本页面介绍了网络连接产品的配额和限制。如需更改配额,请参阅申请额外的配额。一般情况下,除非明确说明,否则无法提高限额。
Cloud VPN
配额
下表涵盖了每个项目的重要配额。如需了解其他配额,请参阅 Google Cloud 控制台的配额页面。
内容项 | 配额 | 备注 |
---|---|---|
VPN 网关 | 配额 | 仅适用于高可用性 VPN |
外部 VPN 网关 | 配额 | 仅适用于高可用性 VPN |
VPN 隧道 | 配额 | 此配额表示传统 VPN 隧道和高可用性 VPN 隧道的总数。 |
路由器 | 配额 |
此配额表示您可以在自己项目内的任意网络和区域中创建的 Cloud Router 路由器数。此外,网络还对任意给定区域中 Cloud Router 路由器的数量设定了限制。如需了解详情,请参阅 Cloud Router 配额和限制。 受 Cloud Router 配额和限制约束,Cloud Router 路由器数量与隧道连接到的 Cloud VPN 网关类型(传统 VPN 或高可用性 VPN)无关。该配额会同样应用于任一类型的网关。 |
目标 VPN 网关 | 配额 | 仅适用于传统 VPN |
转发规则 | 配额 | 仅适用于传统 VPN |
限制
以下限制适用于 Cloud VPN。在下表中,VPN 隧道指传统 VPN 隧道或高可用性 VPN 隧道。除非另有说明,否则无法提高这些限制。
内容项 | 限额 | 备注 |
---|---|---|
每个 VPN 隧道的带宽 | 每秒 25 万个数据包(入站流量和出站流量的总和) |
每秒 25 万个数据包大约相当于 1 Gbps 到 3 Gbps,具体取决于隧道内的平均数据包大小。 Cloud VPN 只会限制 IPsec 出站流量, 而不会限制入站流量。 如需了解详情,请参阅网络带宽。 |
已知问题
请注意以下问题:
专用于高可用性 VPN 的 Google Cloud 资源尚未显示在 Cloud Asset Inventory 或 Security Command Center 中。这些资源包括
compute.vpnGateways
和compute.externalVpnGateways
。但这两个地方都会列出compute.vpnTunnels
资源。若要建立有效的高可用性 VPN 连接,需要使用该资源。如需查看高可用性 VPN 的 Cloud Monitoring 指标,请使用 Metrics Explorer。如需了解详情,请参阅查看日志和指标。
在设置连接到 AWS 的 VPN 隧道时,请使用 IKEv2 并配置较少的 IKE 转换集。
Cloud Interconnect
配额
下表重点列出了每个项目的重要配额。如需了解其他配额,请参阅 Google Cloud 控制台的配额页面。
资源项 | 配额 | 备注 |
---|---|---|
互连连接 | 配额 | 每个项目的专用互连连接数量。 互连连接与区域或 VPC 网络无关。 |
VLAN 连接 | 配额 | 您可以在项目的每个区域中配置的 VLAN 连接数。这包括专用互连和合作伙伴互连的 VLAN 连接。 除此配额之外,您还需遵循每个互连的 VLAN 连接数。 |
每个互连的 VLAN 连接数 | 配额 | 您可以在单个互连连接上配置的 VLAN 连接数。 |
VLAN 连接总 Mbps | 配额 | 给定项目的给定区域中所有 VLAN 连接的最大带宽容量(无论它们与互连连接的关系如何)。 除此配额之外,您还受到限制表中所述限制的约束。 |
Cloud Router 路由器 | 配额 | 您可以在项目内的任意网络和区域中创建的 Cloud Router 路由器数。 此外,网络还对任意给定区域中 Cloud Router 路由器的数量设定了限制。 如需了解详情,请参阅 Cloud Router 配额和限制。 |
限制
以下限制适用于互连连接和 VLAN 连接。除非另有说明,否则无法提高这些限制。
设限项 | 限额 | 备注 |
---|---|---|
每个互连连接的物理线路数上限 | 8 x 10 Gbps (80-Gbps) 线路或 2 x 100 Gbps (200-Gbps) 线路 |
互连连接是与 Google 的逻辑连接,由一个或多个物理线路组成。您可以申请下面其中一个线路选项:
|
每个 VLAN 连接的最大带宽 | 容量从 50 Mbps 到 50 Gbps 不等 | 每个 VLAN 连接可能达到的最大带宽取决于您所订购的带宽容量。如需了解容量,请参阅价格页面。对于合作伙伴互连,并非所有服务提供商都提供所有容量。 一个 VLAN 连接上单个流的吞吐量是有限制的。如需达到最大吞吐量,您必须使用多个 5 元组流(例如 10 个以上),且数据包大小不应超过 VLAN 连接的 MTU。 |
