Este documento lista as quotas e os limites do sistema que se aplicam ao Cloud Next Generation Firewall.
- As quotas têm valores predefinidos, mas normalmente pode pedir ajustes.
- Os limites do sistema são valores fixos que não podem ser alterados.
Cloud de Confiance by S3NS usa quotas para ajudar a garantir a equidade e reduzir os picos na utilização e disponibilidade de recursos. Uma quota restringe a quantidade de um Cloud de Confiance recurso que o seu Cloud de Confiance projeto pode usar. As quotas aplicam-se a uma variedade de tipos de recursos, incluindo componentes de hardware, software e rede. Por exemplo, as quotas podem restringir o número de chamadas API para um serviço, o número de balanceadores de carga usados em simultâneo pelo seu projeto ou o número de projetos que pode criar. As quotas protegem a comunidade de Cloud de Confiance utilizadores, impedindo a sobrecarga dos serviços. As quotas também ajudam a gerir os seus próprios Cloud de Confiance recursos.
O sistema Cloud Quotas faz o seguinte:
- Monitoriza o seu consumo de Cloud de Confiance produtos e serviços
- Restringe o seu consumo desses recursos
- Oferece uma forma de pedir alterações ao valor da quota e automatizar os ajustes de quotas
Na maioria dos casos, quando tenta consumir mais de um recurso do que a respetiva quota permite, o sistema bloqueia o acesso ao recurso e a tarefa que está a tentar realizar falha.
Geralmente, as quotas aplicam-se ao nível do Cloud de Confiance projeto A sua utilização de um recurso num projeto não afeta a sua quota disponível noutro projeto. Num Cloud de Confiance projeto, as quotas são partilhadas por todas as aplicações e endereços IP.
Para mais informações, consulte a vista geral das quotas da nuvem.Também existem limites do sistema nos recursos do NGFW na nuvem. Não é possível alterar os limites do sistema.
Quotas
Esta secção apresenta as quotas que se aplicam ao Cloud Next Generation Firewall.
Para monitorizar quotas por projeto que usam o Cloud Monitoring, configure a monitorização
para a métrica serviceruntime.googleapis.com/quota/allocation/usage no
tipo de recurso Consumer Quota. Defina filtros de etiquetas adicionais (service,
quota_metric) para aceder ao tipo de quota. Para obter informações sobre a monitorização das métricas de quota, consulte o artigo Represente graficamente e monitorize as métricas de quota.
Cada quota tem um limite e um valor de utilização.
Salvo indicação em contrário, para alterar uma quota, consulte o artigo Peça um ajuste de quota.
Por projeto
A tabela seguinte realça as quotas da NGFW da nuvem que são por projeto:
| Quota | Descrição |
|---|---|
| Regras de firewall de VPC | O número de regras de firewall da VPC que pode criar num projeto, independentemente da rede VPC à qual cada regra de firewall se aplica. |
| Políticas de firewall de rede global | O número de políticas de firewall de rede globais num projeto, independentemente do número de redes VPC associadas a cada política. |
| Políticas de firewall de rede regionais | O número de políticas de firewall de rede regionais em cada região de um projeto, independentemente do número de redes VPC associadas a cada política. |
| Grupos de endereços globais por projeto | O número de grupos de endereços globais e ao nível do projeto que pode definir num projeto. |
| Grupos de moradas regionais por projeto por região | O número de grupos de endereços regionais ao nível do projeto que pode definir em cada região de um projeto. |
Por organização
A tabela seguinte realça as quotas da Cloud NGFW que são por organização. Para alterar uma quota ao nível da organização, apresente um registo de apoio técnico.
