NAT-Konfiguration optimieren
Nachdem Sie die Cloud NAT-Gateway-Konfiguration eingerichtet haben (öffentliches NAT oder privates NAT), können Sie die Konfiguration gemäß Ihren Anforderungen bearbeiten. Auf dieser Seite sind die Aufgaben aufgeführt, die Sie zur Optimierung Ihrer Cloud NAT-Konfiguration ausführen können.
Das Bearbeiten von Konfigurationen kann zu Unterbrechungen führen und dazu, dass bestehende NAT-Verbindungen (Network Address Translation) getrennt werden. Weitere Informationen zu den Auswirkungen der Optimierung von Cloud NAT-Konfigurationen finden Sie unter Auswirkungen der Optimierung von NAT-Konfigurationen auf vorhandene NAT-Verbindungen.
Portnutzung ansehen
Prüfen Sie die Portnutzung pro VM, bevor Sie die Mindestportnutzung pro VM ändern. Sie können diese Informationen mithilfe des Messwerts compute.googleapis.com/nat/port_usage
abrufen.
Rufen Sie in der Google Cloud Console die Seite Monitoring auf.
Wählen Sie im Navigationsbereich Metrics Explorer aus.
Maximieren Sie das Menü Messwert auswählen und wählen Sie über die Untermenüs den Messwert
compute.googleapis.com/nat/port_usage
aus:- Wählen Sie für Ressource die Option VM-Instanz aus.
- Wählen Sie für Messwertkategorie die Option Nat aus.
- Wählen Sie für Messwert die Option Portnutzung aus.
Klicken Sie auf Anwenden.
Verwenden Sie das Feld Filter, um Ihr Cloud NAT-Gateway auszuwählen.
Wählen Sie im Bereich Gruppieren nach unter Labels die Option instance_id aus.
Wählen Sie in der Liste Gruppierungsfunktion die Option Max aus.
Maximieren Sie Weitere Optionen und legen Sie das Feld Aligner auf max fest.
Geben Sie
30d
ein, um die Nutzung der letzten 30 Tage aufzurufen.
Weitere Informationen zur Verwendung von Metrics Explorer finden Sie unter Messwerte bei Verwendung von Metrics Explorer auswählen.
Mindestanzahl von Ports pro VM auswählen
Die Auswahl einer geeigneten Mindestanzahl von Ports ist wichtig, um die Nutzung von NAT-IP-Adressen zu maximieren.
Bevor Sie die Anzahl der Ports pro VM erhöhen, sollten Sie andere Strategien zur Reduzierung der Portnutzung in Betracht ziehen.
Wenn Sie die Anzahl der Ports pro VM erhöhen müssen, sollten Sie zuerst die Portnutzung pro VM in Ihrem Gateway prüfen. Informationen zum Suchen dieser Daten finden Sie unter Portnutzung ansehen.
Prüfen Sie die maximale Portnutzung in den letzten 30 Tagen oder für einen anderen Zeitraum, der Ihrer Meinung nach für Ihr Cloud NAT-Gateway repräsentativ ist.
Führen Sie einen der folgenden Schritte aus:
Wenn Sie die statische Portzuweisung verwenden, konfigurieren Sie die Anzahl der Ports pro VM, damit der Mindestwert der aktuellen maximalen Portnutzung entspricht.
Wenn Sie die dynamische Portzuweisung verwenden, konfigurieren Sie die Anzahl der Ports pro VM, damit der Mindestwert niedriger als die maximale Portnutzung und der Höchstwert höher als die maximale Portnutzung ist.
Mindestanzahl der Standardports ändern, die pro VM zugewiesen sind
Informationen zum Konfigurieren der Mindestanzahl an Ports pro VM finden Sie unter Mindestanzahl von Ports pro VM auswählen.
Informationen zu den Auswirkungen der Änderung der Mindestportzuordnung finden Sie in den folgenden Abschnitten:
Wenn für Ihr Cloud NAT-Gateway die dynamische Portzuweisung konfiguriert ist, lesen Sie den Abschnitt Mindest- oder Höchstwerte für Ports ändern, wenn die dynamische Portzuweisung konfiguriert ist.
Console
Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.
