Neste documento, são listadas as cotas e os limites de sistema válidos para o Google Cloud Armor.
- As cotas têm valores definidos por padrão, porém geralmente é possível solicitar ajustes.
- Os limites do sistema são valores fixos que não podem ser alterados.
OCloud de Confiance by S3NS usa cotas para garantir a distribuição justa e reduzir sobrecargas no uso e na disponibilidade dos recursos. Uma cota restringe a alocação de um recurso doCloud de Confiance para uso do seu projeto do Cloud de Confiance . As cotas se aplicam a vários tipos de recursos, incluindo hardware, software e componentes de rede. Por exemplo, elas podem restringir o número de chamadas de API para um serviço, o número de balanceadores de carga usados simultaneamente pelo projeto ou o número de projetos que podem ser criados. As cotas protegem a comunidade de usuários doCloud de Confiance , impedindo a sobrecarga de serviços. Elas também ajudam você a gerenciar seus próprios recursos do Cloud de Confiance .
O sistema de cotas do Cloud faz o seguinte:
- Monitora o consumo de produtos e serviços do Cloud de Confiance .
- Restringe o consumo desses recursos.
- Possibilita a solicitação de mudanças no valor das cotas e a automatização de ajustes de cotas.
Na maioria dos casos, quando você tenta consumir mais de um recurso do que a cota permite, o sistema bloqueia o acesso ao recurso, e a tarefa que você está tentando executar falha.
As cotas geralmente se aplicam ao nível do projeto do Cloud de Confiance . O uso de um recurso em um projeto não afeta a cota disponível em outro. Em um projeto do Cloud de Confiance , as cotas são compartilhadas entre todos os aplicativos e endereços IP.
Saiba mais em Visão geral das cotas do Cloud.
Também existem limites do sistema para os recursos do Cloud Armor. Os limites do sistema não podem ser alterados.
Cotas
As cotas de recursos do Google Cloud Armor são organizadas segundo dois critérios:
- O escopo da cota:
- global
- regional
- O tipo de política de segurança do Cloud Armor:
- política de segurança de back-end
- política de segurança de borda
- Política de segurança de borda da rede
Políticas globais de segurança de back-end e de borda
O Cloud Armor usa as cotas, apresentadas abaixo, por projeto para políticas globais de segurança de borda, políticas globais de segurança de back-end e suas respectivas regras:
| Recurso | Cota | Descrição |
|---|---|---|
| Políticas globais de segurança por projeto | Cota | O limite desta cota define o número máximo de políticas globais de segurança de borda e de políticas globais de segurança de back-end que um projeto pode ter, somadas. Nome da cota: Métricas disponíveis:
|
| Regras para políticas globais de segurança por projeto | Cota | O limite desta cota define o número máximo total de regras, somando as políticas globais de segurança de borda e as políticas globais de segurança de back-end, em um projeto. O uso desta cota inclui:
Nome da cota: Métricas disponíveis:
|
| Regras para políticas globais de segurança com condições avançadas de correspondência por projeto | Cota | O limite desta cota define o número máximo total de regras, com condições avançadas de correspondência, somando as políticas globais de segurança de borda e as políticas globais de segurança de back-end, em um projeto. O uso desta cota inclui:
Nome da cota: Métricas disponíveis:
|
Cotas por políticas globais de segurança para regras com condições avançadas de correspondência
O Cloud Armor usa as cotas, apresentadas abaixo, por política de segurança para regras com condições avançadas de correspondência em políticas globais de segurança de borda e políticas globais de segurança de back-end:
| Recurso | Cota | Descrição |
|---|---|---|
| Regras com condições avançadas de correspondência por política global de segurança de borda | Cota | O limite desta cota define o número máximo de regras com condições avançadas de correspondência em uma política global de segurança de borda específica. Nome da cota: Métricas disponíveis:
|
| Regras com condições avançadas de correspondência por política global de segurança de back-end | Cota | O limite desta cota define o número máximo de regras com condições avançadas de correspondência em uma política global de segurança de back-end específica. Nome da cota: Métricas disponíveis:
|
