Cuotas y límites
En este documento, se enumeran las quotas y los quotas que se aplican a Cloud NAT.
Una cuota o un límite específico se calcula por recurso. Las cuotas y los límites se pueden establecer por proyecto, por red, por región o por otro recurso. Las direcciones IP con NAT no se pueden compartir entre puertas de enlace NAT. Para cambiar una cuota, consulta cómo solicitar una cuota adicional.
Una cuota restringe cuánto de un recurso compartido de Google Cloud en particular puede usar tu proyecto de Google Cloud, incluidos los componentes de red, hardware y software. Por lo tanto, las cuotas son parte de un sistema que hace las siguientes acciones:
- Supervisa el uso o consumo de productos y servicios de Google Cloud.
- Restringe el consumo de esos recursos por motivos que incluyen garantizar la equidad y reducir los aumentos repentinos de uso.
- Mantiene los parámetros de configuración que aplican de forma automática las restricciones prescritas.
- Proporciona un medio para solicitar o hacer cambios en la cuota.
En la mayoría de los casos, cuando se excede un límite de cuota, el sistema bloquea de inmediato el acceso al recurso de Google correspondiente, y la tarea que intentas hacer falla. En la mayoría de los casos, las cuotas se aplican a cada proyecto de Google Cloud y se comparten entre todas las aplicaciones y direcciones IP que usan ese proyecto.
También hay límites en los recursos de Cloud NAT. Estos límites no están relacionados con el sistema de cuotas. Los límites no se pueden cambiar, a menos que se indique lo contrario.
Cuotas
Consulta la página de quotas de Cloud Router para consultar las que se aplican a Cloud NAT.
Límites
| Elemento | Límite | Notas |
|---|---|---|
| Puertas de enlace NAT | 50 por Cloud Router | Cada red admite hasta 5 instancias de Cloud Router por región, por lo que puedes tener hasta 250 puertas de enlace de Cloud NAT por región y por red de nube privada virtual (VPC). Para obtener más información sobre las cuotas de Cloud Router, consulta la documentación del servicio. |
| Direcciones IP con NAT por puerta de enlace | 300 direcciones manuales 300 direcciones asignadas de forma automática |
Corresponde a la cantidad máxima de direcciones IP externas que puedes tener en una puerta de enlace NAT. Sin embargo, este valor depende de las cuotas de las direcciones IP estáticas y de las direcciones IP en uso por proyecto de la VPC. |
| Rangos de subredes | 50 por puerta de enlace | La cantidad máxima de subredes que puedes asociar con una puerta de enlace cuando configuras una lista personalizada de rangos de subred. La cantidad de rangos de subred puede ser mayor que el límite porque cada subred puede tener un rango IPv4 principal y uno o más rangos secundarios. Si configuraste NAT para los rangos principales de todas las subredes o los rangos principales y secundarios de todas las subredes, no se aplica este límite. |
| Reglas de NAT | 50 por puerta de enlace | Si se excede este límite, la API muestra un error. |
| Direcciones IP activas por regla NAT | 300 | |
| Subredes NAT privadas | 50 por puerta de enlace | La cantidad máxima de subredes que puedes reservar para usar como rangos de NAT de origen para NAT privada. Estas subredes tienen un propósito de PRIVATE_NAT. |
| Caracteres en expresiones CEL por regla | 2,048 | |
| Caracteres en expresiones CEL por instancia de Cloud Router | 500,000 |
Limitaciones
Algunos servidores, como los DNS heredados, requieren una aleatorización del puerto UDP entre 64,000 puertos para mejorar la seguridad. Debido a que Cloud NAT selecciona un puerto aleatorio de entre 64 puertos o de una cantidad que configura el usuario, recomendamos asignarles una dirección IP externa a estos servidores en vez de usar Cloud NAT, ya que este servicio no permite conexiones de origen externo y, de todos modos, se deberá usar una dirección IP externa para la mayoría de estos servidores.
Cloud NAT no está disponible para redes heredadas.
No se admite la funcionalidad de las ALG (puertas de enlace a nivel de aplicación) con NAT. Esto significa que Cloud NAT sí actualiza la IP en los datos de paquetes (como para FTP, SIP y otros protocolos similares).
Las puertas de enlace de Cloud NAT implementan tablas de seguimiento de conexiones de NAT para cada interfaz de red de VM en la que proporciona servicios de NAT. Las entradas en cada tabla de seguimiento de conexiones son hash de 5 tuplas para los protocolos compatibles de la puerta de enlace.
