Quotas et limites

Ce document recense les quotas et limites qui s'appliquent à Cloud Next Generation Firewall. Les quotas spécifient la quantité d'une ressource partagée dénombrable que vous pouvez utiliser. Ils sont définis par des services Google Cloud tels que Cloud Next Generation Firewall. Les limites système sont des valeurs fixes qui ne peuvent pas être modifiées.

Google Cloud utilise des quotas pour garantir l'équité et réduire les pics d'utilisation et de disponibilité des ressources. Un quota limite la quantité de ressources Google Cloud que votre projet Google Cloud peut utiliser. Les quotas s'appliquent à différents types de ressources, y compris les composants matériels, logiciels et réseau. Par exemple, les quotas peuvent limiter le nombre d'appels d'API à un service, le nombre d'équilibreurs de charge utilisés simultanément par votre projet ou le nombre de projets que vous pouvez créer. Les quotas protègent la communauté des utilisateurs de Google Cloud en empêchant la surcharge des services. Les quotas vous aident également à gérer vos propres ressources Google Cloud.

Le système Cloud Quotas effectue les opérations suivantes :

  • Surveille votre consommation de produits et services Google Cloud
  • Limite votre consommation de ces ressources
  • Permet de demander des modifications de la valeur du quota

Dans la plupart des cas, lorsque vous tentez d'utiliser plus d'une ressource que son quota ne le permet, le système bloque l'accès à la ressource et la tâche que vous essayez d'effectuer échoue.

Les quotas s'appliquent généralement au niveau du projet Google Cloud. Votre utilisation d'une ressource dans un projet n'affecte pas votre quota disponible dans un autre projet. Dans un projet Google Cloud, les quotas sont partagés entre toutes les applications et adresses IP.

Des limites système s'appliquent également aux ressources Cloud NGFW. Les limites système ne peuvent pas être modifiées.

Quotas

Cette section répertorie les quotas qui s'appliquent à Cloud Next Generation Firewall.

Pour surveiller les quotas par projet qui utilisent Cloud Monitoring, configurez la surveillance de la métrique serviceruntime.googleapis.com/quota/allocation/usage sur le type de ressource Consumer Quota. Définissez des filtres de libellés supplémentaires (service, quota_metric) afin d'obtenir le type de quota. Pour en savoir plus sur la surveillance des métriques de quota, consultez la page Représentation graphique et surveillance des métriques de quota. Chaque quota est associé à une limite et à une valeur d'utilisation.

Sauf indication contraire, pour modifier un quota, consultez la section Demander une augmentation de quota.

Par projet

Le tableau suivant présente les quotas Cloud NGFW par projet :

Quota Description
Règles de pare-feu VPC Nombre de règles de pare-feu VPC que vous pouvez créer dans un projet, quel que soit le réseau VPC auquel chaque règle de pare-feu s'applique.
Stratégies de pare-feu de réseau au niveau mondial Nombre de stratégies de pare-feu réseau au niveau mondial dans un projet, quel que soit le nombre de réseaux VPC associés à chaque stratégie.
Stratégies de pare-feu de réseau régionales Nombre de stratégies de pare-feu de réseau régionales dans chaque région d'un projet, quel que soit le nombre de réseaux VPC associés à chaque stratégie.
Groupes d'adresses mondiales par projet Nombre de groupes d'adresses mondiales que vous pouvez définir dans un projet.
Groupes d'adresses régionales par projet et par région Nombre de groupes d'adresses régionales que vous pouvez définir dans chaque région d'un projet.

Par organisation

Le tableau suivant présente les quotas Cloud NGFW par organisation. Pour modifier un quota au niveau de l'organisation, envoyez une demande d'assistance.

Quota Description
Stratégies de pare-feu hiérarchiques non associées dans une organisation Nombre de stratégies de pare-feu hiérarchiques dans une organisation qui ne sont associées à aucun dossier ou ressource d'organisation. Le nombre de stratégies de pare-feu hiérarchiques associées à une ressource n'est pas limité au sein d'une organisation.

