Cette page a été traduite par l'API Cloud Translation.

Quotas et limites

Ce document recense les quotas et limites système qui s'appliquent à Cloud NAT.

Les quotas ont des valeurs par défaut, mais vous pouvez généralement demander des ajustements.
Les limites système sont des valeurs fixes qui ne peuvent pas être modifiées.

Le calcul d'un quota ou d'une limite s'effectue par ressource. Les quotas et les limites peuvent être définis par projet, par réseau, par région ou par une autre ressource. Les adresses IP NAT ne peuvent pas être partagées entre plusieurs passerelles NAT. Pour modifier un quota, consultez la section Demander une augmentation de quota.

Google Cloud utilise des quotas pour garantir l'équité et réduire les pics d'utilisation et de disponibilité des ressources. Un quota limite la quantité d'une ressourceGoogle Cloud que votre projet Google Cloud peut utiliser. Les quotas s'appliquent à différents types de ressources, y compris les composants matériels, logiciels et réseau. Par exemple, ils peuvent limiter le nombre d'appels d'API à un service, le nombre d'équilibreurs de charge utilisés simultanément par votre projet ou le nombre de projets que vous pouvez créer. Ils protègent la communauté des utilisateurs deGoogle Cloud en empêchant la surcharge des services. Les quotas vous aident également à gérer vos propres ressources Google Cloud .

Le système Cloud Quotas permet d'effectuer les opérations suivantes :

Surveiller votre consommation de produits et services Google Cloud
Limiter votre consommation de ces ressources
Demander des modifications de la valeur du quota et automatiser les ajustements de quota

Dans la plupart des cas, lorsque vous tentez d'utiliser une ressource plus que son quota ne le permet, le système bloque l'accès à la ressource et la tâche que vous essayez d'effectuer échoue.

Les quotas s'appliquent généralement au niveau du projet Google Cloud . Votre utilisation d'une ressource dans un projet n'affecte pas votre quota disponible dans un autre projet. Dans un projet Google Cloud , les quotas sont partagés entre toutes les applications et adresses IP.

Pour en savoir plus, consultez la présentation de Cloud Quotas.

Des limites système s'appliquent également aux ressources Cloud NAT. Elles ne peuvent pas être modifiées.

Quotas

Pour en savoir plus sur les quotas applicables à Cloud NAT, consultez la page Quotas de Cloud Router.

Limites

Élément	Limite	Remarques
Passerelles NAT	50 par instance Cloud Router	Chaque réseau accepte jusqu'à cinq instances Cloud Router par région. Vous pouvez donc avoir jusqu'à 250 passerelles Cloud NAT par région et par réseau de cloud privé virtuel (VPC). Pour en savoir plus sur les quotas de Cloud Router, consultez la documentation Cloud Router.
Adresses IP NAT par passerelle	300 adresses attribuées manuellement 2 500 adresses attribuées automatiquement	Il s'agit du nombre maximal d'adresses IP externes dont vous pouvez disposer sur une passerelle NAT. Toutefois, cette valeur dépend des quotas d'adresses IP statiques et d'adresses IP en cours d'utilisation par projet de VPC.
Plages de sous-réseaux	50 par passerelle	Il s'agit du nombre maximal de sous-réseaux que vous pouvez associer à une passerelle lorsque vous configurez une liste personnalisée de plages de sous-réseaux. Le nombre de plages de sous-réseaux peut être supérieur à la limite, car chaque sous-réseau peut avoir une plage IPv4 principale et une ou plusieurs plages secondaires. Si vous avez configuré le NAT pour des plages principales pour tous les sous-réseaux, ou pour des plages principales et secondaires pour tous les sous-réseaux, cette limite ne s'applique pas.
Règles NAT	50 par passerelle	Si cette limite est dépassée, l'API renvoie une erreur.
Adresses IP actives par règle NAT	300
Sous-réseaux Private NAT	50 par passerelle	Nombre maximal de sous-réseaux que vous pouvez réserver pour les plages NAT sources de Private NAT. Ces sous-réseaux ont une finalité `PRIVATE_NAT`.
Caractères dans les expressions CEL par règle	2 048
Caractères dans les expressions CEL par instance Cloud Router	500 000

