NAT-Konfiguration abstimmen

Nachdem Sie Ihre Cloud NAT-Gateway-Konfiguration (entweder Public NAT oder Private NAT) eingerichtet haben, können Sie die Konfiguration nach Bedarf bearbeiten. Auf dieser Seite finden Sie eine Liste der Aufgaben, die Sie ausführen können, um Ihre Cloud NAT-Konfiguration abzustimmen.

Das Bearbeiten von Konfigurationen kann zu Störungen führen und bestehende NAT-Verbindungen (Network Address Translation) trennen. Weitere Informationen zu den Auswirkungen der Abstimmung von Cloud NAT-Konfigurationen finden Sie unter Auswirkungen der Abstimmung von NAT-Konfigurationen auf bestehende NAT-Verbindungen.

Portnutzung ansehen

Überprüfen Sie die Portnutzung pro VM, bevor Sie die Mindestportnutzung pro VM ändern. Sie können diese Informationen mithilfe des Messwerts compute.googleapis.com/nat/port_usage abrufen.

  1. Rufen Sie in der Google Cloud Console die Seite Monitoring auf.

    Zu Monitoring

    1. Wählen Sie im Navigationsbereich Metrics Explorer .

    2. Maximieren Sie das Menü Messwert auswählen und wählen Sie über die Untermenüs den Messwert compute.googleapis.com/nat/port_usage aus:

      • Wählen Sie für Ressource die Option VM-Instanz aus.
      • Wählen Sie für Messwertkategorie die Option NAT aus.
      • Wählen Sie für Messwert die Option Portnutzung aus.

    3. Klicken Sie auf Anwenden.

    4. Verwenden Sie das Feld Filter, um Ihr Cloud NAT-Gateway auszuwählen.

    5. Wählen Sie im Abschnitt Gruppieren nach für Labels die Option instance_id aus.

    6. Wählen Sie in der Liste Gruppierungsfunktion die Option Max. aus.

    7. Maximieren Sie Weitere Optionen und legen Sie das Feld Aligner auf Max. fest.

    8. Geben Sie 30d an, um die Nutzung der letzten 30 Tage aufzurufen.

    Weitere Informationen zur Verwendung von Metrics Explorer finden Sie unter Messwerte bei Verwendung von Metrics Explorer auswählen.

Mindestanzahl von Ports pro VM auswählen

Die Auswahl einer geeigneten Mindestanzahl von Ports ist wichtig, um die Nutzung von NAT-IP-Adressen zu maximieren.

Bevor Sie die Anzahl der Ports pro VM erhöhen, sollten Sie andere Strategien zur Reduzierung der Portnutzung in Betracht ziehen.

Prüfen Sie zuerst die Portnutzung pro VM in Ihrem Gateway, wenn Sie die Anzahl der Ports pro VM erhöhen müssen. Informationen zum Auffinden dieser Daten finden Sie unter Portnutzung ansehen.

Überprüfen Sie die maximale Portnutzung in den letzten 30 Tagen oder für einen anderen Zeitraum, der Ihrer Meinung nach für Ihr Cloud NAT-Gateway repräsentativ ist.

Führen Sie einen der folgenden Schritte aus:

Mindestanzahl der Standardports ändern, die pro VM zugewiesen sind

Informationen zum Konfigurieren der Mindestanzahl an Ports pro VM finden Sie unter Mindestanzahl von Ports pro VM auswählen.

Informationen zu den Auswirkungen der Änderung der Mindestportzuweisung finden Sie in den folgenden Abschnitten:

Wenn für Ihr Cloud NAT-Gateway die dynamische Portzuweisung konfiguriert ist, lesen Sie den Abschnitt Mindestanzahl oder Höchstzahl von Ports ändern, wenn die dynamische Portzuweisung konfiguriert ist.

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.

    Zu „Cloud NAT“

  2. Klicken Sie auf Ihr Cloud NAT-Gateway.

  3. Klicken Sie auf Bearbeiten.

  4. Klicken Sie auf Erweiterte Konfigurationen.

  5. Ändern Sie das Feld Mindestanzahl von Ports pro VM-Instanz.