Par stratégie de pare-feu

Le tableau suivant présente les quotas Cloud NGFW par ressource de stratégie de pare-feu :

Quota Description
Stratégies de pare-feu hiérarchiques
Attributs de règle par stratégie de pare-feu hiérarchique Ce quota correspond à la somme des attributs de règle de toutes les règles d'une stratégie de pare-feu hiérarchique. Pour en savoir plus, consultez la section Détails du nombre d'attributs de règle.
Noms de domaine (FQDN) par stratégie de pare-feu hiérarchique Nombre de noms de domaine que vous pouvez inclure dans toutes les règles d'une stratégie de pare-feu hiérarchique. Ce quota correspond à la somme de tous les noms de domaine source de toutes les règles d'entrée de la stratégie, plus la somme de tous les noms de domaine de destination de toutes les règles de sortie de la stratégie.
Stratégies de pare-feu de réseau au niveau mondial
Attributs de règle par stratégie de pare-feu de réseau au niveau mondial Somme des attributs de règle de toutes les règles d'une stratégie de pare-feu de réseau au niveau mondial. Pour en savoir plus, consultez la section Détails du nombre d'attributs de règle.
Noms de domaine (FQDN) par stratégie de pare-feu de réseau au niveau mondial Nombre de noms de domaine que vous pouvez inclure dans toutes les règles d'une stratégie de pare-feu de réseau au niveau mondial. Ce quota correspond à la somme de tous les noms de domaine source de toutes les règles d'entrée de la stratégie, plus la somme de tous les noms de domaine de destination de toutes les règles de sortie de la stratégie.
Stratégies de pare-feu de réseau régionales
Attributs de règle par stratégie de pare-feu de réseau régionale Somme des attributs de règle de toutes les règles d'une stratégie de pare-feu de réseau régionale. Pour en savoir plus, consultez la section Détails du nombre d'attributs de règle.
Noms de domaine (FQDN) par stratégie de pare-feu de réseau régionale Nombre de noms de domaine (FQDN) que vous pouvez inclure dans toutes les règles d'une stratégie de pare-feu de réseau régionale : ce quota correspond à la somme de tous les noms de domaine source de toutes les règles d'entrée de la stratégie, plus la somme de tous les noms de domaine de destination de toutes les règles de sortie de la stratégie.

Détails du nombre d'attributs de règle

Chaque stratégie de pare-feu accepte un nombre total maximal d'attributs de toutes les règles de la stratégie. Pour déterminer le nombre d'attributs de règle pour une stratégie de pare-feu donnée, décrivez-la. Pour obtenir des instructions, consultez les sections suivantes :

Le tableau suivant présente des exemples de règles ainsi que le nombre d'attributs pour chaque exemple de règle.

Exemple de règle de pare-feu Nombre d'attributs de règle Explication
Règle de pare-feu autorisant le trafic entrant avec la plage d'adresses IP sources 10.100.0.1/32, le protocole tcp et la plage de ports 5000-6000. 3 Une plage source ; un protocole, une plage de ports.
Règle de pare-feu refusant le trafic entrant avec les plages d'adresses IP sources 10.0.0.0/8, 192.168.0.0/16, les plages d'adresses IP de destination 100.64.0.7/32, les protocoles tcp et udp, les plages de ports 53-53 et 5353-5353. 11 Il existe quatre combinaisons de protocoles et de ports : tcp:53-53, tcp:5353-5353, udp:53-53 et udp:5353-5353. Chaque combinaison protocole/port utilise deux attributs. Un attribut pour chacune des deux plages d'adresses IP sources, un attribut pour la plage d'adresses IP de destination, et huit attributs pour les combinaisons de protocoles et de ports, ce qui donne un nombre d'attributs de 11.
Règle de pare-feu refusant le trafic sortant avec la plage d'adresses IP sources 100.64.0.7/32, la plage d'adresses IP de destination 10.100.0.1/32, 10.100.1.1/32, tcp:80, tcp:443 et udp:4000-5000. 9 Les combinaisons de protocoles et de ports sont étendues à trois : tcp:80-80, tcp:443-443 et udp:4000-5000. Chaque combinaison protocole/port utilise deux attributs. Un attribut pour la plage source, un attribut pour chacune des deux plages d'adresses IP de destination, et six attributs pour les combinaisons de protocoles et de ports, ce qui donne un nombre d'attributs de 9.

