Cotas e limites

Este documento lista as cotas e os limites do sistema que se aplicam ao Google Cloud Armor.

  • As cotas especificam a quantidade de um recurso compartilhado e contável que pode ser usado. As cotas são definidas por serviços Trusted Cloud by S3NS como o Google Cloud Armor.
  • Os limites do sistema são valores fixos que não podem ser alterados.

Trusted Cloud by S3NS usa cotas para garantir a imparcialidade e reduzir picos no uso e na disponibilidade de recursos. Uma cota restringe quanto de um recurso doTrusted Cloud seu projeto do Trusted Cloud pode usar. As cotas se aplicam a vários tipos de recursos, incluindo hardware, software e componentes de rede. Por exemplo, as cotas podem restringir o número de chamadas de API para um serviço, o número de balanceadores de carga usados simultaneamente pelo projeto ou o número de projetos que podem ser criados. As cotas protegem a comunidade de usuários doTrusted Cloud , impedindo a sobrecarga de serviços. As cotas também ajudam você a gerenciar seus próprios recursos Trusted Cloud .

O sistema de cotas do Cloud faz o seguinte:

Na maioria dos casos, quando você tenta consumir mais de um recurso do que a cota permite, o sistema bloqueia o acesso ao recurso e a tarefa que você está tentando executar falha.

As cotas geralmente se aplicam ao nível do projeto Trusted Cloud . O uso de um recurso em um projeto não afeta a cota disponível em outro. Em um Trusted Cloud projeto, as cotas são compartilhadas entre todos os aplicativos e endereços IP.

Também há limites de sistema para os recursos do Cloud Armor. Não é possível alterar os limites.

Cotas

As cotas de recursos do Google Cloud Armor são organizadas de acordo com dois critérios:

  • O escopo da cota:
    • global
    • regional
  • O tipo de política de segurança do Cloud Armor:
    • política de segurança de back-end
    • política de segurança de borda
    • política de segurança de borda de rede

Políticas globais de segurança de back-end e de borda

O Cloud Armor usa as seguintes cotas por projeto para políticas de segurança de borda global, políticas de segurança de back-end global e regras nelas:

Recurso Cota Descrição
Políticas globais de segurança por projeto Cota

O limite dessa cota define o número máximo de políticas de segurança de borda globais e de back-end globais, juntas, em um projeto.

Nome da cota: SECURITY_POLICIES

Métricas disponíveis:

  • compute.googleapis.com/quota/security_policies/limit
  • compute.googleapis.com/quota/security_policies/usage
  • compute.googleapis.com/quota/security_policies/exceeded
Regras de política de segurança global por projeto Cota

O limite dessa cota define o número máximo total de regras em políticas de segurança de borda global e de back-end global, juntas, em um projeto. O uso dessa cota conta o seguinte:

  • Regras básicas em políticas globais de segurança de borda
  • Regras básicas em políticas globais de segurança de back-end
  • Regras com condições de correspondência avançadas em políticas globais de segurança de borda
  • Regras com condições de correspondência avançadas em políticas globais de segurança de back-end

Nome da cota: SECURITY_POLICY_RULES

Métricas disponíveis:

  • compute.googleapis.com/quota/security_policy_rules/limit
  • compute.googleapis.com/quota/security_policy_rules/usage
  • compute.googleapis.com/quota/security_policy_rules/exceeded
Regras de política de segurança global com condições de correspondência avançadas por projeto Cota

O limite dessa cota define o número máximo total de regras com condições de correspondência avançadas em políticas de segurança de borda global e de back-end global, juntas, em um projeto. O uso dessa cota conta o seguinte:

  • Regras com condições de correspondência avançadas em políticas globais de segurança de borda
  • Regras com condições de correspondência avançadas em políticas globais de segurança de back-end

Nome da cota: SECURITY_POLICY_CEVAL_RULES

Métricas disponíveis:

  • compute.googleapis.com/quota/security_policy_ceval_rules/limit
  • compute.googleapis.com/quota/security_policy_ceval_rules/usage
  • compute.googleapis.com/quota/security_policy_ceval_rules/exceeded

Cotas por política global de segurança para regras com condições de correspondência avançadas

O Cloud Armor usa as seguintes cotas por política de segurança para regras com condições de correspondência avançadas em políticas de segurança de borda e de back-end globais:

Recurso Cota Descrição
Regras com condições de correspondência avançadas por política global de segurança de borda Cota

O limite dessa cota define o número máximo de regras com condições de correspondência avançadas em uma política de segurança global de borda específica.

Nome da cota: SECURITY_POLICY_ADVANCED_RULES_PER_EDGE_SECURITY_POLICY

Métricas disponíveis:

  • compute.googleapis.com/quota/advanced_rules_per_edge_security_policy/limit
  • compute.googleapis.com/quota/advanced_rules_per_edge_security_policy/usage
  • compute.googleapis.com/quota/advanced_rules_per_edge_security_policy/exceeded
Regras com condições de correspondência avançadas por política global de segurança de back-end Cota

O limite dessa cota define o número máximo de regras com condições de correspondência avançadas em uma política de segurança de back-end global específica.

Nome da cota: SECURITY_POLICY_ADVANCED_RULES_PER_SECURITY_POLICY

Métricas disponíveis:

  • compute.googleapis.com/quota/advanced_rules_per_security_policy/limit
  • compute.googleapis.com/quota/advanced_rules_per_security_policy/usage
  • compute.googleapis.com/quota/advanced_rules_per_security_policy/exceeded

Resumo das cotas contadas para regras em políticas de segurança globais

A tabela a seguir mostra quais cotas são contabilizadas para regras básicas e regras com condições de correspondência avançadas em políticas de segurança globais:

Regra Uso contado nessas cotas
Regra básica em uma política global de segurança de borda
  • Regras de política de segurança global por projeto (SECURITY_POLICY_RULES)
Regra básica em uma política de segurança de back-end global
  • Regras de política de segurança global por projeto (SECURITY_POLICY_RULES)
Regra com condições de correspondência avançadas em uma política global de segurança de borda
  • Regras de política de segurança global por projeto (SECURITY_POLICY_RULES)
  • Regras de política de segurança global com condições de correspondência avançadas por projeto (SECURITY_POLICY_CEVAL_RULES)
  • Regras com condições de correspondência avançadas por política de segurança de borda global (SECURITY_POLICY_ADVANCED_RULES_PER_EDGE_SECURITY_POLICY)
Regra com condições de correspondência avançadas em uma política global de segurança de back-end
  • Regras de política de segurança global por projeto (SECURITY_POLICY_RULES)
  • Regras de política de segurança global com condições de correspondência avançadas por projeto (SECURITY_POLICY_CEVAL_RULES)
  • Regras com condições de correspondência avançadas por política de segurança de back-end global (SECURITY_POLICY_ADVANCED_RULES_PER_SECURITY_POLICY)

Políticas de segurança de back-end regionais

O Cloud Armor usa as seguintes cotas por região e por projeto para políticas e regras de segurança de back-end regionais:

Recurso Cota Descrição
Políticas de segurança de back-end regionais por região e por projeto Cota

O limite dessa cota define o número máximo de políticas de segurança de back-end regionais em uma região de um projeto.

Nome da cota: SECURITY_POLICIES_PER_REGION

Métricas disponíveis:

  • compute.googleapis.com/quota/regional_security_policies/limit
  • compute.googleapis.com/quota/regional_security_policies/usage
  • compute.googleapis.com/quota/regional_security_policies/exceeded
Regras de política de segurança de back-end regional por região e por projeto Cota

O limite dessa cota define o número máximo total de regras em políticas de segurança de back-end regionais em uma região de um projeto. O uso dessa cota conta regras básicas e regras com condições de correspondência avançadas.

