Quotas e limites
Este documento lista as quotas e os limites do sistema que se aplicam ao Cloud NAT.
- As quotas têm valores predefinidos, mas normalmente pode pedir ajustes.
- Os limites do sistema são valores fixos que não podem ser alterados.
Uma determinada quota ou limite é calculado por recurso. As quotas e os limites podem ser por projeto, por rede, por região ou por outro recurso. Não é possível partilhar endereços IP NAT entre gateways NAT. Para alterar uma quota, consulte o artigo sobre como pedir uma quota adicional.
Google Cloud usa quotas para ajudar a garantir a equidade e reduzir os picos na utilização e disponibilidade de recursos. Uma quota restringe a quantidade de um Google Cloud recurso que o seu Google Cloud projeto pode usar. As quotas aplicam-se a uma variedade de tipos de recursos, incluindo componentes de hardware, software e rede. Por exemplo, as quotas podem restringir o número de chamadas API para um serviço, o número de balanceadores de carga usados em simultâneo pelo seu projeto ou o número de projetos que pode criar. As quotas protegem a comunidade de Google Cloud utilizadores, impedindo a sobrecarga dos serviços. As quotas também ajudam a gerir os seus próprios Google Cloud recursos.
O sistema de quotas da nuvem faz o seguinte:
- Monitoriza o seu consumo de Google Cloud produtos e serviços
- Restringe o seu consumo desses recursos
- Oferece uma forma de pedir alterações ao valor da quota e automatizar os ajustes de quotas
Na maioria dos casos, quando tenta consumir mais de um recurso do que a respetiva quota permite, o sistema bloqueia o acesso ao recurso e a tarefa que está a tentar realizar falha.
Geralmente, as quotas aplicam-se ao nível do Google Cloud projeto A sua utilização de um recurso num projeto não afeta a sua quota disponível noutro projeto. Num Google Cloud projeto, as quotas são partilhadas por todas as aplicações e endereços IP.
Para mais informações, consulte a vista geral das quotas da nuvem.Também existem limites do sistema nos recursos da NAT na nuvem. Não é possível alterar os limites do sistema.
Quotas
Para ver as quotas que afetam a NAT na nuvem, consulte a página de quotas do Cloud Router.
Limites
| Item | Limite | Notas |
|---|---|---|
| Gateways de NAT | 50 por Cloud Router | Cada rede suporta até 5 instâncias do Cloud Router por região, pelo que pode ter até 250 gateways do Cloud NAT por região por rede de nuvem virtual privada (VPC). Para ver as quotas do Cloud Router, consulte a documentação do Cloud Router. |
| Endereços IP NAT por gateway | 300 moradas manuais 2500 endereços atribuídos automaticamente |
O número máximo de endereços IP externos que pode ter num gateway NAT. No entanto, este valor depende dos endereços IP estáticos e dos endereços IP em utilização das quotas de VPC por projeto. |
| Intervalos de sub-redes | 50 por gateway | O número máximo de sub-redes que pode associar a um gateway quando configura uma lista personalizada de intervalos de sub-redes. O número de intervalos de sub-redes pode ser superior ao limite porque cada sub-rede pode ter um intervalo IPv4 principal e um ou mais intervalos secundários. Se tiver configurado o NAT para intervalos principais para todas as sub-redes ou intervalos principais e secundários para todas as sub-redes, este limite não se aplica. |
| Regras de NAT | 50 por gateway | Se este limite for excedido, a API devolve um erro. |
| Endereços IP ativos por regra NAT | 300 | |
| Sub-redes NAT privadas | 50 por gateway | O número máximo de sub-redes que pode reservar para utilização como intervalos NAT de origem para NAT privado. Estas sub-redes têm um objetivo de PRIVATE_NAT. |
| Carateres em expressões CEL por regra | 2048 | |
| Carateres em expressões de IEC por instância do Cloud Router | 500 000 |
Limitações
Alguns servidores, como os servidores DNS antigos, requerem a aleatorização da porta UDP entre 64 000 portas para maior segurança. Uma vez que o Cloud NAT seleciona uma porta aleatória de uma de 64 ou um número de portas configurado pelo utilizador, é melhor atribuir um endereço IP externo a estes servidores em vez de usar o Cloud NAT. Uma vez que o Cloud NAT não permite ligações iniciadas a partir do exterior, a maioria destes servidores tem de usar um endereço IP externo.
