En este documento se indican las cuotas y los límites del sistema que se aplican a Cloud Next Generation Firewall.
- Las cuotas especifican la cantidad de un recurso compartido y contable que puedes usar. Las cuotas se definen por Google Cloud servicios como Cloud Next Generation Firewall.
- Los límites del sistema son valores fijos que no se pueden cambiar.
Google Cloud usa cuotas para garantizar la equidad y reducir los picos en el uso y la disponibilidad de los recursos. Una cuota restringe la cantidad de unGoogle Cloud recurso que puede usar tu Google Cloud proyecto. Las cuotas se aplican a una serie de tipos de recursos, incluidos los componentes de hardware, software y red. Por ejemplo, las cuotas pueden restringir el número de llamadas a una API enviadas a un servicio, el número de balanceadores de carga que usa tu proyecto de forma simultánea o el número de proyectos que puedes crear. Las cuotas protegen a la comunidad de usuarios deGoogle Cloud al evitar que se sobrecarguen los servicios. Las cuotas también te ayudan a gestionar tus propios Google Cloud recursos.
El sistema de cuotas de Cloud hace lo siguiente:
- Monitoriza tu consumo de Google Cloud productos y servicios
- Restringe el consumo de esos recursos
- Proporciona una forma de solicitar cambios en el valor de la cuota y automatizar los ajustes de la cuota.
En la mayoría de los casos, cuando intentas consumir más recursos de los que permite la cuota, el sistema bloquea el acceso al recurso y la tarea que intentas realizar falla.
Las cuotas se aplican generalmente a nivel de Google Cloud proyecto. El uso que hagas de un recurso en un proyecto no afectará a la cuota disponible en otro proyecto. En un Google Cloud proyecto, las cuotas se comparten entre todas las aplicaciones y direcciones IP.
Para obtener más información, consulta la descripción general de las cuotas de Cloud.También hay límites del sistema en los recursos de Cloud NGFW. Los límites del sistema no se pueden cambiar.
Cuotas
En esta sección se indican las cuotas que se aplican a Cloud Next Generation Firewall.
Para monitorizar las cuotas por proyecto que usan Cloud Monitoring, configura la monitorización de la métrica serviceruntime.googleapis.com/quota/allocation/usage en el tipo de recurso Consumer Quota. Aplica filtros de etiquetas adicionales (service y quota_metric) para acceder al tipo de cuota. Para obtener información sobre cómo monitorizar las métricas de cuota, consulta Crear gráficos y monitorizar métricas de cuota.
Cada cuota tiene un límite y un valor de uso.
A menos que se indique lo contrario, para cambiar una cuota, consulta Solicitar un ajuste de cuota.
Por proyecto
En la siguiente tabla se destacan las cuotas de Cloud NGFW por proyecto:
| Cuota | Descripción |
|---|---|
| Reglas de cortafuegos de VPC | El número de reglas de cortafuegos de VPC que puedes crear en un proyecto, independientemente de la red de VPC a la que se aplique cada regla de cortafuegos. |
| Políticas de cortafuegos de red mundial | El número de políticas de cortafuegos de red globales de un proyecto, independientemente del número de redes de VPC asociadas a cada política. |
| Políticas de cortafuegos de red regionales | El número de políticas de cortafuegos de red regionales en cada región de un proyecto, independientemente del número de redes de VPC asociadas a cada política. |
| Grupos de direcciones globales por proyecto | Número de grupos de direcciones globales con ámbito de proyecto que puedes definir en un proyecto. |
| Grupos de direcciones regionales por proyecto y región | El número de grupos de direcciones regionales de ámbito de proyecto que puedes definir en cada región de un proyecto. |
Por organización
En la siguiente tabla se destacan las cuotas de Cloud NGFW que son por organización. Para cambiar una cuota a nivel de organización, abre una incidencia de asistencia.