每个 VLAN 连接的数据包总速率上限 | Dataplane v1:此速率因连接的容量而异:
|
整个 VLAN 连接的数据包速率上限。 |
VLAN 连接上每个数据流的带宽上限 |
即使您使用更高的带宽配置连接,单个流量也可能限制为 Dataplane 版本定义的最大值。 |
流向 VPC 网络中目的地的流量由五元组哈希(不分段数据包)或三元组哈希(分段数据包)来标识。此外,使用适用于本地主机的专用 Google 访问通道的流量由三元组哈希标识。
以下情况描述了最大带宽低于 3 Gbps 或 10 Gbps 限制的情况:
|
VLAN 连接上每个数据流的数据包速率上限 |
|
每个数据流的数据包速率上限。不分段数据包使用五元组哈希来标识,分段数据包由三元组哈希来标识(如上一部分所述)。 |
最大传输单元 (MTU) |
|
根据 VLAN 连接 MTU 设置,可通过 VLAN 连接传输的最大 IP 地址数据包的大小。如需了解详情,请参阅 Cloud Interconnect MTU 部分。 |
(合作伙伴互连连接)VLAN 连接配对密钥的最长有效期 | 28 天 | 从生成(合作伙伴互连)VLAN 连接配对密钥到服务提供商成功进行连接预配的最长间隔时间。 如果配对密钥失效,请将其删除,并创建新的配对密钥供合作伙伴互连服务提供商使用。 |
Cloud Router 路由器限制 | 由于专用互连和合作伙伴互连需要 Cloud Router 路由器,因此所有 Cloud Router 路由器配额和限制均适用。 已知路由数量上限和通告路由数量均有限制。如需了解详情,请参阅 Cloud Router“配额和限制”页面。 |
Cloud Router
配额
下表涵盖了每个项目的重要配额。如需了解其他配额,请参阅 Google Cloud 控制台的配额和系统限制页面。
内容项 | 配额 | 备注 |
---|---|---|
每个项目的 Cloud Router 路由器数 | 配额 | 无论配额是多少,每个网络在每个区域仅限使用 5 个 Cloud Router 路由器。请参阅限制。 |
每个 VPC 网络中每个区域来自自有区域的唯一 Cloud Router 路由器动态路由前缀 由给定区域中所有 Cloud Router 路由器应用于该区域内子网的已知路由的保证唯一目的地前缀数量上限。这称为某区域的“来自自有区域”配额。 |
配额 |
IPv4 和 IPv6 前缀都会计入此配额。 所有已知路由均计入此配额,包括自定义已知路由和 BGP 收到的路由。 路由按唯一目的地进行分组。目的地相同但下一个跃点不同的路由仅计为一个目的地。目的地相同且下一个跃点也相同的路由也仅计为一个目的地。 对于处于全球动态路由模式的网络,可能会达到其中一个唯一动态路由前缀配额,而不会达到另一个配额。如果超出任一配额,在路由丢失时,您可能会遇到间歇性连接问题。如需了解详情,请参阅已知路由示例。 如需详细了解这些配额(包括可用于了解当前用量的指标),请参阅排查 BGP 路由和路由选择问题。 |
仅适用于处于全球动态路由模式的 VPC 网络。 每个 VPC 网络中每个区域来自其他区域的唯一 Cloud Router 路由器动态路由前缀 可由不同区域中 Cloud Router 路由器应用于给定区域内子网的已知路由的保证唯一目的地数量上限。这称为某区域的“来自其他区域”配额。 |
配额 |
IPv4 和 IPv6 前缀都会计入此配额。 所有已知路由均计入此配额,包括自定义已知路由和 BGP 收到的路由。 路由按唯一目的地进行分组。目的地相同但下一个跃点不同的路由仅计为一个目的地。目的地相同且下一个跃点也相同的路由也仅计为一个目的地。 对于处于全球动态路由模式的网络,可能会达到其中一个唯一动态路由前缀配额,而不会达到另一个配额。如果达到任一配额,则在路由丢失时,您可能会遇到间歇性连接问题。如需了解详情,请参阅已知路由示例。 如需详细了解这些配额(包括可用于了解当前用量的指标),请参阅排查 BGP 路由和路由选择问题。 |
限制
如下 Cloud Router 限制适用于 Virtual Private Cloud (VPC) 网络。除非另有说明,否则无法提高这些限制。
设限项 | 限额 | 备注 |
---|---|---|
每个 VPC 网络和区域组合的 Cloud Router 路由器数上限 | 5 | 如果您有足够的项目配额,那么您在给定的 VPC 网络和区域中最多可以创建 5 个 Cloud Router 路由器。 |
