Fehlerbehebung bei der Konfiguration
Dieser Leitfaden hilft Ihnen bei der Lösung häufiger Probleme mit Cloud NAT.
Allgemeine Probleme
VMs können unerwartet ohne Cloud NAT auf das Internet zugreifen
Wenn Sie feststellen, dass Ihre VM-Instanzen oder Containerinstanzen ohne Cloud NAT auf das Internet zugreifen, dies jedoch nicht beabsichtigt ist, prüfen Sie Folgendes:
Ermitteln Sie, ob die Netzwerkschnittstelle der VM eine externe IP-Adresse hat. Wenn der Netzwerkschnittstelle eine externe IP-Adresse zugewiesen ist, führt Google Cloud automatisch 1: 1-NAT für Pakete aus, deren Quellen mit der primären internen IP-Adresse der Schnittstelle übereinstimmen. Weitere Informationen finden Sie unter Cloud NAT-Spezifikationen.
Informationen dazu, ob eine VM eine externe IP-Adresse hat, finden Sie unter Externe IP-Adresse ändern oder einer vorhandenen Instanz zuweisen.
Sorgen Sie dafür, dass Ihr Google Kubernetes Engine-Cluster (GKE) ein privater Cluster ist. Jede Knoten-VM in einem nicht privaten Cluster hat eine externe IP-Adresse. Daher kann jeder Knoten Routen in Ihrem VPC-Netzwerk (Virtual Private Cloud) verwenden, deren Next Hop das Standard-Internet-Gateway ist, ohne auf Cloud NAT angewiesen zu sein. Weitere Informationen, unter anderem zur Interaktion nicht privater Cluster mit Cloud NAT-Gateways, finden Sie unter Compute Engine-Interaktion.
Listen Sie Routen in Ihrem Virtual Private Cloud-Netzwerk auf und suchen Sie nach Routen, die eine Internetverbindung über einen Hop bereitstellen könnten, der nicht dem Standard-Internet-Gateway entspricht. Beispiele:
Statische Routen, deren nächste Hops VMs, interne Passthrough-Network Load Balancer oder Cloud VPN-Tunnel sind, können indirekt eine Internetverbindung bereitstellen. Die VMs des nächsten Hops oder Back-End-VMs für einen internen Passthrough Network Load Balancer können beispielsweise selbst externe IP-Adressen haben oder ein Cloud VPN-Tunnel kann mit einem Netzwerk verbunden werden, das Internetzugriff bietet.
Dynamische Routen, die von Cloud Routern in Ihrer VPC aus lokalen Netzwerken ermittelt wurden, stellen möglicherweise eine Verbindung zu einem Netzwerk her, das Internetzugriff bietet.
Beachten Sie, dass andere benutzerdefinierte Routen in Ihrem VPC-Netzwerk höhere Prioritäten haben können als Routen, deren nächste Hops standardmäßige Internet-Gateways sind. Weitere Informationen zum Bewerten von Routen in Google Cloud finden Sie unter Anwendbarkeit und Reihenfolge.
Es werden keine Logs generiert
- Verifizieren Sie, dass NAT-Logging aktiviert ist.
Überprüfen Sie, ob die Logs, nach denen Sie suchen, nicht durch Ihre Ansicht der Logs herausgefiltert werden. Eine Anleitung finden Sie unter Logs ansehen.
Achten Sie darauf, dass der Traffic nicht von einer Firewallregel blockiert wird. Firewallregeln, die ausgehenden Traffic blockieren, werden angewendet, bevor der Traffic an das NAT-Gateway gesendet wurde. Mit dem Logging von Firewallregeln können Sie feststellen, ob Ihre benutzerdefinierten Ausgangsregeln ausgehenden Traffic blockieren.
Sehen Sie sich die Arten von Cloud NAT an. Das Ziel für Ihren Traffic wird möglicherweise nicht von NAT verarbeitet.
Bestimmte Logs sind ausgeschlossen
Prüfen Sie, ob NAT-Logging aktiviert ist und ob Ihr Logfilter keine Logs ausschließt, die Sie behalten möchten. Sie können einen Logfilter löschen, sodass nichts ausgeschlossen wird.
Cloud NAT protokolliert nicht jedes einzelne Ereignis. Bei Traffic mit hohem Traffic wird NAT-Logging gedrosselt, proportional zum Maschinentyp der VM. Übersetzungs- oder Fehlerlogs können gelöscht werden und es kann nicht ermittelt werden, was bei der Drosselung ausgelassen wird.