O Cloud NAT não está disponível para redes antigas.
O Cloud NAT não oferece capacidades de gateway ao nível da aplicação (ALG). O Cloud NAT não atualiza as informações de endereço IP e porta nos dados de pacotes para protocolos da camada de aplicação, como FTP e SIP.
As gateways do Cloud NAT implementam tabelas de acompanhamento de ligações NAT para cada interface de rede da VM na qual fornece serviços NAT. As entradas em cada tabela de acompanhamento de ligações são hashes de 5 tuplos para os protocolos suportados da gateway.
As entradas em cada tabela de monitorização de ligações persistem durante aproximadamente o mesmo tempo que o limite de tempo limite de NAT relevante. Para mais informações acerca dos limites de tempo do NAT, consulte o artigo Limites de tempo do NAT.
O número máximo de entradas da tabela de monitorização de ligações para todas as ligações NAT associadas a uma VM é de 65 535. Este máximo abrange as ligações, no total, para todos os protocolos que o gateway suporta, em todas as interfaces de rede da VM.
Os pequenos limites de tempo de inatividade da ligação podem não funcionar.
As associações de NAT são verificadas a cada 30 segundos quanto à expiração e à alteração da configuração. Mesmo que seja usado um valor de tempo limite de ligação de 5 segundos, a ligação pode não estar disponível durante um máximo de 30 segundos no pior caso e 15 segundos no caso médio.
Faça a gestão de quotas
Cloud NAT impõe quotas na utilização de recursos por vários motivos. Por exemplo, as quotas protegem a comunidade de Google Cloud utilizadores ao impedirem picos imprevistos na utilização. As quotas também ajudam os utilizadores que estão a explorar Google Cloud com o nível gratuito a permanecerem dentro da respetiva avaliação.
Todos os projetos começam com as mesmas quotas, que pode alterar pedindo quotas adicionais. Algumas quotas podem aumentar automaticamente com base na sua utilização de um produto.
Autorizações
Para ver quotas ou pedir aumentos de quotas, os principais da gestão de identidade e de acesso (IAM) precisam de uma das seguintes funções.
| Tarefa | Função necessária |
|---|---|
| Verifique as quotas de um projeto | Uma das seguintes opções:
|
| Modifique quotas e peça quotas adicionais | Uma das seguintes opções:
|
Verifique a sua quota
Consola
- Na Google Cloud consola, aceda à página Quotas.
- Para pesquisar a quota que quer atualizar, use a opção Filtrar tabela. Se não souber o nome da quota, use os links nesta página.
gcloud
Usando a CLI do Google Cloud, execute o seguinte comando para
verificar as suas quotas. Substitua PROJECT_ID pelo seu ID do projeto.
gcloud compute project-info describe --project PROJECT_IDPara verificar a quota usada numa região, execute o seguinte comando:
gcloud compute regions describe example-region
Erros quando excede a sua quota
Se exceder uma quota com um comando gcloud, o gcloud produz uma mensagem de erro quota exceeded e regressa com o código de saída 1.
Se exceder uma quota com um pedido de API, Google Cloud é devolvido o seguinte código de estado HTTP: 413 Request Entity Too Large.
Peça quota adicional
Para ajustar a maioria das quotas, use a Google Cloud consola. Para mais informações, consulte o artigo Peça um ajuste da quota.
Disponibilidade de recursos
Cada quota representa um número máximo para um determinado tipo de recurso que pode criar, se esse recurso estiver disponível. É importante ter em atenção que as quotas não garantem a disponibilidade de recursos. Mesmo que tenha quota disponível, não pode criar um novo recurso se não estiver disponível.
Por exemplo, pode ter quota suficiente para criar um novo endereço IP externo regional numa determinada região. No entanto, isso não é possível se não existirem endereços IP externos disponíveis nessa região. A disponibilidade de recursos zonais também pode afetar a sua capacidade de criar um novo recurso.
As situações em que os recursos estão indisponíveis numa região inteira são raras. No entanto, os recursos numa zona podem esgotar-se ocasionalmente, normalmente sem impacto no contrato de nível de serviço (SLA) para o tipo de recurso. Para mais informações, reveja o SLA relevante para o recurso.