מכסות ומגבלות

במאמר הזה מוסבר על מכסות ומגבלות המערכת של Google Cloud Armor.

  • המכסות נקבעות כברירת מחדל, אבל בדרך כלל אפשר לבקש לשנות אותן.
  • מגבלות המערכת קבועות ואי אפשר לשנות אותן.

המכסות שלCloud de Confiance by S3NS עוזרות לשמור על הוגנות ולצמצם עליות חדות בשימוש במשאבים ובזמינות שלהם. הן מגבילות את כמות המשאבים שלCloud de Confiance שאפשר להשתמש בהם בפרויקט ב- Cloud de Confiance . המכסות רלוונטיות למגוון רחב של סוגי משאבים, כולל רכיבי חומרה, תוכנה ורשתות. לדוגמה, המכסות יכולות להגביל את מספר הקריאות ל-API בשירות מסוים, את מספר מאזני העומסים שאפשר להשתמש בהם בו-זמנית בפרויקט או את מספר הפרויקטים שאפשר ליצור. בשורה התחתונה, המכסות מגינות על משתמשיCloud de Confiance בכך שהן מונעות עומס יתר על השירותים, אבל גם עוזרות לשלוט על השימוש במשאבי Cloud de Confiance .

מערכת המכסות ב-Cloud:

ברוב המקרים, כשאתם מנסים להשתמש ביותר משאבים מהמכסה, הגישה למשאב נחסמת ומה שאתם מנסים לעשות נכשל.

בדרך כלל, המכסות ב- Cloud de Confiance הן ברמת הפרויקט. כלומר, השימוש במשאב מסוים בפרויקט כלשהו לא משפיע על המכסה שלכם בפרויקטים אחרים. ברמת הפרויקט ב- Cloud de Confiance , המכסות משותפות לכל האפליקציות וכתובות ה-IP.

לסקירה כללית על מכסות ב-Cloud

למשאבים של Cloud Armor יש גם מגבלות מערכת. שאי אפשר לשנות.

מכסות

מכסות המשאבים ב-Google Cloud Armor מסודרות לפי שני קריטריונים:

  • היקף המכסה:
    • גלובלי
    • אזורי
  • סוג מדיניות האבטחה של Cloud Armor:
    • מדיניות אבטחה של קצה עורפי
    • מדיניות אבטחה של Edge
    • מדיניות אבטחה של קצה הרשת

כללי מדיניות גלובליים לאבטחה של קצה עורפי וכללי מדיניות גלובליים לאבטחה של Edge

ב-Cloud Armor נעשה שימוש במכסות הבאות לכל פרויקט עבור מדיניות אבטחה גלובלית של קצה הרשת, מדיניות אבטחה גלובלית של קצה העורף וכללים שמוגדרים בהן:

משאב מכסה תיאור
כללי מדיניות גלובליים לאבטחה לפי פרויקט Quota

המגבלה של מכסת השימוש הזו מגדירה את המספר המקסימלי של כללי מדיניות גלובליים לאבטחת קצה וכללי מדיניות גלובליים לאבטחת עורף, ביחד, בפרויקט.

שם המכסה: SECURITY_POLICIES

מדדים זמינים:

  • compute.googleapis.com/quota/security_policies/limit
  • compute.googleapis.com/quota/security_policies/usage
  • compute.googleapis.com/quota/security_policies/exceeded
כללי מדיניות גלובליים לאבטחה לכל פרויקט Quota

המגבלה של המכסה הזו מגדירה את המספר המקסימלי הכולל של כללים במדיניות גלובלית לאבטחת קצה ובמדיניות גלובלית לאבטחת עורף, ביחד, בפרויקט. השימוש במכסת המקום הזו כולל את הפעולות הבאות:

  • כללים בסיסיים במדיניות גלובלית לאבטחה ב-Edge
  • כללים בסיסיים בכללי מדיניות גלובליים לאבטחה של קצה עורפי
  • כללים עם תנאי התאמה מתקדמים במדיניות גלובלית לאבטחה ב-Edge
  • כללים עם תנאי התאמה מתקדמים במדיניות גלובלית לאבטחת קצה עורפי

שם המכסה: SECURITY_POLICY_RULES

מדדים זמינים:

  • compute.googleapis.com/quota/security_policy_rules/limit
  • compute.googleapis.com/quota/security_policy_rules/usage
  • compute.googleapis.com/quota/security_policy_rules/exceeded
כללי מדיניות גלובליים לאבטחה עם תנאי התאמה מתקדמים לכל פרויקט Quota

