Quote e limiti

Questo documento elenca le quote e i limiti di sistema che si applicano a Google Cloud Armor.

  • Le quote specificano la quantità di una risorsa condivisa e conteggiabile che puoi utilizzare. Le quote sono definite dai servizi Google Cloud, come Google Cloud Armor.
  • I limiti di sistema sono valori fissi che non possono essere modificati.

Google Cloud utilizza le quote per contribuire a garantire l'equità e ridurre gli picchi di utilizzo e disponibilità delle risorse. Una quota limita la quantità di una risorsa Google Cloud che può essere utilizzata nel progetto Google Cloud. Le quote si applicano a una serie di tipi di risorse, inclusi hardware, software e componenti di rete. Ad esempio, le quote possono limitare il numero di chiamate API a un servizio, il numero di bilanciatori del carico utilizzati contemporaneamente dal tuo progetto o il numero di progetti che puoi creare. Le quote proteggono la community degli utenti di Google Cloud impedendo il sovraccarico dei servizi. Le quote ti aiutano anche a gestire le tue risorse Google Cloud.

Il sistema delle quote di Cloud esegue le seguenti operazioni:

  • Monitora il tuo consumo di prodotti e servizi Google Cloud
  • Limita il consumo di queste risorse
  • Fornisce un modo per richiedere modifiche al valore della quota

Nella maggior parte dei casi, quando provi a utilizzare una risorsa per un volume maggiore di quello consentito dalla quota, il sistema blocca l'accesso alla risorsa e l'attività che stai tentando di eseguire non va a buon fine.

In genere, le quote si applicano a livello di progetto Google Cloud. L'utilizzo di una risorsa in un progetto non influisce sulla quota disponibile in un altro progetto. All'interno di un progetto Google Cloud, le quote sono condivise tra tutte le applicazioni e gli indirizzi IP.

Esistono anche limiti di sistema per le risorse Google Cloud Armor. I limiti di sistema non possono essere modificati.

Quote

Le quote delle risorse di Google Cloud Armor sono organizzate in base a due criteri:

  • L'ambito della quota:
    • globale
    • regionale
  • Il tipo di criterio di sicurezza di Google Cloud Armor:
    • criterio di sicurezza del backend
    • criterio di sicurezza perimetrale
    • criterio di sicurezza perimetrale della rete

Criteri di sicurezza globali del backend e criteri di sicurezza globali perimetrali

Google Cloud Armor utilizza le seguenti quote per progetto per i criteri di sicurezza perimetrali globali, i criteri di sicurezza del backend globale e le relative regole:

Risorsa Quota Descrizione
Criteri di sicurezza globali per progetto Quota

Il limite per questa quota definisce il numero massimo di criteri di sicurezza di edge e di sicurezza di backend globali in un progetto.

Nome quota: SECURITY_POLICIES

Metriche disponibili:

  • compute.googleapis.com/quota/security_policies/limit
  • compute.googleapis.com/quota/security_policies/usage
  • compute.googleapis.com/quota/security_policies/exceeded
Regole dei criteri di sicurezza globali per progetto Quota

Il limite per questa quota definisce il numero totale massimo di regole sia nei criteri di sicurezza perimetrali globali sia nei criteri di sicurezza di backend globali in un progetto. L'utilizzo per questa quota conteggia quanto segue:

  • Regole di base nei criteri di sicurezza perimetrale globali
  • Regole di base nei criteri di sicurezza del backend globali
  • Regole con condizioni di corrispondenza avanzate nei criteri di sicurezza perimetrale globali
  • Regole con condizioni di corrispondenza avanzate nei criteri di sicurezza del backend globali

Nome quota: SECURITY_POLICY_RULES

Metriche disponibili:

  • compute.googleapis.com/quota/security_policy_rules/limit
  • compute.googleapis.com/quota/security_policy_rules/usage
  • compute.googleapis.com/quota/security_policy_rules/exceeded
Regole dei criteri di sicurezza globali con condizioni di corrispondenza avanzata per progetto Quota

Il limite per questa quota definisce il numero totale massimo di regole con condizioni di corrispondenza avanzate sia nei criteri di sicurezza di edge globali sia nei criteri di sicurezza di backend globali, insieme, in un progetto. L'utilizzo per questa quota conteggia quanto segue:

  • Regole con condizioni di corrispondenza avanzate nei criteri di sicurezza perimetrale globali
  • Regole con condizioni di corrispondenza avanzate nei criteri di sicurezza del backend globali

Nome quota: SECURITY_POLICY_CEVAL_RULES

Metriche disponibili:

  • compute.googleapis.com/quota/security_policy_ceval_rules/limit
  • compute.googleapis.com/quota/security_policy_ceval_rules/usage
  • compute.googleapis.com/quota/security_policy_ceval_rules/exceeded

Quote per criterio di sicurezza globale per le regole con condizioni di corrispondenza avanzata

Google Cloud Armor utilizza le seguenti quote per criterio di sicurezza per le regole con condizioni di corrispondenza avanzate nei criteri di sicurezza perimetrale e di sicurezza di backend globali:

Risorsa Quota Descrizione
Regole con condizioni di corrispondenza avanzata per criterio di sicurezza perimetrale globale Quota

Il limite per questa quota definisce il numero massimo di regole con condizioni di corrispondenza avanzate in un criterio di sicurezza perimetrale globale specifico.

Nome quota: SECURITY_POLICY_ADVANCED_RULES_PER_EDGE_SECURITY_POLICY

Metriche disponibili:

  • compute.googleapis.com/quota/advanced_rules_per_edge_security_policy/limit
  • compute.googleapis.com/quota/advanced_rules_per_edge_security_policy/usage
  • compute.googleapis.com/quota/advanced_rules_per_edge_security_policy/exceeded
Regole con condizioni di corrispondenza avanzata per criterio di sicurezza del backend globale Quota

Il limite per questa quota definisce il numero massimo di regole con condizioni di corrispondenza avanzate in un criterio di sicurezza di backend globale specifico.

Nome quota: SECURITY_POLICY_ADVANCED_RULES_PER_SECURITY_POLICY

Metriche disponibili:

  • compute.googleapis.com/quota/advanced_rules_per_security_policy/limit
  • compute.googleapis.com/quota/advanced_rules_per_security_policy/usage
  • compute.googleapis.com/quota/advanced_rules_per_security_policy/exceeded

Riepilogo delle quote conteggiate per le regole nei criteri di sicurezza globali

La tabella seguente mostra le quote conteggiate per le regole di base e le regole con condizioni di corrispondenza avanzate nei criteri di sicurezza globali:

Regola Utilizzo conteggiato in queste quote
Regola di base in un criterio di sicurezza perimetrale globale
  • Regole dei criteri di sicurezza globali per progetto (SECURITY_POLICY_RULES)
Regola di base in un criterio di sicurezza del backend globale
  • Regole dei criteri di sicurezza globali per progetto (SECURITY_POLICY_RULES)
Regola con condizioni di corrispondenza avanzate in un criterio di sicurezza perimetrale globale
  • Regole dei criteri di sicurezza globali per progetto (SECURITY_POLICY_RULES)
  • Regole dei criteri di sicurezza globali con condizioni di corrispondenza avanzata per progetto (SECURITY_POLICY_CEVAL_RULES)
  • Regole con condizioni di corrispondenza avanzate per criterio di sicurezza edge globale (SECURITY_POLICY_ADVANCED_RULES_PER_EDGE_SECURITY_POLICY)
Regola con condizioni di corrispondenza avanzate in un criterio di sicurezza del backend globale
  • Regole dei criteri di sicurezza globali per progetto (SECURITY_POLICY_RULES)
  • Regole dei criteri di sicurezza globali con condizioni di corrispondenza avanzata per progetto (SECURITY_POLICY_CEVAL_RULES)
  • Regole con condizioni di corrispondenza avanzate per criterio di sicurezza del backend globale (SECURITY_POLICY_ADVANCED_RULES_PER_SECURITY_POLICY)

Criteri di sicurezza del backend regionali

Google Cloud Armor utilizza le seguenti quote per regione e per progetto per i criteri e le regole di sicurezza del backend regionale:

Risorsa Quota Descrizione
Criteri di sicurezza del backend regionale per regione e per progetto Quota

Il limite per questa quota definisce il numero massimo di criteri di sicurezza di backend regionali in una regione di un progetto.