  6. Klicken Sie auf Speichern.

gcloud

Führen Sie den Befehl gcloud compute routers nats update aus.

Bei diesem Befehl bleiben die anderen Felder in der Cloud NAT-Konfiguration unverändert.

gcloud compute routers nats update NAT_CONFIG \
    --router=ROUTER_NAME \
    --region=REGION \
    --min-ports-per-vm=128

Ersetzen Sie Folgendes:

  • NAT_CONFIG: der Name Ihrer Cloud NAT-Konfiguration
  • ROUTER_NAME: der Name Ihres Cloud Routers
  • REGION: die Region der Cloud NAT, die aktualisiert werden soll. Wenn keine Angabe erfolgt, werden Sie möglicherweise aufgefordert, eine Region auszuwählen (nur interaktiver Modus).

Portzuweisungsmethode ändern

Für die statische Portzuweisung und die dynamische Portzuweisung gelten unterschiedliche Konfigurationsanforderungen.

Bevor Sie den Portzuweisungstyp für ein vorhandenes Cloud NAT-Gateway aktualisieren, prüfen Sie, ob die Cloud NAT-Gateway-Konfiguration mit diesem Portzuweisungstyp kompatibel ist. Wenn die Konfiguration nicht kompatibel ist, schlägt die Änderung fehl.

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.

    Zu „Cloud NAT“

  2. Klicken Sie auf Ihr Cloud NAT-Gateway.

  3. Klicken Sie auf Bearbeiten.

  4. Klicken Sie auf Erweiterte Konfigurationen.

  5. Wählen Sie Dynamische Portzuweisung aktivieren aus oder heben Sie die Auswahl auf.

  6. Passen Sie bei Bedarf die Werte für Mindestanzahl an Ports pro VM-Instanz und Höchstzahl von Ports pro VM-Instanz an.

  7. Klicken Sie auf Speichern.

gcloud

Führen Sie den Befehl gcloud compute routers nats update aus.

Bei diesem Befehl bleiben die anderen Felder in der Cloud NAT-Konfiguration unverändert.

gcloud compute routers nats update NAT_CONFIG \
    --router=ROUTER_NAME \
    --region=REGION \
    --enable-dynamic-port-allocation | --no-enable-dynamic-port-allocation \
    [ --min-ports-per-vm=MIN_PORTS ] \
    [ --max-ports-per-vm=MAX_PORTS ]

Ersetzen Sie Folgendes:

  • NAT_CONFIG: der Name Ihrer Cloud NAT-Konfiguration
  • ROUTER_NAME: der Name Ihres Cloud Routers
  • REGION: die Region der Cloud NAT, die aktualisiert werden soll. Wenn keine Angabe erfolgt, werden Sie möglicherweise aufgefordert, eine Region auszuwählen (nur interaktiver Modus).
  • MIN_PORTS: die Mindestanzahl an Ports, die für jede VM zugewiesen werden sollen. Wenn die dynamische Portzuweisung aktiviert ist, muss MIN_PORTS eine Potenz von 2 sein und kann zwischen 32 und 32768 liegen.
  • MAX_PORTS: die maximale Anzahl an Ports, die für jede VM zugewiesen werden sollen. MAX_PORTS muss eine Potenz von 2 sein und kann zwischen 64 und 65536 liegen. MAX_PORTS größer als MIN_PORTS sein. Die Standardeinstellung ist 65536.

Mindestanzahl oder Höchstzahl pro VM erhöhen von Ports ändern, wenn die dynamische Portzuweisung konfiguriert ist

Nachdem Sie die dynamische Portzuweisung konfiguriert haben, können Sie die minimale oder maximale Anzahl an Ports ändern, die pro VM zugewiesen werden.

Informationen zum Konfigurieren der Mindestanzahl an Ports pro VM finden Sie unter Mindestanzahl von Ports pro VM auswählen.

Informationen zu den Auswirkungen der Änderung der Mindestportzuweisung finden Sie in den folgenden Abschnitten:

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.

