Kontingente und Limits

In diesem Dokument sind die quotas und quotas für Cloud NAT aufgeführt.

Jedes Kontingent oder Limit wird pro Ressource berechnet. Kontingente und Limits können pro Projekt, pro Netzwerk, pro Region oder auf andere Ressourcen bezogen definiert sein. NAT-IP-Adressen können nicht zwischen NAT-Gateways freigegeben werden. Informationen zum Ändern eines Kontingents finden Sie unter Weitere Kontingente anfordern.

Ein Kontingent schränkt ein, wie viel von einer bestimmten gemeinsam genutzten Google Cloud-Ressource Ihr Google Cloud-Projekt nutzen kann, einschließlich Hardware, Software und Netzwerkkomponenten. Daher sind Kontingente Teil eines Systems, das Folgendes tut:

  • Ihre Nutzung oder Ihren Verbrauch von Google Cloud-Produkten und -Diensten überwachen.
  • Ihren Verbrauch dieser Ressourcen einschränken, um u. a. für Fairness zu sorgen und Nutzungsspitzen zu reduzieren.
  • Konfigurationen verwalten, die automatisch vorgeschriebene Einschränkungen erzwingen.
  • Möglichkeit, das Kontingent anzufordern oder zu ändern.

Wenn ein Kontingentlimit überschritten wird, blockiert das System in den meisten Fällen den Zugriff auf die entsprechende Google-Ressource und die Aufgabe, die Sie ausführen möchten, schlägt fehl. In den meisten Fällen gelten Kontingente für jedes Google Cloud-Projekt und werden von allen Anwendungen und IP-Adressen geteilt, die dieses Google Cloud-Projekt verwenden.

Für Cloud NAT-Ressourcen gelten außerdem Limits. Diese Limits stehen nicht im Zusammenhang mit dem Kontingentsystem. Limits können nur geändert werden, wenn etwas anderes angegeben ist.

Kontingente

Informationen zu Kontingenten für Cloud NAT finden Sie auf der Seite quotas in der Cloud Router-Dokumentation.

Limits

Element Limit Notes
NAT-Gateways 50 pro Cloud Router Jedes Netzwerk unterstützt bis zu 5 Cloud Router-Instanzen pro Region, sodass Sie bis zu 250 Cloud NAT-Gateways pro Region und VPC-Netzwerk (Virtual Private Cloud) haben können. Informationen zu den Cloud Router-Kontingenten finden Sie in der Cloud Router-Dokumentation.
NAT-IP-Adressen pro Gateway

300 manuelle Adressen

300 automatisch zugewiesene Adressen

 Die maximal zulässige Zahl externer IP-Adressen für ein NAT-Gateway. Dieser Wert hängt jedoch von den VPC-Kontingenten pro Projekt von statischen IP-Adressen und verwendeten IP-Adressen ab.
Subnetzbereiche 50 pro Gateway

Die maximale Anzahl von Subnetzen, die Sie einem Gateway beim Konfigurieren einer benutzerdefinierten Liste von Subnetzbereichen zuordnen können. Die Anzahl der Subnetzbereiche kann das Limit überschreiten, da jedes Subnetz einen primären IPv4-Bereich und einen oder mehrere sekundäre Bereiche haben kann.

Wenn Sie NAT für primäre Bereiche für alle Subnetze oder primäre und sekundäre Bereiche für alle Subnetze konfiguriert haben, gilt dieses Limit nicht.
NAT-Regeln 50 pro Gateway Wenn dieses Limit überschritten wird, gibt die API einen Fehler zurück.
Aktive IP-Adressen pro NAT-Regel 300
Private NAT-Subnetze 50 pro Gateway Die maximale Anzahl von Subnetzen, die Sie für die Verwendung als Quell-NAT-Bereiche für private NAT reservieren können. Diese Subnetze haben den Zweck PRIVATE_NAT.
Zeichen in CEL-Ausdrücken pro Regel 2.048
Zeichen in CEL-Ausdrücken pro Cloud Router-Instanz 500.000

Beschränkungen

  • Manche Server wie Legacy-DNS-Server erfordern aus Sicherheitsgründen eine zufällige Auswahl aus 64.000 UDP-Ports. Cloud NAT wählt einen beliebigen Port aus den 64 oder der vom Nutzer konfigurierten Anzahl von Ports aus. Daher empfiehlt es sich, diesen Servern eine externe IP-Adresse zuzuweisen, denn Cloud NAT lässt Verbindungen von außen nicht zu. Daher müssen die meisten dieser Server ohnehin eine externe IP-Adresse verwenden.

  • Cloud NAT ist für Legacy-Netzwerke nicht verfügbar.

  • NAT ALGs (Application Level Gateways) werden nicht unterstützt. Cloud NAT aktualisiert die IP-Adressen also in den Paketdaten, z. B. für FTP, SIP und ähnliche Protokolle.

  • Cloud NAT-Gateways implementieren NAT-Verbindungs-Tracking-Tabellen für jede VM-Netzwerkschnittstelle, auf der sie NAT-Dienste bereitstellen. Einträge in jeder Tabelle für das Verbindungs-Tracking sind 5-Tupel-Hashes für die unterstützten Protokolle des Gateways.

    Einträge in jeder Verbindungs-Tracking-Tabelle bleiben etwa so lange wie das entsprechende NAT-Zeitlimit bestehen. Weitere Informationen zu NAT-Zeitüberschreitungen finden Sie unter NAT-Zeitlimits.

