Kuota dan batas

Dokumen ini mencantumkan kuota dan batas sistem yang berlaku untuk Cloud Next Generation Firewall.

  • Kuota menentukan jumlah resource bersama yang dapat dihitung yang dapat Anda gunakan. Kuota ditentukan oleh layanan Google Cloud seperti Cloud Next Generation Firewall.
  • Batas sistem adalah nilai tetap yang tidak dapat diubah.

Google Cloud menggunakan kuota untuk membantu memastikan keadilan dan mengurangi lonjakan penggunaan dan ketersediaan resource. Kuota membatasi jumlah Google Cloud resource yang dapat digunakan Google Cloud project Anda. Kuota berlaku untuk berbagai jenis resource, termasuk komponen hardware, software, dan jaringan. Misalnya, kuota dapat membatasi jumlah panggilan API ke suatu layanan, jumlah load balancer yang digunakan secara bersamaan oleh project Anda, atau jumlah project yang dapat Anda buat. Kuota melindungi komunitas penggunaGoogle Cloud dengan mencegah kelebihan beban layanan. Kuota juga membantu Anda mengelola resource Anda sendiri. Google Cloud

Sistem Kuota Cloud melakukan hal berikut:

Dalam sebagian besar kasus, saat Anda mencoba menggunakan resource lebih banyak daripada yang diizinkan kuotanya, sistem akan memblokir akses ke resource tersebut, dan tugas yang Anda coba lakukan akan gagal.

Kuota umumnya berlaku di level Google Cloud project. Penggunaan resource dalam satu project tidak memengaruhi kuota yang tersedia di project lain. Dalam project Google Cloud , kuota dibagikan ke semua aplikasi dan alamat IP.

Ada juga batas sistem pada resource Cloud NGFW. Batas sistem tidak dapat diubah.

Kuota

Bagian ini mencantumkan kuota yang berlaku untuk Cloud Next Generation Firewall.

Untuk memantau kuota per project yang menggunakan Cloud Monitoring, siapkan pemantauan untuk metrik serviceruntime.googleapis.com/quota/allocation/usage pada jenis resource Consumer Quota. Tetapkan filter label tambahan (service, quota_metric) untuk mendapatkan jenis kuota. Untuk mengetahui informasi tentang pemantauan metrik kuota, lihat Membuat diagram dan memantau metrik kuota. Setiap kuota memiliki batas dan nilai penggunaan.

Kecuali dinyatakan lain, untuk mengubah kuota, lihat bagian Meminta penyesuaian kuota.

Per project

Tabel berikut menandai kuota Cloud NGFW yang per project:

Kuota Deskripsi
Aturan firewall VPC Jumlah aturan firewall VPC yang dapat Anda buat dalam project, terlepas dari jaringan VPC yang berlaku untuk setiap aturan firewall.
Kebijakan firewall jaringan global Jumlah Kebijakan firewall jaringan global dalam project, terlepas dari jumlah jaringan VPC yang terkait dengan setiap kebijakan.
Kebijakan firewall jaringan regional Jumlah Kebijakan firewall jaringan regional di setiap region project, terlepas dari jumlah jaringan VPC yang terkait dengan setiap kebijakan.
Grup alamat global per project Jumlah grup alamat global dan cakupan project yang dapat Anda tentukan dalam project.
Grup alamat regional per project per region Jumlah grup alamat cakupan project regional yang dapat Anda tentukan di setiap region project.

Per organisasi

Tabel berikut menandai kuota Cloud NGFW yang berlaku per organisasi. Untuk mengubah kuota tingkat organisasi, ajukan kasus Dukungan.

Kuota Deskripsi
Kebijakan firewall hierarkis yang tidak terkait dalam organisasi Jumlah Kebijakan firewall hierarkis dalam organisasi yang tidak dikaitkan dengan resource folder atau organisasi mana pun. Tidak ada batasan jumlah Kebijakan firewall hierarkis dalam organisasi yang terkait dengan resource.
Grup alamat global per organisasi Jumlah grup alamat cakupan organisasi dan global yang dapat Anda tentukan dalam organisasi.
Grup alamat regional per organisasi per region Jumlah grup alamat cakupan organisasi regional yang dapat Anda tentukan di setiap region dalam organisasi.

