Kontingente und Limits
In diesem Dokument werden die Kontingente und Systemlimits aufgeführt, die für Cloud NAT gelten. Kontingente geben die Menge einer zählbaren, freigegebenen Ressource an, die Sie verwenden können. Sie werden von Google Cloud-Diensten wie Cloud NAT definiert. Systemlimits sind feste Werte, die nicht geändert werden können.
Jedes Kontingent oder Limit wird pro Ressource berechnet. Kontingente und Limits können pro Projekt, pro Netzwerk, pro Region oder auf andere Ressourcen bezogen definiert sein. NAT-IP-Adressen können nicht zwischen NAT-Gateways freigegeben werden. Informationen zum Ändern eines Kontingents finden Sie unter Weitere Kontingente anfordern.
Google Cloud nutzt Kontingente, um Fairness zu gewährleisten und Spitzen bei Ressourcennutzung und -verfügbarkeit zu reduzieren. Ein Kontingent schränkt ein, wie viel von einer Google Cloud-Ressource Ihr Google Cloud-Projekt nutzen darf. Kontingente gelten für eine Reihe von Ressourcentypen, einschließlich Hardware, Software und Netzwerkkomponenten. Mit Kontingenten können Sie beispielsweise die Anzahl der API-Aufrufe an einen Dienst, die Anzahl der von Ihrem Projekt gleichzeitig verwendeten Load Balancer oder die Anzahl der Projekte begrenzen, die Sie erstellen können. Die Kontingente sollen eine Überlastung von Diensten verhindern und dadurch die Community der Google Cloud-Nutzer schützen. Sie helfen Ihnen auch bei der Verwaltung Ihrer eigenen Google Cloud-Ressourcen.
Das Cloud-Kontingentsystem ermöglicht Folgendes:
- Ihren Verbrauch von Google Cloud-Produkten und -Diensten überwachen
- Ihren Verbrauch dieser Ressourcen einschränken
- Eine Möglichkeit bieten, Änderungen am Kontingentwert anzufordern
Wenn Sie versuchen, mehr von einer Ressource zu verbrauchen, als das Kontingent zulässt, blockiert das System in den meisten Fällen den Zugriff auf die Ressource. Die Aufgabe, die Sie ausführen möchten, schlägt fehl.
Kontingente gelten in der Regel auf Google Cloud-Projektebene. Ihre Nutzung einer Ressource in einem Projekt hat keinen Einfluss auf Ihr verfügbares Kontingent in einem anderen Projekt. Innerhalb eines Google Cloud-Projekts werden die Kontingente für alle Anwendungen und IP-Adressen gemeinsam genutzt.
Für Cloud NAT-Ressourcen gelten außerdem Systemlimits. Systemlimits können nicht geändert werden.
Kontingente
Informationen zu Kontingenten für Cloud NAT finden Sie auf der Seite Kontingente in der Cloud Router-Dokumentation.
Limits
Posten | Limit | Hinweise |
---|---|---|
NAT-Gateways | 50 pro Cloud Router | Jedes Netzwerk unterstützt bis zu 5 Cloud Router-Instanzen pro Region, sodass Sie bis zu 250 Cloud NAT-Gateways pro Region pro VPC-Netzwerk (Virtual Private Cloud) Informationen zu den Cloud Router-Kontingenten finden Sie in der Cloud Router-Dokumentation. |
NAT-IP-Adressen pro Gateway | 300 manuelle Adressen 300 automatisch zugewiesene Adressen |
Die maximal zulässige Zahl externer IP-Adressen für ein NAT-Gateway. Dieser Wert hängt jedoch von den statischen IP-Adressen und den verwendeten IP-Adressen ab, die dem VPC pro Projekt zugewiesen sind. |
Subnetzbereiche | 50 pro Gateway | Die maximale Anzahl von Subnetzen, die Sie einem Gateway zuordnen können, wenn Sie eine benutzerdefinierte Liste von Subnetzbereichen konfigurieren. Die Anzahl der Subnetzbereiche kann über dem Limit liegen, da jedes Subnetz einen primären IPv4-Bereich und einen oder mehrere sekundäre Bereiche haben kann. Wenn Sie NAT für primäre Bereiche für alle Subnetze oder primäre Bereiche konfiguriert haben und sekundäre Bereiche für alle Subnetze verwenden, gilt dieses Limit nicht. |
NAT-Regeln | 50 pro Gateway | Wenn dieses Limit überschritten wird, gibt die API einen Fehler zurück. |
Aktive IP-Adressen pro NAT-Regel | 300 | |
Private NAT-Subnetze | 50 pro Gateway | Die maximale Anzahl von Subnetzen, die Sie für die Verwendung als Quell-NAT-Bereiche für Private NAT reservieren können. Diese Subnetze haben den Zweck PRIVATE_NAT . |
Zeichen in CEL-Ausdrücken pro Regel | 2.048 | |
Zeichen in CEL-Ausdrücken pro Cloud Router-Instanz | 500.000 |
Beschränkungen
Manche Server wie Legacy-DNS-Server erfordern aus Sicherheitsgründen eine zufällige Auswahl aus 64.000 UDP-Ports. Da Cloud NAT einen zufälligen Port aus einer von 64 oder einer vom Nutzer konfigurierten Anzahl von Ports auswählt, sollten Sie diesen Servern eine externe IP-Adresse zuweisen, anstatt Cloud NAT zu verwenden. Da Cloud NAT keine von außen initiierten Verbindungen zulässt, müssen die meisten dieser Server ohnehin eine externe IP-Adresse verwenden.
Cloud NAT ist für Legacy-Netzwerke nicht verfügbar.
