Cotas e limites
Neste documento, listamos as cotas e os limites do sistema que se aplicam ao Cloud NAT.
- As cotas especificam a quantidade de um recurso compartilhado e mensurável que pode ser usado. As cotas são definidas por serviços do Google Cloud , como o Cloud NAT.
- Os limites do sistema são valores fixos que não podem ser alterados.
Uma cota ou um limite determinado é calculado por recurso. As cotas e limites podem ser por projeto, por rede, por região ou por outro recurso. Endereços IP de NAT não podem ser compartilhados entre gateways de NAT. Para alterar uma cota, consulte Como solicitar cota adicional.
OGoogle Cloud usa cotas para garantir a imparcialidade e reduzir picos no uso e na disponibilidade de recursos. Uma cota restringe a alocação de um recurso doGoogle Cloud para uso do seu projeto do Google Cloud . As cotas se aplicam a vários tipos de recursos, incluindo hardware, software e componentes de rede. Por exemplo, elas podem restringir o número de chamadas de API para um serviço, o número de balanceadores de carga usados simultaneamente pelo projeto ou o número de projetos que podem ser criados. As cotas protegem a comunidade de usuários doGoogle Cloud , impedindo a sobrecarga de serviços. Elas também ajudam você a gerenciar seus próprios recursos do Google Cloud .
O sistema de cotas do Cloud faz o seguinte:
- Monitora o consumo de produtos e serviços do Google Cloud .
- Restringe o consumo desses recursos.
- Possibilita a solicitação de mudanças no valor das cotas e a automatização de ajustes de cotas.
Na maioria dos casos, quando você tenta consumir mais de um recurso do que a cota permite, o sistema bloqueia o acesso ao recurso, e a tarefa que você está tentando executar falha.
As cotas geralmente se aplicam ao nível do projeto do Google Cloud . O uso de um recurso em um projeto não afeta a cota disponível em outro. Em um projeto do Google Cloud , as cotas são compartilhadas entre todos os aplicativos e endereços IP.
Para mais informações, consulte a visão geral do Cloud Quotas.Também há limites de sistema para os recursos do Cloud NAT. Os limites do sistema não podem ser alterados.
Cotas
Consulte a páginas de cotas do Cloud Router para verificar quais delas afetam o Cloud NAT.
Limites
| Item | Limite | Observações |
|---|---|---|
| Gateways de NAT | 50 por Cloud Router | Cada rede aceita até cinco instâncias de Cloud Router por região, então é possível ter até 250 gateways do Cloud NAT por rede de nuvem privada virtual (VPC) em cada região. Para mais informações sobre cotas, consulte a documentação do Cloud Router. |
| Endereços IP de NAT por gateway | 300 endereços manuais 2.500 endereços alocados automaticamente |
O número máximo de endereços IP externos que um gateway de NAT pode ter. No entanto, esse valor depende das cotas por projeto da VPC para endereços IP estáticos e endereços IP em uso. |
| Intervalos de sub-rede | 50 por gateway | O número máximo de sub-redes que pode ser associado a um gateway ao configurar uma lista personalizada de intervalos de sub-redes. O número de intervalos de sub-redes pode ser maior que o limite porque cada sub-rede pode ter um intervalo IPv4 principal e um ou mais intervalos secundários. Se você tiver configurado NAT para intervalos primários de todas as sub-redes e intervalos primários e secundários para todas as sub-redes, esse limite não será aplicado. |
| Regras NAT | 50 por gateway | Se esse limite for excedido, a API retornará um erro. |
| Endereços IP ativos por regra NAT | 300 | |
| Sub-redes do Private NAT | 50 por gateway | O número máximo de sub-redes que você pode reservar para uso como os intervalos NAT de origem para o Private NAT. Essas sub-redes têm uma finalidade de PRIVATE_NAT. |
| Caracteres em expressões CEL por regra | 2.048 | |
| Caracteres em expressões CEL por instância do Cloud Router | 500.000 |
Limitações
Alguns servidores, como os de DNS legados, exigem que a porta UDP seja selecionada aleatoriamente entre 64 mil portas para aumentar a segurança. Como o Cloud NAT seleciona uma porta aleatória de uma das 64 ou um número de portas configurado pelo usuário, é melhor atribuir um endereço IP externo a esses servidores em vez de usar o Cloud NAT. Como o Cloud NAT não permite conexões iniciadas de fora, a maioria desses servidores precisa usar um endereço IP externo de qualquer maneira.
