Questo documento elenca le quote e i limiti di sistema che si applicano a Cloud Next Generation Firewall.
- Le quote specificano la quantità di una risorsa condivisa e numerabile che puoi utilizzare. Le quote sono definite da Google Cloud servizi come Cloud Next Generation Firewall.
- I limiti di sistema sono valori fissi che non possono essere modificati.
Google Cloud utilizza le quote per garantire l'equità e ridurre i picchi di utilizzo e disponibilità delle risorse. Una quota limita la quantità di una Google Cloud risorsa che Google Cloud il progetto può utilizzare. Le quote si applicano a una serie di tipi di risorse, inclusi hardware, software e componenti di rete. Ad esempio, le quote possono limitare il numero di chiamate API a un servizio, il numero di bilanciatori del carico utilizzati contemporaneamente dal tuo progetto o il numero di progetti che puoi creare. Le quote proteggono la community degli utentiGoogle Cloud impedendo il sovraccarico dei servizi. Le quote ti aiutano inoltre a gestire le tue Google Cloud risorse.
Il sistema delle quote di Cloud esegue le seguenti operazioni:
- Monitora il tuo consumo di Google Cloud prodotti e servizi
- Limita il consumo di queste risorse
- Fornisce un modo per richiedere modifiche al valore della quota e automatizzare gli aggiustamenti della quota
Nella maggior parte dei casi, quando provi a utilizzare una risorsa per un volume maggiore di quello consentito dalla quota, il sistema blocca l'accesso alla risorsa e l'attività che stai tentando di eseguire non va a buon fine.
In genere, le quote si applicano a livello di Google Cloud progetto. L'utilizzo di una risorsa in un progetto non influisce sulla quota disponibile in un altro progetto. All'interno di un Google Cloud progetto, le quote vengono condivise tra tutte le applicazioni e gli indirizzi IP.
Esistono anche limiti di sistema per le risorse Cloud NGFW. I limiti di sistema non possono essere modificati.
Quote
Questa sezione elenca le quote che si applicano a Cloud Next Generation Firewall.
Per monitorare le quote per progetto che utilizzano Cloud Monitoring, configura il monitoraggio
per la metrica serviceruntime.googleapis.com/quota/allocation/usage sul tipo di risorsa
Consumer Quota. Imposta filtri per le etichette aggiuntivi (service,
quota_metric) per accedere al tipo di quota. Per informazioni sul monitoraggio delle metriche
delle quote, vedi Grafico e monitoraggio delle metriche delle quote.
Ogni quota ha un limite e un valore di utilizzo.
Se non diversamente specificato, per modificare una quota, vedi Richiedi un aggiustamento delle quote.
Per progetto
La seguente tabella evidenzia le quote di Cloud NGFW per progetto:
| Quota | Descrizione |
|---|---|
| Regole firewall VPC | Il numero di regole firewall VPC che puoi creare in un progetto, indipendentemente dalla rete VPC a cui si applica ogni regola firewall. |
| Policy del firewall di rete globali | Il numero di criteri firewall di rete globali in un progetto, indipendentemente dal numero di reti VPC associate a ogni criterio. |
| Policy firewall di rete regionali | Il numero di criteri di firewall di rete regionali in ogni regione di un progetto, indipendentemente dal numero di reti VPC associate a ciascun criterio. |
| Gruppi di indirizzi globali per progetto | Il numero di gruppi di indirizzi globali a livello di progetto che puoi definire in un progetto. |
| Gruppi di indirizzi regionali per progetto per regione | Il numero di gruppi di indirizzi a livello di progetto e di regione che puoi definire in ciascuna regione di un progetto. |
Per organizzazione
La tabella seguente evidenzia le quote di Cloud NGFW per organizzazione. Per modificare una quota a livello di organizzazione, apri una richiesta di assistenza.