המגבלה של המכסה הזו מגדירה את המספר המקסימלי הכולל של כללים עם תנאי התאמה מתקדמים במדיניות אבטחה גלובלית של קצה הרשת ובמדיניות אבטחה גלובלית של השרת העורפי, ביחד, בפרויקט. השימוש במכסה הזו כולל את הדברים הבאים:

  • כללים עם תנאי התאמה מתקדמים במדיניות גלובלית לאבטחה ב-Edge
  • כללים עם תנאי התאמה מתקדמים במדיניות גלובלית לאבטחת קצה עורפי

שם המכסה: SECURITY_POLICY_CEVAL_RULES

מדדים זמינים:

  • compute.googleapis.com/quota/security_policy_ceval_rules/limit
  • compute.googleapis.com/quota/security_policy_ceval_rules/usage
  • compute.googleapis.com/quota/security_policy_ceval_rules/exceeded

מכסות לכל כלל מדיניות גלובלי לאבטחה עבור כללים עם תנאי התאמה מתקדמים

‫Cloud Armor משתמש במכסות הבאות לכל כללי מדיניות האבטחה עבור כללים עם תנאי התאמה מתקדמים בכללי מדיניות גלובליים לאבטחה היקפית ובכללי מדיניות גלובליים לאבטחת עורף:

משאב מכסה תיאור
כללים עם תנאי התאמה מתקדמים לכל מדיניות גלובלית לאבטחה ב-Edge Quota

המגבלה של המכסה הזו מגדירה את המספר המקסימלי של כללים עם תנאי התאמה מתקדמים במדיניות אבטחה גלובלית ספציפית של שולי הרשת.

שם המכסה: SECURITY_POLICY_ADVANCED_RULES_PER_EDGE_SECURITY_POLICY

מדדים זמינים:

  • compute.googleapis.com/quota/advanced_rules_per_edge_security_policy/limit
  • compute.googleapis.com/quota/advanced_rules_per_edge_security_policy/usage
  • compute.googleapis.com/quota/advanced_rules_per_edge_security_policy/exceeded
כללים עם תנאי התאמה מתקדמים לכל מדיניות אבטחה גלובלית של קצה עורפי Quota

המגבלה של המכסה הזו מגדירה את המספר המקסימלי של כללים עם תנאי התאמה מתקדמים במדיניות אבטחה ספציפית בשרת קצה גלובלי.

שם המכסה: SECURITY_POLICY_ADVANCED_RULES_PER_SECURITY_POLICY

מדדים זמינים:

  • compute.googleapis.com/quota/advanced_rules_per_security_policy/limit
  • compute.googleapis.com/quota/advanced_rules_per_security_policy/usage
  • compute.googleapis.com/quota/advanced_rules_per_security_policy/exceeded

סיכום המכסות שנספרות עבור כללים בכללי מדיניות גלובליים לאבטחה

בטבלה הבאה מפורטות המכסות שנספרות עבור כללים בסיסיים וכללים עם תנאי התאמה מתקדמים במדיניות אבטחה גלובלית:

כלל השימוש שנספר במכסות האלה
כלל בסיסי במדיניות גלובלית לאבטחת Edge
  • כללי מדיניות אבטחה גלובלית לכל פרויקט (SECURITY_POLICY_RULES)
כלל בסיסי במדיניות אבטחה גלובלית של קצה עורפי
  • כללי מדיניות אבטחה גלובלית לכל פרויקט (SECURITY_POLICY_RULES)
כלל עם תנאי התאמה מתקדמים במדיניות גלובלית לאבטחה ב-Edge
  • כללי מדיניות אבטחה גלובלית לכל פרויקט (SECURITY_POLICY_RULES)
  • כללי מדיניות אבטחה גלובלית עם תנאי התאמה מתקדמים לכל פרויקט (SECURITY_POLICY_CEVAL_RULES)
  • כללים עם תנאי התאמה מתקדמים לכל מדיניות אבטחה גלובלית של Edge (SECURITY_POLICY_ADVANCED_RULES_PER_EDGE_SECURITY_POLICY)
כלל עם תנאי התאמה מתקדמים במדיניות אבטחה גלובלית של קצה עורפי
  • כללי מדיניות אבטחה גלובלית לכל פרויקט (SECURITY_POLICY_RULES)
  • כללי מדיניות אבטחה גלובלית עם תנאי התאמה מתקדמים לכל פרויקט (SECURITY_POLICY_CEVAL_RULES)
  • כללים עם תנאי התאמה מתקדמים לכל מדיניות אבטחה גלובלית של קצה עורפי (SECURITY_POLICY_ADVANCED_RULES_PER_SECURITY_POLICY)

