En este documento se indican las cuotas y los límites del sistema que se aplican a Cloud Next Generation Firewall.
- Las cuotas tienen valores predeterminados, pero normalmente puedes solicitar ajustes.
- Los límites del sistema son valores fijos que no se pueden cambiar.
Cloud de Confiance by S3NS usa cuotas para garantizar la equidad y reducir los picos en el uso y la disponibilidad de los recursos. Una cuota restringe la cantidad de unCloud de Confiance recurso que puede usar tu Cloud de Confiance proyecto. Las cuotas se aplican a una serie de tipos de recursos, incluidos los componentes de hardware, software y red. Por ejemplo, las cuotas pueden restringir el número de llamadas a una API enviadas a un servicio, el número de balanceadores de carga que usa tu proyecto de forma simultánea o el número de proyectos que puedes crear. Las cuotas protegen a la comunidad de usuarios deCloud de Confiance al evitar que se sobrecarguen los servicios. Las cuotas también te ayudan a gestionar tus propios Cloud de Confiance recursos.
El sistema de cuotas de Cloud hace lo siguiente:
- Monitoriza tu consumo de Cloud de Confiance productos y servicios
- Restringe el consumo de esos recursos
- Ofrece una forma de solicitar cambios en el valor de la cuota y automatizar los ajustes de cuota.
En la mayoría de los casos, cuando intentas consumir más recursos de los que permite la cuota, el sistema bloquea el acceso al recurso y la tarea que intentas realizar falla.
Las cuotas se aplican generalmente a nivel de Cloud de Confiance proyecto. El uso que hagas de un recurso en un proyecto no afectará a la cuota disponible en otro proyecto. En un Cloud de Confiance proyecto, las cuotas se comparten entre todas las aplicaciones y direcciones IP.
Para obtener más información, consulta la descripción general de las cuotas de Cloud.
También hay límites del sistema en los recursos de Cloud NGFW. Los límites del sistema no se pueden cambiar.
Cuotas
En esta sección se indican las cuotas que se aplican a Cloud Next Generation Firewall.
Para monitorizar las cuotas por proyecto que usan Cloud Monitoring, configura la monitorización de la métrica serviceruntime.googleapis.com/quota/allocation/usage en el tipo de recurso Consumer Quota. Define filtros de etiquetas adicionales (service y quota_metric) para acceder al tipo de cuota. Para obtener información sobre cómo monitorizar las métricas de cuota, consulta Crear gráficos y monitorizar métricas de cuota.
Cada cuota tiene un límite y un valor de uso.
A menos que se indique lo contrario, para cambiar una cuota, consulta Solicitar un ajuste de cuota.
Por proyecto
En la siguiente tabla se destacan las cuotas de Cloud NGFW por proyecto:
| Cuota | Descripción |
|---|---|
| Reglas de cortafuegos de VPC | El número de reglas de cortafuegos de VPC que puedes crear en un proyecto, independientemente de la red de VPC a la que se aplique cada regla de cortafuegos. |
| Políticas de cortafuegos de red mundial | El número de políticas de cortafuegos de red globales de un proyecto, independientemente del número de redes de VPC asociadas a cada política. |
| Políticas de cortafuegos de red regionales | El número de políticas de cortafuegos de red regionales en cada región de un proyecto, independientemente del número de redes de VPC asociadas a cada política. |
| Grupos de direcciones globales por proyecto | Número de grupos de direcciones globales con ámbito de proyecto que puedes definir en un proyecto. |
| Grupos de direcciones regionales por proyecto y región | El número de grupos de direcciones regionales de ámbito de proyecto que puedes definir en cada región de un proyecto. |
Por organización
En la siguiente tabla se destacan las cuotas de Cloud NGFW que son por organización. Para cambiar una cuota a nivel de organización, abre una incidencia de asistencia.