Nome quota: SECURITY_POLICIES_PER_REGION

Metriche disponibili:

  • compute.googleapis.com/quota/regional_security_policies/limit
  • compute.googleapis.com/quota/regional_security_policies/usage
  • compute.googleapis.com/quota/regional_security_policies/exceeded
Regole dei criteri di sicurezza di backend regionali per regione e per progetto Quota

Il limite per questa quota definisce il numero totale massimo di regole nei criteri di sicurezza di backend regionali in una regione di un progetto. L'utilizzo per questa quota conteggia sia le regole di base sia le regole con condizioni di corrispondenza avanzate.

Nome quota: SECURITY_POLICY_RULES_PER_REGION

Metriche disponibili:

  • compute.googleapis.com/quota/regional_security_policy_rules/limit
  • compute.googleapis.com/quota/regional_security_policy_rules/usage
  • compute.googleapis.com/quota/regional_security_policy_rules/exceeded
Regole del criterio di sicurezza di backend regionale con condizioni di corrispondenza avanzate per regione, per progetto Quota

Il limite per questa quota definisce il numero totale massimo di regole con condizioni di corrispondenza avanzata nei criteri di sicurezza di backend regionali in una regione di un progetto. L'utilizzo per questa quota viene conteggiato solo per le regole con condizioni di corrispondenza avanzate.

Nome quota: SECURITY_POLICY_ADVANCED_RULES_PER_REGION

Metriche disponibili:

  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/limit
  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/usage
  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/exceeded

Quote per criterio di sicurezza del backend a livello di regione per le regole con condizioni di corrispondenza avanzata

Google Cloud Armor utilizza le seguenti quote per criterio di sicurezza per le regole con condizioni di corrispondenza avanzate nei criteri di sicurezza del backend regionale:

Risorsa Quota Descrizione
Regole con condizioni di corrispondenza avanzata per criterio di sicurezza del backend regionale Quota

Il limite per questa quota definisce il numero massimo di regole avanzate in un criterio di sicurezza di backend regionale specifico.

Nome quota: SECURITY_POLICY_ADVANCED_RULES_PER_REGIONAL_SECURITY_POLICY

Metriche disponibili:

  • compute.googleapis.com/quota/advanced_rules_per_regional_security_policy/limit
  • compute.googleapis.com/quota/advanced_rules_per_regional_security_policy/usage
  • compute.googleapis.com/quota/advanced_rules_per_regional_security_policy/exceeded

Riepilogo delle quote conteggiate per le regole nei criteri di sicurezza di backend regionali

La tabella seguente mostra le quote conteggiate per le regole di base e le regole con condizioni di corrispondenza avanzate nei criteri di sicurezza di backend regionali:

Regola Utilizzo conteggiato in queste quote
Regola di base in un criterio di sicurezza del backend regionale
  • Regole dei criteri di sicurezza del backend regionale per regione e per progetto (SECURITY_POLICY_RULES_PER_REGION)
Regola con condizioni di corrispondenza avanzate in un criterio di sicurezza del backend regionale
  • Regole dei criteri di sicurezza del backend regionale per regione e per progetto (SECURITY_POLICY_RULES_PER_REGION)
  • Regole del criterio di sicurezza di backend regionale con condizioni di corrispondenza avanzata per regione e per progetto (SECURITY_POLICY_ADVANCED_RULES_PER_REGION )
  • Regole con condizioni di corrispondenza avanzate per criterio di sicurezza del backend regionale (SECURITY_POLICY_ADVANCED_RULES_PER_REGIONAL_SECURITY_POLICY)

Criteri di sicurezza perimetrale della rete a livello di regione

Google Cloud Armor utilizza le seguenti quote per regione e per progetto per i criteri e le regole di sicurezza perimetrale della rete a livello di regione:

Risorsa Quota Descrizione
Criteri di sicurezza perimetrale della rete regionali per regione e per progetto Quota

Il limite per questa quota definisce il numero massimo di criteri di sicurezza per i bordi di rete regionali in ogni regione di un progetto.

Nome quota: NET_LB_SECURITY_POLICIES_PER_REGION

Metriche disponibili:

  • compute.googleapis.com/quota/regional_net_lb_security_policies/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policies/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policies/exceeded
Regole dei criteri di sicurezza perimetrale della rete a livello di regione per progetto Quota

Il limite per questa quota definisce il numero totale massimo di regole per i criteri di sicurezza di edge di rete regionali in ogni regione di un progetto.