| Cuota | Descripción |
|---|---|
| Políticas de cortafuegos jerárquicas no asociadas en una organización | Número de políticas de cortafuegos jerárquicas de una organización que no están asociadas a ningún recurso de carpeta u organización. No hay límite en el número de políticas de cortafuegos jerárquicas de una organización que se pueden asociar a un recurso. |
| Grupos de direcciones globales por organización | Número de grupos de direcciones globales y de ámbito de organización que puedes definir en una organización. |
| Grupos de direcciones regionales por organización y región | El número de grupos de direcciones regionales con ámbito de organización que puedes definir en cada región de una organización. |
Por política de cortafuegos
En la siguiente tabla se destacan las cuotas de Cloud NGFW por recurso de política de cortafuegos:
| Cuota | Descripción |
|---|---|
| Políticas de cortafuegos jerárquicas | |
| Atributos de reglas por política de cortafuegos jerárquica | Esta cuota es la suma de los atributos de regla de todas las reglas de una política de cortafuegos jerárquica. Para obtener más información, consulta los detalles del recuento de atributos de la regla. |
| Nombres de dominio (FQDN) por política de cortafuegos jerárquica | El número de nombres de dominio que puedes incluir en todas las reglas de una política de cortafuegos jerárquica. Esta cuota es la suma de todos los nombres de dominio de origen de todas las reglas de entrada de la política, más la suma de todos los nombres de dominio de destino de todas las reglas de salida de la política. |
| Políticas de cortafuegos de red mundial | |
| Atributos de las reglas por política de cortafuegos de red global | La suma de los atributos de regla de todas las reglas de una política de cortafuegos de red global. Para obtener más información, consulta los detalles del recuento de atributos de la regla. |
| Nombres de dominio (FQDNs) por política de cortafuegos de red global | El número de nombres de dominio que puedes incluir en todas las reglas de una política de cortafuegos de red global. Esta cuota es la suma de todos los nombres de dominio de origen de todas las reglas de entrada de la política, más la suma de todos los nombres de dominio de destino de todas las reglas de salida de la política. |
| Políticas de cortafuegos de red regionales | |
| Atributos de las reglas por política de cortafuegos de red regional | La suma de los atributos de regla de todas las reglas de una política de cortafuegos de red regional. Para obtener más información, consulta los detalles del recuento de atributos de la regla. |
| Nombres de dominio (FQDN) por política de cortafuegos de red regional | Número de nombres de dominio (FQDNs) que puedes incluir en todas las reglas de una política de cortafuegos de red regional: esta cuota es la suma de todos los nombres de dominio de origen de todas las reglas de entrada de la política más la suma de todos los nombres de dominio de destino de todas las reglas de salida de la política. |
Detalles del recuento de atributos de reglas
Cada política de cortafuegos admite un número total máximo de atributos de todas las reglas de la política. Para determinar el número de atributos de regla de una política de cortafuegos determinada, describe la política. Para obtener instrucciones, consulta lo siguiente:
- Describe una política en la documentación de políticas de cortafuegos jerárquicas.
- Describe una política de cortafuegos de red global
- Describir una política de cortafuegos de red regional
En la siguiente tabla se muestran ejemplos de reglas y el número de atributos de cada una.
| Regla de cortafuegos de ejemplo | Número de atributos de regla | Explicación |
|---|---|---|
Regla de cortafuegos de entrada con intervalo de direcciones IP de origen 10.100.0.1/32, protocolo tcp e intervalo de puertos 5000-6000.
|
3 | Un intervalo de origen, un protocolo y un intervalo de puertos. |
Regla de cortafuegos de denegación de entrada con intervalos de direcciones IP de origen 10.0.0.0/8, 192.168.0.0/16, intervalos de direcciones IP de destino 100.64.0.7/32, tcp y protocolos udp, intervalos de puertos 53-53 y 5353-5353.
|
11 | Hay cuatro combinaciones de protocolo y puerto: tcp:53-53, tcp:5353-5353, udp:53-53 y udp:5353-5353. Cada combinación de protocolo y puerto usa dos atributos. Se contabilizan 11 atributos: uno por cada uno de los dos intervalos de direcciones IP de origen, uno por el intervalo de direcciones IP de destino y ocho por las combinaciones de protocolo y puerto. |
Regla de cortafuegos de denegación de salida con intervalo de direcciones IP de origen 100.64.0.7/32, intervalo de direcciones IP de destino 10.100.0.1/32, 10.100.1.1/32, tcp:80, tcp:443 y udp:4000-5000.
|
9 | Las combinaciones de protocolo y puerto se amplían a tres: tcp:80-80, tcp:443-443 y udp:4000-5000. Cada combinación de protocolo y puerto usa dos atributos. Un atributo para el intervalo de origen, un atributo por cada uno de los dos intervalos de direcciones IP de destino y seis atributos para las combinaciones de protocolo y puerto dan como resultado un recuento de atributos de 9. |
Límites
Los límites no se pueden aumentar a menos que se indique explícitamente.