מדיניות אבטחה אזורית של קצה עורפי

ב-Cloud Armor נעשה שימוש במכסות הבאות לכל אזור ולכל פרויקט עבור כללי מדיניות אבטחה של עורף האתר באזור מסוים והכללים שכלולים בהן:

משאב מכסה תיאור
מדיניות אבטחה אזורית של קצה עורפי לכל אזור, לכל פרויקט Quota

המגבלה של המכסה הזו מגדירה את המספר המקסימלי של מדיניות אבטחה אזורית בעורף האתר באזור של פרויקט.

שם המכסה: SECURITY_POLICIES_PER_REGION

מדדים זמינים:

  • compute.googleapis.com/quota/regional_security_policies/limit
  • compute.googleapis.com/quota/regional_security_policies/usage
  • compute.googleapis.com/quota/regional_security_policies/exceeded
כללים אזוריים של מדיניות אבטחה של קצה עורפי לכל אזור, לכל פרויקט Quota

המגבלה של המכסה הזו מגדירה את המספר המקסימלי הכולל של כללים במדיניות אבטחה של קצה עורפי אזורי באזור של פרויקט. השימוש במכסת המכסות הזו כולל גם כללים בסיסיים וגם כללים עם תנאי התאמה מתקדמים.

שם המכסה: SECURITY_POLICY_RULES_PER_REGION

מדדים זמינים:

  • compute.googleapis.com/quota/regional_security_policy_rules/limit
  • compute.googleapis.com/quota/regional_security_policy_rules/usage
  • compute.googleapis.com/quota/regional_security_policy_rules/exceeded
כללי מדיניות אבטחה אזוריים של קצה עורפי עם תנאי התאמה מתקדמים לכל אזור, לכל פרויקט Quota

המגבלה של המכסה הזו מגדירה את המספר המקסימלי הכולל של כללים עם תנאי התאמה מתקדמים במדיניות אבטחה אזורית של שרת קצה בפרויקט. השימוש במכסת המכסות הזו כולל רק כללים עם תנאי התאמה מתקדמים.

שם המכסה: SECURITY_POLICY_ADVANCED_RULES_PER_REGION

מדדים זמינים:

  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/limit
  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/usage
  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/exceeded

מכסות לכללים עם תנאי התאמה מתקדמים במדיניות אבטחה של קצה עורפי אזורי

‫Cloud Armor משתמש במכסות הבאות לכל כללי מדיניות האבטחה עם תנאי התאמה מתקדמים בכללי מדיניות האבטחה של הקצה העורפי האזורי:

משאב מכסה תיאור
כללים עם תנאי התאמה מתקדמים לכל מדיניות אבטחה אזורית של קצה עורפי Quota

המגבלה של המכסה הזו מגדירה את המספר המקסימלי של כללים מתקדמים במדיניות אבטחה ספציפית של עורף אזורי.

שם המכסה: SECURITY_POLICY_ADVANCED_RULES_PER_REGIONAL_SECURITY_POLICY

מדדים זמינים:

  • compute.googleapis.com/quota/advanced_rules_per_regional_security_policy/limit
  • compute.googleapis.com/quota/advanced_rules_per_regional_security_policy/usage
  • compute.googleapis.com/quota/advanced_rules_per_regional_security_policy/exceeded

סיכום המכסות שנספרות עבור כללים במדיניות אבטחה אזורית של קצה עורפי

בטבלה הבאה מפורטות המכסות שנספרות עבור כללים בסיסיים וכללים עם תנאי התאמה מתקדמים במדיניות אבטחה אזורית של שרת קצה:

כלל השימוש שנספר במכסות האלה
כלל בסיסי במדיניות אבטחה אזורית של קצה עורפי
  • כללי מדיניות אבטחה אזורית של קצה עורפי לכל אזור, לכל פרויקט (SECURITY_POLICY_RULES_PER_REGION)
כלל עם תנאי התאמה מתקדמים במדיניות אבטחה של קצה עורפי אזורי
  • כללי מדיניות אבטחה אזורית של קצה עורפי לכל אזור, לכל פרויקט (SECURITY_POLICY_RULES_PER_REGION)
  • כללים אזוריים של מדיניות אבטחה של קצה עורפי עם תנאי התאמה מתקדמים לכל אזור, לכל פרויקט (SECURITY_POLICY_ADVANCED_RULES_PER_REGION )
  • כללים עם תנאי התאמה מתקדמים בהתאם למדיניות האבטחה של הקצה העורפי האזורי (SECURITY_POLICY_ADVANCED_RULES_PER_REGIONAL_SECURITY_POLICY)