Nome quota: NET_LB_SECURITY_POLICY_RULES_PER_REGION

Metriche disponibili:

  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/exceeded
Valori di corrispondenza delle regole del criterio di sicurezza perimetrale della rete a livello di regione, per progetto Quota

Il limite per questa quota definisce il numero totale massimo di attributi nelle regole dei criteri di sicurezza di edge di rete regionali in ogni regione di un progetto. L'utilizzo di questa quota è la somma degli attributi SecurityPolicy.NetworkMatch in ogni regola di ogni criterio di sicurezza dell'edge di rete in una regione di un progetto.

Nome quota: NET_LB_SECURITY_POLICY_RULE_ATTRIBUTES_PER_REGION

Metriche disponibili:

  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/exceeded

Gruppi di indirizzi

I gruppi di indirizzi di Google Cloud Armor utilizzano le seguenti quote:

Risorsa Quota Descrizione
Capacità cumulativa dell'intervallo di indirizzi IP per organizzazione Quota

Questo limite della quota definisce la capacità massima, cumulativa, utilizzata in tutti i gruppi di indirizzi di un'organizzazione.

Ogni intervallo di indirizzi IPv4 aumenta l'utilizzo di questa quota di 1. Ogni intervallo di indirizzi IPv6 aumenta l'utilizzo di questa quota di tre volte.

Ad esempio, un limite di quota di 50.000 supporta diverse combinazioni di intervalli IPv4e IPv6, tra cui:

  • 50.000 intervalli IPv4 e zero intervalli IPv6
  • Zero intervalli IPv4 e 16.666 intervalli IPv6
  • 40.000 intervalli IPv4 e 3.333 intervalli IPv6
Capacità cumulativa dell'intervallo di indirizzi IP per progetto Quota

Questo limite della quota definisce la capacità massima, cumulativa, utilizzata in tutti i gruppi di indirizzi di un progetto.

Ogni intervallo di indirizzi IPv4 aumenta l'utilizzo di questa quota di 1. Ogni intervallo di indirizzi IPv6 aumenta l'utilizzo di questa quota di tre volte. Consulta la riga precedente per esempi di utilizzo.

Oltre alle quote di Google Cloud Armor, i prodotti che utilizzano Google Cloud Armor hanno quote proprie. Ad esempio, consulta Quote e limiti di Cloud Load Balancing.

Google Cloud applica le quote sull'utilizzo delle risorse per diversi motivi. Ad esempio, le quote proteggono la community di utenti di Google Cloud da picchi di utilizzo imprevisti. Google Cloud offre inoltre quote per la prova gratuita che forniscono un accesso limitato per progetti che stanno provando gratuitamente Google Cloud.

Non tutti i progetti hanno le stesse quote. Man mano che il tuo utilizzo di Google Cloud aumenta nel tempo, le tue quote potrebbero aumentare di conseguenza. Se prevedi un aumento imminente e consistente dell'utilizzo, puoi richiedere un adeguamento della quota in modo proattivo nella pagina Quote della console Google Cloud.

Per richiedere quote aggiuntive, devi disporre dell'autorizzazione serviceusage.quotas.update, che è già inclusa per impostazione predefinita per i seguenti ruoli predefiniti: Proprietario, Editor e Amministratore quota. Pianifica e richiedi risorse aggiuntive con almeno una settimana di anticipo affinché ci sia abbastanza tempo per rispondere alla tua richiesta. Per richiedere una quota aggiuntiva, consulta la sezione relativa alla richiesta di quota aggiuntiva.

Limiti

Di seguito sono riportati i limiti di Google Cloud Armor:

Elemento Limiti
Numero di indirizzi IP o intervalli di indirizzi IP per regola 10
Numero di sottoespressioni per ogni regola con un'espressione personalizzata 5
Numero di caratteri per ogni sottoespressione in un'espressione personalizzata 1024
Numero di caratteri in un'espressione personalizzata 2048

Numero di richieste al secondo per progetto in tutti i backend con un criterio di sicurezza Google Cloud Armor

Questo limite non viene applicato. Google si riserva il diritto di limitare il volume di traffico che può essere elaborato da tutti i criteri di sicurezza in base al singolo progetto. Indirizza le richieste di aumento del QPS al team dedicato al tuo account.