Per kebijakan firewall

Tabel berikut menunjukkan kuota Cloud NGFW per resource kebijakan firewall:

Kuota Deskripsi
Kebijakan firewall hierarkis
Atribut aturan per kebijakan firewall hierarkis Kuota ini adalah jumlah atribut aturan dari semua aturan dalam kebijakan firewall hierarkis. Untuk mengetahui informasi selengkapnya, lihat detail Jumlah atribut aturan.
Nama domain (FQDN) per kebijakan firewall hierarkis Jumlah nama domain yang dapat Anda sertakan dalam semua aturan kebijakan firewall hierarkis. Kuota ini adalah jumlah semua nama domain sumber dari semua aturan ingress dalam kebijakan ditambah jumlah semua nama domain tujuan dari semua aturan egress dalam kebijakan.
Kebijakan firewall jaringan global
Atribut aturan per kebijakan firewall jaringan global Jumlah atribut aturan dari semua aturan dalam kebijakan firewall jaringan global. Untuk mengetahui informasi selengkapnya, lihat detail Jumlah atribut aturan.
Nama domain (FQDN) per kebijakan firewall jaringan global Jumlah nama domain yang dapat Anda sertakan dalam semua aturan kebijakan firewall jaringan global. Kuota ini adalah jumlah semua nama domain sumber dari semua aturan ingress dalam kebijakan ditambah jumlah semua nama domain tujuan dari semua aturan egress dalam kebijakan.
Kebijakan firewall jaringan regional
Atribut aturan per kebijakan firewall jaringan regional Jumlah atribut aturan dari semua aturan dalam kebijakan firewall jaringan regional. Untuk mengetahui informasi selengkapnya, lihat detail Jumlah atribut aturan.
Nama domain (FQDN) per kebijakan firewall jaringan regional Jumlah nama domain (FQDN) yang dapat Anda sertakan dalam semua aturan kebijakan firewall jaringan regional: Kuota ini adalah jumlah semua nama domain sumber dari semua aturan masuk dalam kebijakan ditambah jumlah semua nama domain tujuan dari semua aturan keluar dalam kebijakan.

Detail jumlah atribut aturan

Setiap kebijakan firewall mendukung jumlah total maksimum atribut dari semua aturan dalam kebijakan. Untuk menentukan jumlah atribut aturan untuk kebijakan firewall tertentu, jelaskan kebijakan tersebut. Untuk mengetahui rutenya, lihat berikut:

Tabel berikut mencantumkan contoh aturan dan jumlah atribut untuk setiap contoh aturan.

Contoh aturan firewall Jumlah atribut aturan Penjelasan
Aturan firewall izinkan koneksi masuk dengan rentang alamat IP sumber 10.100.0.1/32, protokol tcp, dan rentang port 5000-6000. 3 Satu rentang sumber; satu protokol, satu rentang port.
Aturan firewall penolakan traffic masuk dengan rentang alamat IP sumber 10.0.0.0/8, 192.168.0.0/16, rentang alamat IP tujuan 100.64.0.7/32, tcp dan udp protokol, rentang port 53-53 dan 5353-5353. 11 Ada empat kombinasi protokol dan port: tcp:53-53, tcp:5353-5353, udp:53-53, dan udp:5353-5353. Setiap kombinasi protokol dan port menggunakan dua atribut. Satu atribut untuk setiap dua rentang alamat IP sumber, satu atribut untuk rentang alamat IP tujuan, dan delapan atribut untuk kombinasi protokol dan port menghasilkan jumlah atribut 11.
Aturan firewall penolakan traffic keluar dengan rentang alamat IP sumber 100.64.0.7/32, rentang alamat IP tujuan 10.100.0.1/32, 10.100.1.1/32, tcp:80, tcp:443, dan udp:4000-5000. 9 Kombinasi protokol dan port diperluas menjadi tiga: tcp:80-80, tcp:443-443, dan udp:4000-5000. Setiap kombinasi protokol dan port menggunakan dua atribut. Satu atribut untuk rentang sumber, satu atribut untuk setiap rentang alamat IP tujuan, dan enam atribut untuk kombinasi protokol dan port menghasilkan jumlah atribut sebanyak 9.