Klicken Sie auf Ihr Cloud NAT-Gateway.
Klicken Sie auf
Bearbeiten.Klicken Sie auf Erweiterte Konfigurationen.
Ändern Sie das Feld Mindestanzahl von Ports pro VM-Instanz.
Klicken Sie auf Speichern.
gcloud
Mit diesem Befehl bleiben die anderen Felder in der Cloud NAT-Konfiguration unverändert.
gcloud compute routers nats update NAT_CONFIG \ --router=ROUTER_NAME \ --region=REGION \ --min-ports-per-vm=128
Ersetzen Sie Folgendes:
NAT_CONFIG
: Der Name Ihrer Cloud NAT-Konfiguration.ROUTER_NAME
: Der Name Ihres Cloud Routers.REGION
: die Region der Cloud NAT, die aktualisiert werden soll. Wenn Sie keine Region angeben, werden Sie möglicherweise aufgefordert, eine Region auszuwählen (nur im interaktiven Modus).
Methode für die Portzuweisung ändern
Für die Zuweisung von statischen Ports und dynamischen Ports gelten unterschiedliche Konfigurationsanforderungen.
Bevor Sie den Portzuweisungstyp für ein vorhandenes Cloud NAT-Gateway aktualisieren, prüfen Sie, ob die Cloud NAT-Gateway-Konfiguration mit diesem Portzuweisungstyp kompatibel ist. Wenn die Konfiguration nicht kompatibel ist, schlägt die Änderung fehl.
Prüfen Sie bei der dynamischen Portzuweisung, ob endpunktunabhängige Zuordnung deaktiviert ist.
Prüfen Sie, ob die Mindestanzahl an Ports pro VM-Einstellung eine Potenz von 2 ist und zwischen 32 und 32.768 liegt.
Console
Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.
Klicken Sie auf Ihr Cloud NAT-Gateway.
Klicken Sie auf
Bearbeiten.Klicken Sie auf Erweiterte Konfigurationen.
Aktivieren oder deaktivieren Sie die Option Dynamische Portzuweisung aktivieren.
Passen Sie bei Bedarf die Werte für Mindestanzahl an Ports pro VM-Instanz und maximale Anzahl an Ports pro VM-Instanz an.
Klicken Sie auf Speichern.
gcloud
Mit diesem Befehl bleiben die anderen Felder in der Cloud NAT-Konfiguration unverändert.
gcloud compute routers nats update NAT_CONFIG \ --router=ROUTER_NAME \ --region=REGION \ --enable-dynamic-port-allocation | --no-enable-dynamic-port-allocation \ [ --min-ports-per-vm=MIN_PORTS ] \ [ --max-ports-per-vm=MAX_PORTS ]
Ersetzen Sie Folgendes:
NAT_CONFIG
: Der Name Ihrer Cloud NAT-Konfiguration.ROUTER_NAME
: Der Name Ihres Cloud Routers.REGION
: die Region der Cloud NAT, die aktualisiert werden soll. Wenn Sie keine Region angeben, werden Sie möglicherweise aufgefordert, eine Region auszuwählen (nur im interaktiven Modus).MIN_PORTS
: Die Mindestanzahl an Ports, die für jede VM zugewiesen werden sollen. Wenn die dynamische Portzuweisung aktiviert ist, mussMIN_PORTS
eine Potenz von2
sein und kann zwischen32
und32768
liegen.MAX_PORTS
: Die maximale Anzahl an Ports, die für jede VM zugewiesen werden sollen.MAX_PORTS
muss eine Potenz von2
sein und kann zwischen64
und65536
liegen.MAX_PORTS
muss größer alsMIN_PORTS
sein. Der Standardwert ist65536
.
Mindestanzahl oder maximale Anzahl von Ports ändern, wenn die dynamische Portzuweisung konfiguriert ist
Nachdem Sie die dynamische Portzuweisung konfiguriert haben, können Sie die minimale oder maximale Anzahl an Ports ändern, die pro VM zugewiesen werden.
Informationen zum Konfigurieren der Mindestanzahl an Ports pro VM finden Sie unter Mindestanzahl von Ports pro VM auswählen.
