En este documento, se enumeran las quotas y los quotas que se aplican al Cloud Next Generation Firewall. Para obtener más información sobre las cuotas, consulta Cuotas de la nube privada virtual.
Una cuota restringe cuánto de un recurso compartido de Google Cloud en particular puede usar tu proyecto de Google Cloud, incluidos los componentes de red, hardware y software. Por lo tanto, las cuotas son parte de un sistema que hace las siguientes acciones:
- Supervisa el uso o consumo de productos y servicios de Google Cloud.
- Restringe el consumo de esos recursos por motivos que incluyen garantizar la equidad y reducir los aumentos repentinos de uso.
- Mantiene los parámetros de configuración que aplican de forma automática las restricciones prescritas.
- Proporciona un medio para solicitar o hacer cambios en la cuota.
En la mayoría de los casos, cuando se excede un límite de cuota, el sistema bloquea de inmediato el acceso al recurso de Google correspondiente, y la tarea que intentas hacer falla. En la mayoría de los casos, las cuotas se aplican a cada proyecto de Google Cloud y se comparten entre todas las aplicaciones y direcciones IP que usan ese proyecto.
También hay límites en los recursos de Cloud NGFW. Estos límites no están relacionados con el sistema de cuotas. Los límites no se pueden cambiar, a menos que se indique lo contrario.
Cuotas
En esta sección se enumeran las cuotas que se aplican a Cloud Next Generation Firewall.
Puedes ver las cuotas y los límites asociados con la nube privada virtual (VPC) en la página Cuotas y límites de VPC.
Por proyecto
Las cuotas por proyecto son ajustables. Puedes solicitar un cambio para una cuota por proyecto con la consola de Google Cloud. Si quieres obtener más información para solicitar cambios de cuota, consulta Solicita cuota adicional. Si la opción de edición no está disponible para una cuota, presenta un caso de asistencia en el que se te pregunte si la cuota se puede aumentar o disminuir.
Para supervisar las cuotas por proyecto que usan Cloud Monitoring, configura la supervisión de la métrica serviceruntime.googleapis.com/quota/allocation/usage
en el tipo de recurso Consumer Quota
. Configura filtros de etiquetas adicionales (service
,
quota_metric
) para obtener el tipo de cuota. Para obtener información sobre cómo supervisar las métricas de cuota, consulta Gráfico y supervisión de métricas de cuota.
Cada cuota tiene un límite y un valor de uso.
En la siguiente tabla, se destacan cuotas globales importantes para los recursos de Cloud NGFW en cada proyecto. Para las demás cuotas, consulta la página Cuotas en la consola de Google Cloud.
Cuota | Descripción |
---|---|
Reglas de firewall de VPC | La cantidad de reglas de firewall de VPC que puedes crear para todas las redes de VPC de tu proyecto. |
Grupos de direcciones globales por proyecto | La cantidad de grupos de direcciones globales que puedes definir en un proyecto. |
Grupos de direcciones regionales por proyecto por región | La cantidad de grupos de direcciones regionales que puedes definir para un proyecto en una región. |
Políticas de firewall de red globales | La cantidad de políticas de firewall de red globales en un proyecto. |
Políticas de firewall de red regionales | La cantidad de políticas de firewall de red regionales por región en un proyecto. |
Por organización
En esta tabla, se destacan cuotas globales importantes para los recursos de Cloud NGFW de cada organización. Para solicitar una actualización de estas cuotas, presenta un caso de asistencia.
Elemento | Cuota predeterminada | Notas |
---|---|---|
Políticas de firewall jerárquicas no asociadas por organización | 50 | Existe una política de firewall jerárquica no asociada en tu organización de Google Cloud, pero no está asociada a un recurso. No hay límite en la cantidad de políticas que tu organización puede tener asociadas a recursos, aunque cada recurso puede tener solo una política asociada. |
Por política de firewall
Las siguientes cuotas se aplican a las políticas de firewall.