    Zu „Cloud NAT“

  2. Klicken Sie auf Ihr Cloud NAT-Gateway.

  3. Klicken Sie auf Bearbeiten.

  4. Klicken Sie auf Erweiterte Konfigurationen.

  5. Passen Sie die Felder Mindestanzahl an Ports pro VM-Instanz und Höchstzahl von Ports pro VM-Instanz an.

  6. Klicken Sie auf Speichern.

gcloud

Führen Sie den Befehl gcloud compute routers nats update aus.

Bei diesem Befehl bleiben die anderen Felder in der Cloud NAT-Konfiguration unverändert.

gcloud compute routers nats update NAT_CONFIG \
    --router=ROUTER_NAME \
    --region=REGION \
    --min-ports-per-vm=MIN_PORTS \
    --max-ports-per-vm=MAX_PORTS

Ersetzen Sie Folgendes:

  • NAT_CONFIG: der Name Ihrer Cloud NAT-Konfiguration
  • ROUTER_NAME: der Name Ihres Cloud Routers
  • REGION: die Region der Cloud NAT, die aktualisiert werden soll. Wenn keine Angabe erfolgt, werden Sie möglicherweise aufgefordert, eine Region auszuwählen (nur interaktiver Modus).
  • MIN_PORTS: die Mindestanzahl an Ports, die für jede VM zugewiesen werden sollen. Wenn die dynamische Portzuweisung aktiviert ist, muss MIN_PORTS eine Potenz von 2 sein und kann zwischen 32 und 32768 liegen.
  • MAX_PORTS: die maximale Anzahl an Ports, die für jede VM zugewiesen werden sollen. MAX_PORTS muss eine Potenz von 2 sein und kann zwischen 64 und 65536 liegen. MAX_PORTS größer als MIN_PORTS sein.

NAT-Zeitlimits ändern

In den folgenden Abschnitten werden NAT-Zeitlimits und die Vorgehensweise zum Ändern dieser Zeitlimits beschrieben:

NAT-Zeitlimits

Bei Cloud NAT werden die folgenden Zeitlimits für Protokollverbindungen verwendet. Diese Zeitlimits gelten für Public NAT und Private NAT, sofern nicht anders angegeben. Sie können die Standardwerte für Zeitlimits ändern, um die Wiederverwendung von Ports zu verringern oder zu erhöhen. Bei jedem Zeitlimitwert wird versucht, die optimale Balance zwischen einer effizienten Nutzung von Cloud NAT-Ressourcen und der Vermeidung der Unterbrechung aktiver Verbindungen, Abläufe oder Sitzungen zu finden.

Zeitlimit Beschreibung Cloud NAT-Standardeinstellung Konfigurierbar

Zeitlimit bei Inaktivität für UDP-Zuordnung

RFC 4787 REQ‑5

Gibt die Zeit in Sekunden an, nach der UDP-Datenflüsse nicht mehr an Endpunkte gesendet werden müssen, damit die Cloud NAT-Zuordnungen entfernt werden.

Das Zeitlimit bei Inaktivität für UDP-Zuordnungen betrifft zwei Endpunkte, die keinen Traffic mehr aneinander senden. Es wirkt sich auch auf Endpunkte aus, wenn diese langsamer reagieren oder wenn die Netzwerklatenz erhöht ist.

Sie können den angegebenen Zeitlimitwert erhöhen, um die mögliche Wiederverwendung von Ports zu verringern. Ein höherer Zeitlimitwert bedeutet, dass die Ports für längere Verbindungen beibehalten werden und schützt vor Pausen im Traffic über einen bestimmten UDP-Socket.

 30 Sekunden Ja

Zeitlimit bei Inaktivität für hergestellte TCP-Verbindung

RFC 5382 REQ‑5

Gibt die Dauer in Sekunden an, für die eine Verbindung inaktiv ist, bevor die Cloud NAT-Zuordnungen entfernt werden.

Das Zeitlimit für inaktive eingerichtete TCP-Verbindungen wirkt sich auf Endpunkte aus, wenn diese langsamer reagieren oder wenn die Netzwerklatenz erhöht ist.

Sie können den Zeitlimitwert erhöhen, wenn Sie TCP-Verbindungen öffnen und die Verbindungen lange Zeit ohne Keepalive-Mechanismus offen halten möchten.

