Cotas e limites

Neste documento, listamos as cotas e os limites que se aplicam ao firewall do Cloud Next Generation. As cotas especificam a quantidade de um recurso compartilhado e contável que pode ser usado e são definidas por serviços do Google Cloud, como o Cloud Next Generation Firewall. Os limites do sistema são valores fixos que não podem ser alterados.

O Google Cloud usa cotas para garantir a imparcialidade e reduzir picos no uso e na disponibilidade de recursos. Uma cota restringe quanto de um recurso do Google Cloud o projeto do Google Cloud pode usar. As cotas se aplicam a vários tipos de recursos, incluindo hardware, software e componentes de rede. Por exemplo, as cotas podem restringir o número de chamadas de API para um serviço, o número de balanceadores de carga usados simultaneamente pelo projeto ou o número de projetos que podem ser criados. As cotas protegem a comunidade de usuários do Google Cloud, impedindo a sobrecarga de serviços. As cotas também ajudam você a gerenciar seus próprios recursos do Google Cloud.

O sistema de cotas do Cloud faz o seguinte:

  • Monitora o consumo de produtos e serviços do Google Cloud.
  • Restringe o consumo desses recursos.
  • Fornece um meio de solicitar mudanças no valor da cota

Na maioria dos casos, quando você tenta consumir mais de um recurso do que a cota permite, o sistema bloqueia o acesso ao recurso e a tarefa que você está tentando executar falha.

As cotas geralmente se aplicam ao projeto do nível Google Cloud. O uso de um recurso em um projeto não afeta a cota disponível em outro. Em um projeto do Google Cloud, as cotas são compartilhadas entre todos os aplicativos e endereços IP.

Também há limites de sistema para os recursos do Cloud Interconnect. Não é possível alterar os limites.

Cotas

Nesta seção, listamos as cotas que se aplicam ao Cloud Next Generation Firewall.

Para monitorar cotas por projeto que usam o Cloud Monitoring, configure o monitoramento da métrica serviceruntime.googleapis.com/quota/allocation/usage no tipo de recurso Consumer Quota. Defina outros filtros de rótulo (service, quota_metric) para chegar ao tipo de cota. Para informações sobre como monitorar métricas de cota, consulte Gráfico e monitoramento de métricas de cota. Cada cota tem um limite e um valor de uso.

Salvo indicação em contrário, para alterar uma cota, consulte Solicitar um aumento de cota.

Por projeto

A tabela a seguir destaca as cotas de NGFW do Cloud que são por projeto.

Cota Descrição
Regras de firewall da VPC O número de regras de firewall da VPC que podem ser criadas em um projeto, independentemente da rede VPC em que cada regra de firewall se aplica.
Políticas globais de firewall de rede O número de políticas de firewall de rede global em um projeto, não importa quantas redes VPC são associadas a cada política.
Políticas de firewall da rede regional O número de Políticas regionais de firewall de rede em cada região de um projeto, seja qual for a quantidade de redes VPC associadas a cada política.
Grupos de endereços globais por projeto O número de grupos de endereços globais que você pode definir em um projeto.
Grupos de endereços regionais por projeto e por região O número de grupos de endereços regionais que você pode definir em cada região de um projeto.

Por organização

A tabela a seguir destaca as cotas de NGFW do Cloud que são por organização. Para alterar uma cota no nível da organização, registre uma consulta ao suporte.

Cota Descrição
Políticas de firewall hierárquicas não associadas em uma organização O número de Políticas de firewall hierárquicas em uma organização que não estão associadas a qualquer recurso de pasta ou organização. Não há limite para o número de políticas hierárquicas de firewall em uma organização que estão associadas a um recurso.

Por política de firewall

A tabela a seguir destaca as cotas de NGFW do Cloud que são por recurso de política de firewall.

