Questo documento elenca le quotas e i quotas che si applicano a Cloud Firewall.
Una quota limita la quantità di una determinata risorsa Google Cloud condivisa che il tuo progetto Google Cloud può utilizzare, inclusi hardware, software e componenti di rete.
Le quote fanno parte di un sistema che:
- Monitora l'utilizzo o il consumo di prodotti e servizi Google Cloud.
- Limita il consumo di queste risorse per motivi quali garantire l'equità e ridurre i picchi di utilizzo.
- Gestisce le configurazioni che applicano automaticamente le limitazioni prescritte.
- Fornisce un mezzo per apportare o richiedere modifiche alla quota.
Quando una quota viene superata, nella maggior parte dei casi, il sistema blocca immediatamente l'accesso alla risorsa Google pertinente e l'attività che stai cercando di eseguire non riesce. Nella maggior parte dei casi, le quote si applicano a ogni progetto Google Cloud e sono condivise tra tutte le applicazioni e gli indirizzi IP che utilizzano il progetto Google Cloud.
Esistono anche dei limiti relativi alle risorse firewall di Cloud. Questi limiti non sono correlati al sistema delle quote. I limiti non possono essere modificati se non diversamente indicato.
Quote
Questa sezione elenca le quote che si applicano a Cloud Firewall.
Puoi visualizzare le quote e i limiti associati a Virtual Private Cloud (VPC) nella pagina Quote e limiti di VPC.
Per progetto
Le quote per progetto sono quote modificabili. Puoi richiedere la modifica di una quota per progetto utilizzando la console Google Cloud. Per scoprire di più su come richiedere una modifica della quota, consulta Richiesta di quota aggiuntiva. Se l'opzione di modifica non è disponibile per una quota, invia una richiesta di assistenza per chiedere se è possibile aumentare o diminuire la quota.
Per monitorare le quote per progetto che utilizzano Cloud Monitoring, configura il monitoraggio per la metrica serviceruntime.googleapis.com/quota/allocation/usage nel tipo di risorsa Consumer Quota. Imposta filtri di etichette aggiuntivi (service, quota_metric) per raggiungere il tipo di quota. Per informazioni sul monitoraggio delle metriche delle quote, consulta Grafico e monitoraggio delle metriche delle quote.
Ogni quota ha un limite e un valore di utilizzo.
La tabella seguente evidenzia le quote globali più importanti per le risorse Cloud Firewall in ciascun progetto. Per altre quote, consulta la pagina Quote nella console Google Cloud.
| Quota | Descrizione |
|---|---|
| Regole firewall VPC | Il numero di regole firewall VPC che puoi creare per tutte le reti VPC nel progetto. |
| Gruppi di indirizzi globali per progetto | Il numero di gruppi di indirizzi globali che puoi definire in un progetto. |
| Gruppi di indirizzi regionali per progetto per regione | Il numero di gruppi di indirizzi regionali che puoi definire per un progetto in una regione. |
| Criteri firewall di rete globali | Il numero di criteri firewall di rete globali in un progetto. |
| Criteri firewall di rete a livello di regione | Il numero di criteri firewall di rete a livello di regione per regione in un progetto. |
Per organizzazione
Questa tabella evidenzia le quote globali più importanti per le risorse firewall Cloud in ciascuna organizzazione. Per richiedere un aggiornamento di queste quote, invia una richiesta di assistenza.
| Elemento | Quota predefinita | Note |
|---|---|---|
| Criteri firewall gerarchici non associati per organizzazione | 50 | Un criterio firewall gerarchico non associato esiste nella tua organizzazione Google Cloud, ma non è associato a un nodo. Non esiste un limite al numero di criteri che la tua organizzazione può avere associati ai nodi, anche se a ogni nodo può essere associato un solo criterio. |
Per criterio firewall
Le seguenti quote si applicano ai criteri firewall. Per richiedere un aumento della quota, invia una richiesta di assistenza.