 1.200 Sekunden (20 Minuten) Ja

Zeitlimit bei Inaktivität für vorübergehende TCP-Verbindung

RFC 5382 REQ‑5

Gibt die Zeit in Sekunden an, die TCP-Verbindungen im halboffenen Zustand verbleiben können, bevor die Cloud NAT-Zuordnungen gelöscht werden können.

Das Zeitlimit für inaktive temporäre TCP-Verbindungen wirkt sich auf einen Endpunkt aus, wenn ein externer Endpunkt länger als die angegebene Zeit braucht oder wenn die Netzwerklatenz erhöht ist. Im Unterschied zum Zeitlimit für inaktive eingerichtete TCP-Verbindungen wirkt sich das Zeitlimit für inaktive temporäre TCP-Verbindungen nur auf halboffene Verbindungen aus.

30 Sekunden

Hinweis: Unabhängig von dem Wert, den Sie für dieses Zeitlimit festgelegt haben, benötigt Cloud NAT möglicherweise weitere 30 Sekunden, bevor ein Tupel aus Cloud NAT-Quell-IP-Adresse und Quellport zur Verarbeitung einer neuen Verbindung verwendet werden kann.

 Ja

TCP-TIME_WAIT-Zeitlimit

RFC 5382 REQ‑5

Gibt die Zeit in Sekunden an, für die eine vollständig geschlossene TCP-Verbindung nach ihrem Ablauf in den Cloud NAT-Zuordnungen beibehalten wird.

Das TCP-TIME_WAIT-Zeitlimit schützt Ihre internen Endpunkte vor ungültigen Paketen, die zu einer geschlossenen TCP-Verbindung gehören und noch einmal gesendet werden.

Sie können den Zeitlimitwert verringern, um die Wiederverwendung von Cloud NAT-Ports zu verbessern, riskieren damit allerdings, noch einmal übertragene Pakete von einer nicht damit zusammenhängenden, zuvor geschlossenen Verbindung zu erhalten.

120 Sekunden

Hinweis: Unabhängig von dem Wert, den Sie für dieses Zeitlimit festgelegt haben, benötigt Cloud NAT möglicherweise weitere 30 Sekunden, bevor ein Tupel aus Cloud NAT-Quell-IP-Adresse und Quellport zur Verarbeitung einer neuen Verbindung verwendet werden kann. Wenn Sie die dynamische Portzuweisung verwenden, legen Sie dieses Zeitlimit auf mindestens 30 Sekunden fest, um verworfene Pakete zu vermeiden.

 Ja

Zeitlimit bei Inaktivität für ICMP-Zuordnung
(gilt nur für Public NAT)

RFC 5508 REQ‑2

Gibt die Zeit in Sekunden an, nach der ICMP-Cloud NAT-Zuordnungen (Internet Control Message Protocol) ohne Traffic-Flüsse geschlossen werden.

Das Zeitlimit für inaktive eingerichtete TCP-Verbindungen wirkt sich auf einen Endpunkt aus, wenn der Endpunkt länger als die angegebene Zeit braucht, um zu reagieren, oder wenn die Netzwerklatenz erhöht ist.

 30 Sekunden Ja

NAT-Zeitlimits ändern

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.

    Zu „Cloud NAT“

  2. Klicken Sie auf Ihr Cloud NAT-Gateway.

  3. Klicken Sie auf Bearbeiten.

  4. Klicken Sie auf Erweiterte Konfigurationen.

  5. Bearbeiten Sie die Zeitlimitwerte, die Sie ändern möchten.

  6. Klicken Sie auf Speichern.

gcloud

Verwenden Sie den Befehl gcloud compute routers nats update mit den folgenden Flags, um diese Zeitlimitwerte zu ändern:

  • Zeitlimit bei Inaktivität für UDP-Zuordnung: --udp-idle-timeout
  • Zeitlimit für inaktive eingerichtete TCP-Verbindungen: --tcp-established-idle-timeout
  • Zeitlimit für inaktive temporäre TCP-Verbindungen: --tcp-transitory-idle-timeout
  • TCP-TIME_WAIT-Zeitlimit: --tcp-time-wait-timeout
  • Zeitlimit bei Inaktivität für ICMP-Zuordnung: --icmp-idle-timeout

Mit diesem Befehl bleiben die anderen Felder in der NAT-Konfiguration unverändert.

