Quotas et limites
Ce document répertorie les quotas et limites qui s'appliquent à Cloud NAT.
Le calcul d'un quota ou d'une limite s'effectue par ressource. Les quotas et les limites peuvent être définis par projet, par réseau, par région ou par une autre ressource. Les adresses IP NAT ne peuvent pas être partagées entre plusieurs passerelles NAT. Pour modifier un quota, consultez la section Demander une augmentation de quota.
Google Cloud utilise des quotas pour garantir l'équité et réduire les pics d'utilisation et de disponibilité des ressources. Un quota limite la quantité de ressources Google Cloud que votre projet Google Cloud peut utiliser. Les quotas s'appliquent à différents types de ressources, y compris les composants matériels, logiciels et réseau. Par exemple, les quotas peuvent limiter le nombre d'appels d'API à un service, le nombre d'équilibreurs de charge utilisés simultanément par votre projet ou le nombre de projets que vous pouvez créer. Les quotas protègent la communauté des utilisateurs de Google Cloud en empêchant la surcharge des services. Les quotas vous aident également à gérer vos propres ressources Google Cloud.
Le système Cloud Quotas effectue les opérations suivantes :
- Surveille votre consommation de produits et services Google Cloud
- Limite votre consommation de ces ressources
- Permet de demander des modifications de la valeur du quota
Dans la plupart des cas, lorsque vous tentez d'utiliser plus d'une ressource que son quota ne le permet, le système bloque l'accès à la ressource et la tâche que vous essayez d'effectuer échoue.
Les quotas s'appliquent généralement au niveau du projet Google Cloud. Votre utilisation d'une ressource dans un projet n'affecte pas votre quota disponible dans un autre projet. Dans un projet Google Cloud, les quotas sont partagés entre toutes les applications et adresses IP.
Des limites s'appliquent également aux ressources Cloud NAT. Ces limites ne sont pas liées au système de quotas. Sauf indication contraire, les limites ne peuvent pas être modifiées.
Quotas
Pour en savoir plus sur les quotas applicables à Cloud NAT, consultez la page Quotas de Cloud Router.
Limites
Élément | Limite | Remarques |
---|---|---|
Passerelles NAT | 50 par instance Cloud Router | Chaque réseau accepte jusqu'à cinq instances Cloud Router par région. Vous pouvez donc avoir jusqu'à 250 passerelles Cloud NAT par région et par réseau de cloud privé virtuel (VPC). Pour en savoir plus sur les quotas de Cloud Router, consultez la documentation Cloud Router. |
Adresses IP NAT par passerelle | 300 adresses saisies manuellement 300 adresses attribuées automatiquement |
Il s'agit du nombre maximal d'adresses IP externes dont vous pouvez disposer sur une passerelle NAT. Cependant, cette valeur dépend des adresses IP statiques et adresses IP en cours d'utilisation Quotas de VPC par projet |
Plages de sous-réseaux | 50 par passerelle | Il s'agit du nombre maximal de sous-réseaux que vous pouvez associer à une passerelle lorsque vous configurez une liste personnalisée de plages de sous-réseaux. Le nombre de plages de sous-réseaux peut être supérieur à la limite, car chaque sous-réseau peut avoir une plage IPv4 principale et une ou plusieurs plages secondaires. Si vous avez configuré le NAT pour des plages principales pour tous les sous-réseaux, ou pour des plages principales et secondaires pour tous les sous-réseaux, cette limite ne s'applique pas. |
Règles NAT | 50 par passerelle | Si cette limite est dépassée, l'API renvoie une erreur. |
Adresses IP actives par règle NAT | 300 | |
Sous-réseaux NAT privés | 50 par passerelle | Nombre maximal de sous-réseaux que vous pouvez réserver pour les plages NAT source de Private NAT. L'objectif de ces sous-réseaux est PRIVATE_NAT . |
Caractères dans les expressions CEL par règle | 2 048 | |
Caractères dans les expressions CEL par instance Cloud Router | 500 000 |
Limites
Certains serveurs tels que les anciens serveurs DNS nécessitent d'activer la randomisation des ports UDP sur 64 000 ports pour renforcer la sécurité. Comme Cloud NAT sélectionne à partir de l'un des 64 ports ou d'un nombre configuré par l'utilisateur, il est préférable d'attribuer une adresse IP externe à ces serveurs au lieu d'utiliser Cloud NAT. Comme Cloud NAT n'autorise pas les connexions établies depuis l'extérieur, la plupart de ces serveurs sont de toute façon nécessaires d'utiliser une adresse IP externe.
Cloud NAT n'est pas disponible pour les anciens réseaux.
Cloud NAT ne fournit pas de fonctionnalités de passerelle de niveau application (ALG). Il ne met pas à jour l'adresse IP et les informations de port dans les données de paquet pour les protocoles de couche application tels que FTP et SIP.