给定 VPC 网络和区域内每个 Cloud Router 路由器的 BGP 对等体数量上限 | 128 | BGP 对等端可以是以下任何一项: |
Cloud Router 路由器从单个 BGP 对等端接受的前缀数上限 | 5000 | 如果 BGP 对等端通告的前缀超过 5,000 个,则 Cloud Router 路由器会重置 BGP 会话。 |
单个 BGP 对等方或方向中所有应用的 BGP 路由政策的术语数上限 | 1000 | 此限制不会拆分到多个资源中,而是会合并。单个匹配项或操作表达式的大小、一个术语中的操作数量、单个政策中的术语数量或者政策数量均无限制。 |
给定 Cloud Router 路由器每个 BGP 会话的子网路由通告数量上限 | 无限制 | Cloud Router 路由器可以通告的子网路由无数量限制。子网路由数量由子网数量决定,而子网数量由 VPC 网络配额和限制控制。 |
给定 Cloud Router 路由器的每个 BGP 会话的自定义通告路由数量上限 | 200 | 如果 Cloud Router 路由器上的所有 BGP 会话的自定义通告路由相同,则此限制即为该 Cloud Router 路由器的唯一 IPv4 和 IPv6 自定义通告路由的总数。在这种情况下,每个会话收到的都是同一组自定义通告路由。 |
对于给定的 Cloud Router 路由器,编码为 UTF-8 时,此限制是 BGP 路由政策中使用的所有匹配项和操作表达式字面量的总大小上限。 | 上限为 250 KiB | 对于给定的 Cloud Router 路由器,此限制不会拆分到多个资源中,而是会合并。单个匹配项或操作表达式的大小、一个术语中的操作数量、单个 BGP 路由政策中的术语数量或者 BGP 路由政策数量均无限制。 |
单个 Cloud Router 路由器上每分钟对 list-bgp-routes 调用的查询数上限 |
1500 | 此配额来自 compute.googleapis.com/list_requests_per_region 。如需了解详情,请参阅速率配额。 |
每个 Cloud Router 路由器的 BGP 路由政策数量上限。 | 500 | |
给定 BGP 会话的自定义已知路由数上限 | 10 |
如需详细了解此功能,请参阅自定义已知路由。 |
VPC 网络中给定区域的可配置为自定义已知路由的唯一 IP 前缀的数量上限。此限制允许在多个对等方上使用相同的范围。 |
10 |
如需详细了解此功能,请参阅自定义已知路由。 |
已知路由示例
以下示例展示了在超出“来自自有区域”配额或“来自其他区域”配额时可能会遇到的路由丢弃行为。
假设您在同一 VPC 网络中的 us-east1
区域和 us-west1
区域有 Cloud Router 路由器,并且启用了全局动态路由。每个区域中的每个 Cloud Router 路由器会学习 250 个唯一目的地。为方便对此示例进行说明,每个区域中的每个 Cloud Router 路由器不会学习任何相同的目的地。
无论哪个 Cloud Router 路由器获知每个区域内的路由,每个区域的“来自自有区域”配额都会用尽,因为每个区域中的 Cloud Router 路由器会获知 250 个唯一目的地(总共 250 个)。两个区域的“来自其他区域”配额也会用尽,因为每个 Cloud Router 路由器会从其他区域导入 250 个唯一目的地。如果示例 VPC 网络使用区域动态路由,则每个区域中的“来自其他区域”配额将不适用,因为区域动态路由模式指示 VPC 网络仅在与路由的下一个跃点匹配的区域中创建动态路由。
超出某个区域的“来自自有区域”配额
假设连接到 us-west1
中的 Cloud Router 路由器的本地路由器通告了第 251 个目的地。us-west1
区域中的 Cloud Router 路由器会按照确定性路由顺序选择 251 个唯一目的地中的 250 个。这些路由器会将这 250 个唯一目的地发送到 VPC 网络,从而在 us-west1
区域中创建 250 个动态路由。
由于 VPC 网络使用全球动态路由模式,因此它还会根据每个其他区域的“来自其他区域”唯一目的地配额,在每个其他区域中最多创建 250 个动态路由。下一部分将更详细地介绍其他区域中发生的情况。
超出某个区域的“来自其他区域”配额
当 us-west1
区域中的 Cloud Router 路由器获知 251 个唯一目的地时,us-west1
的 251 个唯一目的地中有 250 个可供 us-east1