Resumo das cotas contabilizadas para regras em políticas globais de segurança
A tabela a seguir apresenta as cotas que são contabilizadas para regras simples e regras com condições avançadas de correspondência em políticas globais de segurança:
| Regra | Uso contabilizado nessas cotas |
|---|---|
| Regra simples em uma política global de segurança de borda |
|
| Regra simples em uma política global de segurança de back-end |
|
| Regra com condições avançadas de correspondência em uma política global de segurança de borda |
|
| Regra com condições avançadas de correspondência em uma política global de segurança de back-end |
|
Políticas regionais de segurança de back-end
O Cloud Armor usa as cotas, apresentadas abaixo, por região e por projeto para políticas regionais de segurança de back-end e suas respectivas regras:
| Recurso | Cota | Descrição |
|---|---|---|
| Políticas regionais de segurança de back-end por região e por projeto | Cota | O limite desta cota define o número máximo de políticas regionais de segurança de back-end em uma determinada região de um projeto. Nome da cota: Métricas disponíveis:
|
| Regras para políticas regionais de segurança de back-end por região e por projeto | Cota | O limite desta cota define o número máximo total de regras em políticas regionais de segurança de back-end em uma região de um projeto. O uso desta cota contabiliza tanto regras simples quanto regras com condições avançadas de correspondência. Nome da cota: Métricas disponíveis:
|
| Regras para políticas regionais de segurança de back-end com condições avançadas de correspondência por região e por projeto | Cota | O limite desta cota define o número máximo total de regras com condições avançadas de correspondência em políticas regionais de segurança de back-end em uma região de um projeto. O uso desta cota contabiliza somente regras com condições avançadas de correspondência. Nome da cota: Métricas disponíveis:
|
Cotas por políticas regionais de segurança de back-end para regras com condições avançadas de correspondência
O Cloud Armor usa as cotas, apresentadas abaixo, por política de segurança para regras com condições avançadas de correspondência em políticas regionais de segurança de back-end:
| Recurso | Cota | Descrição |
|---|---|---|
| Regras com condições avançadas de correspondência por política regional de segurança de back-end | Cota | O limite desta cota define o número máximo de regras avançadas em uma política regional de segurança de back-end específica. Nome da cota: Métricas disponíveis:
|
Resumo das cotas contabilizadas para regras em políticas regionais de segurança de back-end
A tabela a seguir apresenta as cotas que são contabilizadas para regras simples e regras com condições avançadas de correspondência em políticas regionais de segurança de back-end:
| Regra | Uso contabilizado nessas cotas |
|---|---|
| Regra simples em uma política regional de segurança de back-end |
|
| Regra com condições avançadas de correspondência em uma política regional de segurança de back-end |
|
Políticas regionais de segurança de borda da rede
O Cloud Armor usa as cotas, apresentadas abaixo, por região e por projeto para políticas regionais de segurança de borda da rede e suas respectivas regras:
| Recurso | Cota | Descrição |
|---|---|---|
| Políticas regionais de segurança de borda da rede por região e por projeto | Cota | O limite desta cota define o número máximo de políticas regionais de segurança de borda da rede em cada região de um projeto. Nome da cota: Métricas disponíveis:
|
| Regras para políticas regionais de segurança de borda da rede por região e por projeto | Cota | O limite desta cota define o número máximo total de regras para políticas regionais de segurança de borda da rede em cada região de um projeto. Nome da cota: Métricas disponíveis:
|
| Valores de correspondência de regras para políticas regionais de segurança de borda da rede por região e por projeto | Cota | O limite desta cota define o número máximo total de
atributos em regras de políticas regionais de segurança de borda da rede em cada
região de um projeto. O uso desta cota corresponde à soma dos
atributos Nome da cota: Métricas disponíveis:
|
Além das cotas do Cloud Armor, cada produto que o utiliza aplica suas próprias cotas. Para visualizar um exemplo, confira Cotas e limites do Cloud Load Balancing.