Batas

Batas tidak dapat ditingkatkan kecuali jika dinyatakan secara khusus.

Per organisasi

Batasan berikut berlaku untuk organisasi:

Item batas Catatan
Jumlah maksimum kunci tag aman per organisasi 1.000 Jumlah maksimum kunci tag aman yang memiliki organisasi induk. Untuk mengetahui informasi selengkapnya, lihat Batas tag.
Nilai tag aman maksimum yang digunakan oleh semua kunci tag yang purpose-nya adalah GCE_FIREWALL dan purpose-data-nya adalah organisasi 16384 Batas ini diterapkan pada semua nilai tag yang digunakan oleh kunci tag yang dibuat di organisasi yang cocok dengan data tujuan, termasuk kunci tag yang induknya adalah organisasi atau project di dalamnya.
Profil keamanan pencegahan ancaman per organisasi 40 Jumlah maksimum profil keamanan jenis pencegahan ancaman yang dapat Anda buat per organisasi.
Grup profil keamanan per organisasi 40 Jumlah maksimum grup profil keamanan yang menggunakan profil keamanan pencegahan ancaman yang dapat Anda buat per organisasi.
Endpoint firewall per zona per organisasi 50 Jumlah maksimum endpoint firewall yang dapat Anda buat per zona per organisasi.

Per project

Batas berikut berlaku untuk project:

Item batas Catatan
Jumlah maksimum kunci tag aman per project 1.000 Jumlah maksimum kunci tag aman yang memiliki project induk. Untuk mengetahui informasi selengkapnya, lihat Batas tag.

Per jaringan

Batas berikut berlaku untuk jaringan VPC:

Item Batas Catatan
Jumlah maksimum kebijakan firewall jaringan global per jaringan 1 Jumlah maksimum kebijakan firewall jaringan global yang dapat Anda kaitkan dengan jaringan VPC.
Jumlah maksimum kebijakan firewall jaringan regional per region per jaringan 1 Jumlah maksimum kebijakan firewall jaringan regional yang dapat Anda kaitkan dengan kombinasi jaringan VPC dan region.
Jumlah maksimum nama domain (FQDN) per jaringan 1.000 Jumlah total maksimum nama domain yang dapat digunakan dalam aturan firewall yang berasal dari kebijakan firewall hierarkis, kebijakan firewall jaringan global, dan kebijakan firewall jaringan regional yang terkait dengan jaringan VPC.
Nilai tag aman maksimum yang digunakan oleh semua kunci tag yang purpose-nya adalah GCE_FIREWALL dan purpose-data adalah jaringan VPC 16383 Batas ini diterapkan pada semua nilai tag yang digunakan oleh kunci tag yang purpose-data cocok dengan jaringan VPC yang ditentukan, termasuk kunci tag yang induknya adalah organisasi atau project.
Endpoint firewall per zona per jaringan 1 Jumlah maksimum endpoint firewall yang dapat Anda tetapkan per zona per jaringan.

Aturan firewall per

Batasan berikut berlaku untuk aturan firewall:

Item Batas Catatan
Jumlah maksimum tag aman sumber per aturan kebijakan firewall masuk 256 Hanya berlaku untuk aturan kebijakan firewall ingress—jumlah maksimum tag aman yang dapat Anda gunakan sebagai tag sumber dalam aturan firewall. Batas ini tidak dapat ditingkatkan.
Jumlah maksimum tag aman target per aturan kebijakan firewall 256 Hanya berlaku untuk aturan kebijakan firewall—jumlah maksimum tag aman yang dapat Anda gunakan sebagai tag target dalam aturan firewall. Batas ini tidak dapat ditingkatkan.
Jumlah maksimum tag jaringan sumber per aturan firewall masuk VPC 30 Hanya berlaku untuk aturan firewall VPC ingress—jumlah maksimum tag jaringan yang dapat Anda gunakan sebagai tag sumber dalam aturan firewall. Batas ini tidak dapat ditingkatkan.
Jumlah maksimum tag jaringan target per aturan firewall VPC 70 Hanya berlaku untuk aturan firewall VPC—jumlah maksimum tag jaringan yang dapat Anda gunakan sebagai tag target dalam aturan firewall. Batas ini tidak dapat ditingkatkan.
Jumlah maksimum akun layanan sumber per aturan firewall VPC ingress 10 Hanya berlaku untuk aturan firewall VPC ingress—jumlah maksimum akun layanan yang dapat Anda gunakan sebagai sumber dalam aturan firewall. Batas ini tidak dapat ditingkatkan.
Jumlah maksimum akun layanan target per aturan firewall 10 Jumlah maksimum akun layanan yang dapat Anda gunakan sebagai target dalam aturan firewall VPC atau aturan dalam kebijakan firewall. Batas ini tidak dapat ditingkatkan.
Jumlah maksimum rentang alamat IP sumber per aturan firewall 5.000 Jumlah maksimum rentang alamat IP sumber yang dapat Anda tentukan dalam aturan firewall VPC atau aturan dalam kebijakan firewall. Rentang alamat IP hanya IPv4 atau hanya IPv6. Batas ini tidak dapat ditingkatkan.
Jumlah maksimum rentang alamat IP tujuan per aturan firewall 5.000 Jumlah maksimum rentang alamat IP tujuan yang dapat Anda tentukan dalam aturan firewall VPC atau aturan dalam kebijakan firewall. Rentang alamat IP hanya IPv4 atau hanya IPv6. Batas ini tidak dapat ditingkatkan.
Jumlah maksimum grup alamat sumber per aturan firewall masuk dalam kebijakan firewall 10 Jumlah maksimum grup alamat sumber yang dapat Anda tentukan dalam aturan firewall masuk dalam kebijakan firewall. Batas ini tidak dapat ditingkatkan.
Jumlah maksimum grup alamat tujuan per aturan firewall dalam kebijakan firewall 10 Jumlah maksimum grup alamat tujuan yang dapat Anda tentukan dalam aturan firewall keluar dalam kebijakan firewall. Batas ini tidak dapat ditingkatkan.
Jumlah maksimum nama domain (FQDN) per aturan firewall dalam kebijakan firewall 100 Jumlah nama domain (FQDN) yang dapat Anda sertakan dalam aturan kebijakan firewall. Batas ini tidak dapat ditingkatkan.

Per grup alamat

Batas berikut berlaku untuk grup alamat yang digunakan oleh Cloud NGFW.

Item Batas Catatan
Jumlah maksimum alamat IP per grup alamat 1.000 Berlaku secara terpisah untuk setiap grup alamat yang digunakan oleh Cloud NGFW. Grup alamat dapat berupa grup alamat cakupan project global; grup alamat cakupan organisasi global; grup alamat cakupan project regional; atau grup alamat cakupan organisasi regional.

Per endpoint firewall

Batasan berikut berlaku untuk endpoint firewall:

Item Batas Catatan
Asosiasi per endpoint firewall 50 Jumlah maksimum jaringan VPC yang dapat Anda kaitkan dengan endpoint firewall. Anda dapat membuat endpoint firewall tambahan di zona yang sama untuk mengatasi batas ini.
Throughput per koneksi maksimum dengan Transport Layer Security (TLS) 250 Mbps Throughput maksimum per koneksi dengan pemeriksaan TLS.
Throughput maksimum per koneksi tanpa TLS 1,25 Gbps Throughput maksimum per koneksi tanpa pemeriksaan TLS.
Traffic maksimum dengan TLS 2 Gbps Traffic maksimum yang dapat diproses endpoint firewall dengan pemeriksaan TLS.
Traffic maksimum tanpa TLS 10 Gbps Traffic maksimum yang dapat diproses endpoint firewall tanpa pemeriksaan TLS.

Per profil keamanan

Batasan berikut berlaku untuk profil keamanan:

Item Batas Catatan
Jumlah penggantian ancaman per profil keamanan 100 Jumlah maksimum penggantian ancaman yang dapat Anda tambahkan dalam profil keamanan pencegahan ancaman.

