配額與限制
本文列出 Cloud NAT 適用的配額和系統限制。
- 「配額」會指定您可使用的可計數共用資源數量。配額是由 Google Cloud 服務 (例如 Cloud NAT) 定義。
- 系統限制為固定值,無法變更。
配額或限制是按照資源計算,計算方式可能會「依專案」、「依網路」、「依區域」或依其他資源而有所不同。不同的 NAT 閘道無法共用同一個 NAT IP。如要變更配額,請參閱申請更多配額一節。
Google Cloud 會使用配額來確保公平性,並減少資源使用量和可用性的尖峰情形。配額會限制 Google Cloud 專案可使用的Google Cloud 資源數量。配額適用於多種資源類型,包括硬體、軟體和網路元件。舉例來說,配額可以限制向服務發出的 API 呼叫數、專案並行使用的負載平衡器數量,或可建立的專案數量。限制配額可預防服務超載,進而保障Google Cloud 使用者社群的權益。配額也能協助您管理自己的 Google Cloud 資源。
Cloud 配額系統會執行以下作業:
在大多數情況下,如果您嘗試使用的資源超過配額限制,系統會封鎖對該資源的存取權,而您要執行的任務也會失敗。
配額通常會套用至 Google Cloud 專案層級。您在一個專案中使用資源,不會影響其他專案的可用配額。在 Google Cloud 專案中,所有應用程式和 IP 位址都會共用配額。
Cloud NAT 資源也有系統限制。系統限制無法變更。
配額
如要查看會影響 Cloud NAT 的配額規定,請參閱 Cloud Router 配額頁面。
限制
| 項目 | 限制 | 附註 |
|---|---|---|
| NAT 閘道數量 | 每個 Cloud Router 50 個 | 在單一區域中,每個網路最多支援 5 個 Cloud Router 執行個體。也就是說,在各個虛擬私有雲網路的個別區域中,最多可以建立 250 個 Cloud NAT 閘道。如要查看 Cloud Router 的配額規定,請參閱 Cloud Router 說明文件。 |
| 個別閘道的 NAT IP 位址數量 | 300 個手動指派的位址 2,500 個系統自動分配的位址 |
可在同一個 NAT 閘道中指派的外部 IP 位址數量上限。不過,這個值取決於 VPC 的每個專案靜態 IP 位址和使用中的 IP 位址配額。 |
| 子網路範圍 | 每個閘道 50 個 | 設定自訂子網路範圍清單時,可與閘道建立關聯的子網路數量上限。每個子網路可能都有一個主要 IPv4 範圍和一或多個次要範圍,因此子網路範圍的數量可能會超過限制。 如果您已為所有子網路的主要範圍或所有子網路的主要和次要範圍設定 NAT,則不受這項限制。 |
| 網路位址轉譯 (NAT) 規則 | 每個閘道 50 個 | 如果超過此限制,API 會傳回錯誤。 |
| 每個 NAT 規則的有效 IP 位址 | 300 | |
| 私人 NAT 子網路 | 每個閘道 50 個 | 您可以保留的子網路數量上限,用於做為私人 NAT 的來源 NAT 範圍。這些子網路的用途為 PRIVATE_NAT。 |
| 每項規則的 CEL 運算式字元 | 2,048 | |
| 每個 Cloud Router 執行個體的 CEL 運算式中的字元 | 500,000 |
限制
以舊版 DNS 伺服器等特定伺服器來說,為了提高安全性,系統會強制在 64,000 個通訊埠中實行 UDP 通訊埠隨機選取機制。由於 Cloud NAT 會從 64 個或使用者設定的連接埠數量中,選取一個隨機連接埠,因此建議您為這些伺服器指派外部 IP 位址,而非使用 Cloud NAT。由於 Cloud NAT 不允許從外部啟動的連線,因此這些伺服器大多需要使用外部 IP 位址。
Cloud NAT 不適用於舊版網路。
Cloud NAT 不提供應用程式層閘 (ALG) 功能,也就是說,Cloud NAT 不會更新封包資料中 FTP 和 SIP 等應用程式層通訊協定中的 IP 位址和連接埠資訊。
Cloud NAT 閘道會為提供 NAT 服務的每個 VM 網路介面實作 NAT 連線追蹤表。每個連線追蹤表中的項目都是閘道支援的通訊協定 5 元組雜湊。
每個連線追蹤表中的項目會保留約等於相關 NAT 逾時時間的時間。如要進一步瞭解 NAT 逾時,請參閱「NAT 逾時」。
與 VM 相關聯的所有 NAT 連線的連線追蹤表項目數量上限為 65,535。這個上限涵蓋閘道支援的所有通訊協定,以及 VM 上所有網路介面的連線總和。
小型閒置連線的逾時機制可能無法發揮作用。
系統每 30 秒會檢查一次 NAT 對應關係,以便找出過期的連線和設定異動。即便所用連線逾時值為 5 秒,還是有可能暫時無法取得連線 (通常為 15 秒,在最不理想的情況下可能多達 30 秒)。
管理配額
Cloud NAT 會基於多種原因,對資源用量實施配額限制。舉例來說,限制配額可以預防用量突然暴增的情況,進而保障 Google Cloud 使用者社群的權益。採用 Google Cloud 免費方案探索的使用者也能透過配額,確保不會超出試用範圍。
所有專案最初的配額均相同,您可以要求額外配額來變更配額數量。某些配額可能會依據您使用產品的狀況而自動增加。
權限
如要查看配額或要求增加配額,身分與存取權管理 (IAM) 主體需要具有下列其中一種角色。
| 工作 | 必要角色 |
|---|---|
| 查看專案的配額 | 下列任一項: |
| 修改配額,要求額外配額 | 下列任一項: |
查看配額
控制台
- 前往 Google Cloud 控制台的「Quotas」(配額) 頁面。
- 使用篩選表格搜尋要更新的配額。 如果不知道配額名稱,請改用本頁面上的連結。
gcloud
請使用 Google Cloud CLI 執行下列指令,查看配額。使用您自己的專案 ID 替換 PROJECT_ID。
gcloud compute project-info describe --project PROJECT_ID如要查看特定區域的配額用量,請執行下列指令:
gcloud compute regions describe example-region
超出配額時產生錯誤
一旦超出 gcloud 指令的配額上限,gcloud 就會輸出 quota exceeded 錯誤訊息並傳回結束代碼 1。
如果您是在傳送 API 要求時超出配額, Google Cloud 會傳回下列 HTTP 狀態碼:413 Request Entity Too Large。
要求增加配額
如要調整大部分配額,請使用 Google Cloud 控制台。詳情請參閱「要求配額調整」。
資源可用性
如果特定類型的資源可以使用,則每項配額代表您能針對該資源建立的最大數量。請特別留意,配額「並不」保證資源可用性。即使您有可用的配額,如果資源無法提供使用,您也無法建立新的資源。
舉例來說,您可能有足夠的配額,可以在特定區域中建立全新區域性外部 IP 位址。不過,如果該區域沒有可用的外部 IP 位址,則無法建立。區域的資源可用性也會影響您建立新資源的能力。
整個區域的資源皆無法提供使用的狀況很罕見。然而,可用區內的資源有時可能會耗盡,不過一般來說並不會對該資源類型的服務水準協議 (SLA) 造成影響。如需更多資訊,請參閱與該資源相關的 SLA。