Limites

Sauf stipulation contraire, les limites ne peuvent pas être augmentées.

Par organisation

Les limites suivantes s'appliquent aux organisations :

Élément limit Remarques
Groupes d'adresses mondiales par organisation 100 Nombre maximal de groupes d'adresses mondiales que vous pouvez créer par organisation.
Groupes d'adresses régionales par organisation et par région 100 Nombre maximal de groupes d'adresses régionales que vous pouvez créer par organisation dans une région.
Groupes d'adresses de l'organisation 100 Nombre maximal de groupes d'adresses que vous pouvez créer par organisation, quel que soit l'emplacement (mondial ou régional)
Capacité maximale du groupe d'adresses 1 000 Capacité maximale d'un groupe d'adresses par organisation ou par projet.
Nombre maximal de clés de tag sécurisées par organisation ou par projet 1 000 Nombre maximal de clés de tags sécurisées que vous pouvez créer par organisation ou par projet. Pour en savoir plus, consultez la section Limites de tags.
Nombre maximal de valeurs de tags sécurisés par clé par organisation ou par projet 1 000 Nombre maximal de valeurs de tags sécurisés que vous pouvez ajouter par clé dans une organisation ou un projet. Pour en savoir plus, consultez la section Limites de tags.
Nombre maximal de paires clé-valeur de tags sécurisés par ressource et par organisation 50 Nombre maximal de paires clé/valeur de tags sécurisés que vous pouvez ajouter par ressource dans une organisation ou un projet. Pour en savoir plus, consultez la section Limites de tags.

Pour connaître les limites du réseau, consultez la section Limites par réseau.

Profils de sécurité de prévention des menaces par organisation 40 Nombre maximal de profils de sécurité de type prévention des menaces que vous pouvez créer par organisation.
Groupes de profils de sécurité par organisation 40 Nombre maximal de groupes de profils de sécurité qui utilisent un profil de sécurité de prévention des menaces que vous pouvez créer par organisation.
Points de terminaison de pare-feu par zone et par organisation 10 Nombre maximal de points de terminaison de pare-feu que vous pouvez créer par zone et par organisation.

Par réseau

Les limites suivantes s'appliquent aux réseaux VPC :

Élément Limite Remarques
Nombre maximal de stratégies de pare-feu de réseau au niveau mondial par réseau 1 Nombre maximal de stratégies de pare-feu de réseau au niveau mondial que vous pouvez associer à un réseau VPC.
Nombre maximal de stratégies de pare-feu de réseau régional par région et par réseau 1 Nombre maximal de stratégies de pare-feu de réseau régional que vous pouvez associer à une combinaison de réseau VPC et de région.
Nombre maximal de noms de domaine (FQDN) par réseau 1 000 Nombre total maximal de noms de domaine pouvant être utilisés dans les règles de pare-feu provenant de stratégies de pare-feu hiérarchiques, de stratégies de pare-feu de réseau au niveau mondial et de stratégies de pare-feu de réseau régional associées à un réseau VPC.
Points de terminaison de pare-feu par zone et par réseau 1 Nombre maximal de points de terminaison de pare-feu que vous pouvez attribuer par zone et par réseau.

