En este documento, se enumeran las cuotas y los límites que se aplican a Google Cloud Armor.
Google Cloud usa cuotas para garantizar la equidad y reducir los aumentos repentinos en el uso y la disponibilidad de los recursos. Una cuota restringe la cantidad de un recurso de Google Cloud que puede usar tu proyecto de Google Cloud. Las cuotas se aplican a una variedad de tipos de recursos, incluidos los componentes de hardware, software y red. Por ejemplo, las cuotas pueden restringir la cantidad de llamadas a la API para un servicio, la cantidad de balanceadores de cargas que se usan en simultáneo en tu proyecto o la cantidad de proyectos que puedes crear. Las cuotas protegen a la comunidad de usuarios de Google Cloud mediante la prevención de la sobrecarga de los servicios. También te ayudan a administrar tus propios recursos de Google Cloud.
El sistema de cuotas Cloud realiza las siguientes acciones:
- Supervisa el consumo de productos y servicios de Google Cloud.
- Restringe el consumo de esos recursos.
- Proporciona un medio para solicitar cambios en el valor de la cuota.
En la mayoría de los casos, cuando intentas consumir más de lo que permite la cuota de un recurso, el sistema bloquea el acceso al recurso, y la tarea que intentas realizar falla.
Por lo general, las cuotas se aplican a nivel del proyecto de Google Cloud. El uso de un recurso en un proyecto no afecta tu cuota disponible en otro proyecto. Dentro de un proyecto de Google Cloud, las cuotas se comparten entre todas las aplicaciones y direcciones IP.
También hay límites en los recursos de Google Cloud Armor. Estos límites no están relacionados con el sistema de cuotas. Los límites no se pueden cambiar, a menos que se indique lo contrario.
Cuotas
Las cuotas de recursos de Google Cloud Armor se organizan según dos criterios:
- Alcance de la cuota:
- global
- regional
- El tipo de política de seguridad de Google Cloud Armor:
- política de seguridad del backend
- política de seguridad perimetral
- política de seguridad perimetral de red
Políticas de seguridad de backend y de seguridad perimetral globales
Google Cloud Armor usa las siguientes cuotas por proyecto para la red perimetral global seguridad de backend global y las reglas que contienen:
| Recurso | Cuota | Descripción |
|---|---|---|
| Políticas de seguridad global por proyecto | Cuota | El límite de esta cuota define la cantidad máxima de políticas de seguridad de perímetro y de backend globales, en conjunto, en un proyecto. Nombre de la cuota: Métricas disponibles:
|
| Reglas de políticas de seguridad globales por proyecto | Cuota | El límite de esta cuota define la cantidad total máxima de reglas tanto en políticas de seguridad perimetral globales como de seguridad de backend global, en un proyecto. El uso de esta cuota cuenta lo siguiente:
Nombre de la cuota: Métricas disponibles:
|
| Las reglas globales de la política de seguridad con condiciones de coincidencia avanzadas por proyecto | Cuota | El límite de esta cuota define la cantidad total máxima de reglas con condiciones de coincidencia avanzadas en seguridad perimetral global de backend y las políticas de seguridad global de backend en un proyecto. El el uso de esta cuota cuenta lo siguiente:
Nombre de la cuota: Métricas disponibles:
|
Cuotas por política de seguridad global para reglas con condiciones de coincidencia avanzadas
Google Cloud Armor usa las siguientes cuotas por política de seguridad para reglas con condiciones de coincidencia avanzadas en políticas de seguridad perimetral y global políticas de seguridad de backend:
| Recurso | Cuota | Descripción |
|---|---|---|
| Reglas con condiciones de coincidencia avanzadas por seguridad perimetral global política | Cuota | El límite de esta cuota define la cantidad máxima de reglas con Condiciones de coincidencia avanzadas en una política de seguridad perimetral global específica. Nombre de la cuota: Métricas disponibles:
|
| Reglas con condiciones de coincidencia avanzadas por seguridad de backend global política | Cuota | El límite de esta cuota define la cantidad máxima de reglas con Condiciones de coincidencia avanzadas en una política de seguridad de backend global específica. Nombre de la cuota: Métricas disponibles:
|
Resumen de las cuotas registradas para las reglas de las políticas de seguridad global
En la siguiente tabla, se muestra qué cuotas se cuentan para reglas y reglas básicas con condiciones de coincidencia avanzadas en políticas de seguridad global:
| Regla | El uso contabilizado en estas cuotas |
|---|---|
| Regla básica en una política de seguridad perimetral global |
|
| Regla básica en una política de seguridad de backend global |
|
| Regla con condiciones de coincidencia avanzadas en una política de seguridad perimetral global |
|
| Regla con condiciones de coincidencia avanzadas en una política de seguridad de backend global |
|
Políticas de seguridad de backend regionales
Google Cloud Armor usa las siguientes cuotas por región y por proyecto para de seguridad de backend regionales y las reglas que contiene:
| Recurso | Cuota | Descripción |
|---|---|---|
| Políticas de seguridad de backend regionales por región y por proyecto | Cuota | El límite de esta cuota define la cantidad máxima de instancias las políticas de seguridad de backend en la región de un proyecto. Nombre de la cuota: Métricas disponibles:
|
| Reglas de políticas de seguridad de backend regionales por región y por proyecto | Cuota | El límite de esta cuota define la cantidad máxima de reglas en las políticas de seguridad del backend regional en una región de un proyecto. El uso para esta cuota cuenta tanto las reglas básicas como las reglas con concordancia avanzada condiciones. Nombre de la cuota: Métricas disponibles:
|
| Reglas de políticas de seguridad de backend regionales con condiciones de coincidencia avanzadas por región y por proyecto | Cuota | El límite de esta cuota define la cantidad total máxima de reglas con condiciones de coincidencia avanzadas en seguridad de backend regional políticas en la región de un proyecto. El uso de esta cuota solo cuenta con condiciones de coincidencia avanzadas. Nombre de la cuota: Métricas disponibles:
|
Cuotas de políticas de seguridad del backend regionales para las reglas con condiciones de coincidencia avanzadas
Google Cloud Armor usa las siguientes cuotas por política de seguridad para reglas con condiciones de coincidencia avanzadas en políticas de seguridad de backend regionales:
| Recurso | Cuota | Descripción |
|---|---|---|
| Reglas con condiciones de coincidencia avanzadas por seguridad de backend regional política | Cuota | El límite de esta cuota define la cantidad máxima de apps en una política de seguridad de backend regional específica. Nombre de la cuota: Métricas disponibles:
|
Resumen de las cuotas registradas para las reglas en las políticas de seguridad del backend regional
En la siguiente tabla, se muestra qué cuotas se cuentan para reglas y reglas básicas con condiciones de coincidencia avanzadas en políticas de seguridad de backend regionales:
| Regla | Uso que se registra en estas cuotas |
|---|---|
| Regla básica en una política de seguridad de backend regional |
|
| Regla con condiciones de coincidencia avanzadas en una política de seguridad de backend regional |
|
Políticas de seguridad perimetral de red regional
Google Cloud Armor usa las siguientes cuotas por región y por proyecto para las políticas y reglas de seguridad del perímetro de red regional:
| Recurso | Cuota | Descripción |
|---|---|---|
| Políticas de seguridad perimetral de red regional por región y por proyecto | Cuota | El límite de esta cuota define la cantidad máxima de instancias políticas de seguridad perimetral de red en cada región de un proyecto. Nombre de la cuota: Métricas disponibles:
|
| Reglas de políticas de seguridad perimetral de red regional por región, por proyecto | Cuota | El límite de esta cuota define la cantidad máxima total de reglas para las políticas de seguridad perimetral de red regionales en cada región de un proyecto. Nombre de la cuota: Métricas disponibles:
|
| Valores de coincidencia de la regla de seguridad perimetral de red regional por región, por proyecto | Cuota | El límite de esta cuota define la cantidad total máxima
en las reglas de las políticas de seguridad perimetral de la red regional en cada
región de un proyecto. El uso de esta cuota es la suma de los atributos Nombre de la cuota: Métricas disponibles:
|
Grupos de direcciones
Los grupos de direcciones de Google Cloud Armor usan las siguientes cuotas:
| Recurso | Cuota | Descripción |
|---|---|---|
| Capacidad acumulativa por organización | Cuota | La capacidad máxima por organización en todos los grupos de direcciones de la
incluidos los rangos de direcciones IP IPv4 y IPv6.
Considera que este límite es de 150,000 rangos, en los que un IPv4
el rango de direcciones cuenta como un rango y un rango de direcciones IP IPv6
cuenta como tres rangos.Por ejemplo, si tienes 40,000
|
| Capacidad acumulativa por proyecto | Cuota | La capacidad máxima por proyecto en todos los grupos de direcciones de la
incluidos los rangos de direcciones IP IPv4 y IPv6.
Considera que este límite es de 150,000 rangos, en los que un IPv4
el rango de direcciones cuenta como un rango y un rango de direcciones IP IPv6
cuenta como tres rangos.Por ejemplo, si tienes 40,000
|
Además de las cuotas de Google Cloud Armor, los productos que usan Google Cloud Armor tiene sus propias cuotas. Por ejemplo, consulta Cuotas y límites de Cloud Load Balancing.
Google Cloud aplica cuotas al uso de recursos por varios motivos. Por ejemplo, las cuotas protegen a la comunidad de usuarios de Google Cloud mediante la prevención de los aumentos repentinos de uso. Google Cloud también ofrece cuotas de prueba gratuita que proporcionan acceso limitado para proyectos en los que solo se explora Google Cloud a modo de prueba gratuita.
No todos los proyectos tienen las mismas cuotas. A medida que tu uso de Google Cloud se amplía con el tiempo, las cuotas podrían aumentar según corresponda. Si prevés un aumento considerable en el uso, puedes solicitar ajustes en la cuota de forma proactiva en la página Cuotas de la consola de Google Cloud.
Para solicitar una cuota adicional, debes tener el permiso serviceusage.quotas.update. Este permiso se incluye de forma predeterminada en las funciones predefinidas de propietario, editor y administrador de cuotas. Planifica y solicita recursos adicionales con, al menos, una semana de anticipación a fin de asegurarte de que tengamos tiempo suficiente para completar la solicitud. Para solicitar una cuota adicional, consulta Solicita cuota adicional.