כללי מדיניות אזוריים לאבטחה של קצה הרשת

ב-Cloud Armor נעשה שימוש במכסות הבאות לכל אזור ולכל פרויקט עבור כללי מדיניות אזוריים לאבטחת קצה הרשת והכללים שכלולים בהם:

משאב מכסה תיאור
כללי מדיניות אזוריים לאבטחת קצה הרשת לכל אזור, לכל פרויקט Quota

המגבלה של המכסה הזו מגדירה את המספר המקסימלי של מדיניות אבטחה אזורית של קצה הרשת בכל אזור בפרויקט.

שם המכסה: NET_LB_SECURITY_POLICIES_PER_REGION

מדדים זמינים:

  • compute.googleapis.com/quota/regional_net_lb_security_policies/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policies/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policies/exceeded
כללי מדיניות אזוריים לאבטחת קצה הרשת לכל אזור, לכל פרויקט Quota

המגבלה של המכסה הזו מגדירה את המספר המקסימלי הכולל של כללים למדיניות אבטחה אזורית של קצה הרשת בכל אזור בפרויקט.

שם המכסה: NET_LB_SECURITY_POLICY_RULES_PER_REGION

מדדים זמינים:

  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/exceeded
ערכי התאמה של כלל מדיניות אבטחה בקצה הרשת האזורית לכל אזור, לכל פרויקט Quota

המגבלה של המכסה הזו מגדירה את המספר המקסימלי הכולל של מאפיינים בכללים של מדיניות אבטחה אזורית של קצוות רשת בכל אזור בפרויקט. השימוש במכסה הזו הוא סכום המאפיינים בכל כלל של כל מדיניות אבטחה של קצוות רשת באזור בפרויקט.SecurityPolicy.NetworkMatch

שם המכסה: NET_LB_SECURITY_POLICY_RULE_ATTRIBUTES_PER_REGION

מדדים זמינים:

  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/exceeded

בנוסף למכסות של Cloud Armor, למוצרים שמשתמשים ב-Cloud Armor יש מכסות משלהם. לדוגמה, אפשר לעיין במכסות ומגבלות של Cloud Load Balancing.

Cloud de Confiance by S3NS אוכפת מכסות על השימוש במשאבים מסיבות רבות. לדוגמה, המכסות מגנות על קהילת המשתמשים של Cloud de Confiance בכך שהן מונעות עליות חדות בלתי צפויות בשימוש. Cloud de Confiance מציעה גם מכסות לתקופת ניסיון בחינם שמספקות גישה מוגבלת לפרויקטים שרק בודקים אתCloud de Confiance על בסיס תקופת ניסיון בחינם.

המכסות לא זהות בכל הפרויקטים. אם השימוש שלכם ב- Cloud de Confianceיתרחב עם הזמן, יכול להיות שהמכסות יגדלו בהתאם. אם צפוי שימוש מוגבר באופן משמעותי, אפשר לשלוח בקשה לשינוי המכסה מראש בדף Quotas במסוף Cloud de Confiance .

כדי לבקש מכסה נוספת, צריך לקבל את ההרשאה serviceusage.quotas.update. ההרשאה הזו כלולה כברירת מחדל בתפקידים המוגדרים מראש הבאים: בעלים, עריכה ואדמין מכסות. מומלץ לתכנן ולבקש משאבים נוספים לפחות שבוע מראש, כדי לוודא שיש מספיק זמן לטפל בבקשה. כדי לבקש מכסה נוספת, אפשר לעיין במאמר בנושא בקשת מכסה נוספת.