| Quota | Descrizione |
|---|---|
| Criteri firewall gerarchici non associati in un'organizzazione | Il numero di criteri firewall gerarchici in un'organizzazione che non sono associati a nessuna risorsa di cartella o organizzazione. Non esiste alcun limite al numero di criteri firewall gerarchici in un'organizzazione associati a una risorsa. |
| Gruppi di indirizzi globali per organizzazione | Il numero di gruppi di indirizzi globali e con ambito organizzativo che puoi definire in un'organizzazione. |
| Gruppi di indirizzi regionali per organizzazione per regione | Il numero di gruppi di indirizzi a livello di organizzazione e di regione che puoi definire in ciascuna regione di un'organizzazione. |
Per policy firewall
La tabella seguente evidenzia le quote di Cloud NGFW per risorsa di policy firewall:
| Quota | Descrizione |
|---|---|
| Criteri firewall gerarchici | |
| Attributi delle regole per criterio firewall gerarchico | Questa quota è la somma degli attributi di regola di tutte le regole di un criterio firewall gerarchico. Per ulteriori informazioni, vedi Dettagli sul conteggio degli attributi delle regole. |
| Nomi di dominio (FQDN) per criterio firewall gerarchico | Il numero di nomi di dominio che puoi includere in tutte le regole di un criterio firewall gerarchico. Questa quota è la somma di tutti i nomi di dominio di origine di tutte le regole di ingresso nel criterio più la somma di tutti i nomi di dominio di destinazione di tutte le regole di uscita nel criterio. |
| Policy del firewall di rete globali | |
| Attributi delle regole per criterio firewall di rete globale | La somma degli attributi di regola di tutte le regole di un criterio firewall di rete globale. Per ulteriori informazioni, vedi Dettagli sul conteggio degli attributi delle regole. |
| Nomi di dominio (FQDN) per policy del firewall di rete globale | Il numero di nomi di dominio che puoi includere in tutte le regole di un criterio firewall di rete globale. Questa quota è la somma di tutti i nomi di dominio di origine di tutte le regole di ingresso nel criterio più la somma di tutti i nomi di dominio di destinazione di tutte le regole di uscita nel criterio. |
| Policy firewall di rete regionali | |
| Attributi delle regole per criterio firewall di rete regionale | La somma degli attributi di regola di tutte le regole di un criterio firewall di rete regionale. Per ulteriori informazioni, vedi Dettagli sul conteggio degli attributi delle regole. |
| Nomi di dominio (FQDN) per policy firewall di rete regionale | Il numero di nomi di dominio (FQDN) che puoi includere in tutte le regole di un criterio firewall di rete regionale: questa quota è la somma di tutti i nomi di dominio di origine di tutte le regole di ingresso nel criterio più la somma di tutti i nomi di dominio di destinazione di tutte le regole di uscita nel criterio. |
Dettagli conteggio attributi regola
Ogni criterio firewall supporta un numero totale massimo di attributi di tutte le regole del criterio. Per determinare il conteggio degli attributi di regola per una determinata policy del firewall, descrivi la policy. Per le indicazioni, vedi quanto segue:
- Descrivi una policy nella documentazione sui criteri firewall gerarchici
- Descrivi una policy del firewall di rete globale
- Descrivi un criterio firewall di rete regionale
La tabella seguente elenca regole di esempio e il conteggio degli attributi per ciascuna regola.
| Regola firewall di esempio | Conteggio attributi regola | Spiegazione |
|---|---|---|
Regola firewall di autorizzazione in entrata con intervallo di indirizzi IP di origine
10.100.0.1/32, protocollo tcp e
intervallo di porte 5000-6000.
|
3 | Un intervallo di origine, un protocollo e un intervallo di porte. |
Regola firewall di negazione in entrata con intervalli di indirizzi IP di origine
10.0.0.0/8, 192.168.0.0/16, intervallo di indirizzi IP di destinazione
100.64.0.7/32, protocolli tcp e
udp, intervalli di porte 53-53 e
5353-5353.
|
11 | Esistono quattro combinazioni di protocollo e porta: tcp:53-53,
tcp:5353-5353, udp:53-53 e
udp:5353-5353. Ogni combinazione di protocollo e porta utilizza due
attributi. Un attributo per ciascuno dei due intervalli di indirizzi IP di origine, un attributo per l'intervallo di indirizzi IP di destinazione e otto attributi per le combinazioni di protocollo e porta producono un conteggio di 11 attributi. |
Regola firewall di negazione dell'uscita con intervallo di indirizzi IP di origine
100.64.0.7/32, intervallo di indirizzi IP di destinazione
10.100.0.1/32, 10.100.1.1/32, tcp:80,
tcp:443 e udp:4000-5000.