| Cuota | Descripción |
|---|---|
| Políticas de cortafuegos jerárquicas no asociadas en una organización | Número de políticas de cortafuegos jerárquicas de una organización que no están asociadas a ningún recurso de carpeta u organización. No hay límite en el número de políticas de cortafuegos jerárquicas de una organización que se pueden asociar a un recurso. |
| Grupos de direcciones globales por organización | Número de grupos de direcciones globales y de ámbito de organización que puedes definir en una organización. |
| Grupos de direcciones regionales por organización y región | El número de grupos de direcciones regionales con ámbito de organización que puedes definir en cada región de una organización. |
Por red
Las siguientes cuotas se aplican a las redes de VPC:
| Cuota | Descripción |
|---|---|
| Asociaciones de políticas de cortafuegos de red regionales por región y por red de VPC | Es el número máximo de políticas de cortafuegos de red regionales que puedes asociar a una región de una red de VPC. |
| Atributos de reglas de cortafuegos por región y por red de VPC | El número máximo de atributos de regla de las reglas de todas las políticas de cortafuegos de red regionales asociadas en la región de una red de VPC. |
| FQDNs de reglas de cortafuegos por región y por red de VPC | Número máximo de FQDNs de las reglas de todas las políticas de cortafuegos de red regionales asociadas en la región de una red de VPC. |
Por política de cortafuegos
En la siguiente tabla se destacan las cuotas de Cloud NGFW por recurso de política de cortafuegos:
| Cuota | Descripción |
|---|---|
| Políticas de cortafuegos jerárquicas | |
| Atributos de reglas por política de cortafuegos jerárquica | Esta cuota es la suma de los atributos de regla de todas las reglas de una política de cortafuegos jerárquica. Para obtener más información, consulta los detalles del recuento de atributos de la regla. |
| Nombres de dominio (FQDN) por política de cortafuegos jerárquica | El número de nombres de dominio que puedes incluir en todas las reglas de una política de cortafuegos jerárquica. Esta cuota es la suma de todos los nombres de dominio de origen de todas las reglas de entrada de la política más la suma de todos los nombres de dominio de destino de todas las reglas de salida de la política. |
| Políticas de cortafuegos de red mundial | |
| Atributos de reglas por política de cortafuegos de red global | La suma de los atributos de regla de todas las reglas de una política de cortafuegos de red global. Para obtener más información, consulta los detalles del recuento de atributos de la regla. |
| Nombres de dominio (FQDNs) por política de cortafuegos de red global | El número de nombres de dominio que puedes incluir en todas las reglas de una política de cortafuegos de red global. Esta cuota es la suma de todos los nombres de dominio de origen de todas las reglas de entrada de la política más la suma de todos los nombres de dominio de destino de todas las reglas de salida de la política. |
| Políticas de cortafuegos de red regionales | |
| Atributos de las reglas por política de cortafuegos de red regional | La suma de los atributos de regla de todas las reglas de una política de cortafuegos de red regional. Para obtener más información, consulta los detalles del recuento de atributos de la regla. |
| Nombres de dominio (FQDN) por política de cortafuegos de red regional | Número de nombres de dominio (FQDNs) que puedes incluir en todas las reglas de una política de cortafuegos de red regional: esta cuota es la suma de todos los nombres de dominio de origen de todas las reglas de entrada de la política más la suma de todos los nombres de dominio de destino de todas las reglas de salida de la política. |
Detalles del recuento de atributos de reglas
Cada política de cortafuegos admite un número total máximo de atributos de todas las reglas de la política. Para determinar el número de atributos de regla de una política de cortafuegos determinada, describe la política. Para obtener instrucciones, consulta lo siguiente:
- Describe una política en la documentación de políticas de cortafuegos jerárquicas.