Nome da cota: SECURITY_POLICY_RULES_PER_REGION

Métricas disponíveis:

  • compute.googleapis.com/quota/regional_security_policy_rules/limit
  • compute.googleapis.com/quota/regional_security_policy_rules/usage
  • compute.googleapis.com/quota/regional_security_policy_rules/exceeded
Regras de política de segurança de back-end regional com condições de correspondência avançadas por região e por projeto Cota

O limite dessa cota define o número máximo total de regras com condições de correspondência avançadas em políticas de segurança de back-end regionais em uma região de um projeto. O uso dessa cota conta apenas regras com condições de correspondência avançadas.

Nome da cota: SECURITY_POLICY_ADVANCED_RULES_PER_REGION

Métricas disponíveis:

  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/limit
  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/usage
  • compute.googleapis.com/quota/regional_security_policy_advanced_rules/exceeded

Cotas por política de segurança de back-end regional para regras com condições de correspondência avançadas

O Cloud Armor usa as seguintes cotas por política de segurança para regras com condições de correspondência avançadas em políticas de segurança de back-end regionais:

Recurso Cota Descrição
Regras com condições de correspondência avançadas por política de segurança de back-end regional Cota

O limite dessa cota define o número máximo de regras avançadas em uma política de segurança de back-end regional específica.

Nome da cota: SECURITY_POLICY_ADVANCED_RULES_PER_REGIONAL_SECURITY_POLICY

Métricas disponíveis:

  • compute.googleapis.com/quota/advanced_rules_per_regional_security_policy/limit
  • compute.googleapis.com/quota/advanced_rules_per_regional_security_policy/usage
  • compute.googleapis.com/quota/advanced_rules_per_regional_security_policy/exceeded

Resumo das cotas contadas para regras em políticas de segurança de back-end regionais

A tabela a seguir mostra quais cotas são contabilizadas para regras básicas e regras com condições de correspondência avançadas em políticas de segurança de back-end regionais:

Regra Uso contado nessas cotas
Regra básica em uma política de segurança de back-end regional
  • Regras de política de segurança de back-end regional por região e por projeto (SECURITY_POLICY_RULES_PER_REGION)
Regra com condições de correspondência avançadas em uma política de segurança de back-end regional
  • Regras de política de segurança de back-end regional por região e por projeto (SECURITY_POLICY_RULES_PER_REGION)
  • Regras de política de segurança de back-end regional com condições de correspondência avançadas por região e por projeto (SECURITY_POLICY_ADVANCED_RULES_PER_REGION)
  • Regras com condições de correspondência avançadas por política de segurança de back-end regional (SECURITY_POLICY_ADVANCED_RULES_PER_REGIONAL_SECURITY_POLICY)

Políticas regionais de segurança de borda de rede

O Cloud Armor usa as seguintes cotas por região e por projeto para políticas e regras de segurança de borda de rede regionais:

Recurso Cota Descrição
Políticas de segurança de borda de rede regionais por região e projeto Cota

O limite dessa cota define o número máximo de políticas regionais de segurança de borda de rede em cada região de um projeto.

Nome da cota: NET_LB_SECURITY_POLICIES_PER_REGION

Métricas disponíveis:

  • compute.googleapis.com/quota/regional_net_lb_security_policies/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policies/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policies/exceeded
Regras de política de segurança de borda de rede regional por região e por projeto Cota

O limite dessa cota define o número máximo total de regras para políticas regionais de segurança de borda de rede em cada região de um projeto.

Nome da cota: NET_LB_SECURITY_POLICY_RULES_PER_REGION

Métricas disponíveis:

  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rules/exceeded
Valores de correspondência de regra da política de segurança de borda de rede regional por região e projeto Cota

O limite dessa cota define o número máximo total de atributos em regras de políticas regionais de segurança de borda de rede em cada região de um projeto. O uso dessa cota é a soma dos atributos SecurityPolicy.NetworkMatch em todas as regras de todas as políticas de segurança de borda de rede em uma região de um projeto.

