Quotas et limites

Ce document répertorie les quotas et limites qui s'appliquent à Cloud NAT.

Le calcul d'un quota ou d'une limite s'effectue par ressource. Les quotas et les limites peuvent être définis par projet, par réseau, par région ou par une autre ressource. Les adresses IP NAT ne peuvent pas être partagées entre plusieurs passerelles NAT. Pour modifier un quota, consultez la section Demander une augmentation de quota.

Un quota limite la quantité d'une ressource Google Cloud partagée particulière que votre projet Google Cloud peut utiliser, y compris les composants matériels, logiciels et réseau. Par conséquent, les quotas font partie d'un système qui effectue les opérations suivantes :

Surveille votre utilisation ou votre consommation des produits et services Google Cloud
Limite la consommation de ces ressources pour des raisons telles que l'équité et la réduction des pics d'utilisation.
Gère des configurations qui appliquent automatiquement des restrictions recommandées.
Fournit un moyen de demander ou d'effectuer des modifications de quota.

Dans la plupart des cas, lorsqu'un quota est dépassé, le système bloque immédiatement l'accès à la ressource Google concernée et la tâche que vous essayez d'effectuer échoue. Dans la plupart des cas, les quotas s'appliquent à chaque projet Google Cloud. Ils sont partagés entre toutes les applications et adresses IP qui utilisent ce projet.

Des limites s'appliquent également aux ressources Cloud NAT. Ces limites ne sont pas liées au système de quotas. Sauf indication contraire, les limites ne peuvent pas être modifiées.

Quotas

Pour en savoir plus sur les quotas applicables à Cloud NAT, consultez la page quotas de Cloud Router.

Limites

Élément	Limite	Notes
Passerelles NAT	50 par instance Cloud Router	Chaque réseau accepte jusqu'à cinq instances Cloud Router par région. Vous pouvez donc avoir jusqu'à 250 passerelles Cloud NAT par région et par réseau cloud privé virtuel (VPC). Pour en savoir plus sur les quotas de Cloud Router, consultez la documentation Cloud Router.
Adresses IP NAT par passerelle	300 adresses saisies manuellement 300 adresses attribuées automatiquement	Il s'agit du nombre maximal d'adresses IP externes dont vous pouvez disposer sur une passerelle NAT. Toutefois, cette valeur dépend des quotas VPC par projet d'adresses IP statiques et d'adresses IP en cours d'utilisation.
Plages de sous-réseaux	50 par passerelle	Il s'agit du nombre maximal de sous-réseaux que vous pouvez associer à une passerelle lorsque vous configurez une liste personnalisée de plages de sous-réseaux. Le nombre de plages de sous-réseaux peut être supérieur à la limite, car chaque sous-réseau peut avoir une plage IPv4 principale et une ou plusieurs plages secondaires. Si vous avez configuré le NAT pour des plages principales pour tous les sous-réseaux, ou pour des plages principales et secondaires pour tous les sous-réseaux, cette limite ne s'applique pas.
Règles NAT	50 par passerelle	Si cette limite est dépassée, l'API renvoie une erreur.
Adresses IP actives par règle NAT	300
Sous-réseaux NAT privés	50 par passerelle	Nombre maximal de sous-réseaux que vous pouvez réserver pour être utilisés en tant que plages NAT sources pour la NAT privée. Ces sous-réseaux ont la fonction `PRIVATE_NAT`.
Caractères dans les expressions CEL par règle	2 048
Caractères dans les expressions CEL par instance Cloud Router	500 000

Limites

Certains serveurs tels que les anciens serveurs DNS nécessitent d'activer la randomisation des ports UDP sur 64 000 ports pour renforcer la sécurité. Étant donné que Cloud NAT sélectionne un port de manière aléatoire parmi 64 ports (ou tout autre nombre de ports configuré par l'utilisateur), il est préférable d'attribuer une adresse IP externe à ces serveurs au lieu d'utiliser Cloud NAT. Comme ce service n'autorise pas les connexions initiées depuis l'extérieur, il faut de toute façon utiliser une adresse IP externe pour la plupart de ces serveurs.
Cloud NAT n'est pas disponible pour les anciens réseaux.
La fonctionnalité de passerelles NAT au niveau de l'application (ALG, Application Level Gateway) n'est pas compatible. Cela signifie que Cloud NAT ne met pas à jour l'adresse IP dans les données du paquet (par exemple, pour les protocoles FTP, SIP, etc.).
Les passerelles Cloud NAT mettent en œuvre des tables de suivi des connexions NAT pour chaque interface réseau de VM sur laquelle elles fournissent des services NAT. Les entrées de chaque table de suivi des connexions sont des hachages à cinq tuples pour les protocoles compatibles avec la passerelle.

Les entrées de chaque table de suivi des connexions sont conservées environ aussi longtemps que le délai d'expiration NAT correspondant. Pour en savoir plus sur les délais avant expiration NAT, consultez la section Expirations de délai NAT.