|
9 | Le combinazioni di protocollo e porta si espandono a tre: tcp:80-80,
tcp:443-443 e udp:4000-5000. Ogni combinazione di protocollo e porta utilizza due attributi. Un attributo per l'intervallo di origine, un attributo per ciascuno dei due intervalli di indirizzi IP di destinazione e sei attributi per le combinazioni di protocollo e porta producono un conteggio degli attributi pari a 9. |
Limiti
I limiti non possono essere aumentati se non diversamente specificato.
Per organizzazione
I seguenti limiti si applicano alle organizzazioni:
| Elemento | limite | Note |
|---|---|---|
| Numero massimo di chiavi tag sicure per organizzazione | 1000 | Il numero massimo di chiavi di tag sicure che hanno un'organizzazione principale. Per ulteriori informazioni, consulta Limiti dei tag. |
Valori tag sicuri massimi utilizzati da tutte le chiavi tag il cui purpose
è GCE_FIREWALL e purpose-data è un'organizzazione
|
16384 | Questo limite viene applicato a tutti i valori dei tag utilizzati dalle chiavi dei tag create nell'organizzazione corrispondente ai dati sullo scopo, incluse le chiavi dei tag il cui elemento principale è l'organizzazione o un progetto al suo interno. |
| Profili di sicurezza per la prevenzione delle minacce per organizzazione | 40 | Il numero massimo di profili di sicurezza di tipo prevenzione delle minacce che puoi creare per organizzazione. |
| Gruppi di profili di sicurezza per organizzazione | 40 | Il numero massimo di gruppi di profili di sicurezza che utilizzano un profilo di sicurezza di prevenzione delle minacce che puoi creare per organizzazione. |
| Endpoint firewall per zona per organizzazione | 50 | Il numero massimo di endpoint firewall che puoi creare per zona per organizzazione. |
Per progetto
Al progetto si applicano i seguenti limiti:
| Elemento | limite | Note |
|---|---|---|
| Numero massimo di chiavi tag sicure per progetto | 1000 | Il numero massimo di chiavi di tag sicuri che hanno un progetto padre. Per ulteriori informazioni, consulta Limiti dei tag. |
Per rete
I seguenti limiti sono applicabili alle reti VPC:
| Elemento | Limite | Note |
|---|---|---|
| Numero massimo di policy firewall di rete globali per rete | 1 | Il numero massimo di criteri firewall di rete globali che puoi associare a una rete VPC. |
| Numero massimo di criteri firewall di rete regionali per regione per rete | 1 | Il numero massimo di policy firewall di rete regionali che puoi associare a una combinazione di rete VPC e regione. |
| Numero massimo di nomi di dominio (FQDN) per rete | 1000 | Il numero totale massimo di nomi di dominio che possono essere utilizzati nelle regole firewall provenienti da policy firewall gerarchiche, policy firewall di rete globali e policy firewall di rete regionali associate a una rete VPC. |
Valori massimi dei tag sicuri utilizzati da tutte le chiavi tag il cui purpose
è GCE_FIREWALL e purpose-data è una
rete VPC
|
16383 | Questo limite viene applicato a tutti i valori dei tag utilizzati dalle chiavi tag il cui
purpose-data corrisponde alla rete VPC specificata,
incluse le chiavi tag il cui parent è l'organizzazione o un progetto.