Per tag aman

Batasan berikut berlaku untuk tag aman:

Item Batas Catatan
Nilai tag aman maksimum per kunci tag 1.000 Jumlah maksimum nilai tag aman yang dapat Anda tambahkan per kunci tag. Untuk mengetahui informasi selengkapnya, lihat Batas tag.

Per antarmuka jaringan VM

Batas berikut berlaku untuk antarmuka jaringan VM:

Item Batas Catatan
Nilai tag aman maksimum yang terpasang ke antarmuka jaringan VM 10 Jumlah maksimum nilai tag aman yang dapat dilampirkan ke setiap antarmuka jaringan VM. Untuk mengetahui informasi selengkapnya tentang spesifikasi tag aman firewall, lihat Spesifikasi.

Untuk batas jaringan, lihat Batas per jaringan.

Mengelola kuota

Cloud Next Generation Firewall memberlakukan kuota pada penggunaan resource karena berbagai alasan. Misalnya, kuota melindungi komunitas pengguna Google Cloud dengan mencegah lonjakan penggunaan yang tidak terduga. Kuota juga membantu pengguna yang menjelajahi Google Cloud dengan paket gratis agar tetap berada dalam masa uji coba.

Semua project dimulai dengan kuota yang sama, yang dapat diubah dengan meminta kuota tambahan. Beberapa kuota dapat meningkat secara otomatis berdasarkan penggunaan produk oleh Anda.

Izin

Untuk melihat kuota atau meminta peningkatan kuota, akun utama Identity and Access Management (IAM) memerlukan salah satu peran berikut.

Tugas Peran yang diperlukan
Memeriksa kuota untuk suatu project Salah satu dari berikut ini:
Mengubah kuota, meminta kuota tambahan Salah satu dari berikut ini:
  • Project Owner (roles/owner)
  • Project Editor (roles/editor)
  • Quota Administrator (roles/servicemanagement.quotaAdmin)
  • Peran khusus dengan izin serviceusage.quotas.update

Memeriksa kuota

Konsol

  1. Di Google Cloud console, buka halaman Quotas.

    Buka Kuota

  2. Untuk menelusuri kuota yang ingin Anda perbarui, gunakan Filter table. Jika Anda tidak mengetahui nama kuota, gunakan link di halaman ini.

gcloud

Dengan menggunakan Google Cloud CLI, jalankan perintah berikut untuk memeriksa kuota Anda. Ganti PROJECT_ID dengan project ID Anda.

    gcloud compute project-info describe --project PROJECT_ID

Untuk memeriksa kuota yang digunakan di suatu region, jalankan perintah berikut:

    gcloud compute regions describe example-region
    

Error saat melebihi kuota

Jika Anda melampaui kuota dengan perintah gcloud, gcloud akan menghasilkan pesan error quota exceeded dan menampilkan kode keluar 1.

Jika Anda melampaui kuota dengan permintaan API, Google Cloud akan menampilkan kode status HTTP berikut: 413 Request Entity Too Large.

Meminta kuota tambahan

Untuk menyesuaikan sebagian besar kuota, gunakan konsol Google Cloud . Untuk mengetahui informasi selengkapnya, lihat Meminta penyesuaian kuota.

Ketersediaan resource

Setiap kuota mewakili jumlah maksimum untuk jenis resource tertentu yang dapat Anda buat, jika resource tersebut tersedia. Perlu diperhatikan bahwa kuota tidak menjamin ketersediaan resource. Meskipun memiliki kuota yang tersedia, Anda tidak dapat membuat resource baru jika tidak tersedia.

Misalnya, Anda mungkin memiliki kuota yang memadai untuk membuat alamat IP eksternal regional baru di region tertentu. Namun, hal itu tidak mungkin dilakukan jika tidak ada alamat IP eksternal yang tersedia di region tersebut. Ketersediaan resource zona juga dapat memengaruhi kemampuan Anda untuk membuat resource baru.

Situasi ketika resource tidak tersedia di seluruh region jarang terjadi. Namun, resource dalam suatu zona dapat habis dari waktu ke waktu, biasanya tanpa memengaruhi perjanjian tingkat layanan (SLA) untuk jenis resource tersebut. Untuk informasi selengkapnya, tinjau SLA yang relevan untuk referensi tersebut.