割り当てと上限
このドキュメントでは、Cloud NAT に適用される割り当てと上限を示します。quotasquotas
特定の割り当てまたは上限はリソースごとに計算されます。割り当てと上限は、プロジェクトごと、ネットワークごと、リージョンごと、またはその他のリソースごとに適用されます。NAT IP アドレスを NAT ゲートウェイ間で共有することはできません。割り当てを変更するには、追加の割り当てをリクエストするをご覧ください。
割り当ては、Google Cloud プロジェクトで使用できる共有 Google Cloud リソース(ハードウェア、ソフトウェア、ネットワーク コンポーネントなど)の量を制限します。つまり、割り当てはシステムの一部で、次の機能があります。
- Google Cloud のプロダクトとサービスの使用量や消費量をモニタリングする。
- 公平性の確保や使用量急増の抑制などのため、これらのリソースの消費量を制限する。
- 規定の制限を自動的に適用する構成を維持する。
- 割り当てをリクエストまたは変更する手段を提供する。
ほとんどの場合、割り当てを超過すると、システムは関連する Google リソースへのアクセスをすぐにブロックするため、ユーザーが試行しているタスクは失敗します。ほとんどの場合、割り当ては各 Google Cloud プロジェクトに適用され、その Google Cloud プロジェクトを使用するすべてのアプリケーションと IP アドレスで共有されます。
Cloud NAT のリソースには上限もあります。これらの上限は、割り当てシステムとは無関係です。上限は、特に明記されていない限り、変更できません。
割り当て
Cloud NAT に影響する割り当てについては、Cloud Router のquotasページをご覧ください。
上限
項目 | 上限 | 注 |
---|---|---|
NAT ゲートウェイ | 1 Cloud Router あたり 50 個 | ネットワークごとに、1 リージョンあたり 5 個の Cloud Router インスタンスまで使用できます。つまり、Virtual Private Cloud(VPC)ネットワークごとに 1 リージョンあたり最大 250 個の Cloud NAT ゲートウェイを設置できます。Cloud Router の割り当てについては、Cloud Router のドキュメントをご覧ください。 |
1 ゲートウェイあたりの NAT IP アドレス数 | 手動設定アドレス 300 個 自動割り当てアドレス 300 個 |
NAT ゲートウェイに設定できる外部 IP アドレスの最大数です。ただしこの値は、静的 IP アドレスと使用中の IP アドレスの VPC プロジェクトごとの割り当てによって異なります。 |
サブネットの範囲 | 1 ゲートウェイあたり 50 個 | サブネットの範囲のカスタムリストを構成するときにゲートウェイに関連付けることができるサブネットの最大数。各サブネットにはプライマリ IPv4 範囲と 1 つ以上のセカンダリ範囲を設定できるため、サブネットの範囲の数が上限を超えることがあります。 すべてのサブネットのプライマリ範囲に対して、またはすべてのサブネットのプライマリおよびセカンダリ範囲に対して NAT を構成している場合、この上限は適用されません。 |
NAT ルール | 1 ゲートウェイあたり 50 個 | この上限を超えると、API からエラーが返されます。 |
NAT ルールごとのアクティブな IP アドレス数 | 300 | |
Private NAT サブネット | 1 ゲートウェイあたり 50 個 | Private NAT のソース NAT 範囲として予約できるサブネットの最大数。これらのサブネットの目的は PRIVATE_NAT です。 |
ルールごとの CEL 式の文字数 | 2,048 | |
Cloud Router インスタンスごとの CEL 式の文字数 | 500,000 |
制限事項
従来の DNS サーバーなどの一部のサーバーでは、セキュリティ強化のため UDP ポートを 64,000 個のポートの間でランダム化する必要があります。Cloud NAT では 64 個またはユーザーが指定した数のポートから 1 つがランダムに選択されるため、こうしたサーバーでは Cloud NAT を使用せず、外部 IP アドレスを割り当てることをおすすめします。Cloud NAT では外部から開始された接続が許可されないため、いずれにしてもこれらのサーバーのほとんどで外部 IP アドレスを使用する必要があります。
レガシー ネットワークでは Cloud NAT はご利用いただけません。
NAT ALG(アプリケーション レベル ゲートウェイ)機能はサポートされていません。つまり、Cloud NAT によりパケットデータ(FTP、SIP といったプロトコルで使用するものなど)内の IP が変更されます。