Par règle de pare-feu

Les limites suivantes s'appliquent aux règles de pare-feu :

Élément Limite Remarques
Nombre maximal de tags sécurisés sources par règle de stratégie de pare-feu d'entrée 256 Applicable uniquement à la règle de stratégie de pare-feu d'entrée : nombre maximal de tags sécurisés que vous pouvez utiliser en tant que tags sources dans la règle de pare-feu. Cette limite ne peut pas être augmentée.
Nombre maximal de tags sécurisés cibles par règle de stratégie de pare-feu 256 Applicable uniquement à la règle de stratégie de pare-feu : nombre maximal de tags sécurisés que vous pouvez utiliser en tant que tags cibles dans la règle de pare-feu. Cette limite ne peut pas être augmentée.
Nombre maximal de tags réseau sources par règle de pare-feu VPC entrant 30 Applicable uniquement aux règles de pare-feu VPC entrant : nombre maximal de tags réseau que vous pouvez utiliser en tant que tags sources dans la règle de pare-feu. Cette limite ne peut pas être augmentée.
Nombre maximal de tags réseau cibles par règle de pare-feu VPC 70 Applicable uniquement aux règles de pare-feu VPC : nombre maximal de tags réseau que vous pouvez utiliser en tant que tags cibles dans la règle de pare-feu. Cette limite ne peut pas être augmentée.
Nombre maximal de comptes de service sources par règle de pare-feu VPC entrant 10 Applicable uniquement aux règles de pare-feu VPC entrant : nombre maximal de comptes de service que vous pouvez utiliser en tant que sources dans la règle de pare-feu. Cette limite ne peut pas être augmentée.
Nombre maximal de comptes de service cibles par règle de pare-feu 10 Nombre maximal de comptes de service que vous pouvez utiliser en tant que cibles dans une règle de pare-feu VPC ou une règle d'une stratégie de pare-feu. Cette limite ne peut pas être augmentée.
Nombre maximal de plages d'adresses IP sources par règle de pare-feu 5 000 Nombre maximal de plages d'adresses IP sources que vous pouvez spécifier dans une règle de pare-feu VPC ou une règle d'une stratégie de pare-feu. Les plages d'adresses IP sont de type IPv4 uniquement ou IPv6 uniquement. Cette limite ne peut pas être augmentée.
Nombre maximal de plages d'adresses IP de destination par règle de pare-feu 5 000 Nombre maximal de plages d'adresses IP de destination que vous pouvez spécifier dans une règle de pare-feu VPC ou une règle dans une stratégie de pare-feu. Les plages d'adresses IP sont de type IPv4 uniquement ou IPv6 uniquement. Cette limite ne peut pas être augmentée.
Nombre maximal de groupes d'adresses sources par règle de pare-feu d'entrée dans une stratégie de pare-feu 10 Nombre maximal de groupes d'adresses sources que vous pouvez spécifier dans une règle de pare-feu d'entrée dans une stratégie de pare-feu. Cette limite ne peut pas être augmentée.
Nombre maximal de groupes d'adresses de destination par règle de pare-feu dans une stratégie de pare-feu 10 Nombre maximal de groupes d'adresses de destination que vous pouvez spécifier dans une règle de pare-feu de sortie dans une stratégie de pare-feu. Cette limite ne peut pas être augmentée.
Nombre maximal de noms de domaine (FQDN) par règle de pare-feu dans une stratégie de pare-feu 100 Nombre de noms de domaine (FQDN) que vous pouvez inclure dans une règle d'une stratégie de pare-feu. Cette limite ne peut pas être augmentée.

Par point de terminaison de pare-feu

Les limites suivantes s'appliquent aux points de terminaison de pare-feu.

Élément Limite Remarques
Associations par point de terminaison de pare-feu 50 Nombre maximal de réseaux VPC que vous pouvez associer à un point de terminaison de pare-feu. Vous pouvez créer des points de terminaison de pare-feu supplémentaires dans la même zone pour contourner cette limite.

Par profil de sécurité

Les limites suivantes s'appliquent aux profils de sécurité :

Élément Limite Remarques
Nombre de remplacements de menaces par profil de sécurité 100 Nombre maximal de remplacements de menaces que vous pouvez ajouter dans un profil de sécurité de prévention des menaces.

