配额和限制
本文档列出了适用于 Cloud NAT 的配额和限制。quotasquotas
给定的配额或限制按资源计算。配额和限制可能按项目、网络、区域或其他资源来设置。NAT IP 地址无法在 NAT 网关之间共享。如需更改配额,请参阅申请额外的配额。
配额用于限制您的 Google Cloud 项目可使用的共享 Google Cloud 资源(包括硬件、软件和网络组件)的数量。因此,有以下功能的系统具有配额:
- 监控 Google Cloud 产品和服务的使用情况或消耗情况。
- 出于某些原因限制这些资源的消耗量,包括确保公平性和减少使用量高峰。
- 维护可自动强制执行规定限制的配置。
- 提供请求或更改配额的方法。
在大多数情况下,当超过配额时,系统会立即阻止对相关 Google 资源的访问,并且您尝试执行的任务将失败。在大多数情况下,配额适用于每个 Google Cloud 项目,并由使用该 Google Cloud 项目的所有应用和 IP 地址共享。
Cloud NAT 资源也有限制。这些限制与配额系统无关。除非另有说明,否则无法更改限制。
配额
如需了解影响 Cloud NAT 的配额,请参阅 Cloud Router quotas页面。
限制
| 错误 | 限额 | Notes |
|---|---|---|
| NAT 网关数 | 每个 Cloud Router 路由器 50 个 | 每个网络在每个区域最多支持 5 个 Cloud Router 实例,因此每个虚拟私有云 (VPC) 网络的每个区域最多可以有 250 个 Cloud NAT 网关。如需了解 Cloud Router 配额,请参阅 Cloud Router 文档。 |
| 每个网关的 NAT IP 地址 | 300 个人工地址 300 个自动分配的地址 |
每个 NAT 网关可以拥有的外部 IP 地址的数量上限。但是,此值取决于静态 IP 地址和使用中的 IP 地址的 VPC 配额。 |
| 子网范围 | 每个网关 50 个 | 配置自定义子网范围列表时,可与网关关联的子网数上限。子网范围的数量可能超过该限值,因为每个子网可以具有一个主要 IPv4 范围以及一个或多个次要范围。 如果您为所有子网的主要范围或所有子网的主要范围和次要范围配置了 NAT,则此限制不适用。 |
| NAT 规则 | 每个网关 50 个 | 如果超出此限制,API 将返回错误。 |
| 每条 NAT 规则的活跃 IP 地址数 | 300 | |
| Private NAT 子网 | 每个网关 50 个 | 可预留用作 Private NAT 来源 NAT 范围的子网数上限。这些子网的用途为 PRIVATE_NAT。 |
| 每条规则的 CEL 表达式中的字符 | 2048 | |
| 每个 Cloud Router 路由器实例的 CEL 表达式中的字符 | 50 万 |
限制
一些服务器(例如旧式 DNS 服务器)要求从 64000 个 UDP 端口中随机选择端口,以增强安全性。由于 Cloud NAT 会从 64(或用户配置的数量)个端口中随机选择一个,因此最好为此类服务器分配一个外部 IP 地址,而不是使用 Cloud NAT。这是因为 Cloud NAT 不允许从外部发起连接,因此即使不考虑这一点,大多数此类服务器原本也需要使用一个外部 IP 地址。
Cloud NAT 不适用于旧式网络。
不支持 NAT ALG(应用层网关)功能。这意味着 Cloud NAT 会更新包数据中的 IP(例如,对于 FTP、SIP 及其他此类协议)。
Cloud NAT 网关会为提供 NAT 服务的每个虚拟机网络接口实现 NAT 连接跟踪表。每个连接跟踪表中的条目是网关支持的协议的 5 元组哈希。
每个连接跟踪表中的条目会在相关的 NAT 超时期限内保留。如需详细了解 NAT 超时,请参阅 NAT 超时。
与虚拟机网络接口关联的所有 NAT 连接的连接跟踪表条目数上限为 65535。此上限涵盖网关支持的所有协议的连接(总计)。
设置较短的空闲连接超时值可能不起作用。
系统会每 30 秒检查一次 NAT 映射是否存在过期和配置更改情况,因此,即使使用 5 秒钟的连接超时值,连接也可能会在长达 30 秒的时间内不可用(这属于最坏的情况,平均时长为 15 秒)。
管理配额
出于各种原因,Cloud NAT 会对资源用量实施配额限制。例如,配额可避免出现意料之外的用量突增,从而为 Google Cloud 用户社区提供保护。配额还可帮助正在通过免费层级探索 Google Cloud 的用户避免中断试用。
所有项目在开始时都具有相同的配额,您可以通过申请更多配额来进行更改。根据您使用产品的情况,一些配额可能会自动增加。
权限
如需查看配额或申请增加配额,Identity and Access Management (IAM) 主账号需要具备以下某个角色:
| 任务 | 所需角色 |
|---|---|
| 检查项目的配额 | 以下之一:
|
| 修改配额,申请更多配额 | 以下之一:
|
查看您的配额
控制台
- 在 Google Cloud 控制台中,转到配额页面。
- 如需搜索要更新的配额,请使用过滤表。 如果您不知道配额的名称,请使用此页面上的链接。
gcloud
使用 Google Cloud CLI 运行以下命令来查看您的配额。请将 PROJECT_ID 替换为您自己的项目 ID。
gcloud compute project-info describe --project PROJECT_ID
如需查看您在某一区域中已使用的配额,请运行以下命令:
gcloud compute regions describe example-region
超出配额时引发的错误
如果在发出 gcloud 命令时超过了配额,gcloud 会显示一条 quota exceeded 错误消息,并返回退出代码 1。
如果在发出 API 请求时超出了配额,Google Cloud 会返回以下 HTTP 状态代码:HTTP 413 Request Entity Too Large。
申请更多配额
如需增加或减少大多数配额,请使用 Google Cloud 控制台。如需了解详情,请参阅申请更高的配额。
控制台
- 在 Google Cloud 控制台中,转到配额页面。
- 在配额页面上,选择您要更改的配额。
- 点击位于页面顶部的修改配额。
- 填写您的姓名、电子邮件地址和电话号码,然后点击下一步。
- 填写您的配额申请,然后点击完成。
- 提交您的申请。 配额申请需要 24 到 48 小时才能完成处理。
资源可用性
每个配额代表您可以创建的特定类型资源的数量上限(如果该资源可用)。必须要注意的是,配额无法保证资源可用。即使您具有可用配额,如果新资源不可用,您也无法创建新资源。
例如,您的配额可能足以在 us-central1 区域中创建新的区域性外部 IP 地址。但是,如果该区域中没有可用的外部 IP 地址,则无法执行此操作。区域级资源可用性也会影响您能否创建新资源。
导致资源在整个区域不可用的情况非常罕见。但是,地区内的资源有时可能会耗尽,通常不会影响资源类型的服务等级协议 (SLA)。如需了解详情,请参阅资源的相关 SLA。