区域中的资源使用,因为 us-east1
区域的“来自其他区域”配额只能接受 250 个唯一目的地。
假设您在同一 VPC 网络的第三个区域 (us-central1
) 中创建一个 Cloud Router 路由器。假设新的 Cloud Router 路由器从其 BGP 对等端学习了 10 个唯一目的地。尽管未超出 us-central1
区域的“来自自有区域”配额,但由于其他两个区域总共提供了 500 个唯一目的地(us-east1
提供了 250 个,us-west1
提供了另外 250 个),因此超出了 us-central1
区域的“来自其他区域”配额。
确定性路由顺序会按照区域,为其他区域中不超过 250 个唯一目的地选择路由,如下表所示。
区域 |
区域内的本地唯一目的地 (使用区域的“来自自有区域”配额) |
其他区域的唯一目的地 (使用区域的“来自其他区域”配额) |
---|---|---|
us-west1 |
收到 251 个。确定性路由顺序选择了 251 个中的 250 个,并丢弃一个。在 选择的 250 个前缀与其他区域共享。 |
收到 260 个( 在 |
us-east1 |
收到 250 个。确定性路由顺序选择所有 250 个。在 选择的所有 250 个前缀与其他区域共享。 |
收到 260 个( 在 |
us-central1 |
已收到 10 个。确定性路由顺序选择所有 10 个。在 选择的所有 10 个前缀与其他区域共享。 |
收到 500 个( 在 |
虽然超出了 us-central1
区域的“来自其他区域”配额,但其“来自自有区域”配额可以接受下一个跃点位于 us-central1
区域中的目的地。
确定性路由丢弃行为
Cloud Router 路由器根据收到的每个前缀的子网掩码长度和字典特征来实施确定性路由丢弃行为。在每个区域内,以下过程独立应用于该区域的“来自自有区域”目的地列表和该区域的“来自其他区域”唯一目的地列表:
列表首先按子网掩码长度由短到长排序,然后按字典顺序排列。例如,
10.0.0.0/8
排在10.2.1.0/24
之前,后者排在10.99.1.0/24
之前。列表中的前 250 个条目会被保留。所有其他条目则被舍弃。
如超出某个区域的“来自其他区域”配额中所述,确定性丢弃行为会独立应用于每个区域的“来自自有区域”配额和每个区域的“来自其他区域”配额。
确定性路由丢弃行为会产生以下后果:
如果同时收到 IPv4 和 IPv6 前缀,则在超出唯一目的地配额时,Cloud Router 路由器通常会先舍弃 IPv6 前缀。这是因为 IPv6 最常见的最短子网掩码长度 (
/48
) 超过 IPv4 的最长子网掩码长度 (/32
)。如果在每个区域中学习的前缀集保持不变,Google Cloud 会基于 VPC 网络的动态路由模式,在每个区域中设置一组一致的本地动态路由。Cloud Router 任务重启时,这种一致性(包括 Cloud Router 路由器丢弃的路由)会得到保留。
避免丢弃路由
在路由丢失期间,丢弃前缀的连接中断。为避免路由丢弃,请使用 Cloud Monitoring 或 Cloud Logging 监控每个区域的“来自自有区域”和“来自其他区域”的前缀使用情况,并确保其通告的唯一目的地数量不会超出每个配额。
请考虑汇总路由,以减少唯一目的地的数量。例如,如果您有四个子网 10.10.10.0/24
、10.10.10.1/24
、10.10.10.2/24
和 10.10.10.3/24
,则可以将它们汇总为一个前缀 10.10.0.0/22
。
如果无法进行汇总,请与您的 Google Cloud 销售团队联系以讨论替代方案。
路由器设备
配额
适用于 Cloud Router 网络路由的配额也适用于连接到 Network Connectivity Center Hub 的路由器设备路由。
如需了解详情,请参阅 Cloud Router 配额。
限制
Cloud Router 路由器的以下限制也适用于路由器设备:
- 每个 VPC 网络和区域组合的 Cloud Router 路由器数上限
- 给定 VPC 网络和区域内每个 Cloud Router 路由器的 BGP 对等体数量上限
如需了解详情,请参阅 Cloud Router 路由器限制。
Network Connectivity Center
配额
适用于 Cloud Router 的网络路由的配额也适用于 Network Connectivity Center 的中心辐射式结构。如需了解详情,请参阅 Cloud Router 配额和限制。
项 | 配额 | 备注 |