Les passerelles Cloud NAT implémentent des tables de suivi des connexions NAT pour chaque Interface réseau de la VM sur laquelle elle fournit des services NAT. Entrées dans chaque les tables de suivi des connexions sont des hachages à 5 tuples pour les valeurs protocoles.
Les entrées de chaque tableau de suivi des connexions sont conservées aussi longtemps que le délai avant expiration NAT approprié. Pour en savoir plus sur les délais avant expiration du NAT, consultez la section Expiration du NAT.
Nombre maximal d'entrées de table de suivi des connexions pour l'ensemble de la NAT de connexions associées à l'interface réseau d'une VM est de 65 535. Cette valeur maximale couvre les connexions, de manière globale, pour tous les protocoles compatibles avec la passerelle.
Les délais d'inactivité de la connexion courts risquent de ne pas fonctionner.
Les mappages NAT sont vérifiés toutes les 30 secondes afin de détecter les modifications apportées au délai d'expiration et à la configuration. Même si le délai d'expiration est défini sur 5 secondes, la connexion risque de ne pas être disponible pendant 30 secondes maximum dans le pire des cas et 15 secondes en moyenne.
Gérer les quotas
Cloud NAT impose des quotas sur l'utilisation des ressources pour différentes raisons. Il s'agit, par exemple, de préserver la communauté des utilisateurs Google Cloud en empêchant les pics d'utilisation imprévus. Les quotas aident également les utilisateurs qui explorent Google Cloud avec la version gratuite à ne pas dépasser les limites de leur version d'essai.
Tous les projets débutent avec les mêmes quotas, que vous pouvez modifier en demandant un quota supplémentaire. Certains quotas peuvent augmenter automatiquement en fonction de votre utilisation d'un produit.
Autorisations
Pour afficher les quotas ou demander des augmentations de quotas, les entités principales IAM (gestion de l'authentification et des accès) doivent disposer de l'un des rôles suivants :
Tâche | Rôle requis |
---|---|
Vérifier les quotas d'un projet | Choisissez l'une des options suivantes :
|
Modifier les quotas, demander un quota supplémentaire | Choisissez l'une des options suivantes :
|
Vérifier les quotas
Console
- Dans Google Cloud Console, accédez à la page Quotas.
- Pour rechercher le quota à mettre à jour, utilisez l'option Filtrer le tableau. Si vous ne connaissez pas le nom du quota, utilisez les liens disponibles sur cette page à la place.
gcloud
À l'aide de Google Cloud CLI, exécutez la commande suivante pour vérifier vos quotas. Remplacez PROJECT_ID
par votre ID de projet :
gcloud compute project-info describe --project PROJECT_ID
Pour vérifier le quota que vous avez déjà consommé dans une région, exécutez la commande suivante :
gcloud compute regions describe example-region
Erreurs lors du dépassement de votre quota
Si vous dépassez un quota avec une commande gcloud
, gcloud
génère un message d'erreur quota exceeded
et renvoie le code de sortie 1
.
Si vous dépassez un quota avec une requête API, Google Cloud renvoie le code d'état HTTP suivant : 413 Request Entity Too Large
.
Demander un quota supplémentaire
Pour demander une augmentation ou une diminution de la plupart des quotas, vous pouvez utiliser Google Cloud Console. Pour en savoir plus, consultez Demander une augmentation de quota.
Console
- Dans Google Cloud Console, accédez à la page Quotas.
- Sur la page Quotas, sélectionnez les quotas à modifier.
- En haut de la page, cliquez sur Modifier les quotas.
- Dans le champ Name (Nom), saisissez votre nom.
- Facultatif: Dans le champ Téléphone, saisissez un numéro de téléphone.
- Envoyez la demande. Le traitement des demandes de quotas nécessite un délai de 24 à 48 heures.
Disponibilité des ressources
Chaque quota représente le nombre maximal de ressources que vous pouvez créer pour un type de ressource donné, sous réserve de disponibilité. Il est important de noter que les quotas ne garantissent pas la disponibilité des ressources. Même si vous disposez d'un quota, vous ne pouvez pas créer une ressource si celle-ci n'est pas disponible.
Par exemple, vous pouvez disposer d'un quota suffisant pour créer une adresse IP régionale externe dans la région us-central1
. Toutefois, cela n'est pas possible si aucune adresse IP externe n'est disponible dans cette région. La disponibilité des ressources par zone peut également avoir une incidence sur votre capacité à créer des ressources.
Les situations dans lesquelles des ressources sont indisponibles dans une région entière sont rares. Toutefois, les ressources d'une zone peuvent parfois être épuisées de temps en temps, ce qui n'a généralement pas d'incidence sur le contrat de niveau de service pour le type de ressource. Pour plus d'informations, consultez le contrat de niveau de service correspondant à la ressource.