| Elemento | Quota predefinita | Note |
|---|---|---|
| Criteri firewall gerarchici | ||
| Conteggio attributi regola per criterio firewall gerarchico | 2000 | La somma degli attributi delle regole di tutte le regole in un criterio firewall gerarchico. Per maggiori informazioni, consulta la sezione Dettagli sul conteggio degli attributi della regola. |
| Nomi di dominio (FQDN) per criterio firewall gerarchico | 100 | Il numero di nomi di dominio che puoi includere in tutte le regole di un criterio firewall gerarchico. Questa quota è la somma di tutti i nomi di dominio di origine di tutte le regole in entrata nel criterio più la somma di tutti i nomi di dominio di destinazione per tutte le regole in uscita nel criterio. |
| Criteri firewall di rete globali | ||
| Conteggio attributi regola per criterio firewall di rete globale | 10.000 | La somma degli attributi delle regole di tutte le regole in un criterio firewall di rete globale. Per maggiori informazioni, consulta la sezione Dettagli sul conteggio degli attributi della regola. |
| Nomi di dominio (FQDN) per criterio firewall di rete globale | 100 | Il numero di nomi di dominio che puoi includere in tutte le regole di un criterio firewall di rete globale. Questa quota è la somma di tutti i nomi di dominio di origine di tutte le regole in entrata nel criterio più la somma di tutti i nomi di dominio di destinazione per tutte le regole in uscita nel criterio. |
| Criteri firewall di rete a livello di regione | ||
| Conteggio attributi regola per criterio firewall di rete a livello di regione | 10.000 | La somma degli attributi delle regole di tutte le regole in un criterio firewall di rete a livello di regione. Per maggiori informazioni, consulta la sezione Dettagli sul conteggio degli attributi della regola. |
| Nomi di dominio (FQDN) per criterio firewall di rete a livello di regione | 100 | Il numero di nomi di dominio (FQDN) che puoi includere in tutte le regole di un criterio firewall di rete a livello di regione. Questa quota è la somma di tutti i nomi di dominio di origine di tutte le regole in entrata nel criterio più la somma di tutti i nomi di dominio di destinazione da tutte le regole in uscita nel criterio. |
Dettagli sul conteggio degli attributi della regola
Ogni criterio firewall supporta un numero massimo totale di attributi delle regole. La somma del numero di attributi delle regole per tutte le regole firewall in un criterio firewall corrisponde al numero di attributi della regola per quel criterio firewall.
Le seguenti regole di esempio mostrano in che modo Google Cloud conteggia gli attributi delle regole in base alle singole regole firewall. Per informazioni su come Google Cloud calcola il conteggio degli attributi delle regole per ogni criterio firewall, consulta Descrivere un criterio.
| Esempio di regola firewall | Conteggio attributi regola | Spiegazione |
|---|---|---|
Regola firewall di autorizzazione in entrata con intervallo di indirizzi IP di origine
10.100.0.1/32, protocollo tcp e
intervallo di porte 5000-6000.
|
3 | Un intervallo di origine, un protocollo, un intervallo di porte. |
Regola firewall di negazione del traffico in entrata con intervalli di indirizzi IP di origine
10.0.0.0/8, 192.168.0.0/16, intervallo di indirizzi IP
di destinazione 100.64.0.7/32, protocolli tcp e
udp, intervalli di porte 53-53 e
5353-5353.
|
11 | Esistono quattro combinazioni di protocollo e porta: tcp:53-53, tcp:5353-5353, udp:53-53 e udp:5353-5353. Ogni combinazione di protocollo e porta utilizza due attributi. Un attributo per i due intervalli di indirizzi IP di origine, un attributo per l'intervallo di indirizzi IP di destinazione e otto attributi per le combinazioni di protocollo e porta generano un conteggio degli attributi pari a 11. |
Regola firewall di negazione in uscita con intervallo di indirizzi IP di origine
100.64.0.7/32, intervallo di indirizzi IP di destinazione
10.100.0.1/32, 10.100.1.1/32, tcp:80,
tcp:443 e udp:4000-5000.
|
9 | Le combinazioni di protocollo e porta si espandono a tre: tcp:80-80, tcp:443-443 e udp:4000-5000. Ogni combinazione di protocollo e porta utilizza due attributi. Un attributo per l'intervallo di origine, un attributo ciascuno per i due intervalli di indirizzi IP di destinazione e sei attributi per le combinazioni di protocollo e porta producono un conteggio degli attributi pari a 9. |
Limiti
I limiti non possono essere aumentati se non diversamente specificato.
Per organizzazione
I seguenti limiti si applicano alle organizzazioni.
