このドキュメントでは、Cloud Next Generation Firewall に適用される割り当てとシステムの上限について説明します。
- 割り当ては、使用できるカウント可能な共有リソースの量を指定します。割り当ては、Cloud Next Generation Firewall などの Google Cloud サービスによって定義されます。
- システムの上限は固定値で、変更できません。
Google Cloud では、割り当てを使用して公平性を確保し、リソースの使用量と可用性の急増を抑えます。割り当ては、 Google Cloud プロジェクトで使用できるGoogle Cloud リソースの量を制限します。割り当ては、ハードウェア、ソフトウェア、ネットワーク コンポーネントなど、さまざまなリソースタイプに適用されます。たとえば、割り当てによって、サービスへの API 呼び出しの数、プロジェクトで同時に使用されるロードバランサの数、作成可能なプロジェクトの数を制限できます。割り当てを適用することで、サービスの過負荷を防ぎ、Google Cloud ユーザーのコミュニティを保護します。割り当ては、自組織で使用している Google Cloud リソースの管理にも役立ちます。
Cloud Quotas システムは次のことを行います。
- Google Cloud のプロダクトとサービスの消費量をモニタリングする
- これらのリソースの消費量を制限する
- 割り当て値の変更をリクエストし、割り当ての調整を自動化する手段を提供する
ほとんどの場合、割り当ての許容量を超えるリソースを消費しようとすると、システムによってリソースへのアクセスがブロックされ、実行しようとしているタスクは失敗します。
割り当ては通常、 Google Cloud プロジェクト レベルで適用されます。あるプロジェクトでリソースを使用しても、別のプロジェクトで使用可能な割り当てに影響することはありません。 Google Cloud プロジェクト内では、すべてのアプリケーションと IP アドレスで割り当てが共有されます。
Cloud NGFW リソースにはシステムの上限もあります。システムの上限は変更できません。
割り当て
このセクションでは、Cloud Next Generation Firewall に適用される割り当てについて説明します。
Cloud Monitoring を使用するプロジェクトごとの割り当てをモニタリングするには、Consumer Quota リソースタイプで指標 serviceruntime.googleapis.com/quota/allocation/usage のモニタリングを設定します。割り当てタイプに到達するように、追加のラベルフィルタ(service、quota_metric)を設定します。割り当て指標のモニタリングの詳細については、割り当て指標をグラフ化してモニタリングするをご覧ください。各割り当てには上限と使用量の値があります。
特に明記されていない限り、割り当てを変更するには、割り当ての調整をリクエストするをご覧ください。
プロジェクト単位
次の表に、プロジェクトごとの Cloud NGFW 割り当てを示します。
| 割り当て | 説明 |
|---|---|
| VPC ファイアウォール ルール | 各ファイアウォール ルールが適用される VPC ネットワークに関係なく、プロジェクト内に作成できる VPC ファイアウォール ルールの数。 |
| グローバル ネットワーク ファイアウォール ポリシー | プロジェクト内のグローバル ネットワーク ファイアウォール ポリシーの数。各ポリシーに関連付けられている VPC ネットワークの数は関係ありません。 |
| リージョン ネットワーク ファイアウォール ポリシー | プロジェクトの各リージョンにあるリージョン ネットワーク ファイアウォール ポリシーの数。各ポリシーに関連付けられている VPC ネットワークの数は関係ありません。 |
| プロジェクトごとのグローバル アドレス グループ | 1 つのプロジェクトで定義できるグローバル プロジェクト スコープのアドレス グループの数。 |
| 1 リージョン、1 プロジェクトあたりのリージョン アドレス グループ | プロジェクトの各リージョンで定義できるリージョン プロジェクト スコープのアドレス グループの数。 |
組織単位
次の表に、組織ごとの Cloud NGFW の割り当てを示します。組織レベルの割り当てを変更するには、サポートケースを登録してください。
| 割り当て | 説明 |
|---|---|
| 組織内の関連付けられていない階層型ファイアウォール ポリシー | フォルダまたは組織リソースに関連付けられていない、組織内の階層型ファイアウォール ポリシーの数。リソースに関連付けられている、組織内の階層型ファイアウォール ポリシーの数に制限はありません。 |