Par interface réseau de VM

Les limites suivantes s'appliquent aux interfaces réseau de VM :

Élément Limite Remarques
Nombre maximal de tags sécurisés par interface de VM 10 Nombre maximal de tags sécurisés que vous pouvez ajouter par VM et par carte d'interface réseau.

Gérer les quotas

Cloud Next Generation Firewall impose des quotas sur l'utilisation des ressources pour différentes raisons. Il s'agit, par exemple, de préserver la communauté des utilisateurs Google Cloud en empêchant les pics d'utilisation imprévus. Les quotas aident également les utilisateurs qui explorent Google Cloud avec la version gratuite à ne pas dépasser les limites de leur version d'essai.

Tous les projets débutent avec les mêmes quotas, que vous pouvez modifier en demandant un quota supplémentaire. Certains quotas peuvent augmenter automatiquement en fonction de votre utilisation d'un produit.

Autorisations

Pour afficher les quotas ou demander des augmentations de quotas, les entités principales IAM (gestion de l'authentification et des accès) doivent disposer de l'un des rôles suivants :

Tâche Rôle requis
Vérifier les quotas d'un projet Choisissez l'une des options suivantes :
Modifier les quotas, demander un quota supplémentaire Choisissez l'une des options suivantes :

Vérifier les quotas

Console

  1. Dans la console Google Cloud, accédez à la page Quotas.

    Accéder à la section "Quotas"

  2. Pour rechercher le quota à mettre à jour, utilisez l'option Filtrer le tableau. Si vous ne connaissez pas le nom du quota, utilisez les liens disponibles sur cette page à la place.

gcloud

À l'aide de Google Cloud CLI, exécutez la commande suivante pour vérifier vos quotas. Remplacez PROJECT_ID par votre ID de projet :

    gcloud compute project-info describe --project PROJECT_ID

Pour vérifier le quota que vous avez déjà consommé dans une région, exécutez la commande suivante :

    gcloud compute regions describe example-region
    

Erreurs lors du dépassement de votre quota

Si vous dépassez un quota avec une commande gcloud, gcloud génère un message d'erreur quota exceeded et renvoie le code de sortie 1.

Si vous dépassez un quota avec une requête API, Google Cloud renvoie le code d'état HTTP suivant : 413 Request Entity Too Large.

Demander un quota supplémentaire

Vous allez utiliser la console Google Cloud pour ajuster la plupart des quotas. Pour en savoir plus, consultez la section Demander un ajustement de quota.

Console

  1. Dans la console Google Cloud, accédez à la page Quotas.

    Accéder à la section "Quotas"

  2. Sur la page Quotas, sélectionnez les quotas à modifier.
  3. En haut de la page, cliquez sur Modifier les quotas.
  4. Dans le champ Name (Nom), saisissez votre nom.
  5. Facultatif: Dans le champ Téléphone, saisissez un numéro de téléphone.
  6. Envoyez la demande. Le traitement des demandes de quotas nécessite un délai de 24 à 48 heures.

Disponibilité des ressources

Chaque quota représente le nombre maximal de ressources que vous pouvez créer pour un type de ressource donné, sous réserve de disponibilité. Il est important de noter que les quotas ne garantissent pas la disponibilité des ressources. Même si vous disposez d'un quota, vous ne pouvez pas créer une ressource si celle-ci n'est pas disponible.

Par exemple, vous pouvez disposer d'un quota suffisant pour créer une adresse IP régionale externe dans la région us-central1. Toutefois, cela n'est pas possible si aucune adresse IP externe n'est disponible dans cette région. La disponibilité des ressources par zone peut également avoir une incidence sur votre capacité à créer des ressources.

Les situations dans lesquelles des ressources sont indisponibles dans une région entière sont rares. Toutefois, les ressources d'une zone peuvent parfois être épuisées de temps en temps, ce qui n'a généralement pas d'incidence sur le contrat de niveau de service pour le type de ressource. Pour plus d'informations, consultez le contrat de niveau de service correspondant à la ressource.