelaskan kebijakan.
| Contoh aturan firewall | Jumlah atribut aturan | Penjelasan |
|---|---|---|
Aturan firewall izinkan masuk dengan rentang alamat IP sumber
10.100.0.1/32, protokol tcp, dan
rentang port 5000-6000.
|
3 | Satu rentang sumber; satu protokol, satu rentang port. |
Aturan firewall penolakan masuk dengan rentang alamat IP sumber 10.0.0.0/8, 192.168.0.0/16, rentang alamat IP tujuan 100.64.0.7/32, protokol tcp dan udp, rentang port 53-53, dan 5353-5353.
|
11 | Ada empat kombinasi protokol dan port: tcp:53-53,
tcp:5353-5353, udp:53-53, dan
udp:5353-5353. Setiap kombinasi protokol dan port menggunakan dua
atribut. Masing-masing satu atribut untuk dua rentang alamat IP sumber, satu
atribut untuk rentang alamat IP tujuan, serta delapan atribut untuk
kombinasi protokol dan port menghasilkan jumlah atribut 11. |
Aturan firewall penolakan traffic keluar dengan rentang alamat IP sumber 100.64.0.7/32, rentang alamat IP tujuan 10.100.0.1/32, 10.100.1.1/32, tcp:80, tcp:443, dan udp:4000-5000.
|
9 | Kombinasi protokol dan port diperluas hingga tiga: tcp:80-80, tcp:443-443, dan udp:4000-5000. Setiap kombinasi protokol dan port menggunakan dua atribut. Satu atribut untuk rentang sumber,
satu atribut masing-masing untuk dua rentang alamat IP tujuan, dan enam
atribut untuk kombinasi protokol dan port menghasilkan jumlah
atribut 9. |
Batas
Batas ini tidak dapat ditingkatkan kecuali jika dinyatakan khusus.
Per organisasi
Batas berikut berlaku untuk organisasi.
| Item | batas | Notes |
|---|---|---|
| Grup alamat global per organisasi | 100 | Jumlah maksimum grup alamat global yang dapat Anda buat per organisasi. |
| Grup alamat regional per organisasi per region | 100 | Jumlah maksimum grup alamat regional yang dapat Anda buat per organisasi di suatu wilayah. |
| Grup alamat organisasi | 100 | Jumlah maksimum grup alamat yang dapat Anda buat per organisasi terlepas dari lokasi (global atau regional). |
| Kapasitas grup alamat maksimum | 1.000 | Kapasitas maksimum grup alamat per organisasi atau project. |
| Kunci tag aman maksimum per organisasi atau per project | 1.000 | Jumlah maksimum kunci tag aman yang dapat Anda buat per organisasi atau project. Untuk informasi selengkapnya, lihat Batas tag. |
| Nilai tag aman maksimum per kunci per organisasi atau per project | 1.000 | Jumlah maksimum nilai tag aman yang dapat Anda tambahkan per kunci dalam organisasi atau project. Untuk informasi selengkapnya, lihat Batas tag. |
| Pasangan nilai kunci tag aman maksimum per resource per organisasi | 50 | Jumlah maksimum pasangan nilai kunci tag aman yang dapat Anda tambahkan per resource di organisasi atau project. Untuk informasi selengkapnya, lihat Batas tag.
Untuk batas jaringan, lihat Per batas jaringan. |
| Profil keamanan pencegahan ancaman per organisasi | 40 | Jumlah maksimum profil keamanan dari jenis pencegahan ancaman yang dapat Anda buat per organisasi. |
| Grup profil keamanan per organisasi | 40 | Jumlah maksimum grup profil keamanan yang menggunakan profil keamanan pencegahan ancaman yang dapat Anda buat per organisasi. |
| Endpoint firewall per zona per organisasi | 10 | Jumlah maksimum endpoint firewall yang dapat Anda buat per zona per organisasi. |
Per jaringan
Batas berikut ini berlaku untuk jaringan VPC.