Informationen zu den Auswirkungen der Änderung der Mindestportzuordnung finden Sie in den folgenden Abschnitten:
Console
Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.
Klicken Sie auf Ihr Cloud NAT-Gateway.
Klicken Sie auf
Bearbeiten.Klicken Sie auf Erweiterte Konfigurationen.
Passen Sie die Felder Mindestanzahl an Ports pro VM-Instanz und maximale Anzahl an Ports pro VM-Instanz an.
Klicken Sie auf Speichern.
gcloud
Mit diesem Befehl bleiben die anderen Felder in der Cloud NAT-Konfiguration unverändert.
gcloud compute routers nats update NAT_CONFIG \ --router=ROUTER_NAME \ --region=REGION \ --min-ports-per-vm=MIN_PORTS \ --max-ports-per-vm=MAX_PORTS
Ersetzen Sie Folgendes:
NAT_CONFIG
: Der Name Ihrer Cloud NAT-Konfiguration.ROUTER_NAME
: Der Name Ihres Cloud Routers.REGION
: die Region der Cloud NAT, die aktualisiert werden soll. Wenn Sie keine Region angeben, werden Sie möglicherweise aufgefordert, eine Region auszuwählen (nur im interaktiven Modus).MIN_PORTS
: Die Mindestanzahl an Ports, die für jede VM zugewiesen werden sollen. Wenn die dynamische Portzuweisung aktiviert ist, mussMIN_PORTS
eine Potenz von2
sein und kann zwischen32
und32768
liegen.MAX_PORTS
: Die maximale Anzahl an Ports, die für jede VM zugewiesen werden sollen.MAX_PORTS
muss eine Potenz von2
sein und kann zwischen64
und65536
liegen.MAX_PORTS
muss größer alsMIN_PORTS
sein.
NAT-Zeitlimits ändern
In den folgenden Abschnitten werden NAT-Zeitüberschreitungen und ihre Änderung beschrieben:
- NAT-Zeitüberschreitungen
- NAT-Zeitlimits ändern
- NAT-Zeitüberschreitungen auf Standardwerte zurücksetzen
NAT-Zeitlimits
Cloud NAT verwendet die folgenden Zeitlimits für Protokollverbindungen. Diese Zeitüberschreitungen gelten sowohl für öffentliche als auch für private NAT, sofern nicht anders angegeben. Sie können die Standardwerte für die Zeitüberschreitung ändern, um die Wiederverwendung von Ports zu verringern oder zu erhöhen. Jeder Zeitlimitwert ist ein Ausgleich zwischen einer effizienten Nutzung von Cloud NAT-Ressourcen und einer möglichen Unterbrechung aktiver Verbindungen, Abläufe oder Sitzungen.
Zeitlimit | Beschreibung | Cloud NAT-Standardeinstellung | Konfigurierbar |
---|---|---|---|
Zeitlimit bei Inaktivität für UDP-Zuordnung RFC 4787 REQ-5 |
Gibt die Zeit in Sekunden an, nach der UDP-Datenflüsse nicht mehr an Endpunkte gesendet werden müssen, damit die Cloud NAT-Zuordnungen entfernt werden. Das Zeitlimit bei Inaktivität für UDP-Zuordnung betrifft zwei Endpunkte, die keinen Traffic mehr aneinander senden. Es wirkt sich auch auf Endpunkte aus, die langsamer reagieren oder wenn eine höhere Netzwerklatenz besteht. Sie können den angegebenen Zeitlimitwert erhöhen, um die Wiederverwendung von Ports zu verringern. Ein höherer Zeitlimitwert bedeutet, dass die Ports für längere Verbindungen beibehalten werden und schützt vor Pausen im Traffic über einen bestimmten UDP-Socket. |
30 Sekunden | Ja |
Zeitlimit bei Inaktivität für hergestellte TCP-Verbindung RFC 5382 REQ-5 |
Gibt die Dauer in Sekunden an, für die eine Verbindung inaktiv ist, bevor die Cloud NAT-Zuordnungen entfernt werden. Das Zeitlimit bei Inaktivität für hergestellte TCP-Verbindungen wirkt sich auf Endpunkte aus, die langsamer reagieren, oder wenn die Netzwerklatenz zunimmt. Sie können den Zeitlimitwert erhöhen, wenn Sie TCP-Verbindungen öffnen und die Verbindungen lange Zeit ohne Keepalive-Mechanismus offen halten möchten. |