| Quota | Descrição |
|---|---|
| Políticas de firewall hierárquicas não associadas numa organização | O número de políticas de firewall hierárquicas numa organização que não estão associadas a nenhuma pasta ou recurso da organização. Não existe limite para o número de políticas de firewall hierárquicas numa organização associadas a um recurso. |
| Grupos de endereços globais por organização | O número de grupos de endereços globais ao nível da organização que pode definir numa organização. |
| Grupos de moradas regionais por organização por região | O número de grupos de endereços regionais e ao nível da organização que pode definir em cada região numa organização. |
Por rede
As seguintes quotas aplicam-se às redes de VPC:
| Quota | Descrição |
|---|---|
| Associações de políticas de firewall de rede regionais por região por rede VPC | O número máximo de políticas de firewall de rede regionais que pode associar a uma região de uma rede de VPC. |
| Atributos de regras de firewall por região por rede VPC | O número máximo de atributos de regras de regras de todas as políticas de firewall de rede regionais associadas na região de uma rede VPC. |
| FQDNs de regras de firewall por região por rede de VPC | O número máximo de FQDNs de regras em todas as políticas de firewall de rede regionais associadas na região de uma rede VPC. |
Por política de firewall
A tabela seguinte realça as quotas da NGFW da nuvem que são por recurso de política de firewall:
| Quota | Descrição |
|---|---|
| Políticas de firewall hierárquicas | |
| Atributos das regras por política de firewall hierárquica | Esta quota é a soma dos atributos das regras de todas as regras numa política de firewall hierárquica. Para mais informações, consulte os detalhes da contagem de atributos das regras. |
| Nomes de domínios (FQDNs) por política de firewall hierárquica | O número de nomes de domínios que pode incluir em todas as regras de uma política de firewall hierárquica. Esta quota é a soma de todos os nomes de domínio de origem de todas as regras de entrada na política, mais a soma de todos os nomes de domínio de destino de todas as regras de saída na política. |
| Políticas de firewall de rede global | |
| Atributos das regras por política de firewall de rede global | A soma dos atributos das regras de todas as regras numa política de firewall de rede global. Para mais informações, consulte os detalhes da contagem de atributos das regras. |
| Nomes de domínios (FQDNs) por política de firewall de rede global | O número de nomes de domínios que pode incluir em todas as regras de uma política de firewall de rede global. Esta quota é a soma de todos os nomes de domínio de origem de todas as regras de entrada na política, mais a soma de todos os nomes de domínio de destino de todas as regras de saída na política. |
| Políticas de firewall de rede regionais | |
| Atributos das regras por política de firewall de rede regional | A soma dos atributos das regras de todas as regras numa política de firewall de rede regional. Para mais informações, consulte os detalhes da contagem de atributos das regras. |
| Nomes de domínios (FQDNs) por política de firewall de rede regional | O número de nomes de domínio (FQDNs) que pode incluir em todas as regras de uma política de firewall de rede regional: esta quota é a soma de todos os nomes de domínio de origem de todas as regras de entrada na política, mais a soma de todos os nomes de domínio de destino de todas as regras de saída na política. |
Detalhes da contagem de atributos da regra
Cada política de firewall suporta um número total máximo de atributos de todas as regras na política. Para determinar a contagem de atributos de regras para uma determinada política de firewall, descreva a política. Para ver direções, consulte o seguinte:
- Descreva uma política na documentação da política de firewall hierárquica
- Descreva uma política de firewall de rede global
- Descreva uma política de firewall de rede regional
A tabela seguinte apresenta exemplos de regras e a contagem de atributos para cada exemplo de regra.
| Exemplo de regra de firewall | Contagem de atributos de regras | Explicação |
|---|---|---|
Regra de firewall de permissão de entrada com intervalo de endereços IP de origem
10.100.0.1/32, protocolo tcp e
intervalo de portas 5000-6000.
|
3 | Um intervalo de origem, um protocolo e um intervalo de portas. |
Regra de firewall de recusa de entrada com intervalos de endereços IP de origem
10.0.0.0/8, 192.168.0.0/16, intervalo de endereços IP de destino
100.64.0.7/32, protocolos tcp e
udp, intervalos de portas 53-53 e
5353-5353.
|
11 | Existem quatro combinações de protocolo e porta: tcp:53-53,
tcp:5353-5353, udp:53-53 e
udp:5353-5353. Cada combinação de protocolo e porta usa dois atributos. Um atributo para cada um dos dois intervalos de endereços IP de origem, um atributo para o intervalo de endereços IP de destino e oito atributos para as combinações de protocolos e portas produzem uma contagem de atributos de 11. |
Regra de firewall de recusa de saída com intervalo de endereços IP de origem
100.64.0.7/32, intervalo de endereços IP de destino
10.100.0.1/32, 10.100.1.1/32, tcp:80,
tcp:443 e udp:4000-5000.
|
9 | As combinações de protocolo e porta expandem-se para três: tcp:80-80,
tcp:443-443 e udp:4000-5000. Cada combinação de protocolo e porta usa dois atributos. Um atributo para o intervalo de origem,
um atributo para cada um dos dois intervalos de endereços IP de destino e seis
atributos para as combinações de protocolo e porta geram uma quantidade
de 9 atributos. |
Limites
Os limites não podem ser aumentados, exceto se for especificamente indicado.