| Item | Batas | Notes |
|---|---|---|
| Kebijakan firewall jaringan global maksimum per jaringan | 1 | Jumlah maksimum kebijakan firewall jaringan global yang dapat dikaitkan dengan jaringan VPC. |
| Kebijakan firewall jaringan regional maksimum per region per jaringan | 1 | Jumlah maksimum kebijakan firewall jaringan regional yang dapat dikaitkan dengan kombinasi region dan jaringan VPC. |
| Jumlah maksimum nama domain (FQDN) per jaringan | 1.000 | Jumlah total maksimum nama domain yang dapat digunakan dalam aturan firewall yang berasal dari kebijakan firewall hierarkis, kebijakan firewall jaringan global, dan kebijakan firewall jaringan regional yang terkait dengan jaringan VPC. |
| Endpoint firewall per zona per jaringan | 1 | Jumlah maksimum endpoint firewall yang dapat Anda tetapkan per zona per jaringan. |
Per aturan firewall
Batas berikut berlaku untuk aturan firewall:
| Item | Batas | Notes |
|---|---|---|
| Jumlah maksimum tag jaringan sumber per aturan firewall VPC masuk | 30 | Hanya berlaku untuk aturan firewall VPC masuk—jumlah maksimum tag jaringan yang dapat Anda gunakan sebagai tag sumber dalam aturan firewall. Batas ini tidak dapat ditingkatkan. |
| Jumlah maksimum tag jaringan target per aturan firewall VPC | 70 | Hanya berlaku untuk aturan firewall VPC—jumlah maksimum tag jaringan yang dapat Anda gunakan sebagai tag target dalam aturan firewall. Batas ini tidak dapat ditingkatkan. |
| Jumlah maksimum akun layanan sumber per aturan firewall VPC masuk | 10 | Hanya berlaku untuk aturan firewall VPC masuk—jumlah maksimum akun layanan yang dapat Anda gunakan sebagai sumber dalam aturan firewall. Batas ini tidak dapat ditingkatkan. |
| Jumlah maksimum akun layanan target per aturan firewall | 10 | Jumlah maksimum akun layanan yang dapat Anda gunakan sebagai target dalam aturan atau aturan firewall VPC dalam kebijakan firewall. Batas ini tidak dapat ditingkatkan. |
| Jumlah maksimum rentang alamat IP sumber per aturan firewall | 5.000 | Jumlah maksimum rentang alamat IP sumber yang dapat Anda tentukan di aturan atau aturan firewall VPC dalam kebijakan firewall. Rentang alamat IP hanya tersedia untuk IPv4 atau IPv6. Batas ini tidak dapat ditingkatkan. |
| Jumlah maksimum rentang alamat IP tujuan per aturan firewall | 5.000 | Jumlah maksimum rentang alamat IP tujuan yang dapat Anda tentukan di aturan atau aturan firewall VPC dalam kebijakan firewall. Rentang alamat IP hanya untuk IPv4 atau IPv6. Batas ini tidak dapat ditingkatkan. |
| Jumlah maksimum grup alamat sumber per aturan firewall masuk dalam kebijakan firewall | 10 | Jumlah maksimum grup alamat sumber yang dapat Anda tentukan dalam aturan firewall masuk dalam kebijakan firewall. Batas ini tidak dapat ditingkatkan. |
| Jumlah maksimum grup alamat tujuan per aturan firewall dalam kebijakan firewall | 10 | Jumlah maksimum grup alamat tujuan yang dapat Anda tentukan dalam aturan firewall keluar di kebijakan firewall. Batas ini tidak dapat ditingkatkan. |
| Jumlah maksimum nama domain (FQDN) per aturan firewall dalam kebijakan firewall | 100 | Jumlah nama domain (FQDN) yang dapat Anda sertakan dalam aturan kebijakan firewall. Batas ini tidak dapat ditingkatkan. |
Per endpoint firewall
Batas berikut berlaku untuk endpoint firewall.
| Item | Kuota default | Notes |
|---|---|---|
| Pengaitan per endpoint firewall | 50 | Jumlah maksimum jaringan VPC yang dapat dikaitkan dengan endpoint firewall. Anda dapat membuat endpoint firewall tambahan di zona yang sama untuk mengatasi batas ini. |
Per profil keamanan
Batasan berikut berlaku untuk profil keamanan.