Cuota | Descripción |
---|---|
Políticas jerárquicas de firewall | |
Recuento de atributos de la regla por política de firewall | Esta cuota es la suma de los atributos de las reglas de todas las reglas de una política de firewall jerárquica. El límite predeterminado es 2,000. Para solicitar un aumento del límite de cuota, presenta un caso de asistencia. Para obtener más información, consulta Detalles del recuento de atributos de la regla. |
Nombres de dominio (FQDN) por política de firewall jerárquica | Esta cuota es la suma de todos los nombres de dominio de origen de todas las reglas de entrada en la política más la suma de todos los nombres de dominio de destino de todas las reglas de salida en la política. El límite predeterminado es 100. Para solicitar un aumento de la cuota, presenta un caso de asistencia. |
Políticas de firewall de red globales | |
Atributos de la regla por política de firewall de red global | La suma de los atributos de las reglas de todas las reglas de una política de firewall de red global. Para obtener más información, consulta Detalles del recuento de atributos de la regla. |
Nombres de dominio (FQDN) por política de firewall de red global | Es la cantidad de nombres de dominio que puedes incluir en todas las reglas de una política de firewall de red global. Esta cuota es la suma de todos los nombres de dominio de origen de todas las reglas de entrada en la política más la suma de todos los nombres de dominio de destino de todas las reglas de salida en la política. |
Políticas de firewall de red regionales | |
Atributos de reglas por política de firewall de red regional | La suma de los atributos de las reglas de todas las reglas de una política de firewall de red regional. Para obtener más información, consulta Detalles del recuento de atributos de la regla. |
Nombres de dominio (FQDN) por política de firewall de red regional | La cantidad de nombres de dominio (FQDN) que puedes incluir en todas las reglas de una política de firewall de red regional: esta cuota es la suma de todos los nombres de dominio de origen de todas las reglas de entrada en la política más la suma de todos los nombres de dominio de destino de todas las reglas de salida en la política. |
Detalles del recuento de atributos de la regla
Cada política de firewall admite una cantidad total máxima de atributos de reglas. La suma de los recuentos de atributos de la regla para todas las reglas de firewall en una política de firewall es el recuento de atributos de la regla para esa política de firewall.
En los siguientes reglas de ejemplo, se ilustra cómo Google Cloud cuenta los atributos de las reglas por regla de firewall. Si deseas obtener información sobre cómo Google Cloud calcula el recuento de atributos de la regla para cada política de firewall, consulta Describe una política.
Ejemplo de regla de firewall | Recuento de atributos de la regla | Explicación |
---|---|---|
Regla de firewall de permiso de entrada con un rango de direcciones IP de origen 10.100.0.1/32 , un protocolo tcp y un rango de puertos 5000-6000 .
|
3 | Un rango de origen; un protocolo, un rango de puertos. |
Regla de firewall de denegación de entrada con rangos de direcciones IP de origen 10.0.0.0/8, 192.168.0.0/16 , rango de direcciones IP de destino 100.64.0.7/32 , tcp y protocolos udp , rangos de puertos 53-53 y 5353-5353 .
|
11 | Hay cuatro combinaciones de protocolo y puerto: tcp:53-53 , tcp:5353-5353 , udp:53-53 y udp:5353-5353 . Cada combinación de protocolo y puerto usa dos atributos. Un atributo para cada uno de los dos rangos de direcciones IP de origen, un atributo para el rango de direcciones IP de destino y ocho atributos para las combinaciones de protocolo y puerto produce un recuento de atributos de 11. |
Regla de firewall de denegación de salida con el rango de direcciones IP de origen 100.64.0.7/32 , el rango de direcciones IP de destino 10.100.0.1/32, 10.100.1.1/32 , tcp:80 , tcp:443 y udp:4000-5000 .
|
9 | Las combinaciones de protocolo y puerto se expanden a tres: tcp:80-80 , tcp:443-443 y udp:4000-5000 . Cada combinación de protocolo y puerto usa dos atributos. Un atributo para el rango de origen, uno para cada uno de los dos rangos de direcciones IP de destino y seis atributos para las combinaciones de protocolo y puerto produce un recuento de atributos de 9. |
Límites
Por lo general, los límites no se pueden aumentar, a menos que esto se indique de forma específica.
Por organización
Los siguientes límites se aplican a las organizaciones.
Elemento | límite | Notas |
---|---|---|
Grupos de direcciones globales por organización | 100 | La cantidad máxima de grupos de direcciones globales que puedes crear por organización. |
Grupos de direcciones regionales por proyecto por región | 100 | La cantidad máxima de grupos de direcciones regionales que puedes crear por organización en una región. |
Grupos de direcciones de la organización | 100 | La cantidad máxima de grupos de direcciones que puedes crear por organización, sin importar la ubicación (global o regional). |
Capacidad máxima del grupo de direcciones | 1,000 | La capacidad máxima de un grupo de direcciones por organización o proyecto. |
Cantidad máxima de claves de etiquetas seguras por organización o por proyecto | 1,000 | La cantidad máxima de claves de etiqueta seguras que puedes crear por organización o proyecto. Para obtener más información, consulta Límites de etiquetas. |
Valores máximos de etiquetas seguras por clave por organización o por proyecto | 1,000 | Cantidad máxima de valores de etiqueta seguros que puedes agregar por clave en una organización o proyecto. Para obtener más información, consulta Límites de etiquetas. |
Cantidad máxima de pares clave-valor de etiquetas seguras por recurso por organización | 50 | La cantidad máxima de pares clave-valor de etiquetas seguras que puedes agregar por recurso en una organización o proyecto. Para obtener más información, consulta Límites de etiquetas.