Por organização
Os seguintes limites aplicam-se às organizações:
| Item | limite | Notas |
|---|---|---|
| Número máximo de chaves de etiquetas seguras por organização | 1000 | O número máximo de chaves de etiquetas seguras que têm uma organização principal. Para mais informações, consulte o artigo Limites de etiquetas. |
Valores máximos de etiquetas seguras usados por todas as chaves de etiquetas cujo purpose
é GCE_FIREWALL e purpose-data é uma organização
|
16384 | Este limite é aplicado a todos os valores de etiquetas usados por chaves de etiquetas criadas na organização que correspondem aos dados de finalidade, incluindo chaves de etiquetas cujo elemento principal é a organização ou um projeto na mesma. |
Por projeto
Os seguintes limites aplicam-se ao projeto:
| Item | limite | Notas |
|---|---|---|
| Número máximo de chaves de etiquetas seguras por projeto | 1000 | O número máximo de chaves de etiquetas seguras que têm um projeto principal. Para mais informações, consulte o artigo Limites de etiquetas. |
Por rede
Os seguintes limites aplicam-se às redes de VPC:
| Item | Limite | Notas |
|---|---|---|
| Número máximo de políticas de firewall de rede global por rede | 1 | O número máximo de políticas de firewall de rede global que pode associar a uma rede VPC. |
| Número máximo de nomes de domínio (FQDNs) por rede | 1000 | O número total máximo de nomes de domínios que podem ser usados em regras de firewall provenientes de políticas de firewall hierárquicas, políticas de firewall de rede globais e políticas de firewall de rede regionais associadas a uma rede VPC. |
Valores máximos de etiquetas seguras usados por todas as chaves de etiquetas cujo purpose
é GCE_FIREWALL e purpose-data é uma rede de VPC
|
16383 | Este limite é aplicado a todos os valores de etiquetas usados por chaves de etiquetas cujo
purpose-data corresponde à rede VPC especificada,
incluindo chaves de etiquetas cujo elemento principal é a organização ou um projeto.
|
Por regra de firewall
Os seguintes limites aplicam-se às regras de firewall:
| Item | Limite | Notas |
|---|---|---|
| Número máximo de etiquetas seguras de origem por regra de política de firewall de entrada | 256 | Aplicável apenas à regra da política de firewall de entrada: o número máximo de etiquetas seguras que pode usar como etiquetas de origem na regra de firewall. Não é possível aumentar este limite. |
| Número máximo de etiquetas seguras de destino por regra de política de firewall | 256 | Aplicável apenas à regra de política de firewall: o número máximo de etiquetas seguras que pode usar como etiquetas de destino na regra de firewall. Não é possível aumentar este limite. |
| Número máximo de etiquetas de rede de origem por regra de firewall de VPC de entrada | 30 | Aplicável apenas a regras de firewall de VPC de entrada: o número máximo de etiquetas de rede que pode usar como etiquetas de origem na regra de firewall. Não é possível aumentar este limite. |
| Número máximo de etiquetas de rede de destino por regra de firewall da VPC | 70 | Aplicável apenas às regras de firewall da VPC: o número máximo de etiquetas de rede que pode usar como etiquetas de destino na regra de firewall. Não é possível aumentar este limite. |
| Número máximo de contas de serviço de origem por regra de firewall de VPC de entrada | 10 | Aplicável apenas a regras de firewall de VPC de entrada: o número máximo de contas de serviço que pode usar como origens na regra de firewall. Não é possível aumentar este limite. |
| Número máximo de contas de serviço de destino por regra de firewall | 10 | O número máximo de contas de serviço que pode usar como destinos numa regra de firewall da VPC ou numa regra de uma política de firewall. Não é possível aumentar este limite. |
| Número máximo de intervalos de endereços IP de origem por regra de firewall | 5000 | O número máximo de intervalos de endereços IP de origem que pode especificar numa regra de firewall de VPC ou numa regra de uma política de firewall. Os intervalos de endereços IP são apenas IPv4 ou apenas IPv6. Não é possível aumentar este limite. |
| Número máximo de intervalos de endereços IP de destino por regra de firewall | 5000 | O número máximo de intervalos de endereços IP de destino que pode especificar numa regra de firewall de VPC ou numa regra de uma política de firewall. Os intervalos de endereços IP são apenas IPv4 ou apenas IPv6. Não é possível aumentar este limite. |
| Número máximo de grupos de endereços de origem por regra de firewall de entrada numa política de firewall | 10 | O número máximo de grupos de endereços de origem que pode especificar numa regra de firewall de entrada numa política de firewall. Não é possível aumentar este limite. |
| Número máximo de grupos de endereços de destino por regra de firewall numa política de firewall | 10 | O número máximo de grupos de endereços de destino que pode especificar numa regra de firewall de saída numa política de firewall. Não é possível aumentar este limite. |
| Número máximo de nomes de domínio (FQDNs) por regra de firewall numa política de firewall | 100 | O número de nomes de domínio (FQDNs) que pode incluir numa regra de uma política de firewall. Não é possível aumentar este limite. |
Por grupo de endereços
Os seguintes limites aplicam-se aos grupos de endereços usados pelo Cloud NGFW.