- Describe una política de cortafuegos de red global
- Describe una política de cortafuegos de red regional
En la siguiente tabla se muestran ejemplos de reglas y el número de atributos de cada una.
| Regla de cortafuegos de ejemplo | Número de atributos de regla | Explicación |
|---|---|---|
Regla de cortafuegos de entrada con intervalo de direcciones IP de origen 10.100.0.1/32, protocolo tcp e intervalo de puertos 5000-6000.
|
3 | Un intervalo de origen, un protocolo y un intervalo de puertos. |
Regla de cortafuegos de denegación de entrada con intervalos de direcciones IP de origen 10.0.0.0/8, 192.168.0.0/16, intervalos de direcciones IP de destino 100.64.0.7/32, tcp y protocolos udp, intervalos de puertos 53-53 y 5353-5353.
|
11 | Hay cuatro combinaciones de protocolo y puerto: tcp:53-53, tcp:5353-5353, udp:53-53 y udp:5353-5353. Cada combinación de protocolo y puerto usa dos atributos. Se contabilizan 11 atributos: uno por cada uno de los dos intervalos de direcciones IP de origen, uno por el intervalo de direcciones IP de destino y ocho por las combinaciones de protocolo y puerto. |
Regla de cortafuegos de denegación de salida con intervalo de direcciones IP de origen 100.64.0.7/32, intervalo de direcciones IP de destino 10.100.0.1/32, 10.100.1.1/32, tcp:80, tcp:443 y udp:4000-5000.
|
9 | Las combinaciones de protocolo y puerto se amplían a tres: tcp:80-80, tcp:443-443 y udp:4000-5000. Cada combinación de protocolo y puerto usa dos atributos. Un atributo para el intervalo de origen, un atributo por cada uno de los dos intervalos de direcciones IP de destino y seis atributos para las combinaciones de protocolo y puerto dan como resultado un recuento de atributos de 9. |
Límites
Los límites no se pueden aumentar a menos que se indique explícitamente.
Por organización
Se aplican los siguientes límites a las organizaciones:
| Elemento | límite | Notas |
|---|---|---|
| Número máximo de claves de etiquetas seguras por organización | 1000 | Número máximo de claves de etiquetas seguras que tienen una organización principal. Para obtener más información, consulta Límites de etiquetas. |
Valores máximos de etiquetas seguras usados por todas las claves de etiquetas cuyo purpose
es GCE_FIREWALL y purpose-data es una organización
|
16384 | Este límite se aplica a todos los valores de etiqueta que usan las claves de etiqueta creadas en la organización que coinciden con los datos de finalidad, incluidas las claves de etiqueta cuyo elemento superior sea la organización o un proyecto de la organización. |
Por proyecto
Se aplican los siguientes límites a los proyectos:
| Elemento | límite | Notas |
|---|---|---|
| Número máximo de claves de etiquetas seguras por proyecto | 1000 | Número máximo de claves de etiquetas seguras que tienen un proyecto superior. Para obtener más información, consulta Límites de etiquetas. |
Por red
En las redes de VPC se aplican los límites que se describen a continuación:
| Elemento | Límite | Notas |
|---|---|---|
| Número máximo de políticas de cortafuegos de red globales por red | 1 | El número máximo de políticas de cortafuegos de red globales que puedes asociar a una red de VPC. |
| Número máximo de nombres de dominio (FQDNs) por red | 1000 | El número total máximo de nombres de dominio que se pueden usar en las reglas de cortafuegos que proceden de políticas de cortafuegos de jerarquía, políticas de cortafuegos de red globales y políticas de cortafuegos de red regionales asociadas a una red de VPC. |
Número máximo de valores de etiquetas seguras usados por todas las claves de etiquetas cuyo purpose
es GCE_FIREWALL y purpose-data es una red de VPC
|
16383 | Este límite se aplica a todos los valores de etiqueta que usan las claves de etiqueta cuyo purpose-data coincide con la red de VPC especificada, incluidas las claves de etiqueta cuyo elemento superior es la organización o un proyecto.