O Cloud NAT não está disponível para redes legadas.
O Cloud NAT não oferece recursos de gateway no nível do aplicativo (ALG). Ele não atualiza o endereço IP e as informações de porta nos dados do pacote para protocolos da camada de aplicativo, como FTP e SIP.
Os gateways do Cloud NAT implementam tabelas de rastreamento de conexões NAT para cada interface de rede de VM em que fornecem serviços NAT. As entradas em cada tabela de rastreamento de conexão são hashes de 5 tuplas para os protocolos compatíveis do gateway.
As entradas em cada tabela de rastreamento de conexão persistem por aproximadamente o mesmo tempo que o tempo limite de NAT relevante. Para mais informações sobre tempos limite de NAT, consulte Tempos limite de NAT.
O número máximo de entradas da tabela de rastreamento de conexão para todas as conexões NAT associadas a uma VM é 65.535. Esse máximo abrange conexões, de forma agregada, para todos os protocolos compatíveis com o gateway em todas as interfaces de rede da VM.
O tempo limite curto de conexão inativa pode não funcionar.
Mapeamentos de NAT são verificados a cada 30 segundos em busca de expirações e mudanças de configuração. Mesmo que o tempo limite de cinco segundos para uma conexão seja usado, ela ficará indisponível por até 30 segundos na pior das hipóteses e por 15 segundos em um caso comum.
Gerenciar cotas
OCloud NAT aplica cotas no uso de recursos por vários motivos. Por exemplo, as cotas protegem a comunidade de usuários Google Cloud , impedindo picos de uso inesperados. As cotas também ajudam os usuários que estão explorando o Google Cloud com o nível gratuito a permanecer na avaliação.
Todos os projetos começam com as mesmas cotas, que podem ser alteradas com uma solicitação de cota extra. Algumas cotas podem aumentar automaticamente dependendo do uso de um produto.
Permissões
Para ver cotas ou solicitar aumentos de cotas, os membros do gerenciamento de identidade e acesso (IAM, na sigla em inglês) precisam ter um dos papéis a seguir:
| Tarefa | Papel necessário |
|---|---|
| Verificar cotas para um projeto | Uma das seguintes opções:
|
| Modificar cotas, solicitar cota extra | Uma das seguintes opções:
|
Verificar sua cota
Console
- No console Google Cloud , acesse a página Cotas.
- Para pesquisar a cota a ser atualizada, use a tabela de filtros. Se você não souber o nome da cota, use os links desta página.
gcloud
Com a Google Cloud CLI, execute o comando a seguir para
verificar suas cotas. Substitua PROJECT_ID pelo seu código do projeto:
gcloud compute project-info describe --project PROJECT_IDPara verificar a cota utilizada em uma região, execute o comando a seguir:
gcloud compute regions describe example-region
Erros ao exceder a cota
Se você exceder uma cota com um comando gcloud, o gcloud emitirá uma mensagem de erro quota exceeded e retornará com o código de saída 1.
Se você exceder uma cota com uma solicitação de API, Google Cloud vai retornar o
seguinte código de status HTTP: 413 Request Entity Too Large.
Solicitar cota adicional
Para ajustar a maioria das cotas, use o console Google Cloud . Para mais informações, consulte Solicitar um ajuste de cota.
Disponibilidade de recursos
Cada cota representa um número máximo para um tipo específico de recurso que é possível criar, desde que o recurso esteja disponível. É importante observar que as cotas não garantem a disponibilidade de recursos. Mesmo que você tenha cota disponível, não será possível criar um novo recurso se ele não estiver disponível.
Por exemplo, você pode ter cota suficiente para criar um novo endereço IP externo regional em uma determinada região. No entanto, isso não é possível se não houver endereços IP externos disponíveis naquela região. A disponibilidade de recursos zonais também pode afetar sua capacidade de criar um novo recurso.
São raras as situações em que os recursos não estão disponíveis em uma região inteira. No entanto, os recursos dentro de uma zona podem ser usados periodicamente, normalmente sem impacto no contrato de nível de serviço (SLA) para o tipo de recurso. Para mais informações, leia o SLA relevante do recurso.