| Elemento | limite | Note |
|---|---|---|
| Gruppi di indirizzi globali per organizzazione | 100 | Il numero massimo di gruppi di indirizzi globali che è possibile creare per ogni organizzazione. |
| Gruppi di indirizzi regionali per organizzazione per regione | 100 | Il numero massimo di gruppi di indirizzi regionali che puoi creare per ogni organizzazione all'interno di una regione. |
| Gruppi di indirizzi dell'organizzazione | 100 | Il numero massimo di gruppi di indirizzi che puoi creare per ogni organizzazione, indipendentemente dalla località (globale o regionale). |
| Capacità massima del gruppo di indirizzi | 1000 | La capacità massima di un gruppo di indirizzi per organizzazione o progetto. |
| Numero massimo di chiavi tag sicure per organizzazione o per progetto | 1000 | Il numero massimo di chiavi tag sicure che puoi creare per organizzazione o progetto. Per ulteriori informazioni, consulta Limiti dei tag. |
| Numero massimo di valori tag sicuri per chiave per organizzazione o per progetto | 1000 | Il numero massimo di valori tag protetti che puoi aggiungere per ogni chiave in un'organizzazione o un progetto. Per ulteriori informazioni, consulta Limiti dei tag. |
| Numero massimo di coppie chiave-valore tag sicuri per risorsa per organizzazione | 50 | Il numero massimo di coppie chiave-valore tag sicuri che puoi aggiungere per risorsa in un'organizzazione o in un progetto. Per ulteriori informazioni, consulta Limiti dei tag.
Per i limiti di rete, vedi Limiti per rete. |
| Profili di sicurezza per la prevenzione delle minacce per organizzazione | 30 | Il numero massimo di profili di sicurezza di tipo Prevenzione delle minacce che è possibile creare per ogni organizzazione. |
| Gruppi di profili di sicurezza per organizzazione | 10 | Il numero massimo di gruppi di profili di sicurezza che utilizzano un profilo di sicurezza per la prevenzione delle minacce che puoi creare per ogni organizzazione. |
| Endpoint firewall per zona e organizzazione | 2 | Il numero massimo di endpoint firewall che puoi creare per zona e per organizzazione. |
Per rete
I seguenti limiti sono applicabili alle reti VPC.
| Elemento | Limite | Note |
|---|---|---|
| Numero massimo di criteri firewall di rete globale per rete | 1 | Il numero massimo di criteri firewall di rete globale che è possibile associare a una rete VPC. |
| Numero massimo di criteri firewall di rete a livello di regione per regione per rete | 1 | Il numero massimo di criteri firewall di rete a livello di regione che è possibile associare a una combinazione di rete VPC e regione. |
| Numero massimo di nomi di dominio (FQDN) per rete | 1000 | Il numero massimo totale di nomi di dominio che possono essere utilizzati nelle regole firewall provenienti dai criteri firewall gerarchici, dai criteri firewall di rete globale e dai criteri firewall di rete a livello di regione associati a una rete VPC. |
| Endpoint firewall per zona per rete | 1 | Il numero massimo di endpoint firewall che puoi assegnare per zona e rete. |
Per regola firewall
Alle regole firewall si applicano i seguenti limiti:
| Elemento | Limite | Note |
|---|---|---|
| Numero massimo di tag di rete di origine per regola firewall VPC in entrata | 30 | Applicabile solo alle regole firewall VPC in entrata: il numero massimo di tag di rete che puoi utilizzare come tag di origine nella regola firewall. Questo limite non può essere aumentato. |
| Numero massimo di tag di rete di destinazione per regola firewall VPC | 70 | Applicabile solo alle regole firewall VPC: il numero massimo di tag di rete che puoi utilizzare come tag di destinazione nella regola firewall. Questo limite non può essere aumentato. |
| Numero massimo di account di servizio di origine per regola firewall VPC in entrata | 10 | Applicabile solo alle regole firewall VPC in entrata: il numero massimo di account di servizio che puoi utilizzare come origini nella regola firewall. Questo limite non può essere aumentato. |
| Numero massimo di account di servizio di destinazione per regola firewall | 10 | Il numero massimo di account di servizio che puoi utilizzare come destinazioni in una regola o in una regola firewall VPC in un criterio firewall. Questo limite non può essere aumentato. |
| Numero massimo di intervalli di indirizzi IP di origine per regola firewall | 5000 | Il numero massimo di intervalli di indirizzi IP di origine che puoi specificare in una regola o in una regola firewall VPC in un criterio firewall. Gli intervalli di indirizzi IP sono solo IPv4 o solo IPv6. Questo limite non può essere aumentato. |
| Numero massimo di intervalli di indirizzi IP di destinazione per regola firewall | 5000 | Il numero massimo di intervalli di indirizzi IP di destinazione che puoi specificare in una regola o in una regola firewall VPC in un criterio firewall. Gli intervalli di indirizzi IP sono solo IPv4 o solo IPv6. Questo limite non può essere aumentato. |
| Numero massimo di gruppi di indirizzi di origine per regola firewall in entrata in un criterio firewall | 10 | Il numero massimo di gruppi di indirizzi di origine che puoi specificare in una regola firewall in entrata in un criterio firewall. Questo limite non può essere aumentato. |
| Numero massimo di gruppi di indirizzi di destinazione per regola firewall in un criterio firewall | 10 | Il numero massimo di gruppi di indirizzi di destinazione che puoi specificare in una regola firewall in uscita in un criterio firewall. Questo limite non può essere aumentato. |
Per endpoint firewall
I seguenti limiti si applicano agli endpoint firewall.