---|---|---|
每个项目的 Hub 数 | 配额 | 每个项目(全球) |
每个项目在每个区域的 Cloud VPN 隧道 Spoke 数量 | 配额 | 每个区域中每个项目:仅支持高可用性 VPN 隧道 |
每个区域中每个项目的 Cloud Interconnect VLAN 连接 Spoke 数量 | 配额 | 每个区域中每个项目的情况 |
每个区域中每个项目的路由器设备 spoke 数量 | 配额 | 每个区域中每个项目的情况 |
每个项目的 VPC spoke 数量 | 配额 | 包括 VPC spoke(边缘 spoke 和中心 spoke 加起来),即使它们未连接到任何 hub。 |
每个 Hub 的活跃 VPC Spoke 数量 |
配额 | 仅适用于已接受 Hub 的 VPC Spoke;不适用于待处理或已被拒绝的 VPC spoke。 |
每个 hub 路由表的子网路由数量 |
配额 | 仅适用于具有 VPC spoke 的 Hub |
限制
Network Connectivity Center 实施以下用量限额。
资源项 | 值 |
---|---|
可链接到某个 Spoke 的 VPN 隧道数 | 8 |
可链接到某个 Spoke 的 VLAN 连接数 | 6 |
可关联到某个 Spoke 的路由器设备实例数 | 8 |
每个 hub 的活跃 VPC spoke 数量 | 250 |
每个 Hub 的 VPC Spoke(活跃和非活跃)数量上限 | 1000 |
每个 Spoke 的导出过滤条件数 | 16 |
每个 Network Connectivity Center 中心支持的路由 VPC 数量上限 | 40 |
每个 Hub 路由表的动态路由数量 | 500 |
管理配额
出于各种原因,Google Cloud 会对资源用量实施配额限制。例如,配额可避免出现意料之外的用量突增,从而为 Google Cloud 用户社区提供保护。配额还可帮助正在通过免费层级探索 Google Cloud 的用户避免中断试用。
所有项目在开始时都具有相同的配额,您可以通过申请更多配额来进行更改。根据您使用产品的情况,一些配额可能会自动增加。
权限
如需查看配额或申请增加配额,Identity and Access Management (IAM) 主账号需要具备以下某个角色:
任务 | 所需角色 |
---|---|
检查项目的配额 | 以下之一:
|
修改配额,申请更多配额 | 以下之一:
|
查看您的配额
控制台
- 在 Google Cloud 控制台中,转到配额页面。
- 如需搜索要更新的配额,请使用过滤表。 如果您不知道配额的名称,请使用此页面上的链接。
gcloud
使用 Google Cloud CLI 运行以下命令来查看您的配额。请将 PROJECT_ID
替换为您自己的项目 ID。
gcloud compute project-info describe --project PROJECT_ID
如需查看您在某一区域中已使用的配额,请运行以下命令:
gcloud compute regions describe example-region
超出配额时引发的错误
如果在发出 gcloud
命令时超过了配额,gcloud
会显示一条 quota exceeded
错误消息,并返回退出代码 1
。
如果在发出 API 请求时超出了配额,Google Cloud 会返回以下 HTTP 状态代码:413 Request Entity Too Large
。
申请更多配额
如需调整大多数配额,请使用 Google Cloud 控制台。如需了解详情,请参阅申请配额调整。
控制台
- 在 Google Cloud 控制台中,转到配额页面。
- 在配额页面上,选择您要更改的配额。
- 点击位于页面顶部的 修改配额。
- 在名称部分,输入名称。
- 可选:在手机部分,输入手机号码。
- 提交您的申请。 配额申请需要 24 到 48 小时才能完成处理。
资源可用性
每个配额代表您可以创建的特定类型资源的数量上限(如果该资源可用)。必须要注意的是,配额无法保证资源可用性。即使您具有可用配额,如果新资源不可用,您也无法创建新资源。
例如,您的配额可能足以在 us-central1
区域中创建新的区域性外部 IP 地址。但是,如果该区域中没有可用的外部 IP 地址,则无法执行此操作。可用区级资源可用性也会影响您能否创建新资源。
导致资源在整个区域不可用的情况非常罕见。但是,地区内的资源有时可能会耗尽,通常不会影响资源类型的服务等级协议 (SLA)。如需了解详情,请参阅资源的相关 SLA。