Cota Descrição
Políticas de firewall hierárquicas
Atributos de regra por política hierárquica de firewall Essa cota é a soma dos atributos de todas as regras em uma política hierárquica de firewall. Saiba mais em Detalhes da contagem de atributos de regras.
Nomes de domínio (FQDNs) por política hierárquica de firewall O número de nomes de domínio que podem ser incluídos em todas as regras de uma política hierárquica de firewall. Essa cota é a soma de todos os nomes de domínio de origem de todas as regras de entrada na política mais a soma de todos os nomes de domínio de destino de todas as regras de saída na política.
Políticas globais de firewall de rede
Atributos de regra por política de firewall de rede global A soma dos atributos de todas as regras em uma política de firewall de rede global. Saiba mais em Detalhes da contagem de atributos de regras.
Nomes de domínio (FQDNs) por política de firewall de rede global O número de nomes de domínio que podem ser incluídos em todas as regras de uma política de firewall de rede global. Essa cota é a soma de todos os nomes de domínio de origem de todas as regras de entrada na política mais a soma de todos os nomes de domínio de destino de todas as regras de saída na política.
Políticas de firewall da rede regional
Atributos de regra por política de firewall de rede regional A soma dos atributos de todas as regras em uma política de firewall de rede regional. Saiba mais em Detalhes da contagem de atributos de regras.
Nomes de domínio (FQDNs) por política de firewall de rede regional O número de nomes de domínio (FQDNs) que você pode incluir em todas as regras de uma política de firewall de rede regional: essa cota é a soma de todos os nomes de domínio de origem de todas as regras de entrada na política mais a soma de todos nomes de domínio de destino de todas as regras de saída da política.

Detalhes da contagem de atributos da regra

Cada política de firewall é compatível com um número total máximo de atributos de todas as regras na política. Determinar a contagem de atributos de regra para um determinado firewall descreva a política. Para ver instruções, consulte:

A tabela a seguir lista exemplos de regras e a contagem de atributos para cada exemplo regra de firewall.

Exemplo de regra de firewall Contagem de atributos da regra Explicação
Regra de firewall de permissão de entrada com intervalo de endereços IP de origem 10.100.0.1/32, protocolo tcp e intervalo de portas 5000-6000. 3 Um intervalo de origem. um protocolo, um intervalo de portas.
Regra de firewall de negação de entrada com intervalos de endereços IP de origem 10.0.0.0/8, 192.168.0.0/16, intervalo de endereços IP de destino 100.64.0.7/32, protocolos tcp e udp, intervalos de portas 53-53 e 5353-5353. 11 Há quatro combinações de protocolo e porta: tcp:53-53, tcp:5353-5353, udp:53-53 e udp:5353-5353. Cada combinação de protocolo e porta usa dois atributos. Um atributo para os dois intervalos de endereços IP de origem, um atributo para o intervalo de endereços IP de destino e oito atributos para as combinações de protocolo e porta produz uma contagem de atributos de 11.
Regra de firewall de negação de saída com intervalo de endereços IP de origem 100.64.0.7/32, intervalo de endereços IP de destino 10.100.0.1/32, 10.100.1.1/32, tcp:80, tcp:443 e udp:4000-5000. 9 As combinações de protocolo e porta se expandem para três: tcp:80-80, tcp:443-443 e udp:4000-5000. Cada combinação de protocolo e porta usa dois atributos. Um atributo para o intervalo de origem, um atributo para os dois intervalos de endereços IP de destino e seis atributos para as combinações de protocolo e porta produzem uma contagem de atributos de nove.

Limites

Não é possível aumentar os limites a menos que especificado de outra maneira.

Por organização

Os limites a seguir se aplicam a organizações.

Item limit Observações
Grupos de endereços globais por organização 100 O número máximo de grupos de endereços globais que você pode criar por organização.
Grupos de endereços regionais por organização e região 100 O número máximo de grupos de endereços regionais que você pode criar por organização em uma região.
Grupos de endereços da organização 100 O número máximo de grupos de endereços que você pode criar por organização, independentemente do local (global ou regional).
Capacidade máxima do grupo de endereços 1.000 A capacidade máxima de um grupo de endereços por organização ou projeto.
Máximo de chaves de tag seguras por organização ou por projeto 1.000 O número máximo de chaves de tag seguras que podem ser criadas por organização ou projeto. Para mais informações, consulte Limites de tags.
Valores máximos de tags seguras por chave, por organização ou por projeto 1.000 O número máximo de valores de tag seguros que podem ser adicionados por chave em uma organização ou um projeto. Para mais informações, consulte Limites de tags.
Máximo de pares de chave-valor de tags seguras por recurso por organização 50 O número máximo de pares de chave-valor de tags seguras que podem ser adicionados por recurso em uma organização ou um projeto. Para mais informações, consulte Limites de tags.