| Item | Limite | Notas |
|---|---|---|
| Número máximo de endereços IP por grupo de endereços | 1000 | Aplica-se individualmente a cada grupo de endereços usado pelo NGFW da nuvem. O grupo de endereços pode ser um grupo de endereços global com âmbito do projeto; um grupo de endereços global com âmbito da organização; um grupo de endereços regional com âmbito do projeto; ou um grupo de endereços regional com âmbito da organização. |
Por etiqueta segura
Os seguintes limites aplicam-se a etiquetas seguras:
| Item | Limite | Notas |
|---|---|---|
| Valores máximos de etiquetas seguras por chave de etiqueta | 1000 | O número máximo de valores de etiquetas seguras que pode adicionar por chave de etiqueta. Para mais informações, consulte o artigo Limites de etiquetas. |
Por interface de rede de VM
Os seguintes limites aplicam-se às interfaces de rede da máquina virtual (VM):
| Item | Limite | Notas |
|---|---|---|
| Valores máximos de etiquetas seguras anexados a uma interface de rede de VM | 10 | O número máximo de valores de etiquetas seguras que podem ser anexados a cada interface de rede da VM. Para mais informações sobre as especificações das etiquetas seguras da firewall, consulte Especificações.
Para ver os limites da rede, consulte a secção Limites por rede. |
Faça a gestão de quotas
Cloud Next Generation Firewall impõe quotas na utilização de recursos por vários motivos. Por exemplo, as quotas protegem a comunidade de Cloud de Confiance by S3NS utilizadores ao impedirem picos imprevistos na utilização. As quotas também ajudam os utilizadores que estão a explorar Cloud de Confiance com o nível gratuito a permanecerem dentro da respetiva avaliação.
Todos os projetos começam com as mesmas quotas, que pode alterar pedindo quotas adicionais. Algumas quotas podem aumentar automaticamente com base na sua utilização de um produto.
Autorizações
Para ver quotas ou pedir aumentos de quotas, os principais da gestão de identidade e de acesso (IAM) precisam de uma das seguintes funções.
| Tarefa | Função necessária |
|---|---|
| Verifique as quotas de um projeto | Uma das seguintes opções:
|
| Modifique quotas e peça quotas adicionais | Uma das seguintes opções:
|
Verifique a sua quota
Consola
- Na Cloud de Confiance consola, aceda à página Quotas.
- Para pesquisar a quota que quer atualizar, use a opção Filtrar tabela. Se não souber o nome da quota, use os links nesta página.
gcloud
Usando a CLI do Google Cloud, execute o seguinte comando para
verificar as suas quotas. Substitua PROJECT_ID pelo seu ID do projeto.
gcloud compute project-info describe --project PROJECT_IDPara verificar a quota usada numa região, execute o seguinte comando:
gcloud compute regions describe example-region
Erros quando excede a sua quota
Se exceder uma quota com um comando gcloud, o gcloud produz uma mensagem de erro quota exceeded e regressa com o código de saída 1.
Se exceder uma quota com um pedido de API, Cloud de Confiance é devolvido o seguinte código de estado HTTP: 413 Request Entity Too Large.
Peça quota adicional
Para ajustar a maioria das quotas, use a Cloud de Confiance consola. Para mais informações, consulte o artigo Peça um ajuste da quota.
Disponibilidade de recursos
Cada quota representa um número máximo para um determinado tipo de recurso que pode criar, se esse recurso estiver disponível. É importante ter em atenção que as quotas não garantem a disponibilidade de recursos. Mesmo que tenha quota disponível, não pode criar um novo recurso se não estiver disponível.
Por exemplo, pode ter quota suficiente para criar um novo endereço IP externo regional numa determinada região. No entanto, isso não é possível se não existirem endereços IP externos disponíveis nessa região. A disponibilidade de recursos zonais também pode afetar a sua capacidade de criar um novo recurso.
As situações em que os recursos estão indisponíveis numa região inteira são raras. No entanto, os recursos numa zona podem esgotar-se periodicamente.