20.000
Numero di servizi di sicurezza perimetrale della rete per regione per progetto 1

Gruppi di indirizzi

I gruppi di indirizzi di Google Cloud Armor hanno i seguenti limiti:

Versione del protocollo internet Capacità massima di un singolo gruppo di indirizzi Indirizzi massimi modificati da un comando API (ad esempio add-items)
IPv4 150.000 intervalli di indirizzi IP IPv4 50.000 intervalli di indirizzi IP IPv4
IPv6 50.000 intervalli di indirizzi IP IPv6 20.000 intervalli di indirizzi IP IPv6

Gestisci quote

Google Cloud Armor applica le quote sull'utilizzo delle risorse per vari motivi. Ad esempio, le quote proteggono la community di utenti di Google Cloud da picchi di utilizzo imprevisti. Le quote sono utilizzate anche per aiutare gli utenti che esplorano Google Cloud con il Livello gratuito a restare entro i limiti previsti per la prova.

Tutti i progetti iniziano con le stesse quote, che puoi modificare richiedendo quota aggiuntiva. Alcune quote potrebbero aumentare automaticamente in base all'uso che fai del prodotto.

Autorizzazioni

Per visualizzare le quote o richiedere aumenti di quota, i principali di Identity and Access Management (IAM) devono disporre di uno dei seguenti ruoli.

Attività Ruolo richiesto
Controllare le quote per un progetto Uno dei seguenti:
Modificare quote, richiedere quota aggiuntiva Uno dei seguenti:
  • Proprietario del progetto (roles/owner)
  • Editor del progetto (roles/editor)
  • Amministratore quota (roles/servicemanagement.quotaAdmin)
  • Un ruolo personalizzato con l'autorizzazione serviceusage.quotas.update

Controlla la quota

Console

  1. Nella console Google Cloud, vai alla pagina Quote.

    Vai a Quote

  2. Per cercare la quota da aggiornare, utilizza Filtra tabella. Se non conosci il nome della quota, utilizza invece i link in questa pagina.

gcloud

Con Google Cloud CLI, esegui il comando seguente per verificare le quote. Sostituisci PROJECT_ID con l'ID del tuo progetto.

    gcloud compute project-info describe --project PROJECT_ID

Per verificare la quota utilizzata in un'area geografica, esegui questo comando:

    gcloud compute regions describe example-region
    

Errori quando superi la quota

Se superi una quota con un comando gcloud, gcloud restituisce un messaggio di errore quota exceeded e il codice di uscita 1.

Se superi una quota con una richiesta API, Google Cloud restituisce il seguente codice di stato HTTP: 413 Request Entity Too Large.

Richiedi quota aggiuntiva

Per modificare la maggior parte delle quote, utilizza la console Google Cloud. Per ulteriori informazioni, consulta Richiedere un aggiustamento della quota.

Console

  1. Nella console Google Cloud, vai alla pagina Quote.

    Vai a Quote

  2. Nella pagina Quote, seleziona le quote che vuoi modificare.
  3. Nella parte superiore della pagina, fai clic su Modifica quote.
  4. In Nome, inserisci il tuo nome.
  5. (Facoltativo) Per Telefono, inserisci un numero di telefono.
  6. Invia la richiesta. Per elaborare le richieste di quota sono necessarie dalle 24 alle 48 ore.

Disponibilità delle risorse

Ciascuna quota rappresenta un numero massimo per un determinato tipo di risorsa che puoi creare, se la risorsa è disponibile. È importante notare che le quote non garantiscono la disponibilità delle risorse. Anche se hai quota disponibile, non puoi creare una nuova risorsa se non è disponibile.

Ad esempio, potresti avere quota sufficiente per creare un nuovo indirizzo IP esterno a livello di regione nella regione us-central1. Tuttavia, ciò non è possibile se non sono disponibili indirizzi IP esterni in quella regione. Anche la disponibilità di risorse a livello di zona potrebbe influire sulla tua possibilità di creare una nuova risorsa.

Situazioni in cui le risorse non sono disponibili in un'intera area geografica sono rare. Tuttavia, le risorse all'interno di una zona possono esaurirsi di tanto in tanto, generalmente senza impatto sull'accordo sul livello del servizio (SLA) per il tipo di risorsa. Per ulteriori informazioni, consulta lo SLA pertinente per la risorsa.