Por organización
Se aplican los siguientes límites a las organizaciones:
| Elemento | límite | Notas |
|---|---|---|
| Número máximo de claves de etiquetas seguras por organización | 1000 | Número máximo de claves de etiquetas seguras que tienen una organización principal. Para obtener más información, consulta Límites de etiquetas. |
Valores máximos de etiquetas seguras usados por todas las claves de etiquetas cuyo purpose
es GCE_FIREWALL y purpose-data es una organización
|
16384 | Este límite se aplica a todos los valores de etiqueta que usan las claves de etiqueta creadas en la organización que coinciden con los datos de finalidad, incluidas las claves de etiqueta cuyo elemento superior sea la organización o un proyecto de la organización. |
| Perfiles de seguridad de prevención de amenazas por organización | 40 | Número máximo de perfiles de seguridad de tipo prevención de amenazas que puedes crear por organización. |
| Grupos de perfiles de seguridad por organización | 40 | Número máximo de grupos de perfiles de seguridad que usan un perfil de seguridad de prevención de amenazas que puedes crear por organización. |
| Puntos finales de cortafuegos por zona y organización | 50 | El número máximo de endpoints de cortafuegos que puedes crear por zona y organización. |
Por proyecto
Se aplican los siguientes límites a los proyectos:
| Elemento | límite | Notas |
|---|---|---|
| Número máximo de claves de etiquetas seguras por proyecto | 1000 | Número máximo de claves de etiquetas seguras que tienen un proyecto superior. Para obtener más información, consulta Límites de etiquetas. |
Por red
En las redes de VPC se aplican los límites que se describen a continuación:
| Elemento | Límite | Notas |
|---|---|---|
| Número máximo de políticas de cortafuegos de red globales por red | 1 | El número máximo de políticas de cortafuegos de red globales que puedes asociar a una red de VPC. |
| Número máximo de políticas de cortafuegos de red regionales por región y por red | 1 | Es el número máximo de políticas de cortafuegos de red regionales que puedes asociar a una combinación de red de VPC y región. |
| Número máximo de nombres de dominio (FQDNs) por red | 1000 | El número total máximo de nombres de dominio que se pueden usar en las reglas de cortafuegos que proceden de políticas de cortafuegos de jerarquía, políticas de cortafuegos de red globales y políticas de cortafuegos de red regionales asociadas a una red de VPC. |
Número máximo de valores de etiquetas seguras usados por todas las claves de etiquetas cuyo purpose
es GCE_FIREWALL y purpose-data es una red de VPC
|
16383 | Este límite se aplica a todos los valores de etiqueta que usan las claves de etiqueta cuyo purpose-data coincide con la red de VPC especificada, incluidas las claves de etiqueta cuyo elemento superior es la organización o un proyecto.