Pakete mit Grund entfernt: keine Ressourcen vorhanden
Wenn Sie Paketverluste von VMs sehen, die Cloud NAT verwenden, ist dies möglicherweise darauf zurückzuführen, dass nicht genügend Tupel aus NAT-Quell-IP-Adresse und Quellport vorhanden sind, die die VM zum Zeitpunkt des Paketverlusts (Portauslastung) verwenden kann. Ein 5-Tupel (NAT-Quell-IP-Adresse, Quellport und 3-Tupel-Ziel) kann nicht innerhalb der TCP TIME_WAIT Zeitlimit wiederverwendet werden.
Wenn nicht genügend NAT-Tupel verfügbar sind, lautet der Grund für dropped_sent_packets_count
OUT_OF_RESOURCES
. Weitere Informationen zu Messwerten finden Sie unter VM-Instanzmesswerte verwenden.
Unter Portnutzung reduzieren erfahren Sie, wie Sie die Portnutzung reduzieren können.
Wenn Sie die dynamische Portzuweisung verwenden, finden Sie im folgenden Abschnitt Möglichkeiten, die Anzahl der Pakete bei Verwendung der dynamischen Portzuweisung zu reduzieren.
Pakete, die verworfen werden, wenn die dynamische Portzuweisung konfiguriert ist
Die dynamische Portzuweisung erkennt, wenn sich eine VM in der Nähe der Ports befindet, und verdoppelt die Anzahl der Ports, die der VM zugewiesen werden. Dadurch wird sichergestellt, dass keine Ports verschwendet werden. Es können aber Pakete verloren gehen, während die Anzahl der zugewiesenen Ports zunimmt.
Beachten Sie Folgendes, um die Anzahl der verworfenen Pakete zu reduzieren:
Wenn Sie Verbindungen langsamer erhöhen können, hat Cloud NAT mehr Zeit, um mehr Ports zuzuweisen.
Wenn VMs TCP-Verbindungen herstellen, können Sie die VMs mit einem größeren Wert für
tcp_syn_retries
konfigurieren. Dadurch hat das System mehr Zeit, die Verbindung herzustellen, und die Wahrscheinlichkeit für eine erfolgreiche Verbindung steigt.Für Linux-VMs können Sie sich beispielsweise die aktuelle Einstellung ansehen:
sysctl net.ipv4.tcp_syn_retries
Bei Bedarf können Sie die Einstellung erhöhen:
sudo sysctl -w net.ipv4.tcp_syn_retries=NUM
Wenn Sie Arbeitslasten mit sporadischen Lastspitzen haben und schnell weitere Ports zuweisen müssen, müssen Sie möglicherweise die Mindestanzahl der Ports pro VM anpassen. Sehen Sie sich die Portnutzung an und ermitteln Sie eine geeignete Mindestanzahl an Ports pro VM.
Pakete mit Grund entfernt: endpunktunabhängiger Konflikt
Wenn Sie Paketverluste von VMs feststellen, die Public NAT verwenden, und die endpunktunabhängige Zuordnung aktiviert ist, kann der Paketverlust durch einen endpunktunabhängigen Konflikt verursacht werden. Wenn dies der Fall ist, ist der Grund für dropped_sent_packets_count
ENDPOINT_INDEPENDENT_CONFLICT
. Weitere Informationen zu Messwerten finden Sie unter VM-Instanzmesswerte verwenden.
Mit den folgenden Methoden können Sie die Wahrscheinlichkeit von endpunktunabhängigen Konflikten reduzieren:
Deaktivieren Sie die endpunktunabhängige Zuordnung. Dadurch kann die neue Verbindung von einer bestimmten Quell-IP-Adresse und einem bestimmten Port eine andere NAT-Quell-IP-Adresse und einen anderen Quellport als zuvor verwenden. Das Deaktivieren oder Aktivieren der endpunktunabhängigen Zuordnung unterbricht vorhandene Verbindungen nicht.
Mindestanzahl an NAT-Ports pro VM-Instanz erhöhen, damit das Verfahren zur Portreservierung mehr NAT-Quell-IP-Adress- und Quellport-Tupel an jede Client-VM zuweisen kann. Dadurch verringert sich die Wahrscheinlichkeit, dass zwei oder mehr Tupel aus Client-IP-Adresse und sitzungsspezifischem Quellport demselben Tupel aus NAT-Quell-IP-Adresse und Quellport zugewiesen werden.