OCloud de Confiance by S3NS aplica cotas ao uso de recursos por diversos motivos. Por exemplo, as cotas protegem a comunidade de usuários do Cloud de Confiance , impedindo picos de uso inesperados. O Cloud de Confiance também oferece cotas para testes sem custos financeiros, que permitem acesso limitado a projetos que utilizam o Cloud de Confiance apenas durante o período de teste.
Nem todos os projetos têm as mesmas cotas. À medida que o uso do Cloud de Confiance aumenta ao longo do tempo, as cotas podem ser ajustadas proporcionalmente. Se houver expectativa de aumento significativo no uso, é possível solicitar ajustes de cotas, de forma proativa, na página Cotas no console do Cloud de Confiance .
Para solicitar mais cotas, é preciso ter a permissão
serviceusage.quotas.update. Por padrão, essa permissão está incluída nos seguintes
papéis predefinidos: Proprietário,
Editor e Admin de cotas. Planeje e solicite
recursos adicionais com pelo menos uma semana de antecedência para garantir que haja tempo suficiente
para o atendimento à sua solicitação. Para solicitar mais cotas, confira
Como solicitar mais cotas.
Limites
O Google Cloud Armour tem os seguintes limites:
| Item | Limites |
|---|---|
| Número de endereços IP ou intervalos de endereços IP por regra | 10 |
| Número de subexpressões de cada regra com uma expressão personalizada | 5 |
| Número de caracteres em cada subexpressão de uma expressão personalizada | 1024 |
| Número de caracteres em uma expressão personalizada | 2048 |
Número de solicitações por segundo por projeto em todos os back-ends com uma política de segurança do Cloud Armor Este limite não é aplicado. O Google se reserva o direito de limitar o volume de tráfego que pode ser processado por todas as políticas de segurança em cada projeto. Encaminhe quaisquer solicitações de aumento de QPS para sua equipe de conta. |
20.000 |
| Número de serviços de segurança de borda da rede por região e por projeto | 1 |
| Número de regras em uma política de segurança de borda da rede | 100 |
| Número de políticas de segurança hierárquicas por organização | 50 |
| Número de regras em todas as políticas de segurança hierárquicas por organização | 200 |
| Número de regras com condições avançadas de correspondência em todas as políticas de segurança hierárquicas por organização | 20 |
Manage quotas
Google Cloud Armor enforces quotas on resource usage for various reasons. For example, quotas protect the community of Cloud de Confiance by S3NS users by preventing unforeseen spikes in usage. Quotas also help users who are exploring Cloud de Confiance with the free tier to stay within their trial.
All projects start with the same quotas, which you can change by requesting additional quota. Some quotas might increase automatically based on your use of a product.
Permissions
To view quotas or request quota increases, Identity and Access Management (IAM) principals need one of the following roles.
| Task | Required role |
|---|---|
| Check quotas for a project | One of the following:
|
| Modify quotas, request additional quota | One of the following:
|
Check your quota
Console
- In the Cloud de Confiance console, go to the Quotas page.
- To search for the quota that you want to update, use the Filter table. If you don't know the name of the quota, use the links on this page instead.
gcloud
Using the Google Cloud CLI, run the following command to
check your quotas. Replace PROJECT_ID with your own project ID.
gcloud compute project-info describe --project PROJECT_IDTo check your used quota in a region, run the following command:
gcloud compute regions describe example-region
Errors when exceeding your quota
If you exceed a quota with a gcloud command,
gcloud outputs a quota exceeded error
message and returns with the exit code 1.
If you exceed a quota with an API request, Cloud de Confiance returns the
following HTTP status code: 413 Request Entity Too Large.
Request additional quota
To adjust most quotas, use the Cloud de Confiance console. For more information, see Request a quota adjustment.
Resource availability
Each quota represents a maximum number for a particular type of resource that you can create, if that resource is available. It's important to note that quotas don't guarantee resource availability. Even if you have available quota, you can't create a new resource if it is not available.
For example, you might have sufficient quota to create a new regional, external IP address in a given region. However, that is not possible if there are no available external IP addresses in that region. Zonal resource availability can also affect your ability to create a new resource.
Situations where resources are unavailable in an entire region are rare. However, resources within a zone can be depleted from time to time.