Para conocer los límites de red, consulta Límites por red. |
Perfiles de seguridad de prevención de amenazas por organización | 40 | La cantidad máxima de perfiles de seguridad de prevención de amenazas de tipo que puedes crear por organización. |
Grupos de perfiles de seguridad por organización | 40 | La cantidad máxima de grupos de perfil de seguridad que usan un perfil de seguridad de prevención de amenazas que puedes crear por organización. |
Extremos de firewall por zona por organización | 10 | La cantidad máxima de extremos de firewall que puedes crear por zona por organización. |
Por red
Los siguientes límites se aplican a las redes de VPC.
Elemento | Límite | Notas |
---|---|---|
Cantidad máxima de políticas de firewall de red globales por red | 1 | Cantidad máxima de políticas de firewall de red globales que puedes asociar a una red de VPC. |
Cantidad máxima de políticas de firewall de red regionales por región y por red | 1 | El número máximo de las políticas de firewall de red regionales que puedes asociar con una combinación de la red de VPC y la región. |
Cantidad máxima de nombres de dominio (FQDN) por red | 1,000 | Cantidad máxima total de nombres de dominio que se pueden usar en reglas de firewall que provienen de políticas jerárquicas de firewall, políticas de firewall de red globales y políticas de firewall de red regionales asociadas con una a red de VPC. |
Extremos de firewall por zona por red | 1 | Cantidad máxima de extremos de firewall que puedes asignar por zona y por red. |
Por regla de firewall
Los siguientes límites se aplican a las reglas de firewall:
Elemento | Límite | Notas |
---|---|---|
Cantidad máxima de etiquetas seguras de origen por regla de política de firewall de entrada | 256 | Solo se aplica a la regla de política de firewall de entrada: la cantidad máxima de etiquetas seguras que puedes usar como etiquetas de origen en la regla de firewall. No se puede aumentar este límite. |
Cantidad máxima de etiquetas seguras de destino por regla de política de firewall | 256 | Solo se aplica a la regla de política de firewall: la cantidad máxima de etiquetas seguras que puedes usar como etiquetas de destino en la regla de firewall. No se puede aumentar este límite. |
Cantidad máxima de etiquetas de red de origen por regla de firewall de VPC de entrada | 30 | Solo se aplica a las reglas de firewall de VPC de entrada: la cantidad máxima de etiquetas de red que puedes usar como etiquetas de origen en la regla de firewall. No se puede aumentar este límite. |
Cantidad máxima de etiquetas de red de destino por regla de firewall de VPC | 70 | Solo se aplica a las reglas de firewall de VPC: la cantidad máxima de etiquetas de red que puedes usar como etiquetas de destino en la regla de firewall. No se puede aumentar este límite. |
Cantidad máxima de cuentas de servicio de origen por regla de firewall de VPC de entrada | 10 | Aplicable solo a las reglas de firewall de VPC de entrada: la cantidad máxima de cuentas de servicio que puedes usar como fuentes en la regla de firewall. No se puede aumentar este límite. |
Cantidad máxima de cuentas de servicio de destino por regla de firewall | 10 | Cantidad máxima de cuentas de servicio que puedes usar como destinos en una regla de firewall o una regla de firewall en una política de firewall. No se puede aumentar este límite. |
Cantidad máxima de rangos de direcciones IP de origen por regla de firewall | 5,000 | Cantidad máxima de rangos de direcciones IP de origen que puedes especificar en una regla de firewall de VPC o una regla en una política de firewall. Los rangos de direcciones IP solo pueden ser IPv4 o IPv6. No se puede aumentar este límite. |
Cantidad máxima de rangos de direcciones IP de destino por regla de firewall | 5,000 | Cantidad máxima de rangos de direcciones IP de destino que puedes especificar en una regla de firewall de VPC o una regla en una política de firewall. Los rangos de direcciones IP solo pueden ser IPv4 o IPv6. No se puede aumentar este límite. |
Cantidad máxima de grupos de direcciones de origen por regla de firewall de entrada en una política de firewall | 10 | Cantidad máxima de grupos de direcciones de origen que puedes especificar en una regla de firewall de entrada en una política de firewall. No se puede aumentar este límite. |
Cantidad máxima de grupos de direcciones de destino por regla de firewall en una política de firewall | 10 | Cantidad máxima de grupos de direcciones de destino que puedes especificar en una regla de firewall de salida en una política de firewall. Este límite no se puede aumentar. |
Cantidad máxima de nombres de dominio (FQDN) por regla de firewall en una política de firewall | 100 | La cantidad de nombres de dominio (FQDN) que puedes incluir en una regla de una política de firewall. No se puede aumentar este límite. |
Por extremo de firewall
Los siguientes límites se aplican a los extremos de firewall.