Límites
Google Cloud Armor tiene los siguientes límites:
| Elemento | Límites |
|---|---|
| Cantidad de direcciones IP o rangos de direcciones IP por regla | 10 |
| Cantidad de subexpresiones por cada regla con una expresión personalizada | 5 |
| Cantidad de caracteres para cada subexpresión en una expresión personalizada | 1,024 |
| Cantidad de caracteres en una expresión personalizada | 2,048 |
Cantidad de solicitudes por segundo, por proyecto, entre todos los backends que tengan una política de seguridad de Google Cloud Armor. Este límite no se aplica de manera forzosa. Google se reserva el derecho de limitar el volumen de tráfico que pueden procesar todas las políticas de seguridad de un proyecto determinado. Si necesitas solicitar un aumento de la cuota de QPS, comunícate con el equipo de cuentas. |
20,000 |
| Cantidad de servicios de seguridad perimetral de red por región y por proyecto | 1 |
Grupos de direcciones
Los grupos de direcciones de Google Cloud Armor tienen los siguientes límites:
| Versión del Protocolo de Internet | Capacidad máxima de un solo grupo de direcciones | Cantidad máxima de direcciones modificadas por un comando de la API (como add-items) |
|---|---|---|
| IPv4 | 150,000 IPv4 de rangos de direcciones IP |
50,000 IPv4 rangos de direcciones IP |
| IPv6 | 50,000 IPv6 rangos de direcciones IP |
20,000 IPv6 rangos de direcciones IP |
Administrar las cuotas
Google Cloud Armor aplica cuotas al uso de recursos por varios motivos. Por ejemplo, las cuotas protegen a la comunidad de usuarios Google Cloud a través de la prevención de los aumentos imprevistos en el uso. Las cuotas también ayudan a que los usuarios que exploran Google Cloud con el nivel gratuito permanezcan dentro de su prueba.
Todos los proyectos comienzan con las mismas cuotas, que puedes cambiar mediante la solicitud de cuotas adicionales. Algunas cuotas pueden aumentar de forma automática en función del uso que haces del producto.
Permisos
Para ver cuotas o solicitar aumentos de cuota, los principales de administración de identidades y accesos (IAM) necesitan una de las siguientes funciones:
| Tarea | Función requerida |
|---|---|
| Consultar cuotas para un proyecto | Uno de los siguientes:
|
| Modificar cuotas, solicitar cuota adicional | Uno de los siguientes:
|
Comprueba tu cuota
Console
- En la consola de Google Cloud, ve a la página Cuotas.
- Para buscar la cuota que quieres actualizar, usa la tabla de filtros. Si no sabes el nombre de la cuota, usa los vínculos que aparecen en esta página en su lugar.
gcloud
Con la CLI de Google Cloud, ejecuta el siguiente comando para comprobar tus cuotas. Reemplaza PROJECT_ID con el ID de tu proyecto.
gcloud compute project-info describe --project PROJECT_ID
Para verificar la cuota usada en una región, ejecuta el siguiente comando:
gcloud compute regions describe example-region
Errores cuando excedes la cuota
Si excedes una cuota con un comando gcloud, gcloud muestra un mensaje de error quota exceeded y el código de salida 1.
Si excedes una cuota con una solicitud a la API, Google Cloud muestra el siguiente código de estado HTTP: 413 Request Entity Too Large.
Solicitar cuota adicional
Para aumentar o disminuir la mayoría de las cuotas, usa la consola de Google Cloud. Consulta Solicita una cuota mayor para obtener más información.
Console
- En la consola de Google Cloud, ve a la página Cuotas.
- En la página Cuotas, selecciona las cuotas que deseas cambiar.
- En la parte superior de la página, haz clic en Editar cuotas.
- En Nombre, ingresa tu nombre.
- Opcional: En Teléfono, ingresa un número de teléfono.
- Envía la solicitud. Las solicitudes de cuotas toman entre 24 y 48 horas en procesarse.
Disponibilidad de recursos
Cada cuota representa la cantidad máxima de un tipo particular de recurso que puedes crear, siempre y cuando el recurso esté disponible. Es importante tener en cuenta que las cuotas no garantizan la disponibilidad del recurso. Incluso si tienes cuotas disponibles, no podrás crear un recurso nuevo si no está disponible.
Por ejemplo, podrías tener una cuota suficiente para crear una nueva dirección IP externa regional en la región us-central1. Sin embargo, eso no es posible si no hay direcciones IP externas disponibles en esa región. La disponibilidad zonal de recursos también puede afectar tu capacidad para crear un nuevo recurso.
Las situaciones en las que los recursos no están disponibles en toda una región son poco frecuentes. Sin embargo, los recursos dentro de una zona pueden agotarse cada tanto, lo que generalmente no tiene ningún impacto en el Acuerdo de Nivel de Servicio (ANS) del tipo de recurso. Si deseas obtener más información, revisa el ANS que sea relevante para el recurso.