| Elemento | Quota predefinita | Note |
|---|---|---|
| Associazioni per endpoint firewall | 10 | Il numero massimo di reti VPC che è possibile associare a un endpoint firewall. Per superare questo limite, puoi creare endpoint firewall aggiuntivi nella stessa zona. |
Per profilo di sicurezza
Ai profili di sicurezza si applicano i limiti seguenti.
| Elemento | Quota predefinita | Note |
|---|---|---|
| Numero di override delle minacce per profilo di sicurezza | 100 | Il numero massimo di override delle minacce che puoi aggiungere in un profilo di sicurezza per la prevenzione delle minacce. |
Per interfaccia di rete VM
Alle interfacce di rete delle VM si applicano i limiti seguenti:
| Elemento | Limite | Note |
|---|---|---|
| Numero massimo di tag protetti per interfaccia VM | 10 | Il numero massimo di tag protetti che è possibile aggiungere per VM per NIC. |
Gestione delle quote
Cloud Firewall applica le quote sull'utilizzo delle risorse per vari motivi. Ad esempio, le quote proteggono la community di utenti Google Cloud da picchi di utilizzo imprevisti. Le quote sono utilizzate anche per aiutare gli utenti che esplorano Google Cloud con il Livello gratuito a restare entro i limiti previsti per la prova.
Tutti i progetti iniziano con le stesse quote, che puoi modificare richiedendo una quota aggiuntiva. Alcune quote possono aumentare automaticamente in base all'uso che fai del prodotto.
Autorizzazioni
Per visualizzare le quote o richiedere aumenti di quota, le entità Identity and Access Management (IAM) devono avere uno dei seguenti ruoli.
| Attività | Ruolo richiesto |
|---|---|
| Controllare le quote per un progetto | Il valore sarà uno dei seguenti:
|
| Modificare quote, richiedere quota aggiuntiva | Il valore sarà uno dei seguenti:
|
Verifica della quota
Console
- Nella console Google Cloud, vai alla pagina Quote.
- Per cercare la quota da aggiornare, utilizza Filtra tabella. Se non conosci il nome della quota, utilizza invece i link in questa pagina.
gcloud
Utilizzando Google Cloud CLI, esegui questo comando per verificare le quote. Sostituisci PROJECT_ID con l'ID del tuo progetto.
gcloud compute project-info describe --project PROJECT_ID
Per verificare la quota utilizzata in un'area geografica, esegui questo comando:
gcloud compute regions describe example-region
Errori quando superi la quota
Se superi una quota con un comando gcloud, gcloud restituisce un messaggio di errore quota exceeded e il codice di uscita 1.
Se superi una quota con una richiesta API, Google Cloud restituisce il seguente codice di stato HTTP: HTTP 413 Request Entity Too Large.
Richiesta di quota aggiuntiva
Per aumentare o diminuire la maggior parte delle quote, utilizza la console Google Cloud. Per ulteriori informazioni, consulta Richiedere un limite di quota più elevato.
Console
- Nella console Google Cloud, vai alla pagina Quote.
- Nella pagina Quote, seleziona le quote che vuoi modificare.
- Nella parte superiore della pagina, fai clic su Modifica quote.
- Inserisci nome, email e numero di telefono, poi fai clic su Avanti.
- Compila la tua richiesta di quota, quindi fai clic su Fine.
- Invia la richiesta. Per elaborare le richieste di quota sono necessarie dalle 24 alle 48 ore.
Disponibilità delle risorse
Ogni quota rappresenta un numero massimo per un particolare tipo di risorsa che puoi creare, se disponibile. È importante notare che le quote non garantiscono la disponibilità delle risorse. Anche se hai quota disponibile, non puoi creare una nuova risorsa se non è disponibile.
Ad esempio, potresti avere quota sufficiente per creare un nuovo indirizzo IP esterno a livello di regione
nella regione us-central1. Tuttavia, ciò non è possibile se non sono disponibili indirizzi IP esterni in quella regione. Anche la disponibilità di risorse a livello di zona potrebbe influire sulla tua possibilità di creare una nuova risorsa.
Sono rare le situazioni in cui le risorse non sono disponibili in un'intera regione. Tuttavia, di tanto in tanto le risorse all'interno di una zona possono esaurirsi, in genere senza alcun impatto sull'accordo sul livello del servizio (SLA) per il tipo di risorsa. Per ulteriori informazioni, consulta lo SLA pertinente per la risorsa.