Mit dem folgenden Befehl wird beispielsweise der Wert für das Zeitlimit bei Inaktivität für UDP-Zuordnung geändert.

gcloud compute routers nats update NAT_CONFIG \
    --router=ROUTER_NAME \
    --region=REGION \
    --udp-idle-timeout=VALUE

Ersetzen Sie Folgendes:

  • NAT_CONFIG: der Name Ihrer Cloud NAT-Konfiguration
  • ROUTER_NAME: der Name Ihres Cloud Routers
  • REGION: die Region der Cloud NAT, die aktualisiert werden soll. Wenn keine Angabe erfolgt, werden Sie möglicherweise aufgefordert, eine Region auszuwählen (nur interaktiver Modus).
  • VALUE: der Zeitlimitwert (in Sekunden)

NAT-Zeitlimits auf Standardwerte zurücksetzen

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.

    Zu „Cloud NAT“

  2. Klicken Sie auf Ihr Cloud NAT-Gateway.

  3. Klicken Sie auf Bearbeiten.

  4. Klicken Sie auf Erweiterte Konfigurationen.

  5. Entfernen Sie alle vom Nutzer konfigurierten Werte, die Sie zurücksetzen möchten.

  6. Klicken Sie auf Speichern.

Die entfernten Werte werden auf die Standardwerte zurückgesetzt.

gcloud

Führen Sie den Befehl gcloud compute routers nats update aus.

Bei diesem Befehl bleiben die anderen Felder in der Cloud NAT-Konfiguration unverändert.

gcloud compute routers nats update NAT_CONFIG \
    --router=ROUTER_NAME \
    --region=REGION \
    --clear-udp-idle-timeout \
    --clear-icmp-idle-timeout \
    --clear-tcp-established-idle-timeout \
    --clear-tcp-time-wait-timeout \
    --clear-tcp-transitory-idle-timeout

Ersetzen Sie Folgendes:

  • NAT_CONFIG: der Name Ihres Cloud NAT-Gateways
  • ROUTER_NAME: der Name Ihres Cloud Routers
  • REGION: die Region der Cloud NAT, die aktualisiert werden soll. Wenn keine Angabe erfolgt, werden Sie möglicherweise aufgefordert, eine Region auszuwählen (nur interaktiver Modus).

Auswirkungen der Abstimmung von NAT-Konfigurationen auf bestehende NAT-Verbindungen

In der folgenden Tabelle wird zusammengefasst, wie sich die Abstimmung von Cloud NAT-Konfigurationen auf bestehende Verbindungen auswirkt:

Abstimmungsaktion Verbindungsabbruch
Endpunktunabhängige Zuordnung deaktivieren Nein
Mindestanzahl an Ports pro VM verringern und gleichzeitig dynamische Portzuweisung aktivieren:
Höchstzahl von Ports pro VM >= alte Mindestanzahl an Ports pro VM und
Höchstzahl von Ports pro VM >= 1024 		Nein
Mindestanzahl an Ports pro VM erhöhen, wenn die dynamische Portzuweisung bereits aktiviert ist Nein
Mindestanzahl an Ports pro VM verringern, wenn dynamische Portzuweisung bereits aktiviert ist Nein
Mindestanzahl an Ports pro VM erhöhen, wenn dynamische Portzuweisung bereits deaktiviert ist Nein
Mindestanzahl an Ports pro VM verringern, wenn dynamische Portzuweisung bereits deaktiviert ist Ja
Höchstzahl von Ports pro VM erhöhen Nein
Höchstzahl von Ports pro VM verringern, wenn dynamische Portzuweisung bereits aktiviert ist Ja
Cloud NAT-Timeouts ändern, wenn dynamische Portzuweisung aktiviert oder deaktiviert ist Nein
Dynamische Portzuweisung deaktivieren Ja

Nächste Schritte