מגבלות

אלו המגבלות שחלות על Google Cloud Armor:

פריט מגבלות
מספר כתובות ה-IP או טווחי כתובות ה-IP לכל כלל 10
מספר ביטויי המשנה לכל כלל עם ביטוי מותאם אישית 5
מספר התווים של כל ביטוי משנה בביטוי מותאם אישית 1024
מספר התווים בביטוי מותאם אישית 2048

מספר הבקשות לשנייה לכל פרויקט בכל השרתים העורפיים עם כללי מדיניות האבטחה של Cloud Armor

המגבלה הזו לא נאכפת. ‫Google שומרת לעצמה את הזכות להגביל את נפח התנועה שניתן לעבד באמצעות כל מדיניות האבטחה, על בסיס כל פרויקט. כל בקשה להגדלת מכסת השאילתות לשנייה צריכה להיות מופנית לצוות ניהול החשבון.

 20,000
מספר שירותי אבטחה של קצה הרשת לכל אזור ולכל פרויקט 1
מספר הכללים במדיניות אבטחה של Edge ברשת 100
מספר כללי מדיניות האבטחה ההיררכיים לכל ארגון 50
מספר הכללים בכללי מדיניות האבטחה ההיררכיים לכל ארגון 200
מספר הכללים עם תנאי התאמה מתקדמים בכל מדיניות האבטחה ההיררכית לכל ארגון 20

ניהול מכסות

Google Cloud Armor אוכפת מכסות על השימוש במשאבים מסיבות שונות. לדוגמה, המכסות מגינות על קהילת משתמשי Cloud de Confiance by S3NS בכך שהן מונעות עלייה חדה ובלתי צפויה בשימוש. המכסות גם עוזרות למשתמשים שמתנסים ב- Cloud de Confiance במסגרת התוכנית בחינם לא לחרוג מהמכסות של תקופת הניסיון.

כל הפרויקטים מתחילים עם אותן מכסות, שאפשר לשנות אותן על ידי בקשת מכסה נוספת. יכול להיות שחלק מהמכסות יגדלו באופן אוטומטי על סמך השימוש שלכם במוצר.

הרשאות

כדי לראות את המכסות או לבקש להגדיל אותן, לבעלי הרשאות (principals) בניהול הזהויות והרשאות הגישה (IAM) צריכה להיות אחת מההרשאות הבאות.

משימה התפקיד הנדרש
בדיקת מכסות לפרויקט אחת מהאפשרויות הבאות:
שינוי מכסות, בקשה למכסה נוספת אחת מהאפשרויות הבאות:

בדיקת המכסה

המסוף

  1. נכנסים לדף Quotas במסוף Cloud de Confiance .

    לפתיחת הדף Quotas

  2. כדי לחפש את המכסה שרוצים לעדכן, משתמשים באפשרות Filter table. אם אתם לא יודעים מה שם המכסה, אתם יכולים להשתמש בקישורים שבדף הזה.

gcloud

מריצים את הפקודה הבאה באמצעות Google Cloud CLI כדי לבדוק את המכסות. מחליפים את PROJECT_ID במזהה הפרויקט שלכם.

    gcloud compute project-info describe --project PROJECT_ID

כדי לבדוק את המכסה שנוצלה באזור מסוים, מריצים את הפקודה הבאה:

    gcloud compute regions describe example-region

שגיאות שמתרחשות כשחורגים מהמכסה

אם תחרגו ממכסה במהלך השימוש בפקודה gcloud, פלט gcloud יהיה הודעת השגיאה quota exceeded, עם קוד היציאה 1.

אם תחרגו ממכסה עם בקשת API, Cloud de Confiance יוחזר קוד הסטטוס הבא של HTTP: 413 Request Entity Too Large.

בקשה להגדלת המכסה

כדי לשנות את רוב המכסות, משתמשים במסוף Cloud de Confiance . מידע נוסף זמין במאמר בנושא שליחת בקשה לשינוי המכסות.

זמינות המשאבים

כל מכסה מייצגת מספר מקסימלי של משאב מסוג מסוים שאפשר ליצור, אם המשאב זמין. חשוב לציין שהמכסות לא מבטיחות את זמינות המשאבים. גם אם יש לכם מכסה זמינה, לא תוכלו ליצור משאב חדש אם הוא לא זמין.

לדוגמה, יכול להיות שיש לכם מספיק מכסת שימוש כדי ליצור כתובת IP חיצונית אזורית חדשה באזור מסוים. עם זאת, זה לא אפשרי אם אין כתובות IP חיצוניות זמינות באזור הזה. זמינות של משאב של תחום מוגדר יכולה גם להשפיע על היכולת שלכם ליצור משאב חדש.

מקרים שבהם משאבים לא זמינים באזור שלם הם נדירים. עם זאת, יכול להיות שמשאבים בתוך אזור מסוים יאזלו מעת לעת.