Para ver os limites de rede, consulte Limites por rede.

Perfis de segurança da prevenção de ameaças por organização 40 O número máximo de perfis de segurança do tipo prevenção de ameaças que você pode criar por organização.
Grupos de perfis de segurança por organização 40 O número máximo de grupos de perfil de segurança que usam um perfil de segurança contra prevenção que pode ser criado por organização.
Endpoints de firewall por zona e organização 10 O número máximo de endpoints de firewall que podem ser criados por zona e organização.

Por rede

Os limites a seguir se aplicam a redes VPC.

Item Limite Observações
Política máxima de firewall de rede global por rede 1 O número máximo de políticas de firewall de rede global que podem ser associadas a uma rede VPC.
Políticas máximas de firewall de rede regional por região por rede 1 O número máximo de políticas de firewall de rede regional que podem ser associadas a uma combinação de rede VPC e região.
Número máximo de nomes de domínio (FQDNs) por rede 1.000 O número máximo total de nomes de domínio que podem ser usados em regras de firewall que vêm de políticas hierárquicas de firewall, políticas de firewall de rede global e políticas de firewall de rede regional associadas a uma rede VPC.
Endpoints de firewall por zona e rede 1 O número máximo de endpoints de firewall que podem ser atribuídos por zona e rede.

Por regra de firewall

Os limites a seguir se aplicam aos endpoints de firewall.

Item Limite Observações
Número máximo de tags seguras de origem por regra da política de firewall de entrada 256 Aplicável apenas à regra da política de firewall de entrada: o número máximo de tags seguras que podem ser usadas como tags de origem na regra de firewall. Esse limite não pode ser aumentado.
Número máximo de tags seguras de destino por regra da política de firewall 256 Aplicável apenas à regra da política de firewall: o número máximo de tags seguras que podem ser usadas como tags de destino na regra de firewall. Esse limite não pode ser aumentado.
Número máximo de tags de rede de origem por regra de firewall VPC de entrada 30 Aplicável apenas a regras de firewall VPC de entrada: o número máximo de tags de rede que podem ser usadas como tags de origem na regra de firewall. Esse limite não pode ser aumentado.
Número máximo de tags de rede de destino por regra de firewall da VPC 70 Aplicável apenas a regras de firewall da VPC: o número máximo de tags de rede que podem ser usadas como tags de destino na regra de firewall. Esse limite não pode ser aumentado.
Número máximo de contas de serviço de origem por regra de firewall da VPC de entrada 10 Aplicável apenas a regras de firewall da VPC de entrada: o número máximo de contas de serviço que podem ser usadas como origens na regra de firewall. Esse limite não pode ser aumentado.
Número máximo de contas de serviço de destino por regra de firewall 10 O número máximo de contas de serviço que podem ser usadas como destinos em uma regra de firewall de VPC ou regre em uma política de firewall. Esse limite não pode ser aumentado.
Número máximo de intervalos de endereços IP de origem por regra de firewall 5.000 O número máximo de intervalos de endereços IP de origem que pode ser especificado em uma regra de firewall da VPC ou em uma política de firewall. Os intervalos de endereços IP são somente IPv4 ou somente IPv6. Esse limite não pode ser aumentado.
Número máximo de intervalos de endereços IP de destino por regra de firewall 5.000 O número máximo de intervalos de endereços IP de destino que pode ser especificado em uma regra de firewall de VPC ou em uma política de firewall. Os intervalos de endereços IP são somente IPv4 ou somente IPv6. Esse limite não pode ser aumentado.
Número máximo de grupos de endereços de origem por regra de firewall de entrada em uma política de firewall 10 O número máximo de grupos de endereços de origem que pode ser especificado em uma regra de firewall de entrada em uma política de firewall. Esse limite não pode ser aumentado.
Número máximo de grupos de endereços de destino por regra de firewall em uma política de firewall 10 O número máximo de grupos de endereços de destino que é possível especificar em uma regra de firewall de saída em uma política de firewall. Não é possível aumentar esse limite.
Número máximo de nomes de domínio (FQDNs) por regra de firewall em uma política de firewall 100 O número de nomes de domínio (FQDNs) que é possível incluir na regra de uma política de firewall. Esse limite não pode ser aumentado.