Elemento | Cuota predeterminada | Notas |
---|---|---|
Asociaciones por extremo de firewall | 50 | Cantidad máxima de redes de VPC que puedes asociar con un extremo de firewall. Puedes crear extremos de firewall adicionales en la misma zona para superar este límite. |
Por perfil de seguridad
Los siguientes límites se aplican a los perfiles de seguridad.
Elemento | Cuota predeterminada | Notas |
---|---|---|
Cantidad de anulaciones de amenazas por perfil de seguridad | 100 | La cantidad máxima de anulaciones de amenazas que puedes agregar en un perfil de seguridad de prevención de amenazas. |
Por interfaz de red de VM
Los siguientes límites se aplican a las interfaces de red de la VM:
Elemento | Límite | Notas |
---|---|---|
Cantidad máxima de etiquetas seguras por interfaz de VM | 10 | El número máximo de etiquetas seguras que puedes agregar por VM por NIC. |
Gestionar cuotas
Cloud Next Generation Firewall aplica cuotas al uso de recursos por diversos motivos. Por ejemplo, para evitar que se produzcan picos de uso imprevistos y proteger así a la comunidad de usuarios de Google Cloud. Las cuotas también ayudan a los usuarios que están explorando Google Cloud con el nivel gratuito a mantenerse dentro de su prueba.
Todos los proyectos empiezan con las mismas cuotas, que puedes cambiar si solicitas una cuota adicional. Algunas cuotas pueden aumentar automáticamente en función del uso que hagas de los productos.
Permisos
Para ver las cuotas o solicitar un aumento de ellas, los principales de Gestión de Identidades y Accesos (IAM) necesitan uno de los siguientes roles.
Tarea | Rol necesario |
---|---|
Consultar las cuotas de un proyecto | Una de las siguientes:
|
Modificar cuotas y solicitar un aumento de cuotas | Una de las siguientes:
|
Comprobar la cuota
Consola
- En la consola de Google Cloud, ve a la página Cuotas.
- Para buscar la cuota que quieras actualizar, usa la opción Filtrar tabla. Si no conoces su nombre, usa los enlaces de esta página.
gcloud
Ejecuta el comando que se indica a continuación con la CLI de Google Cloud para comprobar tus cuotas. Tienes que sustituir PROJECT_ID
por el ID de tu proyecto.
gcloud compute project-info describe --project PROJECT_ID
Para ver la cuota que has utilizado en una región, ejecuta el siguiente comando:
gcloud compute regions describe example-region
Errores al superar tu cuota
Si superas tu cuota con un comando gcloud
, gcloud
genera un mensaje de error quota exceeded
y muestra el código de salida 1
.
Si superas tu cuota con una solicitud a la API, Google Cloud muestra el siguiente código de estado HTTP: 413 Request Entity Too Large
.
Solicitar un aumento de cuota
Para aumentar o reducir la mayoría de las cuotas, usa la consola de Google Cloud. Consulta más información en la sección Solicitar un aumento de cuota.
Consola
- En la consola de Google Cloud, ve a la página Cuotas.
- En la página Cuotas, selecciona las cuotas que quieras modificar.
- En la parte superior de la página, haz clic en Editar cuotas.
- En Nombre, introduce tu nombre.
- Opcional: En Teléfono, introduce un número de teléfono.
- Envía la solicitud. Las solicitudes de cuotas tardan entre 24 y 48 horas en procesarse.
Disponibilidad de recursos
Cada cuota representa el número máximo de un tipo concreto de recurso que puedes crear, si ese recurso está disponible. Es importante tener en cuenta que las cuotas no garantizan la disponibilidad de los recursos. Aunque tengas cuota disponible, no puedes crear recursos si no lo están.
Por ejemplo, es posible que tengas cuota suficiente para crear una dirección IP externa regional
en la región us-central1
. Sin embargo, esto no es posible si no hay direcciones IP externas disponibles en esa región. La disponibilidad de recursos de zona también puede afectar a tu capacidad para crear recursos nuevos.
Es poco habitual que los recursos no estén disponibles en toda una región. Sin embargo, es posible que los recursos de una zona se agoten de vez en cuando, lo que no suele afectar al acuerdo de nivel de servicio (SLA) del tipo de recurso. Para obtener más información, revisa el acuerdo de nivel de servicio relevante para el recurso.