|
| Puntos finales de cortafuegos por zona y red | 1 | El número máximo de endpoints de cortafuegos que puedes asignar por zona y por red. |
Por regla de cortafuegos
Se aplican los siguientes límites a las reglas de cortafuegos:
| Elemento | Límite | Notas |
|---|---|---|
| Número máximo de etiquetas seguras de origen por regla de política de cortafuegos de entrada | 256 | Solo se aplica a las reglas de políticas de cortafuegos de entrada: es el número máximo de etiquetas seguras que puedes usar como etiquetas de origen en la regla de cortafuegos. Este límite no se puede aumentar. |
| Número máximo de etiquetas seguras de destino por regla de política de cortafuegos | 256 | Solo se aplica a las reglas de políticas de cortafuegos: el número máximo de etiquetas seguras que puedes usar como etiquetas de destino en la regla de cortafuegos. Este límite no se puede aumentar. |
| Número máximo de etiquetas de red de origen por regla de cortafuegos de VPC de entrada | 30 | Solo se aplica a las reglas de cortafuegos de VPC de entrada: el número máximo de etiquetas de red que puedes usar como etiquetas de origen en la regla de cortafuegos. Este límite no se puede aumentar. |
| Número máximo de etiquetas de red de destino por regla de cortafuegos de VPC | 70 | Solo se aplica a las reglas de cortafuegos de VPC: el número máximo de etiquetas de red que puedes usar como etiquetas de destino en la regla de cortafuegos. Este límite no se puede aumentar. |
| Número máximo de cuentas de servicio de origen por regla de cortafuegos de VPC de entrada | 10 | Solo se aplica a las reglas de cortafuegos de VPC de entrada: es el número máximo de cuentas de servicio que puedes usar como orígenes en la regla de cortafuegos. Este límite no se puede aumentar. |
| Número máximo de cuentas de servicio de destino por regla de cortafuegos | 10 | El número máximo de cuentas de servicio que puedes usar como destinos en una regla de cortafuegos de VPC o en una regla de una política de cortafuegos. Este límite no se puede aumentar. |
| Número máximo de intervalos de direcciones IP de origen por regla de cortafuegos | 5000 | La cantidad máxima de intervalos de direcciones IP de origen que puedes especificar en una regla de cortafuegos de VPC o en una regla de una política de cortafuegos. Los intervalos de direcciones IP solo pueden ser IPv4 o IPv6. Este límite no se puede aumentar. |
| Número máximo de intervalos de direcciones IP de destino por regla de cortafuegos | 5000 | El número máximo de intervalos de direcciones IP de destino que puedes especificar en una regla de cortafuegos de VPC o en una regla de una política de cortafuegos. Los intervalos de direcciones IP solo pueden ser IPv4 o IPv6. Este límite no se puede aumentar. |
| Número máximo de grupos de direcciones de origen por regla de cortafuegos de entrada en una política de cortafuegos | 10 | El número máximo de grupos de direcciones de origen que puedes especificar en una regla de cortafuegos de entrada de una política de cortafuegos. Este límite no se puede aumentar. |
| Número máximo de grupos de direcciones de destino por regla de cortafuegos en una política de cortafuegos | 10 | El número máximo de grupos de direcciones de destino que puedes especificar en una regla de cortafuegos de salida de una política de cortafuegos. Este límite no se puede aumentar. |
| Número máximo de nombres de dominio (FQDNs) por regla de cortafuegos en una política de cortafuegos | 100 | El número de nombres de dominio (FQDNs) que puedes incluir en una regla de una política de cortafuegos. Este límite no se puede aumentar. |
Por grupo de direcciones
Los siguientes límites se aplican a los grupos de direcciones que usa Cloud NGFW.
| Elemento | Límite | Notas |
|---|---|---|
| Número máximo de direcciones IP por grupo de direcciones | 1000 | Se aplica individualmente a cada grupo de direcciones utilizado por Cloud NGFW. El grupo de direcciones puede ser un grupo de direcciones global o de ámbito de proyecto; un grupo de direcciones global o de ámbito de organización; un grupo de direcciones de ámbito de proyecto regional; o un grupo de direcciones de ámbito de organización regional. |
Por endpoint de firewall
Se aplican los siguientes límites a los endpoints de firewall:
| Elemento | Límite | Notas |
|---|---|---|
| Asociaciones por endpoint de cortafuegos | 50 | Es el número máximo de redes de VPC que puedes asociar a un endpoint de cortafuegos. Puedes crear endpoints de firewall adicionales en la misma zona para superar este límite. |
| Rendimiento máximo por conexión con Seguridad en la capa de transporte (TLS) | 250 Mbps | El rendimiento máximo por conexión con la inspección TLS. |
| Rendimiento máximo por conexión sin TLS | 1,25 Gbps | El rendimiento máximo por conexión sin inspección de TLS. |
| Tráfico máximo con TLS | 2 Gb/s | El tráfico máximo que pueden procesar los endpoints de cortafuegos con la inspección de TLS. |
| Tráfico máximo sin TLS | 10 Gb/s | El tráfico máximo que pueden procesar los endpoints de cortafuegos sin inspección TLS. |
Por perfil de seguridad
Se aplican los siguientes límites a los perfiles de seguridad:
| Elemento | Límite | Notas |
|---|---|---|
| Número de anulaciones de amenazas por perfil de seguridad | 100 | Número máximo de anulaciones de amenazas que puedes añadir en un perfil de seguridad de prevención de amenazas. |
Por etiqueta segura
Se aplican los siguientes límites a las etiquetas seguras:
| Elemento | Límite | Notas |
|---|---|---|
| Número máximo de valores de etiquetas seguras por clave de etiqueta | 1000 | El número máximo de valores de etiquetas seguras que puedes añadir por clave de etiqueta. Para obtener más información, consulta Límites de etiquetas. |
Por interfaz de red de VM
En las interfaces de red de las VMs se aplican los límites que se describen a continuación:
| Elemento | Límite | Notas |
|---|---|---|
| Número máximo de valores de etiquetas seguras adjuntos a una interfaz de red de una VM | 10 | El número máximo de valores de etiquetas seguras que se pueden asociar a cada interfaz de red de máquina virtual. Para obtener más información sobre las especificaciones de las etiquetas seguras de firewall, consulta Especificaciones.