1.200 Sekunden (20 Minuten) | Ja |
Zeitlimit bei Inaktivität für vorübergehende TCP-Verbindung RFC 5382 REQ-5 |
Gibt die Zeit in Sekunden an, die TCP-Verbindungen im halboffenen Zustand verbleiben können, bevor die Cloud NAT-Zuordnungen gelöscht werden können. Das Zeitlimit bei Inaktivität für vorübergehende TCP-Verbindungen wirkt sich auf einen Endpunkt aus, wenn ein externer Endpunkt länger als die angegebene Zeit braucht oder wenn eine höhere Netzwerklatenz besteht. Im Gegensatz zum Zeitlimit bei Inaktivität für hergestellte TCP-Verbindungen wirkt sich das Zeitlimit bei Inaktivität für vorübergehende TCP-Verbindungen nur auf halboffene Verbindungen aus. |
30 Sekunden Hinweis: Unabhängig von dem Wert, den Sie für dieses Zeitlimit festgelegt haben, benötigt Cloud NAT möglicherweise weitere 30 Sekunden, bevor ein Tupel aus Cloud NAT-Quell-IP-Adresse und Quellport zur Verarbeitung einer neuen Verbindung verwendet werden kann. |
Ja |
Zeitlimit für TCP-TIME_WAIT RFC 5382 REQ-5 |
Gibt die Zeit in Sekunden an, in der eine vollständig geschlossene TCP-Verbindung nach Ablauf der Verbindung in den Cloud NAT-Zuordnungen beibehalten wird. Das Zeitlimit für TCP-TIME_WAIT schützt Ihre internen Endpunkte vor ungültigen Paketen, die zu einer geschlossenen TCP-Verbindung gehören, die noch einmal gesendet werden. Sie können den Zeitlimitwert verringern, um die Wiederverwendung von Cloud NAT-Ports zu verbessern, riskieren damit allerdings, noch einmal übertragene Pakete von einer nicht damit zusammenhängenden, zuvor geschlossenen Verbindung zu erhalten. |
120 Sekunden Hinweis: Unabhängig von dem Wert, den Sie für dieses Zeitlimit festgelegt haben, benötigt Cloud NAT möglicherweise weitere 30 Sekunden, bevor ein Tupel aus Cloud NAT-Quell-IP-Adresse und Quellport zur Verarbeitung einer neuen Verbindung verwendet werden kann. Wenn Sie die dynamische Portzuweisung verwenden, legen Sie dieses Zeitlimit auf mindestens 30 Sekunden fest, um Paketverluste zu vermeiden. |
Ja |
Inaktives Zeitlimit für ICMP-Zuordnung RFC 5508 REQ-2 |
Gibt die Zeit in Sekunden an, nach der Cloud NAT-Zuordnungen vom Internet Control Message Protocol (ICMP) ohne Trafficflüsse geschlossen werden. Das Zeitlimit bei Inaktivität für ICMP-Zuordnung wirkt sich auf einen Endpunkt aus, wenn der Endpunkt länger braucht, um zu reagieren als die angegebene Zeit oder wenn eine höhere Netzwerklatenz besteht. |
30 Sekunden | Ja |
NAT-Zeitlimits ändern
Console
Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.
Klicken Sie auf Ihr Cloud NAT-Gateway.
Klicken Sie auf
Bearbeiten.Klicken Sie auf Erweiterte Konfigurationen.
Bearbeiten Sie die Zeitlimitwerte, die Sie ändern möchten.
Klicken Sie auf Speichern.
gcloud
Verwenden Sie den Befehl gcloud compute routers nats update
mit den folgenden Flags, um diese Zeitlimits zu ändern:
- Zeitlimit bei Inaktivität für UDP-Zuordnung:
--udp-idle-timeout
- Inaktives Zeitlimit für TCP-Verbindungen:
--tcp-established-idle-timeout
- Inaktives Zeitlimit für vorübergehende TCP-Verbindungen:
--tcp-transitory-idle-timeout
- Zeitlimit für TCP-TIME_WAIT:
--tcp-time-wait-timeout
- Inaktives Zeitlimit für ICMP-Zuordnung:
--icmp-idle-timeout
Mit diesem Befehl bleiben die anderen Felder in der NAT-Konfiguration unverändert.