Cloud NAT bietet kein Gateway auf Anwendungsebene (ALG) Funktionen: Cloud NAT aktualisiert die IP-Adresse und den Port nicht. Informationen in den Paketdaten für Protokolle der Anwendungsschicht wie FTP und SIP.
Cloud NAT-Gateways implementieren NAT-Verbindungs-Tracking-Tabellen für jede VM-Netzwerkschnittstelle, auf der NAT-Dienste bereitgestellt werden. Die Einträge in jeder Verbindungs-Tracking-Tabelle sind Fünftupel-Hashes für die unterstützten Protokolle des Gateways.
Die Einträge in den einzelnen Tabellen für das Verbindungs-Tracking bleiben etwa so lange erhalten, wie die relevantes NAT-Zeitlimit ändern. Weitere Informationen zu NAT-Zeitüberschreitungen finden Sie unter NAT-Zeitlimits.
Die maximale Anzahl der Tabelleneinträge für das Verbindungstracking für das gesamte NAT-Objekt der Netzwerkschnittstelle einer VM 65.535. Dieses Maximum deckt Verbindungen zusammen für alle Protokolle ab, die das Gateway unterstützt.
Kurze Zeitlimits für inaktive Verbindungen funktionieren möglicherweise nicht.
NAT-Zuordnungen werden alle 30 Sekunden auf Ablauf- und Konfigurationsänderungen hin geprüft. Selbst wenn Sie ein Zeitlimit von 5 Sekunden festlegen, ist die Verbindung im schlimmsten Fall 30 Sekunden und im Durchschnitt 15 Sekunden lang nicht verfügbar.
Kontingente verwalten
MitCloud NAT werden Kontingente für die Ressourcennutzung aus verschiedenen Gründen festgelegt. Kontingente schützen unter anderem die gesamte Google Cloud -Community vor unerwarteten Nutzungsspitzen. Außerdem unterstützen Kontingente Nutzer, die Google Cloud mit der kostenlosen Stufe prüfen, dabei, im Rahmen der Testversion zu verbleiben.
Alle Projekte beginnen mit den gleichen Kontingenten, die Sie ändern können, indem Sie zusätzliche Kontingente anfordern. Einige Kontingente könnten entsprechend Ihrer Nutzung eines Produkts automatisch erhöht werden.
Berechtigungen
Zur Anzeige von Kontingenten oder zur Anforderung von Kontingenterhöhungen benötigen IAM-Hauptkonten (Identity and Access Management) eine der folgenden Rollen:
Aufgabe | Erforderliche Rolle |
---|---|
Kontingente für ein Projekt prüfen | Beispiele:
|
Kontingente ändern, zusätzliche Kontingente anfordern | Beispiele:
|
Kontingent prüfen
Console
- Öffnen Sie in der Google Cloud Console die Seite Kontingente.
- Mit dem Feld Tabelle filtern können Sie nach den zu aktualisierenden Kontingenten suchen. Wenn Sie den Namen des Kontingents nicht kennen, verwenden Sie stattdessen die Links auf dieser Seite.
gcloud
Führen Sie mit der Google Cloud CLI den folgenden Befehl aus, um Ihre Kontingente zu prüfen. Ersetzen Sie PROJECT_ID
durch Ihre Projekt-ID:
gcloud compute project-info describe --project PROJECT_ID
Mit dem folgenden Befehl prüfen Sie das genutzte Kontingent in einer Region:
gcloud compute regions describe example-region
Fehler beim Überschreiten Ihres Kontingents
Wenn Sie ein Kontingent mit einem gcloud
-Befehl überschreiten, gibt gcloud
eine quota exceeded
-Fehlermeldung aus und liefert den Exit-Code 1
.
Wenn Sie ein Kontingent mit einer API-Anfrage überschreiten, liefert Google Cloud folgenden HTTP-Statuscode: 413 Request Entity Too Large
.
Weitere Kontingente anfordern
Verwenden Sie die Google Cloud Console, um die meisten Kontingente anzupassen. Weitere Informationen finden Sie unter Höheres Kontingentlimit anfordern.
Console
- Öffnen Sie in der Google Cloud Console die Seite Kontingente.
- Wählen Sie auf der Seite Kontingente die Kontingente aus, die Sie ändern möchten.
- Klicken Sie oben auf der Seite auf Kontingente bearbeiten.
- Geben Sie unter Name Ihren Namen ein.
- Optional: Geben Sie unter Telefon eine Telefonnummer ein.
- Senden Sie die Anfrage. Die Bearbeitung von Kontingentanforderungen dauert 24 bis 48 Stunden.
Ressourcenverfügbarkeit
Jedes Kontingent stellt die maximale Anzahl an Ressourcen eines bestimmten Typs dar, die Sie erstellen können, sofern der Ressourcentyp verfügbar ist. Beachten Sie, dass Kontingente die Verfügbarkeit von Ressourcen nicht garantieren. Selbst wenn Sie ein verfügbares Kontingent haben, können Sie keine neue Ressource erstellen, wenn keine verfügbar ist.
Beispiel: Sie haben noch ein ausreichendes Kontingent zum Erstellen einer neuen regionalen, externen IP-Adresse in der Region us-central1
. Dies ist jedoch nicht möglich, wenn in dieser Region keine externen IP-Adressen verfügbar sind. Die Verfügbarkeit von zonalen Ressourcen kann sich auch auf Ihre Fähigkeit auswirken, eine neue Ressource zu erstellen.
Es kommt nur selten vor, dass Ressourcen in einer kompletten Region nicht verfügbar sind. Ressourcen innerhalb einer Zone können aber manchmal vorübergehend ausgeschöpft sein, ohne dass sich das auf das Service Level Agreement (SLA) für den Ressourcentyp auswirkt. Weitere Informationen finden Sie im entsprechenden SLA für die Ressource.