Por endpoint de firewall

Os limites a seguir se aplicam aos endpoints de firewall.

Item Limite Observações
Associações por endpoint de firewall 50 O número máximo de redes VPC que podem ser associadas a um endpoint de firewall. Você pode criar outros endpoints de firewall na mesma zona para superar esse limite.

Por perfil de segurança

Os limites a seguir se aplicam aos perfis de segurança.

Item Limite Observações
Número de modificações de ameaças por perfil de segurança 100 O número máximo de modificações de ameaças que podem ser adicionadas a um perfil de segurança contra prevenção de ameaças.

Interface de rede por VM

Os limites a seguir se aplicam às interfaces de rede da VM:

Item Limite Observações
Máximo de tags seguras por interface de VM 10 O número máximo de tags seguras que podem ser adicionadas por VM por NIC.

Gerenciar cotas

OCloud Next Generation Firewall aplica cotas no uso de recursos por vários motivos. Por exemplo, as cotas protegem a comunidade de usuários Google Cloud , impedindo picos de uso inesperados. As cotas também ajudam os usuários que estão explorando o Google Cloud com o nível gratuito a permanecer na avaliação.

Todos os projetos começam com as mesmas cotas, que podem ser alteradas com uma solicitação de cota extra. Algumas cotas podem aumentar automaticamente dependendo do uso de um produto.

Permissões

Para ver cotas ou solicitar aumentos de cotas, os membros do gerenciamento de identidade e acesso (IAM, na sigla em inglês) precisam ter um dos papéis a seguir:

Tarefa Papel necessário
Verificar cotas para um projeto Uma das seguintes opções:
Modificar cotas, solicitar cota extra Uma das seguintes opções:

Verificar sua cota

Console

  1. No Console do Google Cloud, acesse a página Cotas.

    Acessar "Cotas"

  2. Para pesquisar a cota a ser atualizada, use a tabela de filtros. Se você não souber o nome da cota, use os links desta página.

gcloud

Com a Google Cloud CLI, execute o comando a seguir para verificar suas cotas. Substitua PROJECT_ID pelo seu código do projeto:

    gcloud compute project-info describe --project PROJECT_ID

Para verificar a cota utilizada em uma região, execute o comando a seguir:

    gcloud compute regions describe example-region
    

Erros ao exceder a cota

Se você exceder uma cota com um comando gcloud, o gcloud emitirá uma mensagem de erro quota exceeded e retornará com o código de saída 1.

Se você exceder uma cota com uma solicitação de API, o Google Cloud retornará o seguinte código de status HTTP: 413 Request Entity Too Large.

Solicitar cota adicional

Para ajustar a maioria das cotas, use o console do Google Cloud. Para mais informações, consulte Solicitar uma cota maior.

Console

  1. No Console do Google Cloud, acesse a página Cotas.

    Acessar "Cotas"

  2. Na página Cotas, selecione as que você quer alterar.
  3. Na parte superior da página, clique em Editar cotas.
  4. Em Nome, digite seu nome.
  5. Opcional: em Telefone, digite um número de telefone.
  6. Envie a solicitação. As solicitações de cota demoram de 24 a 48 horas para serem processadas.

Disponibilidade de recursos

Cada cota representa um número máximo para um tipo específico de recurso que é possível criar, desde que o recurso esteja disponível. É importante observar que as cotas não garantem a disponibilidade de recursos. Mesmo que você tenha cota disponível, não será possível criar um novo recurso se ele não estiver disponível.

Por exemplo, é possível ter cota suficiente para criar um novo endereço IP externo regional na região us-central1. No entanto, isso não é possível se não houver endereços IP externos disponíveis naquela região. A disponibilidade de recursos zonais também pode afetar sua capacidade de criar um novo recurso.

São raras as situações em que os recursos não estão disponíveis em uma região inteira. No entanto, os recursos dentro de uma zona podem ser usados periodicamente, normalmente sem impacto no contrato de nível de serviço (SLA) para o tipo de recurso. Para mais informações, leia o SLA relevante do recurso.