配額與限制
本文列出 Cloud NAT 適用的配額和系統限制。
- 配額有預設值,但您通常可以申請調整。
- 系統限制是無法變更的固定值。
配額或限制是按照資源計算,計算方式可能會「依專案」、「依網路」、「依區域」或依其他資源而有所不同。不同的 NAT 閘道無法共用同一個 NAT IP 位址。如要變更配額,請參閱申請更多配額。
Google Cloud 會使用配額來確保公平性,並減少資源使用量和可用性突然暴增的情況。配額會限制專案可使用的Google Cloud 資源 Google Cloud 數量。配額適用於各種資源類型,包括硬體、軟體和網路元件。舉例來說,配額可以限制對服務發出的 API 呼叫數、專案並行使用的負載平衡器數量,或是可建立的專案數量。配額可以預防服務過載,進而保障Google Cloud 使用者社群的權益。配額也能協助您管理自己的 Google Cloud 資源。
Cloud Quotas 系統會執行下列操作:
在大多數情況下,如果您嘗試使用的資源超過配額,系統會封鎖資源存取權,導致您嘗試執行的工作失敗。
配額通常是在 Google Cloud 專案 層級套用。在一個專案中使用資源,不會影響另一個專案的可用配額。在 Google Cloud 專案中,所有應用程式和 IP 位址會共用配額。
詳情請參閱 Cloud Quotas 總覽。Cloud NAT 資源也有系統限制。 系統限制無法變更。
配額
如要查看會影響 Cloud NAT 的配額規定,請參閱 Cloud Router 配額頁面。
限制
| 項目 | 限制 | 附註 |
|---|---|---|
| NAT 閘道數量 | 每個 Cloud Router 50 個 | 在單一區域中,每個網路最多支援 5 個 Cloud Router 執行個體。也就是說,在各個虛擬私有雲 (VPC) 網路的個別區域中,最多可以建立 250 個 Cloud NAT 閘道。如要查看 Cloud Router 的配額規定,請參閱 Cloud Router 說明文件。 |
| 個別閘道的 NAT IP 位址數量 | 300 個手動指派的位址 2,500 個系統自動分配的位址 |
可在同一個 NAT 閘道中指派的外部 IP 位址數量上限。不過,這個值取決於靜態 IP 位址和使用中的 IP 位址 VPC 每項專案配額。 |
| 子網路範圍 | 每個閘道 50 個 | 設定子網路範圍的自訂清單時,可以與閘道建立關聯的子網路數量上限。子網路範圍的數量可能超過上限,因為每個子網路可以有一個主要 IPv4 範圍,以及一或多個次要範圍。 如果您已為所有子網路的主要範圍或主要和次要範圍設定 NAT,則不適用這項限制。 |
| 網路位址轉譯 (NAT) 規則 | 每個閘道 150 個 每個 Cloud Router 2,500 個 |
如果超過這項限制,API 會傳回錯誤。 |
| 每個 NAT 規則的使用中 IP 位址 | 300 | |
| Private NAT 子網路 | 每個閘道 50 個 | 您可以保留的子網路數量上限,這些子網路會做為私人 NAT 的來源 NAT 範圍。這些子網路的用途為 PRIVATE_NAT。 |
| 每項規則的 CEL 運算式字元數 | 2,048 | |
| 每個 Cloud Router 執行個體的 CEL 運算式字元數 | 500,000 |
限制
以舊版 DNS 伺服器等特定伺服器來說,為了提高安全性,系統會強制在 64,000 個通訊埠中實行 UDP 通訊埠隨機選取機制。由於 Cloud NAT 會從 64 個或使用者設定的連接埠中隨機選取連接埠,因此最好為這些伺服器指派外部 IP 位址,而不是使用 Cloud NAT。此外,由於 Cloud NAT 不允許從外部發起的連線,因此大多數伺服器無論如何都必須使用外部 IP 位址。
Cloud NAT 不適用於舊版網路。
Cloud NAT 不提供應用程式層級閘道 (ALG) 功能,也不會更新封包資料中的 IP 位址和連接埠資訊,適用於 FTP 和 SIP 等應用程式層級通訊協定。
Cloud NAT 閘道會為提供 NAT 服務的每個 VM 網路介面,實作 NAT 連線追蹤表。每個連線追蹤表中的項目都是閘道支援通訊協定的 5 元組雜湊。
每個連線追蹤資料表中的項目,都會保留大約與相關 NAT 超時時間相同的時間。如要進一步瞭解 NAT 超時,請參閱「NAT 超時」一文。
與 VM 相關聯的所有 NAT 連線,其連線追蹤資料表項目數量上限為 65,535。這項上限涵蓋閘道支援的所有通訊協定,在 VM 的所有網路介面中,連線總數不得超過此上限。
小型閒置連線的逾時機制可能無法發揮作用。
系統每 30 秒會檢查一次 NAT 對應關係,以便找出過期的連線和設定異動。即使所用連線逾時值為 5 秒,還是有可能暫時無法取得連線 (通常為 15 秒,在最不理想的情況下可能多達 30 秒)。
管理配額
Cloud NAT 會基於多種原因,對資源用量實施配額限制。舉例來說,限制配額可以預防用量突然暴增的情況,進而保障 Google Cloud 使用者社群的權益。採用 Google Cloud 免費方案探索的使用者也能透過配額,確保不會超出試用範圍。
所有專案最初的配額均相同,您可以要求額外配額來變更配額數量。某些配額可能會依據您使用產品的狀況而自動增加。
權限
如要查看配額或要求增加配額,身分與存取權管理 (IAM) 主體需要具有下列其中一種角色。
| 工作 | 必要角色 |
|---|---|
| 查看專案的配額 | 下列任一項: |
| 修改配額,要求額外配額 | 下列任一項: |
查看配額
控制台
- 前往 Google Cloud 控制台的「Quotas」(配額) 頁面。
- 使用篩選表格搜尋要更新的配額。 如果不知道配額名稱,請改用本頁面上的連結。
gcloud
請使用 Google Cloud CLI 執行下列指令,查看配額。使用您自己的專案 ID 替換 PROJECT_ID。
gcloud compute project-info describe --project PROJECT_ID如要查看特定區域的配額用量,請執行下列指令:
gcloud compute regions describe example-region
超出配額時產生錯誤
一旦超出 gcloud 指令的配額上限,gcloud 就會輸出 quota exceeded 錯誤訊息並傳回結束代碼 1。
如果您是在傳送 API 要求時超出配額, Google Cloud 會傳回下列 HTTP 狀態碼:413 Request Entity Too Large。
要求增加配額
如要調整大部分配額,請使用 Google Cloud 控制台。詳情請參閱「要求配額調整」。
資源可用性
如果特定類型的資源可以使用,則每項配額代表您能針對該資源建立的最大數量。請特別留意,配額「並不」保證資源可用性。即使您有可用的配額,如果資源無法提供使用,您也無法建立新的資源。
舉例來說,您可能有足夠的配額,可以在特定區域中建立全新區域性外部 IP 位址。不過,如果該區域沒有可用的外部 IP 位址,則無法建立。區域的資源可用性也會影響您建立新資源的能力。
整個區域的資源皆無法提供使用的狀況很罕見。然而,可用區內的資源有時可能會耗盡,不過一般來說並不會對該資源類型的服務水準協議 (SLA) 造成影響。如需更多資訊,請參閱與該資源相關的 SLA。