Prüfen Sie, wie viele sitzungsspezifische Quellports verwendet werden:
Für Linux-VMs:
netstat -an | egrep 'ESTABLISHED|TIME_WAIT|CLOSE_WAIT' | wc -l
Für Windows-VMs:
netstat -tan | findstr "ESTABLISHED TIME_WAIT CLOSE_WAIT" | find /c /v ""
Konfigurieren Sie Ihre VM-Instanzen so, dass sie eine größere Anzahl von sitzungsspezifischen Quellports verwenden:
Für Linux-VMs:
Mit folgendem Befehl können Sie sehen, welcher Portbereich konfiguriert ist:
cat /proc/sys/net/ipv4/ip_local_port_range
Mit diesem Befehl können Sie für
ip_local_port_range
die maximale Anzahl von sitzungsspezifischen Quellports (64.512) festlegen:echo 1024 65535 > /proc/sys/net/ipv4/ip_local_port_range
Für Windows-VMs:
Mit den folgenden Befehlen können Sie sehen, welche Portbereiche konfiguriert sind:
netsh int ipv4 show dynamicport tcp netsh int ipv4 show dynamicport udp
Mit diesen Befehlen können Sie die Anzahl der sitzungsspezifischen Quell-TCP- und UDP-Ports auf den möglichen Maximalwert (64.512) einstellen:
netsh int ipv4 set dynamicport tcp start=1024 num=64512 netsh int ipv4 set dynamicport udp start=1024 num=64512
Auf Google Kubernetes Engine-Knoten können Sie diese Konfiguration mithilfe eines privilegierten
DaemonSet
automatisieren.
Deaktivieren Sie bei GKE-Clustern die auf jedem Knoten ausgeführte Quell-NAT für Pakete, die an relevante Orte gesendet werden. Dafür stehen Ihnen zwei Möglichkeiten zur Verfügung:
Sie stellen den
ip-masq-agent
bereit und fügen der Liste dernonMasqueradeCIDRs
die relevanten Ziele hinzu.Deaktivieren Sie SNAT für die Standardziele ohne Masquerade mit dem Flag
--disable-default-snat
, wenn Sie einen Cluster erstellen.
Verlorene empfangene Pakete
Ein Cloud NAT-Gateway verwaltet eine Verbindungs-Tracking-Tabelle, in der Details zu aktiven Verbindungen sowie IP‑Adress- und Portzuordnungen gespeichert werden. Das bedeutet, wie VM-IP-Adressen und ‑Ports in NAT-IP-Adressen und ‑Ports übersetzt werden. Ein Cloud NAT-Gateway verwirft ein eingehendes Datenpaket, wenn die Tabelle zum Nachverfolgen der Verbindung keinen Eintrag für die Verbindung enthält.
Das Fehlen des Verbindungseintrags in der Tabelle kann folgende Ursachen haben:
- Bei einer hergestellten TCP-Verbindung ist das Zeitlimit für Inaktivität abgelaufen.
- Ein externer Endpunkt kann keine neue Verbindung herstellen, bevor das Zeitlimit bei Inaktivität für vorübergehende TCP-Verbindungen abgelaufen ist. Beispiel: Eine Google Cloud-Ressource initiiert eine Verbindung mit
TCP SYN
, der externe Endpunkt antwortet jedoch nicht mit einerSYN ACK
. - Ein externer Endpunkt, z. B. ein Prüftool, versucht, eine Verbindung zu einer NAT-IP-Adresse und einem NAT-Port herzustellen. Cloud NAT akzeptiert keine unerwünschten eingehenden Verbindungen. Einträge für diese Art von Verbindungen sind nicht in der Verbindungstabelle enthalten. Alle empfangenen Pakete werden daher verworfen.
- Wenn Sie NAT-IP-Adressen aus Ihrem Gateway entfernen, während NAT-Verbindungen noch aktiv sind, werden die NAT-Zuordnungen ungültig und diese Verbindungen werden sofort aus der Verbindungs-Tracking-Tabelle entfernt. Der gesamte Rücklaufverkehr wird verworfen.
Bevor Sie die Paketverluste beheben, prüfen Sie, ob sich die Paketverluste tatsächlich auf Ihre Anwendung auswirken. Prüfen Sie Ihre Anwendung auf Fehler, wenn es zu Spitzen bei den gescheiterten Ingress-Paketen kommt.
Wenn die Paketverluste bei der Datenaufnahme sich auf Ihre Anwendung auswirken, können Sie das Problem mit den folgenden Methoden beheben:
- Verwenden Sie in Ihrer Anwendung Keepalive-Mechanismen, damit langlebige Verbindungen länger geöffnet bleiben können.