Nome da cota: NET_LB_SECURITY_POLICY_RULE_ATTRIBUTES_PER_REGION

Métricas disponíveis:

  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/limit
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/usage
  • compute.googleapis.com/quota/regional_net_lb_security_policy_rule_attributes/exceeded

Grupos de endereços

Os grupos de endereços do Cloud Armor usam as seguintes cotas:

Recurso Cota Descrição
Capacidade cumulativa de intervalo de endereços IP de grupos de endereços com escopo do projeto por organização Cota

Esse limite define a capacidade máxima, cumulativamente, usada em todos os grupos de endereços no escopo do projeto em uma organização.

Cada intervalo de endereços IPv4 aumenta a utilização dessa cota em um. Cada intervalo de endereços IPv6 aumenta a utilização dessa cota em três.

Por exemplo, um limite de cota de 50.000 aceita várias combinações de intervalos IPv4 e IPv6, incluindo:

  • 50.000 intervalos de IPv4 e zero intervalos de IPv6
  • Zero intervalos de IPv4 e 16.666 intervalos de IPv6
  • 40.000 intervalos de IPv4 e 3.333 intervalos de IPv6

Nome da cota: CloudArmorAddressGroupsSizePerOrganization
Capacidade cumulativa de intervalo de endereços IP de grupos de endereços com escopo de projeto por projeto Cota

Esse limite define a capacidade máxima cumulativa usada em todos os grupos de endereços no escopo do projeto.

Cada intervalo de endereços IPv4 aumenta a utilização dessa cota em um. Cada intervalo de endereços IPv6 aumenta a utilização dessa cota em três. Consulte a linha anterior para ver exemplos de uso.

Nome da cota: CloudArmorAddressGroupsSizePerProject
Capacidade cumulativa de intervalo de endereços IP dos grupos de endereços no escopo da organização por organização Cota

Esse limite define a capacidade máxima, cumulativamente, usada em todos os grupos de endereços no escopo da organização.

Cada intervalo de endereços IPv4 aumenta a utilização dessa cota em um. Cada intervalo de endereços IPv6 aumenta a utilização dessa cota em três. Consulte a linha anterior para ver exemplos de uso.

Nome da cota: CloudArmorOrgAddressGroupsSizePerOrganization

Além das cotas do Cloud Armor, os produtos que usam o Cloud Armor têm cotas próprias. Por exemplo, consulte Cotas e limites do Cloud Load Balancing.

OTrusted Cloud by S3NS aplica cotas para uso de recursos por vários motivos. Por exemplo, as cotas protegem a comunidade de usuários Trusted Cloud , impedindo picos de uso inesperados.O Trusted Cloud também oferece cotas de teste gratuito que proporcionam acesso limitado a projetos para usuários que querem apenas explorar oTrusted Cloud para avaliar o funcionamento do serviço antes de pagar por ele.

Nem todos os projetos têm as mesmas cotas. À medida que você usa mais o Trusted Cloud, as cotas também podem aumentar proporcionalmente. Caso espere um aumento de uso significativo, solicite o ajuste das cotas na página Cotas no console do Trusted Cloud .

Para solicitar mais cotas, é preciso ter a permissão serviceusage.quotas.update. Por padrão, ela está incluída nos seguintes papéis predefinidos: proprietário, editor e administrador de cotas. Planeje e solicite recursos adicionais com pelo menos uma semana de antecedência para garantir que haja tempo suficiente para seu pedido ser atendido. Para solicitar mais cota, consulte Como solicitar cota adicional.

Limites

O Google Cloud Armour tem os seguintes limites:

Item Limites
Número de endereços IP ou intervalos de endereços IP por regra 10
Número de subexpressões de cada regra com uma expressão personalizada 5
Número de caracteres para cada subexpressão em uma expressão personalizada 1024
Número de caracteres em uma expressão personalizada 2048

Número de solicitações por segundo por projeto em todos os back-ends com uma política de segurança do Cloud Armor.