|
| Endpoint firewall per zona per rete | 1 | Il numero massimo di endpoint firewall che puoi assegnare per zona per rete. |
Per regola firewall
Ai firewall si applicano i seguenti limiti:
| Elemento | Limite | Note |
|---|---|---|
| Numero massimo di tag sicuri di origine per regola firewall in entrata | 256 | Applicabile solo alla regola del criterio firewall in entrata: il numero massimo di tag sicuri che puoi utilizzare come tag di origine nella regola firewall. Questo limite non può essere aumentato. |
| Numero massimo di tag di destinazione protetti per regola dei criteri firewall | 256 | Applicabile solo alla regola della policy firewall: il numero massimo di tag sicuri che puoi utilizzare come tag di destinazione nella regola firewall. Questo limite non può essere aumentato. |
| Numero massimo di tag di rete di origine per regola firewall VPC in entrata | 30 | Applicabile solo alle regole firewall VPC in entrata: il numero massimo di tag di rete che puoi utilizzare come tag di origine nella regola firewall. Questo limite non può essere aumentato. |
| Numero massimo di tag di rete di destinazione per regola firewall VPC | 70 | Applicabile solo alle regole firewall VPC: il numero massimo di tag di rete che puoi utilizzare come tag di destinazione nella regola firewall. Questo limite non può essere aumentato. |
| Numero massimo di service account di origine per regola firewall VPC in entrata | 10 | Applicabile solo alle regole firewall VPC in entrata: il numero massimo di service account che puoi utilizzare come origini nella regola firewall. Questo limite non può essere aumentato. |
| Numero massimo di account di servizio di destinazione per regola firewall | 10 | Il numero massimo di service account che puoi utilizzare come destinazioni in una regola firewall VPC o in una regola di un criterio firewall. Questo limite non può essere aumentato. |
| Numero massimo di intervalli di indirizzi IP di origine per regola firewall | 5000 | Il numero massimo di intervalli di indirizzi IP di origine che puoi specificare in una regola firewall VPC o in una regola di un criterio firewall. Gli intervalli di indirizzi IP sono solo IPv4 o solo IPv6. Questo limite non può essere aumentato. |
| Numero massimo di intervalli di indirizzi IP di destinazione per regola firewall | 5000 | Il numero massimo di intervalli di indirizzi IP di destinazione che puoi specificare in una regola firewall VPC o in una regola di un criterio firewall. Gli intervalli di indirizzi IP sono solo IPv4 o solo IPv6. Questo limite non può essere aumentato. |
| Numero massimo di gruppi di indirizzi di origine per regola firewall in entrata in un criterio firewall | 10 | Il numero massimo di gruppi di indirizzi di origine che puoi specificare in una regola firewall in entrata di un criterio firewall. Questo limite non può essere aumentato. |
| Numero massimo di gruppi di indirizzi di destinazione per regola firewall in un criterio firewall | 10 | Il numero massimo di gruppi di indirizzi di destinazione che puoi specificare in una regola firewall in uscita in un criterio firewall. Questo limite non può essere aumentato. |
| Numero massimo di nomi di dominio (FQDN) per regola firewall in un criterio firewall | 100 | Il numero di nomi di dominio (FQDN) che puoi includere in una regola di un criterio firewall. Questo limite non può essere aumentato. |
Per gruppo di indirizzi
I seguenti limiti si applicano ai gruppi di indirizzi utilizzati da Cloud NGFW.
| Elemento | Limite | Note |
|---|---|---|
| Numero massimo di indirizzi IP per gruppo di indirizzi | 1000 | Si applica individualmente a ogni gruppo di indirizzi utilizzato da Cloud NGFW. Il gruppo di indirizzi può essere un gruppo di indirizzi globale a livello di progetto, un gruppo di indirizzi globale a livello di organizzazione, un gruppo di indirizzi regionale a livello di progetto o un gruppo di indirizzi regionale a livello di organizzazione. |
Per endpoint firewall
Ai firewall endpoint si applicano i seguenti limiti:
| Elemento | Limite | Note |
|---|---|---|
| Associazioni per endpoint firewall | 50 | Il numero massimo di reti VPC che puoi associare a un endpoint firewall. Per superare questo limite, puoi creare endpoint firewall aggiuntivi nella stessa zona. |
| Throughput massimo per connessione con Transport Layer Security (TLS) | 250 Mbps | La velocità effettiva massima per connessione con l'ispezione TLS. |
| Throughput massimo per connessione senza TLS | 1,25 Gbps | La velocità effettiva massima per connessione senza ispezione TLS. |
| Traffico massimo con TLS | 2 Gbps | Il traffico massimo che gli endpoint firewall possono elaborare con l'ispezione TLS. |
| Traffico massimo senza TLS | 10 Gbps | Il traffico massimo che gli endpoint firewall possono elaborare senza ispezione TLS. |
Per profilo di sicurezza
Ai profili di sicurezza si applicano i seguenti limiti:
| Elemento | Limite | Note |
|---|---|---|
| Numero di override delle minacce per profilo di sicurezza | 100 | Il numero massimo di override delle minacce che puoi aggiungere in un profilo di sicurezza per la prevenzione delle minacce. |
Per tag protetto
Ai tag sicuri si applicano i seguenti limiti:
| Elemento | Limite | Note |
|---|---|---|
| Numero massimo di valori di tag protetti per chiave tag | 1000 | Il numero massimo di valori di tag sicuri che puoi aggiungere per chiave tag. Per ulteriori informazioni, consulta Limiti dei tag. |
Per interfaccia di rete VM
I seguenti limiti sono applicabili alle interfacce di rete VM:
| Elemento | Limite | Note |
|---|---|---|
| Valori massimi dei tag sicuri collegati a un'interfaccia di rete VM | 10 | Il numero massimo di valori di tag sicuri che possono essere collegati a ogni interfaccia di rete VM. Per ulteriori informazioni sulle
specifiche dei tag sicuri del firewall,
consulta Specifiche.