- Erhöhen Sie den Wert für das Zeitlimit bei Inaktivität für vorübergehende TCP-Verbindungen, damit externe Endpunkte, die Traffic (von Google Cloud-Ressourcen initiiert) über ein Cloud NAT-Gateway empfangen, mehr Zeit haben, zu reagieren und die Verbindung herzustellen.
- Erhöhen Sie den Wert für das Zeitlimit für inaktive eingerichtete TCP-Verbindungen, wenn Sie den Standardwert deutlich gesenkt haben.
Weitere IP-Adressen müssen zugewiesen werden
Manchmal können Ihre VMs nicht auf das Internet zugreifen, da Sie nicht genügend NAT-IP-Adressen haben. Mehrere Faktoren können dieses Problem verursachen. Weitere Informationen finden Sie in der folgenden Tabelle.
Ursache | Symptom | Lösung |
---|---|---|
Sie haben zwar manuell Adressen zugewiesen, aber angesichts Ihrer aktuellen Portnutzung nicht genug. |
|
Führen Sie einen der folgenden Schritte aus:
|
Sie haben ein festes Limit für NAT-IP-Adressen überschritten. |
|
|
Erstellen Sie eine Benachrichtigung für den Messwert nat_allocation_failed
, um Fehler zu überwachen, die durch eine unzureichende Anzahl von IP-Adressen verursacht werden. Dieser Messwert wird auf true
gesetzt, wenn Google Cloud für keine VM in Ihrem NAT-Gateway genügend IP-Adressen zuweisen kann. Weitere Informationen zu Benachrichtigungsrichtlinien finden Sie unter Benachrichtigungsrichtlinien definieren.
Portnutzung reduzieren
Sie können in Situationen die Anzahl der Ports minimieren, die jede VM verwendet, in denen mehr NAT-IP-Adressen nicht möglich oder wünschenswert sind.
Führen Sie die folgenden Schritte aus, um die Portnutzung zu reduzieren:
Deaktivieren Sie die endpunktunabhängige Zuordnung.
Dynamische Portzuweisung aktivieren. Wenn Sie die dynamische Portzuweisung verwenden möchten, legen Sie eine Mindest- und eine maximale Anzahl von Ports pro VM fest. Cloud NAT weist automatisch eine Anzahl von Tupeln aus NAT-Quell-IP-Adresse und Quellport zwischen der Mindest- und der Maximalanzahl von Ports zu. Die Verwendung einer niedrigen Zahl für die Mindestanzahl von Ports reduziert die Verschwendung von NAT-Quell-IP-Adressen und Quell-Port-Tupeln auf VMs mit weniger aktiven Verbindungen. Wenn Sie bei der Zuweisung von Ports auf Verbindungszeitüberschreitungen stoßen, lesen Sie bitte den Abschnitt Paketverluste mit dynamischer Portzuweisung reduzieren.
Legen Sie die niedrigste mögliche Mindestanzahl von Ports fest, die Ihren Anforderungen entspricht. Dafür gibt es unterschiedliche Methoden. Die meisten beruhen auf der Prüfung der Anzahl der genutzten Ports (
compute.googleapis.com/nat/port_usage
) als Grundlage für die Entscheidungsfindung. Informationen zur Suche nach Portnutzungsdaten finden Sie unter Portnutzung ansehen. Im Folgenden finden Sie zwei Beispielmethoden zur Bestimmung einer Mindestanzahl von Ports:- Berücksichtigen Sie den Mittelwert von
compute.googleapis.com/nat/port_usage
über einen repräsentativen Zeitraum für eine repräsentative Anzahl von VMs. - Berücksichtigen Sie den am häufigsten vorkommenden Wert von
compute.googleapis.com/nat/port_usage
über einen repräsentativen Zeitraum für eine repräsentative Anzahl von VMs.
- Berücksichtigen Sie den Mittelwert von
Legen Sie die niedrigste mögliche maximale Anzahl von Ports fest, die Ihren Anforderungen entspricht. Sehen Sie sich
compute.googleapis.com/nat/port_usage
noch einmal als Input für Ihre Entscheidungsfindung an. Verwenden Sie den Höchstwert voncompute.googleapis.com/nat/port_usage
über einen repräsentativen Zeitraum für eine repräsentative Anzahl von VMs als Ausgangspunkt für die maximale Anzahl von Ports. Wenn Sie die maximale Anzahl zu hoch festlegen, kann es sein, dass andere VMs keine Tupel aus NAT-Quell-IP-Adresse und Quellport erhalten.Um die richtigen Werte für die Mindest- und Höchstzahl von Ports zu ermitteln, sind iterative Tests erforderlich. Schritte zum Ändern der minimalen und maximalen Ports finden Sie unter Minimale oder maximale Ports ändern, wenn die dynamische Portzuweisung konfiguriert ist.
