配额和限制
本文档列出了适用于 Cloud NAT 的配额和限制。
给定的配额或限制按资源计算。配额和限制可能按项目、网络、区域或其他资源来设置。NAT IP 地址无法在 NAT 网关之间共享。如需更改配额,请参阅申请额外的配额。
配额会限制 Google Cloud 项目可使用的特定共享 Google Cloud 资源(包括硬件、软件和网络组件)的数量。
配额是执行以下操作的系统的一部分:
- 监控 Google Cloud 产品和服务的使用情况或消费情况。
- 为了确保公平性和减少使用量高峰等原因,您可以限制对这些资源的消耗。
- 维护可自动强制执行规定限制的配置。
- 提供更改配额或请求更改配额的方法。
超过配额时,在大多数情况下,系统会立即阻止对相关 Google 资源的访问,并且您尝试执行的任务将失败。在大多数情况下,配额适用于每个 Google Cloud 项目,并由使用该 Google Cloud 项目的所有应用和 IP 地址共享。
Cloud NAT 资源也有限制。这些限制与配额系统无关。除非另有说明,否则无法更改限制。
配额
如需了解影响 Cloud NAT 的配额,请参阅 Cloud Router 配额页面。
限制
| 设限项 | 限额 | 备注 |
|---|---|---|
| NAT 网关数 | 每个 Cloud Router 路由器 50 个 | 每个网络每个区域最多只能有 5 个 Cloud Router 实例,因此每个 Virtual Private Cloud (VPC) 网络每个区域最多可以有 250 个 Cloud NAT 网关。如需了解 Cloud Router 配额,请参阅 Cloud Router 文档。 |
| 每个网关的 NAT IP 地址 | 50 个手动地址 300 个自动分配的地址 |
每个 NAT 网关可以拥有的外部 IP 地址的数量上限。此数量还受区域级限制的约束。 |
| 每个区域的 NAT IP 地址 | 12500 个手动分配的地址 | 手动分配的地址总数为以下公式的乘积结果:(每个区域的路由器数量)*(每个路由器的 NAT 网关数量)*(每个 NAT 网关的 IP 地址数量)。 |
| 子网范围 | 每个网关 50 个 | 配置自定义子网范围列表时,可与网关关联的子网数上限。子网范围的数量可能超过该限值,因为每个子网可以具有一个主要 IPv4 范围以及一个或多个次要范围。 如果您为所有子网的主要范围或所有子网的主要范围和次要范围配置了 NAT,则此限制不适用。 |
| NAT 规则 | 每个网关 50 个 | 如果超出此限制,API 将返回错误。 |
| 每条 NAT 规则的活跃 IP 地址数 | 50 | |
| Private NAT 子网 | 每个网关 50 个 | 可预留用作 Private NAT 来源 NAT 范围的子网数上限。这些子网的用途为 PRIVATE_NAT。 |
| 每条规则的 CEL 表达式中的字符 | 2048 | |
| 每个 Cloud Router 路由器实例的 CEL 表达式中的字符 | 50 万 |
限制
一些服务器(例如旧式 DNS 服务器)要求从 64000 个 UDP 端口中随机选择端口,以增强安全性。由于 Cloud NAT 会从 64(或用户配置的数量)个端口中随机选择一个,因此最好为此类服务器分配一个外部 IP 地址,而不是使用 Cloud NAT。这是因为 Cloud NAT 不允许从外部发起连接,因此即使不考虑这一点,大多数此类服务器原本也需要使用一个外部 IP 地址。
Cloud NAT 不适用于旧式网络。
不支持 NAT ALG(应用层网关)功能。这意味着 Cloud NAT 会更新包数据中的 IP(例如,对于 FTP、SIP 及其他此类协议)。
带外部 IP 地址的虚拟机若有足够的计算/内存资源,则可以同时进行 64000 个 TCP 会话、64000 个 UDP 会话和 64000 个 ICMP 查询会话 (ping)。对于 Cloud NAT,此上限降低为每个虚拟机总共最多 64000 个连接(所有受支持的协议都计算在内)。
设置较短的空闲连接超时值可能不起作用。
系统会每 30 秒检查一次 NAT 映射是否存在过期和配置更改情况,因此,即使使用 5 秒钟的连接超时值,连接也可能会在长达 30 秒的时间内不可用(这属于最坏的情况,平均时长为 15 秒)。
管理配额
出于各种原因,Cloud NAT 会对资源用量实施配额限制。例如,配额可避免出现意料之外的用量突增,从而为 Google Cloud 用户社区提供保护。配额还可帮助正在通过免费层级探索 Google Cloud 的用户避免中断试用。
所有项目在开始时都具有相同的配额,您可以通过申请更多配额来进行更改。根据您使用产品的情况,一些配额可能会自动增加。
权限
如需查看配额或申请增加配额,Identity and Access Management (IAM) 主帐号需要具备以下某个角色:
| 任务 | 所需角色 |
|---|---|
| 检查项目的配额 | 以下之一:
|
| 修改配额,申请更多配额 | 以下之一:
|
查看您的配额
控制台
- 在 Google Cloud Console 中,转到配额页面。
- 如需搜索要更新的配额,请使用过滤表。 如果您不知道配额的名称,请使用此页面上的链接。
gcloud
使用 Google Cloud CLI 运行以下命令来查看您的配额。请将 PROJECT_ID 替换为您自己的项目 ID。
gcloud compute project-info describe --project PROJECT_ID
如需查看您在某一区域中已使用的配额,请运行以下命令:
gcloud compute regions describe example-region
超出配额时引发的错误
如果在发出 gcloud 命令时超过了配额,gcloud 会显示一条 quota exceeded 错误消息,并返回退出代码 1。
如果在发出 API 请求时超出了配额,Google Cloud 会返回以下 HTTP 状态代码:HTTP 413 Request Entity Too Large。
申请更多配额
如需增加或减少大多数配额,请使用 Google Cloud Console。如需了解详情,请参阅申请更高配额。
控制台
- 在 Google Cloud Console 中,转到配额页面。
- 在配额页面上,选择您要更改的配额。
- 点击位于页面顶部的修改配额。
- 填写您的姓名、电子邮件地址和电话号码,然后点击下一步。
- 填写您的配额申请,然后点击完成。
- 提交您的申请。 配额申请需要 24 到 48 小时才能完成处理。
资源可用性
每个配额代表您可以创建的特定类型资源的数量上限(如果该资源可用)。必须要注意的是,配额无法保证资源可用。即使您具有可用配额,如果新资源不可用,您也无法创建新资源。
例如,您的配额可能足以在 us-central1 区域中创建新的区域性外部 IP 地址。但是,如果该区域中没有可用的外部 IP 地址,则无法执行此操作。区域级资源可用性也会影响您能否创建新资源。
导致资源在整个区域不可用的情况非常罕见。但是,地区内的资源有时可能会耗尽,通常不会影响资源类型的服务等级协议 (SLA)。如需了解详情,请参阅资源的相关 SLA。