| 組織あたりのグローバル アドレス グループ | 組織で定義できるグローバルな組織スコープのアドレス グループの数。 |
| 1 リージョン、1 組織あたりのリージョン アドレス グループ | 組織の各リージョンで定義できるリージョン組織スコープのアドレス グループの数。 |
ファイアウォール ポリシー単位
次の表に、ファイアウォール ポリシー リソースごとの Cloud NGFW 割り当てを示します。
| 割り当て | 説明 |
|---|---|
| 階層型ファイアウォール ポリシー | |
| 階層型ファイアウォール ポリシーごとのルール属性 | この割り当ては、階層型ファイアウォール ポリシーにおけるすべてのルールのルール属性の合計です。詳細については、ルール属性の数の詳細をご覧ください。 |
| 階層型ファイアウォール ポリシーあたりのドメイン名(FQDN) | 階層型ファイアウォール ポリシーのすべてのルールに含めることができるドメイン名の数。この割り当ては、ポリシーにおけるすべての上り(内向き)ルールのすべての送信元ドメイン名の合計と、ポリシーにおけるすべての下り(外向き)ルールのすべての宛先ドメイン名の合計です。 |
| グローバル ネットワーク ファイアウォール ポリシー | |
| グローバル ネットワーク ファイアウォール ポリシーごとのルール属性 | グローバル ネットワーク ファイアウォール ポリシーにおけるすべてのルールのルール属性の合計。詳細については、ルール属性の数の詳細をご覧ください。 |
| グローバル ネットワーク ファイアウォール ポリシーごとのドメイン名(FQDN) | グローバル ネットワーク ファイアウォール ポリシーのすべてのルールに含めることができるドメイン名の数。この割り当ては、ポリシーにおけるすべての上り(内向き)ルールのすべての送信元ドメイン名の合計と、ポリシーにおけるすべての下り(外向き)ルールのすべての宛先ドメイン名の合計です。 |
| リージョン ネットワーク ファイアウォール ポリシー | |
| リージョン ネットワーク ファイアウォール ポリシーごとのルール属性 | リージョン ネットワーク ファイアウォール ポリシーにおけるすべてのルールのルール属性の合計。詳細については、ルール属性の数の詳細をご覧ください。 |
| リージョン ネットワーク ファイアウォール ポリシーごとのドメイン名(FQDN) | リージョン ネットワーク ファイアウォール ポリシーのすべてのルールに含めることができるドメイン名(FQDN)の数: この割り当ては、ポリシーにおけるすべての上り(内向き)ルールのすべての送信元ドメイン名の合計と、ポリシーにおけるすべての下り(外向き)ルールの宛先ドメイン名の合計です。 |
ルール属性の数の詳細
各ファイアウォール ポリシーは、ポリシー内に存在するすべてのルールの属性の最大合計数をサポートします。特定のファイアウォール ポリシーのルール属性数を確認するには、ポリシーの説明を取得します。手順については、以下をご覧ください。
- 階層型ファイアウォール ポリシーのドキュメントでポリシーの説明を取得する
- グローバル ネットワーク ファイアウォール ポリシーの情報を取得する
- リージョン ネットワーク ファイアウォール ポリシーの情報を取得する
次の表に、ルールの例と、各ルールの属性数を示します。
| ファイアウォール ルールの例 | ルール属性の数 | 説明 |
|---|---|---|
送信元 IP アドレス範囲が 10.100.0.1/32、プロトコルが tcp、ポート範囲が 5000-6000 の上り(内向き)許可ファイアウォール ルール。 |
3 | 1 つの送信元 IP アドレス範囲、1 つのプロトコル、1 つのポート範囲。 |
送信元 IP アドレス範囲が 10.0.0.0/8, 192.168.0.0/16、宛先 IP アドレス範囲が 100.64.0.7/32、プロトコルが tcp および udp、ポート範囲が 53-53 と 5353-5353 の上り(内向き)拒否ファイアウォール ルール。 |
11 | プロトコルとポートの組み合わせは、tcp:53-53、tcp:5353-5353、udp:53-53、udp:5353-5353 の 4 つ。プロトコルとポートの組み合わせごとに、2 つの属性を使用します。2 つの送信元 IP アドレス範囲にそれぞれ 1 つの属性、宛先 IP アドレス範囲に 1 つの属性、プロトコルとポートの組み合わせに 8 つの属性がある場合は、属性数は 11 になります。 |