Prüfen Sie die NAT-Zeitüberschreitungen, ihre Bedeutung und ihre Standardwerte. Wenn Sie eine Reihe von TCP-Verbindungen schnell zum selben Ziel-3-Tupel erstellen müssen, sollten Sie die TCP-Wartezeit reduzieren, damit Cloud NAT die NAT-Quell-IP-Adresse und Quell-Port-Tupel schneller wiederverwenden kann. Dadurch kann Cloud NAT schneller dasselbe 5-Tupel verwenden, anstatt ein eindeutiges 5-Tupel verwenden zu müssen, was die Zuweisung zusätzlicher NAT-Quell-IP-Adressen- und Quell-Port-Tupel für jede sendende VM erfordern könnte. Eine Anleitung zum Ändern von NAT-Zeitlimits finden Sie unter NAT-Zeitlimits ändern.
Häufig gestellte Fragen
Regionale Beschränkung für Cloud NAT
Kann ich dasselbe Cloud NAT-Gateway in mehreren Regionen verwenden?
Nein. Ein Cloud NAT-Gateway kann nicht mit mehr als einer Region, einem VPC-Netzwerk oder einem Cloud Router verknüpft werden.
Wenn Sie Verbindungen für andere Regionen oder VPC-Netzwerke bereitstellen müssen, erstellen Sie für diese zusätzliche Cloud NAT-Gateways.
Sind die von Cloud NAT-Gateways verwendeten externen NAT-IP-Adressen global oder regional?
Antwort: Cloud NAT-Gateways verwenden regionale externe IP-Adressen als NAT-IP-Adressen. Obwohl sie regional sind, können sie öffentlich weitergeleitet werden. Informationen zu den verschiedenen Möglichkeiten der Zuweisung oder Übertragung von NAT-IP-Adressen finden Sie unter NAT-IP-Adressen.
Wann Cloud NAT verwendet werden kann und wann nicht
Ist Cloud NAT für Instanzen anwendbar, die externe IP-Adressen haben, einschließlich GKE-Knoten-VMs?
Im Allgemeinen nicht. Wenn die Netzwerkschnittstelle einer VM eine externe IP-Adresse hat, führt Google Cloud immer 1:1 NAT für Pakete aus, die von der primären internen IP-Adresse der Netzwerkschnittstelle gesendet werden, ohne Cloud NAT zu verwenden. Cloud NAT konnte jedoch NAT-Dienste für Pakete bereitstellen, die von Alias-IP-Adressbereichen derselben Netzwerkschnittstelle gesendet werden. Weitere Informationen finden Sie unter Cloud NAT-Spezifikationen und Compute Engine-Interaktion.
Ermöglicht Public NAT einer Quell-VM, deren Netzwerkschnittstelle keine externe IP-Adresse hat, Traffic an eine Ziel-VM oder einen Load Balancer mit externer IP-Adresse zu senden, auch wenn Quelle und Ziel im selben VPC-Netzwerk sind?
Ja. Der Netzwerkpfad umfasst das Senden von Traffic aus dem VPC-Netzwerk über ein Standard-Internet-Gateway, das dann im selben Netzwerk empfangen wird.
Wenn die Quell-VM ein Paket an das Ziel sendet, führt Public NAT Quell-NAT (SNAT) aus, bevor das Paket an die zweite Instanz gesendet wird. Public NAT führt Ziel-NAT (DNAT) für Antworten von der zweiten Instanz zur ersten aus. Ein detailliertes Beispiel finden Sie unter Grundlegende öffentliche NAT-Konfiguration und -Ablauf.
Kann ich Private NAT für die Kommunikation zwischen VMs im selben VPC-Netzwerk verwenden?
Nein. Bei Private NAT wird keine NAT für Traffic zwischen VMs im selben VPC-Netzwerk ausgeführt.
Unbeabsichtigte eingehende Verbindungen werden nicht unterstützt
Ermöglicht Cloud NAT eingehende Verbindungen (z. B. SSH) zu Instanzen ohne externe IP-Adressen?
Antwort: Nein, Cloud NAT unterstützt keine nicht angeforderten eingehenden Verbindungen.