Limites

Certains serveurs tels que les anciens serveurs DNS nécessitent d'activer la randomisation des ports UDP sur 64 000 ports pour renforcer la sécurité. Étant donné que Cloud NAT sélectionne un port aléatoire parmi 64 ou un nombre de ports configuré par l'utilisateur, il est préférable d'attribuer une adresse IP externe à ces serveurs au lieu d'utiliser Cloud NAT. La plupart de ces serveurs doivent de toute façon utiliser une adresse IP externe, car Cloud NAT n'autorise pas les connexions initiées depuis l'extérieur.
Cloud NAT n'est pas disponible pour les anciens réseaux.
Cloud NAT ne fournit pas de fonctionnalités de passerelle au niveau de l'application (ALG, Application-Level Gateway). En effet, Cloud NAT ne met pas à jour les informations sur l'adresse IP et le port dans les données de paquet pour les protocoles de couche application tels que FTP et SIP.
Les passerelles Cloud NAT implémentent des tables de suivi des connexions NAT pour chaque interface réseau de VM sur laquelle elles fournissent des services NAT. Les entrées de chaque table de suivi des connexions sont des hachages à cinq tuples pour les protocoles compatibles de la passerelle.

Les entrées de chaque table de suivi des connexions persistent à peu près aussi longtemps que le délai d'expiration NAT correspondant. Pour en savoir plus sur les délais avant expiration du NAT, consultez la section Délais avant expiration du NAT.

Le nombre maximal d'entrées dans la table de suivi des connexions pour toutes les connexions NAT associées à une VM est de 65 535. Cette valeur maximale couvre l'ensemble des connexions pour tous les protocoles compatibles avec la passerelle, sur toutes les interfaces réseau de la VM.
Les délais d'inactivité de la connexion risquent de ne pas s'appliquer s'ils sont trop courts.

Les mappages NAT sont vérifiés toutes les 30 secondes afin de détecter les modifications apportées au délai d'expiration et à la configuration. Même si le délai d'expiration est défini sur 5 secondes, la connexion risque de ne pas être disponible pendant 30 secondes maximum dans le pire des cas et 15 secondes en moyenne.

Manage quotas

Cloud NAT enforces quotas on resource usage for various reasons. For example, quotas protect the community of Google Cloud users by preventing unforeseen spikes in usage. Quotas also help users who are exploring Google Cloud with the free tier to stay within their trial.

All projects start with the same quotas, which you can change by requesting additional quota. Some quotas might increase automatically based on your use of a product.

Permissions

To view quotas or request quota increases, Identity and Access Management (IAM) principals need one of the following roles.

Task	Required role
Check quotas for a project	One of the following: Project Owner (`roles/owner`) Project Editor (`roles/editor`) Quota Viewer (`roles/servicemanagement.quotaViewer`)
Modify quotas, request additional quota	One of the following: Project Owner (`roles/owner`) Project Editor (`roles/editor`) Quota Administrator (`roles/servicemanagement.quotaAdmin`) A custom role with the `serviceusage.quotas.update` permission

Check your quota

Console

In the Google Cloud console, go to the Quotas page.
Go to Quotas
To search for the quota that you want to update, use the Filter table. If you don't know the name of the quota, use the links on this page instead.

gcloud

Using the Google Cloud CLI, run the following command to check your quotas. Replace PROJECT_ID with your own project ID.

    gcloud compute project-info describe --project PROJECT_ID

To check your used quota in a region, run the following command:

    gcloud compute regions describe example-region

Errors when exceeding your quota

If you exceed a quota with a gcloud command, gcloud outputs a quota exceeded error message and returns with the exit code 1.

If you exceed a quota with an API request, Google Cloud returns the following HTTP status code: 413 Request Entity Too Large.

Request additional quota

To adjust most quotas, use the Google Cloud console. For more information, see Request a quota adjustment.

Resource availability

Each quota represents a maximum number for a particular type of resource that you can create, if that resource is available. It's important to note that quotas don't guarantee resource availability. Even if you have available quota, you can't create a new resource if it is not available.

For example, you might have sufficient quota to create a new regional, external IP address in a given region. However, that is not possible if there are no available external IP addresses in that region. Zonal resource availability can also affect your ability to create a new resource.

Situations where resources are unavailable in an entire region are rare. However, resources within a zone can be depleted from time to time, typically without impact to the service level agreement (SLA) for the type of resource. For more information, review the relevant SLA for the resource.