送信元 IP アドレス範囲が 100.64.0.7/32、宛先 IP アドレス範囲が 10.100.0.1/32, 10.100.1.1/32、tcp:80、tcp:443、udp:4000-5000 の下り(外向き)拒否ファイアウォール ルール。 |
9 | プロトコルとポートの組み合わせは、tcp:80-80、tcp:443-443、udp:4000-5000 の 3 つ。プロトコルとポートの組み合わせごとに、2 つの属性を使用します。送信元 IP アドレス範囲に 1 つの属性、2 つの宛先 IP アドレス範囲にそれぞれ 1 つの属性、プロトコルとポートの組み合わせに 6 つの属性がある場合、属性数は 9 になります。 |
上限
具体的に注記がある場合を除き、通常、上限を引き上げることはできません。
組織単位
組織には次の上限が適用されます。
| 項目 | 上限 | メモ |
|---|---|---|
| 組織ごとのセキュアタグの最大数 | 1,000 | 親組織を持つセキュアタグ キーの最大数。詳細については、タグの制限をご覧ください。 |
purpose が GCE_FIREWALL で、purpose-data が組織であるすべてのタグキーで使用されるセキュアタグの最大値 |
16384 | この上限は、目的データに一致する組織で作成されたタグキーで使用されるすべてのタグ値に適用されます。これには、親が組織またはそのプロジェクトであるタグキーが含まれます。 |
| 組織ごとの脅威防止セキュリティ プロファイル | 40 | 組織ごとに作成できる脅威防止タイプのセキュリティ プロファイルの最大数。 |
| 組織あたりのセキュリティ プロファイル グループ数 | 40 | 脅威防止セキュリティ プロファイルを使用するセキュリティ プロファイル グループのうち、組織ごとに作成できる最大数。 |
| 組織、ゾーンあたりのファイアウォール エンドポイント | 50 | 組織の 1 つのゾーンに作成できるファイアウォール エンドポイントの最大数。 |
プロジェクト単位
プロジェクトには次の上限が適用されます。
| 項目 | 上限 | メモ |
|---|---|---|
| プロジェクトごとのセキュアタグの最大数 | 1,000 | 親プロジェクトを持つセキュアタグ キーの最大数。詳細については、タグの制限をご覧ください。 |
ネットワーク単位
VPC ネットワークには次の上限が適用されます。
| 項目 | 上限 | 注 |
|---|---|---|
| ネットワークあたりの最大グローバル ネットワーク ファイアウォール ポリシー | 1 | VPC ネットワークに関連付けることができる、グローバル ネットワーク ファイアウォール ポリシーの最大数。 |
| ネットワークごとのリージョンあたりのリージョン ネットワーク ファイアウォール ポリシーの最大数 | 1 | VPC ネットワークとリージョンの組み合わせに関連付けることができる、リージョン ネットワーク ファイアウォール ポリシーの最大数。 |
| ネットワークあたりのドメイン名(FQDN)の最大数 | 1,000 | 階層型ファイアウォール ポリシー、グローバル ネットワーク ファイアウォール ポリシー、および VPC ネットワークに関連付けられたリージョン ネットワーク ファイアウォール ポリシーのファイアウォール ルールで使用できるドメイン名の最大合計数。 |
purpose が GCE_FIREWALL で、purpose-data が VPC ネットワークであるすべてのタグキーで使用されるセキュアタグ値の最大数 |
16383 | この上限は、親が組織またはプロジェクトのいずれかであるタグキーを含め、purpose-data が指定された VPC ネットワークと一致するタグキーで使用されるすべてのタグ値に適用されます。 |
| 1 ゾーン、1 ネットワークあたりのファイアウォール エンドポイント | 1 | ネットワークごとのゾーンあたりに割り当て可能なファイアウォール エンドポイントの最大数。 |
ファイアウォール ルール単位
ファイアウォール ルールには、次の上限が適用されます。
| 項目 | 上限 | 注 |
|---|---|---|
| 上り(内向き)ファイアウォール ポリシールールあたりの送信元セキュアタグの最大数 | 256 | 上り(内向き)ファイアウォール ポリシールールにのみ適用される、ファイアウォール ルールでソースタグとして使用できるセキュアタグの最大数。この上限を引き上げることはできません。 |
| ファイアウォール ポリシールールあたりの最大ターゲット セキュアタグ数 | 256 | ファイアウォール ポリシールールにのみ適用される、ファイアウォール ルールでターゲットタグとして使用できるセキュアタグの最大数。この上限を引き上げることはできません。 |