Weitere Informationen finden Sie unter Cloud NAT-Spezifikationen.
Die Netzwerkkante von Google Cloud reagiert jedoch möglicherweise auf Pings, wenn die Ziel-IP-Adresse eine externe IP-Adresse eines Cloud NAT-Gateways ist, die aktive Portzuordnungen zu mindestens einer VM-Instanz hat. Mit dem Befehl gcloud compute routers get-nat-ip-info können Sie sich die IP-Adressen ansehen, die einem Cloud NAT-Gateway zugewiesen sind.
Externe IP-Adressen, die als IN_USE
gekennzeichnet sind, antworten möglicherweise auf Pings.
Wenn Sie eine Verbindung zu einer VM herstellen müssen, die keine externe IP-Adresse hat, finden Sie Informationen dazu unter Verbindungsoption für ausschließlich interne VMs auswählen. Beispiel: Sie stellen als Teil der Cloud NAT-Beispielkonfiguration für Compute Engine mithilfe des Identity-Aware Proxy eine Verbindung zu einer VM ohne externe IP-Adresse her.
Cloud-NAT und Ports
Frage: Warum hat eine VM eine feste Anzahl an Ports (standardmäßig 64
)?
Wenn ein Cloud NAT-Gateway NAT für eine VM bereitstellt, reserviert es Quelladress- und Quellport-Tupel gemäß dem Portreservierungsverfahren.
Weitere Informationen finden Sie unter Beispiele für die Portreservierung.
Kann ich die Mindestanzahl an Ports ändern, die für eine VM reserviert sind?
Ja. Sie können die Mindestanzahl an Ports pro VM erhöhen oder verringern, wenn Sie ein neues Cloud NAT-Gateway erstellen oder es später bearbeiten. Jedes Cloud NAT-Gateway reserviert Quelladressen und Quellport-Tupel gemäß dem Verfahren für die Portreservierung.
Weitere Informationen zum Verringern der Mindestanzahl der Ports finden Sie in der nächsten Frage.
Kann ich die Mindestanzahl der Ports pro VM nach dem Erstellen des Cloud NAT-Gateways verringern?
Ja. Wenn Sie jedoch die Mindestanzahl von Ports verringern, kann dies dazu führen, dass das Verfahren zur Portreservierung eine kleinere Anzahl von Ports pro VM reserviert. In diesem Fall werden vorhandene TCP-Verbindungen möglicherweise zurückgesetzt und müssen in diesem Fall neu hergestellt werden.
Wenn die NAT-Zuordnung von primären und sekundären Bereichen zu nur primären Bereichen umgestellt wird, werden dabei zusätzliche Ports, die den einzelnen Instanzen zugewiesen sind, sofort freigegeben?
Nein. Alle zusätzlichen Bereiche, die von sekundären Bereichen verwendet werden, bleiben so lange erhalten, bis die Einstellung Mindestanzahl von Ports pro VM reduziert wird. Wenn Cloud NAT für die Zuordnung sekundärer (Alias) Bereiche für Subnetze konfiguriert ist, weist Cloud NAT entsprechend der Portreservierungsverfahren mindestens 1.024 Ports pro Instanz zu.
Wenn Sie auf nur primäre Bereiche umstellen, speichert Cloud NAT diese zusätzlichen zugewiesenen Ports für Instanzen, denen diese Ports bereits zugewiesen wurden. Nachdem Sie die Bereiche, für die Cloud NAT auf nur „Primär“ angewendet wird, geändert haben, wird die tatsächliche Anzahl der Ports, die diesen Instanzen zugewiesen sind, erst geändert, wenn die Mindestanzahl der Ports pro VM ebenfalls reduziert wird.
Damit die Anzahl der Ports reduziert wird, die diesen Instanzen zugewiesen werden muss nach der Umstellung auf nur primäre Bereiche die Einstellung Mindestanzahl von Ports pro VM reduziert werden. Nachdem dieser Wert reduziert wurde, passt Cloud NAT die Anzahl der pro Instanz zugewiesenen Ports automatisch nach unten an, wodurch der Portverbrauch reduziert wird.
Cloud NAT und andere Google-Dienste
Ermöglicht Cloud NAT den Zugriff auf Google APIs und -Dienste?
Wenn Sie Cloud NAT für den primären IP-Bereich eines Subnetzes aktivieren, aktiviert Google Cloud automatisch den privaten Google-Zugriff. Weitere Informationen finden Sie unter Interaktion mit privatem Google-Zugriff.