Esse limite não é aplicado. O Google se reserva o direito de limitar o volume de tráfego que possa ser processado por todas as políticas de segurança por projeto. Direciona quaisquer solicitações de aumento de QPS para a equipe de conta.

 20.000
Número de serviços de segurança de borda da rede por região por projeto 1
Número de regras em uma política de segurança de borda de rede 100
Número de políticas de segurança hierárquicas por organização 50
Número de regras em todas as políticas de segurança hierárquicas por organização 200
Número de regras com condições de correspondência avançadas em todas as políticas de segurança hierárquicas por organização 20

Grupos de endereços

Os grupos de endereços do Cloud Armor têm os seguintes limites, que são os mesmos, independentemente de você usar grupos de endereços no escopo do projeto ou da organização:

Versão do Protocolo de Internet Capacidade máxima de um único grupo de endereços Número máximo de endereços alterados por um comando de API (como add-items)
IPv4 150.000 intervalos de endereços IP IPv4 50.000 intervalos de endereços IP IPv4
IPv6 50.000 intervalos de endereços IP IPv6 20.000 intervalos de endereços IP IPv6

Gerenciar cotas

OGoogle Cloud Armor aplica cotas no uso de recursos por vários motivos. Por exemplo, as cotas protegem a comunidade de usuários Trusted Cloud by S3NS , impedindo picos de uso inesperados. As cotas também ajudam os usuários que estão explorando o Trusted Cloud com o nível gratuito a permanecer na avaliação.

Todos os projetos começam com as mesmas cotas, que podem ser alteradas com uma solicitação de cota extra. Algumas cotas podem aumentar automaticamente dependendo do uso de um produto.

Permissões

Para ver cotas ou solicitar aumentos de cotas, os membros do gerenciamento de identidade e acesso (IAM, na sigla em inglês) precisam ter um dos papéis a seguir:

Tarefa Papel necessário
Verificar cotas para um projeto Uma das seguintes opções:
Modificar cotas, solicitar cota extra Uma das seguintes opções:

Verificar sua cota

Console

  1. No console Trusted Cloud , acesse a página Cotas.

    Acesse Cotas

  2. Para pesquisar a cota a ser atualizada, use a tabela de filtros. Se você não souber o nome da cota, use os links desta página.

gcloud

Com a Google Cloud CLI, execute o comando a seguir para verificar suas cotas. Substitua PROJECT_ID pelo seu código do projeto:

    gcloud compute project-info describe --project PROJECT_ID

Para verificar a cota utilizada em uma região, execute o comando a seguir:

    gcloud compute regions describe example-region

Erros ao exceder a cota

Se você exceder uma cota com um comando gcloud, o gcloud emitirá uma mensagem de erro quota exceeded e retornará com o código de saída 1.

Se você exceder uma cota com uma solicitação de API, Trusted Cloud vai retornar o seguinte código de status HTTP: 413 Request Entity Too Large.

Solicitar cota adicional

Para ajustar a maioria das cotas, use o console Trusted Cloud . Para mais informações, consulte Solicitar um ajuste de cota.

Disponibilidade de recursos

Cada cota representa um número máximo para um tipo específico de recurso que é possível criar, desde que o recurso esteja disponível. É importante observar que as cotas não garantem a disponibilidade de recursos. Mesmo que você tenha cota disponível, não será possível criar um novo recurso se ele não estiver disponível.

Por exemplo, você pode ter cota suficiente para criar um novo endereço IP externo regional em uma determinada região. No entanto, isso não é possível se não houver endereços IP externos disponíveis naquela região. A disponibilidade de recursos zonais também pode afetar sua capacidade de criar um novo recurso.

São raras as situações em que os recursos não estão disponíveis em uma região inteira. No entanto, os recursos dentro de uma zona podem ser usados periodicamente.