Per i limiti di rete, vedi Limiti per rete. |
Gestisci quote
Cloud Next Generation Firewall applica le quote sull'utilizzo delle risorse per vari motivi. Ad esempio, le quote proteggono la community di utenti di Google Cloud da picchi di utilizzo imprevisti. Le quote sono utilizzate anche per aiutare gli utenti che esplorano Google Cloud con il Livello gratuito a restare entro i limiti previsti per la prova.
Tutti i progetti iniziano con le stesse quote, che puoi modificare richiedendo quota aggiuntiva. Alcune quote potrebbero aumentare automaticamente in base all'uso che fai del prodotto.
Autorizzazioni
Per visualizzare le quote o richiedere aumenti di quota, i principali di Identity and Access Management (IAM) devono disporre di uno dei seguenti ruoli.
| Attività | Ruolo richiesto |
|---|---|
| Controllare le quote per un progetto | Uno dei seguenti:
|
| Modificare quote, richiedere quota aggiuntiva | Uno dei seguenti:
|
Controlla la quota
Console
- Nella Google Cloud console, vai alla pagina Quote.
- Per cercare la quota da aggiornare, utilizza Filtra tabella. Se non conosci il nome della quota, utilizza invece i link in questa pagina.
gcloud
Con Google Cloud CLI, esegui il comando seguente per verificare le quote. Sostituisci PROJECT_ID con l'ID del tuo progetto.
gcloud compute project-info describe --project PROJECT_IDPer verificare la quota utilizzata in un'area geografica, esegui questo comando:
gcloud compute regions describe example-region
Errori quando superi la quota
Se superi una quota con un comando gcloud, gcloud restituisce un messaggio di errore quota exceeded e il codice di uscita 1.
Se superi una quota con una richiesta API, Google Cloud viene restituito il seguente codice di stato HTTP: 413 Request Entity Too Large.
Richiedi quota aggiuntiva
Per modificare la maggior parte delle quote, utilizza la Google Cloud console. Per ulteriori informazioni, consulta Richiedere un aggiustamento delle quote.
Disponibilità delle risorse
Ciascuna quota rappresenta un numero massimo per un determinato tipo di risorsa che puoi creare, se la risorsa è disponibile. È importante notare che le quote non garantiscono la disponibilità delle risorse. Anche se hai quota disponibile, non puoi creare una nuova risorsa se non è disponibile.
Ad esempio, potresti avere quota sufficiente per creare un nuovo indirizzo IP esterno a livello di regione in una determinata regione. Tuttavia, ciò non è possibile se non sono disponibili indirizzi IP esterni in quella regione. Anche la disponibilità di risorse a livello di zona potrebbe influire sulla tua possibilità di creare una nuova risorsa.
Situazioni in cui le risorse non sono disponibili in un'intera area geografica sono rare. Tuttavia, le risorse all'interno di una zona possono esaurirsi di tanto in tanto, generalmente senza impatto sull'accordo sul livello del servizio (SLA) per il tipo di risorsa. Per ulteriori informazioni, consulta lo SLA pertinente per la risorsa.