Para obtener información sobre los límites de red, consulta Límites por red. |
Gestionar cuotas
EnCloud Next Generation Firewall se aplican cuotas al uso de recursos por varios motivos. Por ejemplo, las cuotas protegen a la comunidad de usuarios de Google Cloud al evitar que se produzcan picos de uso imprevistos. Las cuotas también ayudan a los usuarios que están explorando Google Cloud con el nivel gratuito a mantenerse dentro de su prueba.
Todos los proyectos comienzan con las mismas cuotas, pero puedes solicitar un aumento para cambiarlas. Hay cuotas que pueden aumentar automáticamente en función del uso que hagas de un producto.
Permisos
Para ver las cuotas o solicitar un aumento de estas, las principales de Gestión de Identidades y Accesos (IAM) necesitan uno de los siguientes roles.
| Tarea | Rol necesario |
|---|---|
| Consultar las cuotas de un proyecto | Una de las siguientes:
|
| Modificar cuotas y solicitar un aumento de cuotas | Una de las siguientes:
|
Consultar tu cuota
Consola
- En la Google Cloud consola, ve a la página Cuotas.
- Para buscar la cuota que quieras actualizar, usa la opción Filtrar tabla. Si no conoces su nombre, usa los enlaces de esta página.
gcloud
En la CLI de Google Cloud, ejecuta el comando que aparece a continuación para comprobar las cuotas. Tienes que sustituir PROJECT_ID por el ID de tu proyecto.
gcloud compute project-info describe --project PROJECT_IDPara ver la cuota que has utilizado en una región, ejecuta el siguiente comando:
gcloud compute regions describe example-region
Errores al superar tu cuota
Si superas tu cuota con un comando gcloud, gcloud genera un mensaje de error quota exceeded y muestra el código de salida 1.
Si superas tu cuota con una solicitud a la API, Google Cloud devuelve el siguiente código de estado HTTP: 413 Request Entity Too Large.
Solicitar cuota adicional
Para ajustar la mayoría de las cuotas, usa la Google Cloud consola. Para obtener más información, consulta Solicitar un ajuste de cuota.
Disponibilidad de recursos
Cada cuota representa el número máximo de un tipo de recurso concreto que puedes crear, siempre que ese recurso esté disponible. Es importante tener en cuenta que las cuotas no aseguran la disponibilidad de recursos. Aunque dispongas de una cuota, no podrás crear un nuevo recurso si este no está disponible.
Por ejemplo, puede que tengas una cuota suficiente para crear una nueva dirección IP externa regional en una región determinada. Sin embargo, esto no es posible si no hay direcciones IP externas disponibles en esa región. La disponibilidad de recursos de zona también puede afectar a tu capacidad para crear recursos nuevos.
No es habitual que falte disponibilidad de recursos en toda una región. Sin embargo, los recursos dentro de una zona pueden agotarse ocasionalmente, aunque no suele afectar al acuerdo de nivel de servicio (SLA) para el tipo de recurso. Para obtener más información, revisa el acuerdo de nivel de servicio relevante para el recurso.