Mit dem folgenden Befehl wird beispielsweise der Wert für die UDP-Zuordnungs-Ruhezeit geändert.
gcloud compute routers nats update NAT_CONFIG \ --router=ROUTER_NAME \ --region=REGION \ --udp-idle-timeout=VALUE
Ersetzen Sie Folgendes:
NAT_CONFIG
: Der Name Ihrer Cloud NAT-Konfiguration.ROUTER_NAME
: Der Name Ihres Cloud Routers.REGION
: die Region der Cloud NAT, die aktualisiert werden soll. Wenn Sie keine Region angeben, werden Sie möglicherweise aufgefordert, eine Region auszuwählen (nur im interaktiven Modus).VALUE
: der Zeitüberschreitungswert (in Sekunden)
NAT-Zeitüberschreitungen auf Standardwerte zurücksetzen
Console
Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.
Klicken Sie auf Ihr Cloud NAT-Gateway.
Klicken Sie auf
Bearbeiten.Klicken Sie auf Erweiterte Konfigurationen.
Entfernen Sie alle vom Nutzer konfigurierten Werte, die Sie zurücksetzen möchten.
Klicken Sie auf Speichern.
Die entfernten Werte werden auf die Standardwerte zurückgesetzt.
gcloud
Mit diesem Befehl bleiben die anderen Felder in der Cloud NAT-Konfiguration unverändert.
gcloud compute routers nats update NAT_CONFIG \ --router=ROUTER_NAME \ --region=REGION \ --clear-udp-idle-timeout \ --clear-icmp-idle-timeout \ --clear-tcp-established-idle-timeout \ --clear-tcp-time-wait-timeout \ --clear-tcp-transitory-idle-timeout
Ersetzen Sie Folgendes:
NAT_CONFIG
: der Name Ihres Cloud NAT-Gateways.ROUTER_NAME
: Der Name Ihres Cloud Routers.REGION
: die Region der Cloud NAT, die aktualisiert werden soll. Wenn Sie keine Region angeben, werden Sie möglicherweise aufgefordert, eine Region auszuwählen (nur im interaktiven Modus).
Auswirkungen der Optimierung von NAT-Konfigurationen auf bestehende NAT-Verbindungen
In der folgenden Tabelle werden die Auswirkungen der Optimierung von Cloud NAT-Konfigurationen auf vorhandene Verbindungen zusammengefasst:
Tuning-Aktion | Verbindungsabbruch |
---|---|
Endpunktunabhängige Zuordnung deaktivieren | Nein |
Mindestanzahl an Ports pro VM verringern und dynamische Portzuweisung aktivieren: maximale Anzahl an Ports pro VM >= alte Mindestanzahl an Ports pro VM, und maximale Anzahl an Ports pro VM >= 1024
|
Nein |
Mindestanzahl an Ports pro VM erhöhen, wenn die dynamische Portzuweisung bereits aktiviert ist | Nein |
Mindestanzahl an Ports pro VM verringern, wenn die dynamische Portzuweisung bereits aktiviert ist | Nein |
Mindestanzahl an Ports pro VM erhöhen, wenn die dynamische Portzuweisung bereits deaktiviert ist | Nein |
Mindestanzahl an Ports pro VM verringern, wenn die dynamische Portzuweisung bereits deaktiviert ist | Ja |
Höchstzahl von Ports pro VM erhöhen | Nein |
Maximale Anzahl von Ports pro VM verringern, wenn die dynamische Portzuweisung bereits aktiviert ist | Ja |
Cloud NAT-Zeitüberschreitungen ändern, wenn die dynamische Portzuweisung aktiviert oder deaktiviert ist | Nein |
Dynamische Portzuweisung deaktivieren | Ja |
Nächste Schritte
- Logging und Monitoring für Cloud NAT konfigurieren.
- Häufige Probleme mit NAT-Konfigurationen beheben