Cloud NAT ゲートウェイは、NAT サービスを提供する VM ネットワーク インターフェースごとに NAT 接続トラッキング テーブルを実装します。各接続トラッキング テーブルのエントリは、ゲートウェイでサポートされているプロトコルの 5 タプルハッシュです。
各接続トラッキング テーブルのエントリは、関連する NAT タイムアウトまでは、ほぼ存続します。NAT タイムアウトの詳細については、NAT タイムアウトをご覧ください。
VM のネットワーク インターフェースに関連付けられたすべての NAT 接続の接続トラッキング テーブル エントリの最大数は 65,535 です。この最大接続数は、ゲートウェイがサポートするすべてのプロトコルの接続の合計を表しています。
アイドル状態の接続のタイムアウトが短い場合は、機能しない可能性があります。
NAT マッピングは、有効期限切れや構成の変更がないか 30 秒ごとに確認されます。接続タイムアウトの値を 5 秒に設定していても、平均で 15 秒間、遅い場合は 30 秒間接続できない場合があります。
割り当てを管理する
Cloud NAT では、さまざまな理由から、使用できるリソースの割り当て量に上限が設けられています。たとえば、割り当て量の上限を設定して予期しない使用量の急増を防ぐことで、 Google Cloud ユーザーのコミュニティを保護しています。割り当て量は、無料枠で Google Cloud を試しているユーザーをトライアルに留めておくのにも役立ちます。
すべてのプロジェクトは同じ割り当て量で開始しますが、追加の割り当て量をリクエストすることで変更できます。割り当てによっては、プロダクトの使用状況に応じて自動的に増加される場合もあります。
権限
Identity and Access Management(IAM)のプリンシパルが割り当ての表示や、割り当ての増加のリクエストをするには、以下のいずれかのロールが必要です。
タスク | 必要なロール |
---|---|
プロジェクトの割り当て量をチェックする | 次のいずれかが必要です。 |
割り当て量の変更、割り当て量の追加のリクエストを行う | 次のいずれかが必要です。 |
割り当て量を確認する
コンソール
- Google Cloud コンソールで [割り当て] ページに移動します。
- 更新する割り当てを検索するには、[表をフィルタリング] を使用します。割り当ての名前がわからない場合は、このページにあるリンクを使用します。
gcloud
Google Cloud CLI で次のコマンドを実行して、割り当てを確認します。PROJECT_ID
は、実際のプロジェクト ID に置き換えます。
gcloud compute project-info describe --project PROJECT_ID
ある特定のリージョンで使用済みの割り当て量を確認するには、次のコマンドを実行します。
gcloud compute regions describe example-region
割り当て量を超えたときのエラー
gcloud
コマンドで割り当て量を超えた場合、gcloud
は quota exceeded
エラー メッセージを出力し、終了コード 1
を返します。
API リクエストで割り当て量を超えた場合、Google Cloud は HTTP ステータス コード 413 Request Entity Too Large
を返します。
追加の割り当てをリクエスト
ほどんどの場合、割り当ての増減を行うには Google Cloud コンソールを使用します。詳細については、割り当ての増加をリクエストするをご覧ください。
コンソール
- Google Cloud コンソールで [割り当て] ページに移動します。
- [割り当て] ページで、変更する割り当てを選択します。
- ページの上部にある [割り当てを編集] をクリックします。
- [名前] に氏名を入力します。
- 省略可: [電話番号] に有効な電話番号を入力します。
- リクエストを送信します。割り当てのリクエストが処理されるまでに、24~48 時間かかります。
リソースの可用性
各割り当て量は、リソースが利用可能な場合に作成できる特定のリソースタイプの最大数を表します。割り当て量によってリソースの可用性が保証されるわけではありません。この点は注意が必要です。割り当て量が使用可能でも、新しいリソースを使用できなければ、そのリソースを作成することはできません。
たとえば、us-central1
リージョンで新しいリージョンの外部 IP アドレスを作成するための割り当て量が十分にあっても、そのリージョンに使用可能な外部 IP アドレスがない場合、外部 IP アドレスは作成できません。ゾーンリソースの可用性は、新しいリソースを作成できるかにも影響を及ぼす可能性があります。
リージョン全体でリソースを使用できない状況はまれです。ただし、ゾーン内のリソースが使い果たされることはあります。通常、そのリソースタイプのサービスレベル契約(SLA)に影響はありません。詳細については、リソースに関連する SLA をご覧ください。