| 上り(内向き)VPC ファイアウォール ルールあたりのソース ネットワーク タグの最大数 | 30 | 上り(内向き)VPC ファイアウォール ルールにのみ適用される、ファイアウォール ルールでソースタグとして使用できるネットワーク タグの最大数。この上限を引き上げることはできません。 |
| VPC ファイアウォール ルールあたりのターゲット ネットワーク タグの最大数 | 70 | VPC ファイアウォール ルールにのみ適用される、ファイアウォール ルールでターゲット タグとして使用できるネットワーク タグの最大数。この上限を引き上げることはできません。 |
| 上り(内向き)VPC ファイアウォール ルールあたりのソースサービス アカウントの最大数 | 10 | 上り(内向き)VPC ファイアウォール ルールにのみ適用される、ファイアウォール ルールでソースとして使用できるサービス アカウントの最大数。この上限を引き上げることはできません。 |
| ファイアウォール ルール単位の最大ターゲット サービス アカウント数 | 10 | VPC ファイアウォール ルールまたはファイアウォール ポリシーのルールでターゲットとして使用できるサービス アカウントの最大数。この上限を引き上げることはできません。 |
| ファイアウォール ルールあたりの送信元 IP アドレス範囲の最大数 | 5,000 | VPC ファイアウォール ルールまたはファイアウォール ポリシーのルールで指定できる送信元 IP アドレス範囲の最大数。IP アドレス範囲は、IPv4 のみ、または IPv6 のみです。この上限を引き上げることはできません。 |
| ファイアウォール ルールあたりの宛先 IP アドレス範囲の最大数 | 5,000 | VPC ファイアウォール ルールまたはファイアウォール ポリシーのルールで指定できる宛先 IP アドレス範囲の最大数。IP アドレス範囲は、IPv4 のみ、または IPv6 のみです。この上限を引き上げることはできません。 |
| ファイアウォール ポリシーの上り(内向き)ファイアウォール ルールあたりの送信元アドレス グループの最大数 | 10 | ファイアウォール ポリシーの上り(内向き)ファイアウォール ルールで指定できる送信元アドレス グループの最大数。この上限を引き上げることはできません。 |
| ファイアウォール ポリシーのファイアウォール ルールあたりの宛先アドレス グループの最大数 | 10 | ファイアウォール ポリシーの下り(外向き)ファイアウォール ルールで指定できる宛先アドレス グループの最大数。この上限を引き上げることはできません。 |
| ファイアウォール ポリシーのファイアウォール ルールあたりのドメイン名(FQDN)の最大数 | 100 | ファイアウォール ポリシーのルールに含めることができるドメイン名(FQDN)の数。この上限を引き上げることはできません。 |
アドレス グループ単位
Cloud NGFW で使用されるアドレス グループには、次の上限が適用されます。
| 項目 | 上限 | メモ |
|---|---|---|
| アドレス グループあたりの IP アドレスの最大数 | 1,000 | Cloud NGFW で使用される各アドレス グループに個別に適用されます。アドレス グループは、グローバル プロジェクト スコープのアドレス グループ、グローバル組織スコープのアドレス グループ、リージョン プロジェクト スコープのアドレス グループ、リージョン組織スコープのアドレス グループのいずれかになります。 |
ファイアウォール エンドポイント単位
ファイアウォール エンドポイントには、次の上限が適用されます。
| 項目 | 上限 | 注 |
|---|---|---|
| ファイアウォール エンドポイントあたりの関連付け | 50 | ファイアウォール エンドポイントに関連付けることができる VPC ネットワークの最大数。この上限を回避するには、同じゾーンに追加のファイアウォール エンドポイントを作成します。 |
| Transport Layer Security(TLS)を使用した接続あたりの最大スループット | 250 Mbps | TLS インスペクションでの接続あたりの最大スループット。 |
| TLS を使用しない場合の接続あたりの最大スループット | 1.25 Gbps | TLS インスペクションなしの接続あたりの最大スループット。 |
| TLS を使用した最大トラフィック | 2 Gbps | ファイアウォール エンドポイントが TLS インスペクションで処理できる最大トラフィック。 |
| TLS なしの最大トラフィック | 10 Gbps | TLS インスペクションなしでファイアウォール エンドポイントが処理できる最大トラフィック。 |
セキュリティ プロファイル単位