|
Por regla de cortafuegos
Se aplican los siguientes límites a las reglas de cortafuegos:
| Elemento | Límite | Notas |
|---|---|---|
| Número máximo de etiquetas seguras de origen por regla de política de cortafuegos de entrada | 256 | Solo se aplica a las reglas de políticas de cortafuegos de entrada: el número máximo de etiquetas seguras que puedes usar como etiquetas de origen en la regla de cortafuegos. Este límite no se puede aumentar. |
| Número máximo de etiquetas seguras de destino por regla de política de cortafuegos | 256 | Solo se aplica a las reglas de políticas de cortafuegos: el número máximo de etiquetas seguras que puedes usar como etiquetas de destino en la regla de cortafuegos. Este límite no se puede aumentar. |
| Número máximo de etiquetas de red de origen por regla de cortafuegos de VPC de entrada | 30 | Solo se aplica a las reglas de cortafuegos de VPC de entrada: el número máximo de etiquetas de red que puedes usar como etiquetas de origen en la regla de cortafuegos. Este límite no se puede aumentar. |
| Número máximo de etiquetas de red de destino por regla de cortafuegos de VPC | 70 | Solo se aplica a las reglas de cortafuegos de VPC: el número máximo de etiquetas de red que puedes usar como etiquetas de destino en la regla de cortafuegos. Este límite no se puede aumentar. |
| Número máximo de cuentas de servicio de origen por regla de cortafuegos de VPC de entrada | 10 | Solo se aplica a las reglas de cortafuegos de VPC de entrada: es el número máximo de cuentas de servicio que puedes usar como origen en la regla de cortafuegos. Este límite no se puede aumentar. |
| Número máximo de cuentas de servicio de destino por regla de cortafuegos | 10 | El número máximo de cuentas de servicio que puedes usar como destinos en una regla de cortafuegos de VPC o en una regla de una política de cortafuegos. Este límite no se puede aumentar. |
| Número máximo de intervalos de direcciones IP de origen por regla de cortafuegos | 5000 | La cantidad máxima de intervalos de direcciones IP de origen que puedes especificar en una regla de cortafuegos de VPC o en una regla de una política de cortafuegos. Los intervalos de direcciones IP solo pueden ser IPv4 o IPv6. Este límite no se puede aumentar. |
| Número máximo de intervalos de direcciones IP de destino por regla de cortafuegos | 5000 | El número máximo de intervalos de direcciones IP de destino que puedes especificar en una regla de cortafuegos de VPC o en una regla de una política de cortafuegos. Los intervalos de direcciones IP solo pueden ser IPv4 o IPv6. Este límite no se puede aumentar. |
| Número máximo de grupos de direcciones de origen por regla de cortafuegos de entrada en una política de cortafuegos | 10 | El número máximo de grupos de direcciones de origen que puedes especificar en una regla de cortafuegos de entrada de una política de cortafuegos. Este límite no se puede aumentar. |
| Número máximo de grupos de direcciones de destino por regla de cortafuegos en una política de cortafuegos | 10 | El número máximo de grupos de direcciones de destino que puedes especificar en una regla de cortafuegos de salida de una política de cortafuegos. Este límite no se puede aumentar. |
| Número máximo de nombres de dominio (FQDNs) por regla de cortafuegos en una política de cortafuegos | 100 | El número de nombres de dominio (FQDNs) que puedes incluir en una regla de una política de cortafuegos. Este límite no se puede aumentar. |
Por grupo de direcciones
Los siguientes límites se aplican a los grupos de direcciones que usa Cloud NGFW.