Las entradas en cada tabla de seguimiento de conexiones se conservan durante aproximadamente el tiempo que el tiempo de espera de NAT relevante. Para obtener más información sobre los tiempos de espera de NAT, consulta Tiempo de espera de NAT.
La cantidad máxima de entradas de la tabla de seguimiento de conexiones para todas las conexiones NAT asociadas con la interfaz de red de una VM es de 65,535. Este máximo abarca las conexiones, en conjunto, para todos los protocolos que admite la puerta de enlace.
Es posible que los tiempos de espera pequeños de conexión inactiva no funcionen.
Se comprueban el vencimiento y los cambios de la configuración de las asignaciones NAT cada 30 segundos. Incluso si se utiliza un valor de tiempo de espera de conexión de 5 segundos, es posible que la conexión no esté disponible durante 15 segundos en un caso promedio o durante 30 segundos en el peor de los casos.
Cómo gestionar cuotas
Cloud NAT aplica cuotas al uso de recursos por diversos motivos. Por ejemplo, para evitar que se produzcan picos de uso imprevistos y proteger así a la comunidad de usuarios de Google Cloud. Las cuotas también ayudan a los usuarios que están explorando Google Cloud con el nivel gratuito a mantenerse dentro de su prueba.
Todos los proyectos empiezan con las mismas cuotas, que puedes cambiar si solicitas una cuota adicional. Algunas cuotas pueden aumentar automáticamente en función del uso que hagas de los productos.
Permisos
Para ver las cuotas o solicitar un aumento de ellas, los principales de Gestión de Identidades y Accesos (IAM) necesitan uno de los siguientes roles.
| Tarea | Rol necesario |
|---|---|
| Consultar las cuotas de un proyecto | Una de las siguientes:
|
| Modificar cuotas y solicitar un aumento de cuotas | Una de las siguientes:
|
Consultar tu cuota
Consola
- En la consola de Google Cloud, ve a la página Cuotas.
- Para buscar la cuota que quieras actualizar, usa la opción Filtrar tabla. Si no conoces su nombre, usa los enlaces de esta página.
gcloud
Ejecuta el comando que se indica a continuación con la CLI de Google Cloud para comprobar tus cuotas. Tienes que sustituir PROJECT_ID por el ID de tu proyecto.
gcloud compute project-info describe --project PROJECT_ID
Para ver la cuota que has utilizado en una región, ejecuta el siguiente comando:
gcloud compute regions describe example-region
Errores al superar tu cuota
Si superas tu cuota con un comando gcloud, gcloud genera un mensaje de error quota exceeded y muestra el código de salida 1.
Si superas tu cuota con una solicitud a la API, Google Cloud muestra el siguiente código de estado HTTP: HTTP 413 Request Entity Too Large.
Solicitar un aumento de cuota
Para aumentar o reducir la mayoría de las cuotas, usa la consola de Google Cloud. Consulta más información en la sección Solicitar un aumento de cuota.
Consola
- En la consola de Google Cloud, ve a la página Cuotas.
- En la página Cuotas, selecciona las cuotas que quieras modificar.
- En la parte superior de la página, haz clic en Editar cuotas.
- Escribe tu nombre, correo electrónico y número de teléfono, y haz clic en Siguiente.
- Rellena la solicitud de cuota y haz clic en Listo.
- Envía la solicitud. Las solicitudes de cuotas tardan entre 24 y 48 horas en procesarse.
Disponibilidad de recursos
Cada cuota representa el número máximo de un tipo concreto de recurso que puedes crear, si ese recurso está disponible. Es importante tener en cuenta que las cuotas no aseguran la disponibilidad de recursos. Aunque tengas cuota disponible, no puedes crear recursos si no lo están.
Por ejemplo, es posible que tengas cuota suficiente para crear una dirección IP externa regional
en la región us-central1. Sin embargo, esto no es posible si no hay direcciones IP externas disponibles en esa región. La disponibilidad de recursos de zona también puede afectar a tu capacidad para crear recursos nuevos.
Es poco habitual que los recursos no estén disponibles en toda una región. Sin embargo, es posible que los recursos de una zona se agoten de vez en cuando, lo que no suele afectar al acuerdo de nivel de servicio (SLA) del tipo de recurso. Para obtener más información, revisa el acuerdo de nivel de servicio relevante para el recurso.