| Item | Kuota default | Notes |
|---|---|---|
| Jumlah penggantian ancaman per profil keamanan | 100 | Jumlah maksimum penggantian ancaman yang dapat Anda tambahkan ke profil keamanan pencegahan ancaman. |
Antarmuka jaringan per VM
Batas berikut berlaku untuk antarmuka jaringan VM:
| Item | Batas | Notes |
|---|---|---|
| Tag aman maksimum per antarmuka VM | 10 | Jumlah maksimum tag aman yang dapat Anda tambahkan per VM per NIC. |
Mengelola kuota
Cloud Next Generation Firewall memberlakukan kuota pada penggunaan resource karena berbagai alasan. Misalnya, kuota melindungi komunitas pengguna Google Cloud dengan mencegah lonjakan penggunaan yang tidak terduga. Kuota juga membantu pengguna yang menjelajahi Google Cloud dengan paket gratis agar tetap berada dalam masa uji coba.
Semua project dimulai dengan kuota yang sama, yang dapat diubah dengan meminta kuota tambahan. Beberapa kuota mungkin meningkat secara otomatis berdasarkan penggunaan Anda atas suatu produk.
Izin
Untuk melihat kuota atau meminta peningkatan kuota, akun utama Identity and Access Management (IAM) memerlukan salah satu peran berikut.
| Tugas | Peran yang diperlukan |
|---|---|
| Memeriksa kuota untuk suatu project | Salah satu dari berikut ini:
|
| Mengubah kuota, meminta kuota tambahan | Salah satu dari berikut ini:
|
Memeriksa kuota
Konsol
- Di Konsol Google Cloud, buka halaman Quotas.
- Untuk menelusuri kuota yang ingin Anda perbarui, gunakan Filter table. Jika Anda tidak mengetahui nama kuota, gunakan link di halaman ini.
gcloud
Dengan menggunakan Google Cloud CLI, jalankan perintah berikut untuk memeriksa kuota Anda. Ganti PROJECT_ID dengan project ID Anda.
gcloud compute project-info describe --project PROJECT_IDUntuk memeriksa kuota yang digunakan di suatu region, jalankan perintah berikut:
gcloud compute regions describe example-region
Error saat melebihi kuota
Jika Anda melampaui kuota dengan perintah gcloud, gcloud akan menghasilkan pesan error quota exceeded dan menampilkan kode keluar 1.
Jika Anda melampaui kuota dengan permintaan API, Google Cloud akan menampilkan kode status HTTP berikut: 413 Request Entity Too Large.
Meminta kuota tambahan
Untuk menambah atau mengurangi sebagian besar kuota, gunakan Konsol Google Cloud. Untuk mengetahui informasi lebih lanjut, lihat artikel Meminta kuota yang lebih tinggi.
Konsol
- Di Konsol Google Cloud, buka halaman Quotas.
- Di halaman Quotas, pilih kuota yang ingin diubah.
- Di bagian atas halaman, klik Edit quotas.
- Untuk Name, masukkan nama Anda.
- Opsional: Untuk Phone, masukkan nomor telepon.
- Kirim permintaan. Permintaan kuota memerlukan waktu 24 hingga 48 jam untuk diproses.
Ketersediaan resource
Setiap kuota mewakili jumlah maksimum untuk jenis resource tertentu yang dapat Anda buat, jika resource tersebut tersedia. Penting untuk diperhatikan bahwa kuota tidak menjamin ketersediaan resource. Meskipun memiliki kuota yang tersedia, Anda tidak dapat membuat resource baru jika tidak tersedia.
Misalnya, Anda mungkin memiliki kuota yang memadai untuk membuat alamat IP eksternal regional baru di region us-central1. Namun, hal itu tidak mungkin dilakukan jika tidak ada alamat IP eksternal yang tersedia di region tersebut. Ketersediaan resource zona juga dapat memengaruhi kemampuan Anda untuk membuat resource baru.
Situasi ketika resource tidak tersedia di seluruh region jarang terjadi. Namun, resource dalam suatu zona dapat habis dari waktu ke waktu, biasanya tanpa memengaruhi perjanjian tingkat layanan (SLA) untuk jenis resource tersebut. Untuk informasi selengkapnya, tinjau SLA yang relevan untuk referensi tersebut.