    Die maximale Anzahl der Einträge in der Tabellennachverfolgungstabelle für alle NAT-Verbindungen, die der Netzwerkschnittstelle einer VM zugeordnet sind, beträgt 65.535. Dieser Höchstwert deckt Verbindungen für alle Protokolle ab, die vom Gateway unterstützt werden.

  • Kleine Zeitüberschreitungen bei inaktiven Verbindungen funktionieren möglicherweise nicht.

    NAT-Zuordnungen werden alle 30 Sekunden auf Ablauf- und Konfigurationsänderungen hin geprüft. Selbst wenn Sie ein Zeitlimit von 5 Sekunden festlegen, ist die Verbindung im schlimmsten Fall 30 Sekunden und im Durchschnitt 15 Sekunden lang nicht verfügbar.

Verwalten von Kontingenten

Mit Cloud NAT werden Kontingente für die Ressourcennutzung aus verschiedenen Gründen festgelegt. Kontingente schützen unter anderem die gesamte Google Cloud-Community vor unerwarteten Nutzungsspitzen. Außerdem unterstützen Kontingente Nutzer, die Google Cloud mit der kostenlosen Stufe prüfen, dabei, im Rahmen der Testversion zu verbleiben.

Alle Projekte beginnen mit den gleichen Kontingenten, die Sie ändern können, indem Sie zusätzliche Kontingente anfordern. Einige Kontingente können entsprechend Ihrer Nutzung eines Produkts automatisch erhöht werden.

Berechtigungen

Zur Anzeige von Kontingenten oder zur Anforderung von Kontingenterhöhungen benötigen IAM-Hauptkonten (Identity and Access Management) eine der folgenden Rollen:

Aufgabe Erforderliche Rolle
Kontingente für ein Projekt prüfen Beispiele:
Kontingente ändern, zusätzliche Kontingente anfordern Beispiele:
  • Project Owner (roles/owner)
  • Project Editor (roles/editor)
  • Quota Administrator (roles/servicemanagement.quotaAdmin)
  • Eine benutzerdefinierte Rolle mit der Berechtigung serviceusage.quotas.update

Kontingent prüfen

Console

  1. Öffnen Sie in der Google Cloud Console die Seite Kontingente.

    Kontingente aufrufen

  2. Mit dem Feld Tabelle filtern können Sie nach den zu aktualisierenden Kontingenten suchen. Wenn Sie den Namen des Kontingents nicht kennen, verwenden Sie stattdessen die Links auf dieser Seite.

gcloud

Führen Sie mit der Google Cloud CLI den folgenden Befehl aus, um Ihre Kontingente zu prüfen. Ersetzen Sie PROJECT_ID durch Ihre Projekt-ID:

      gcloud compute project-info describe --project PROJECT_ID

Mit dem folgenden Befehl prüfen Sie das genutzte Kontingent in einer Region:

      gcloud compute regions describe example-region

Fehler beim Überschreiten Ihres Kontingents

Wenn Sie ein Kontingent mit einem gcloud-Befehl überschreiten, gibt gcloud eine quota exceeded-Fehlermeldung aus und liefert den Exit-Code 1.

Wenn Sie ein Kontingent mit einer API-Anfrage überschreiten, liefert Google Cloud folgenden HTTP-Statuscode: HTTP 413 Request Entity Too Large.

Weitere Kontingente anfordern

Verwenden Sie zur Erhöhung/Verringerung der meisten Kontingenten die Google Cloud Console. Weitere Informationen finden Sie unter Höheres Kontingentlimit anfordern.

Console

  1. Öffnen Sie in der Google Cloud Console die Seite Kontingente.

    Kontingente aufrufen

  2. Wählen Sie auf der Seite Kontingente die Kontingente aus, die Sie ändern möchten.
  3. Klicken Sie oben auf der Seite auf Kontingente bearbeiten.
  4. Geben Sie Ihren Namen, Ihre E-Mail-Adresse und Ihre Telefonnummer ein und klicken Sie auf Weiter.
  5. Geben Sie Ihre Kontingentanforderung ein und klicken Sie auf Fertig.
  6. Senden Sie die Anfrage. Die Bearbeitung von Kontingentanforderungen dauert 24 bis 48 Stunden.

Ressourcenverfügbarkeit

Jedes Kontingent stellt die maximale Anzahl an Ressourcen eines bestimmten Typs dar, die Sie erstellen können, sofern der Ressourcentyp verfügbar ist. Beachten Sie, dass Kontingente die Verfügbarkeit von Ressourcen nicht garantieren. Selbst wenn Sie ein verfügbares Kontingent haben, können Sie keine neue Ressource erstellen, wenn keine verfügbar ist.

Beispiel: Sie haben noch ein ausreichendes Kontingent zum Erstellen einer neuen regionalen, externen IP-Adresse in der Region us-central1. Dies ist jedoch nicht möglich, wenn in dieser Region keine externen IP-Adressen verfügbar sind. Die Verfügbarkeit von zonalen Ressourcen kann sich auch auf Ihre Fähigkeit auswirken, eine neue Ressource zu erstellen.

Es kommt nur selten vor, dass Ressourcen in einer kompletten Region nicht verfügbar sind. Ressourcen innerhalb einer Zone können aber manchmal vorübergehend ausgeschöpft sein, ohne dass sich das auf das Service Level Agreement (SLA) für den Ressourcentyp auswirkt. Weitere Informationen finden Sie im entsprechenden SLA für die Ressource.