| Elemento | Límite | Notas |
|---|---|---|
| Número máximo de direcciones IP por grupo de direcciones | 1000 | Se aplica individualmente a cada grupo de direcciones utilizado por Cloud NGFW. El grupo de direcciones puede ser un grupo de direcciones global o de ámbito de proyecto; un grupo de direcciones global o de ámbito de organización; un grupo de direcciones de ámbito de proyecto regional; o un grupo de direcciones de ámbito de organización regional. |
Por etiqueta segura
Se aplican los siguientes límites a las etiquetas seguras:
| Elemento | Límite | Notas |
|---|---|---|
| Número máximo de valores de etiquetas seguras por clave de etiqueta | 1000 | Número máximo de valores de etiqueta seguros que puedes añadir por clave de etiqueta. Para obtener más información, consulta Límites de etiquetas. |
Por interfaz de red de VM
En las interfaces de red de máquinas virtuales (VMs) se aplican los límites que se describen a continuación:
| Elemento | Límite | Notas |
|---|---|---|
| Número máximo de valores de etiquetas seguras adjuntos a una interfaz de red de una VM | 10 | El número máximo de valores de etiquetas seguras que se pueden asociar a cada interfaz de red de máquina virtual. Para obtener más información sobre las especificaciones de las etiquetas seguras de firewall, consulta Especificaciones.
Para obtener información sobre los límites de red, consulta Límites por red. |
Administrar las cuotas
Cloud Next Generation Firewall aplica cuotas al uso de recursos por varios motivos. Por ejemplo, las cuotas protegen a la comunidad de usuarios Cloud de Confiance by S3NS a través de la prevención de los aumentos imprevistos en el uso. Las cuotas también ayudan a que los usuarios que exploran Cloud de Confiance con el nivel gratuito permanezcan dentro de su prueba.
Todos los proyectos comienzan con las mismas cuotas, que puedes cambiar mediante la solicitud de cuotas adicionales. Algunas cuotas pueden aumentar de forma automática en función del uso que haces del producto.
Permisos
Para ver cuotas o solicitar aumentos de cuota, los principales de administración de identidades y accesos (IAM) necesitan una de las siguientes funciones:
| Tarea | Función requerida |
|---|---|
| Consultar cuotas para un proyecto | Uno de los siguientes:
|
| Modificar cuotas, solicitar cuota adicional | Uno de los siguientes:
|
Comprueba tu cuota
Console
- En la Cloud de Confiance consola, ve a la página Cuotas.
- Para buscar la cuota que quieres actualizar, usa la tabla de filtros. Si no sabes el nombre de la cuota, usa los vínculos que aparecen en esta página en su lugar.
gcloud
Con la CLI de Google Cloud, ejecuta el siguiente comando para comprobar tus cuotas. Reemplaza PROJECT_ID con el ID de tu proyecto.
gcloud compute project-info describe --project PROJECT_IDPara verificar la cuota usada en una región, ejecuta el siguiente comando:
gcloud compute regions describe example-region
Errores cuando excedes la cuota
Si excedes una cuota con un comando gcloud, gcloud muestra un mensaje de error quota exceeded y el código de salida 1.
Si excedes una cuota con una solicitud a la API, Cloud de Confiance muestra el siguiente código de estado HTTP: 413 Request Entity Too Large.
Solicitar cuota adicional
Para ajustar la mayoría de las cuotas, usa la consola de Cloud de Confiance . Para obtener más información, consulta Solicita un ajuste de cuota.
Disponibilidad de recursos
Cada cuota representa la cantidad máxima de un tipo particular de recurso que puedes crear, siempre y cuando el recurso esté disponible. Es importante tener en cuenta que las cuotas no garantizan la disponibilidad del recurso. Incluso si tienes cuotas disponibles, no podrás crear un recurso nuevo si no está disponible.
Por ejemplo, podrías tener una cuota suficiente para crear una nueva dirección IP externa regional en una región determinada. Sin embargo, eso no es posible si no hay direcciones IP externas disponibles en esa región. La disponibilidad zonal de recursos también puede afectar tu capacidad para crear un nuevo recurso.
Las situaciones en las que los recursos no están disponibles en toda una región son poco frecuentes. Sin embargo, los recursos dentro de una zona pueden agotarse cada tanto.