セキュリティ プロファイルには次の上限が適用されます。
| 項目 | 上限 | 注 |
|---|---|---|
| セキュリティ プロファイルごとの脅威のオーバーライド数 | 100 | 脅威防止のセキュリティ プロファイルに追加できる脅威のオーバーライドの最大数。 |
セキュアタグ単位
セキュアタグには次の制限が適用されます。
| 項目 | 上限 | メモ |
|---|---|---|
| タグキーあたりのセキュアタグの最大値 | 1,000 | タグキーごとに追加できるセキュアタグの値の最大数。詳細については、タグの制限をご覧ください。 |
VM ネットワーク インターフェース単位
VM ネットワーク インターフェースには次の上限が適用されます。
| 項目 | 上限 | メモ |
|---|---|---|
| VM ネットワーク インターフェースに適用されるセキュアタグ値の最大数 | 10 | 各 VM ネットワーク インターフェースに適用できるセキュアタグ値の最大数。ファイアウォール セキュアタグの仕様の詳細については、仕様をご覧ください。 ネットワークの上限については、ネットワークごとの上限をご覧ください。 |
割り当てを管理する
Cloud Next Generation Firewall では、さまざまな理由から、使用できるリソースの割り当て量に上限が設けられています。たとえば、割り当て量の上限を設定して予期しない使用量の急増を防ぐことで、 Google Cloud ユーザーのコミュニティを保護しています。割り当て量は、無料枠で Google Cloud を試しているユーザーをトライアルのレベルに留めておくのにも役立ちます。
すべてのプロジェクトは同じ割り当て量で開始しますが、追加の割り当て量をリクエストすることで変更できます。割り当ては、プロダクトの使用状況に応じて自動的に増加される場合もあります。
権限
割り当ての表示や、割り当ての増加のリクエストをするには、Identity and Access Management(IAM)のプリンシパルに以下のいずれかのロールが必要です。
| タスク | 必要なロール |
|---|---|
| プロジェクトの割り当て量をチェックする | 次のいずれかが必要です。 |
| 割り当て量の変更、割り当て量の追加のリクエストを行う | 次のいずれかが必要です。 |
割り当て量を確認する
コンソール
- Google Cloud コンソールで、[割り当て] ページに移動します。
- 更新する割り当てを検索するには、[表をフィルタリング] を使用します。割り当ての名前がわからない場合は、このページにあるリンクを使用します。
gcloud
Google Cloud CLI で次のコマンドを実行して、割り当てを確認します。PROJECT_ID は、実際のプロジェクト ID に置き換えます。
gcloud compute project-info describe --project PROJECT_IDある特定のリージョンで使用済みの割り当て量を確認するには、次のコマンドを実行します。
gcloud compute regions describe example-region
割り当て量を超えたときのエラー
gcloud コマンドで割り当て量を超えた場合、gcloud は quota exceeded エラー メッセージを出力し、終了コード 1 を返します。
API リクエストで割り当て量を超えた場合、 Google Cloud は HTTP ステータス コード 413 Request Entity Too Large を返します。
追加の割り当てをリクエスト
通常、割り当てを調整するには Google Cloud コンソールを使用します。詳細については、割り当ての調整をリクエストするをご覧ください。
リソースの可用性
各割り当て量は、リソースが利用可能な場合に作成できる特定のリソースタイプの最大数を表します。割り当て量によってリソースの可用性が保証されるわけではありません。この点は注意が必要です。割り当て量が使用可能でも、新しいリソースを使用できなければ、そのリソースを作成することはできません。
たとえば、特定のリージョンで新しいリージョンの外部 IP アドレスを作成するための割り当て量が十分にあっても、そのリージョンに使用可能な外部 IP アドレスがない場合、外部 IP アドレスは作成できません。ゾーンリソースの可用性は、新しいリソースを作成できるかにも影響を及ぼす可能性があります。
リージョン全体でリソースを使用できない状況はまれです。ただし、ゾーン内のリソースが使い果たされることはあります。通常、そのリソースタイプのサービスレベル契約(SLA)に影響はありません。詳細については、リソースに関連する SLA をご覧ください。