Le nombre maximal d'entrées de la table de suivi des connexions pour toutes les connexions NAT associées à l'interface réseau d'une VM est de 65 535. Cette valeur maximale couvre les connexions globales de tous les protocoles compatibles avec la passerelle.
De petits délais d'inactivité de la connexion peuvent ne pas fonctionner.

Les mappages NAT sont vérifiés toutes les 30 secondes afin de détecter les modifications apportées au délai d'expiration et à la configuration. Même si le délai d'expiration est défini sur 5 secondes, la connexion risque de ne pas être disponible pendant 30 secondes maximum dans le pire des cas et 15 secondes en moyenne.

Gestion des quotas

Cloud NAT impose des quotas sur l'utilisation des ressources pour différentes raisons. Il s'agit, par exemple, de préserver la communauté des utilisateurs de Google Cloud en empêchant les pics d'utilisation imprévus. Les quotas aident également les utilisateurs qui explorent Google Cloud avec la version gratuite à ne pas dépasser les limites de leur version d'essai.

Tous les projets débutent avec les mêmes quotas, que vous pouvez modifier en demandant un quota supplémentaire. Certains quotas peuvent augmenter automatiquement en fonction de votre utilisation d'un produit.

Autorisations

Pour afficher les quotas ou demander une augmentation de quotas, les comptes principaux IAM (Identity and Access Management) doivent disposer de l'un des rôles suivants.

Tâche	Rôle requis
Vérifier les quotas d'un projet	Choisissez l'une des options suivantes : Propriétaire du projet (`roles/owner`) Éditeur du projet (`roles/editor`) Lecteur de quotas (`roles/servicemanagement.quotaViewer`)
Modifier les quotas, demander un quota supplémentaire	Choisissez l'une des options suivantes : Propriétaire du projet (`roles/owner`) Éditeur du projet (`roles/editor`) Administrateur de quotas (`roles/servicemanagement.quotaAdmin`) Rôle personnalisé doté de l'autorisation `serviceusage.quotas.update`

Vérifier les quotas

Console

Dans la console Google Cloud, accédez à la page Quotas.
Accéder à la section "Quotas"
Pour rechercher le quota à mettre à jour, utilisez l'option Filtrer le tableau. Si vous ne connaissez pas le nom du quota, utilisez les liens disponibles sur cette page à la place.

gcloud

À l'aide de l'interface de ligne de commande Google Cloud, exécutez la commande suivante pour vérifier vos quotas. Remplacez PROJECT_ID par votre ID de projet :

      gcloud compute project-info describe --project PROJECT_ID

Pour vérifier le quota que vous avez déjà consommé dans une région, exécutez la commande suivante :

      gcloud compute regions describe example-region

Erreurs lors du dépassement de votre quota

Si vous dépassez un quota avec une commande gcloud, gcloud génère un message d'erreur quota exceeded et renvoie le code de sortie 1.

Si vous dépassez un quota avec une requête API, Google Cloud renvoie le code d'état HTTP suivant: HTTP 413 Request Entity Too Large.

Demander des quotas supplémentaires

Pour demander une augmentation ou une diminution de la plupart des quotas, vous pouvez utiliser Google Cloud Console. Pour en savoir plus, consultez Demander une augmentation de quota.

Console

Dans la console Google Cloud, accédez à la page Quotas.
Accéder à la section "Quotas"
Sur la page Quotas, sélectionnez les quotas à modifier.
En haut de la page, cliquez sur Modifier les quotas.
Indiquez votre nom, votre adresse e-mail et votre numéro de téléphone, puis cliquez sur Suivant.
Remplissez votre demande de quota, puis cliquez sur Terminé.
Envoyez la demande. Le traitement des demandes de quotas nécessite un délai de 24 à 48 heures.

Disponibilité des ressources

Chaque quota représente le nombre maximal de ressources que vous pouvez créer pour un type de ressource donné, sous réserve de disponibilité. Il est important de noter que les quotas ne garantissent pas la disponibilité des ressources. Même si vous disposez d'un quota, vous ne pouvez pas créer une ressource si celle-ci n'est pas disponible.

Par exemple, vous pouvez disposer d'un quota suffisant pour créer une adresse IP régionale externe dans la région us-central1. Toutefois, cela n'est pas possible si aucune adresse IP externe n'est disponible dans cette région. La disponibilité des ressources par zone peut également avoir une incidence sur votre capacité à créer des ressources.

Les situations dans lesquelles des ressources sont indisponibles dans une région entière sont rares. Toutefois, les ressources d'une zone peuvent parfois être épuisées de temps en temps, ce qui n'a généralement pas d'incidence sur le contrat de niveau de service pour le type de ressource. Pour plus d'informations, consultez le contrat de niveau de service correspondant à la ressource.