配额和限制

本页面介绍了网络连接产品的配额和限制。如需更改配额,请参阅申请额外的配额。一般情况下,除非明确说明,否则无法提高限额。

Cloud VPN

配额

下表涵盖了每个项目的重要配额。如需了解其他配额,请参阅 Google Cloud 控制台的配额页面

内容项 配额 备注
VPN 网关 配额 仅适用于高可用性 VPN
外部 VPN 网关 配额 仅适用于高可用性 VPN
VPN 隧道 配额 此配额表示传统 VPN 隧道和高可用性 VPN 隧道的总数。
路由器 配额

此配额表示您可以在自己项目内的任意网络和区域中创建的 Cloud Router 路由器数。此外,网络还对任意给定区域中 Cloud Router 路由器的数量设定了限制。如需了解详情,请参阅 Cloud Router 配额和限制

受 Cloud Router 配额和限制约束,Cloud Router 路由器数量与隧道连接到的 Cloud VPN 网关类型(传统 VPN 或高可用性 VPN)无关。该配额会同样应用于任一类型的网关。

目标 VPN 网关 配额 仅适用于传统 VPN
转发规则 配额 仅适用于传统 VPN

限制

以下限制适用于 Cloud VPN。在下表中,VPN 隧道指传统 VPN 隧道或高可用性 VPN 隧道。除非另有说明,否则无法提高这些限制。

内容项 限额 备注
每个 VPN 隧道的带宽 每秒 25 万个数据包(入站流量和出站流量的总和)

每秒 25 万个数据包大约相当于 1 Gbps 到 3 Gbps,具体取决于隧道内的平均数据包大小。

Cloud VPN 只会限制 IPsec 出站流量, 而不会限制入站流量。

如需了解详情,请参阅网络带宽

已知问题

请注意以下问题:

  • 专用于高可用性 VPN 的 Google Cloud 资源尚未显示在 Cloud Asset InventorySecurity Command Center 中。这些资源包括 compute.vpnGatewayscompute.externalVpnGateways。但这两个地方都会列出 compute.vpnTunnels 资源。若要建立有效的高可用性 VPN 连接,需要使用该资源。

  • 如需查看高可用性 VPN 的 Cloud Monitoring 指标,请使用 Metrics Explorer。如需了解详情,请参阅查看日志和指标

  • 在设置连接到 AWS 的 VPN 隧道时,请使用 IKEv2 并配置较少的 IKE 转换集

Cloud Interconnect

配额

下表重点列出了每个项目的重要配额。如需了解其他配额,请参阅 Google Cloud 控制台的配额页面

资源项 配额 备注
互连连接 配额

每个项目的专用互连连接数量。

互连连接与区域或 VPC 网络无关。

VLAN 连接 配额

您可以在项目的每个区域中配置的 VLAN 连接数。这包括专用互连和合作伙伴互连的 VLAN 连接。

除此配额之外,您还需遵循每个互连的 VLAN 连接数

每个互连的 VLAN 连接数 配额 您可以在单个互连连接上配置的 VLAN 连接数。
VLAN 连接总 Mbps 配额

给定项目的给定区域中所有 VLAN 连接的最大带宽容量(无论它们与互连连接的关系如何)。

除此配额之外,您还受到限制表中所述限制的约束。

Cloud Router 路由器 配额

您可以在项目内的任意网络和区域中创建的 Cloud Router 路由器数。

此外,网络还对任意给定区域中 Cloud Router 路由器的数量设定了限制

如需了解详情,请参阅 Cloud Router 配额和限制

限制

以下限制适用于互连连接和 VLAN 连接。除非另有说明,否则无法提高这些限制。

设限项 限额 备注
每个互连连接的物理线路数上限 8 x 10 Gbps (80-Gbps) 线路或
2 x 100 Gbps (200-Gbps) 线路

互连连接是与 Google 的逻辑连接,由一个或多个物理线路组成。您可以申请下面其中一个线路选项:

  • 最多可使用 2 x 100 Gbps (200-Gbps) 的线路。
  • 以 10 Gbps 为单位递增,最多可增至八条线路 (80 Gbps);可将使用某个互连连接的所有 VLAN 连接的总带宽上限提升至 80 Gbps。

    如需确定总带宽大小,请将物理线路数量乘以每条线路的带宽 (10 Gbps)。

每个 VLAN 连接的最大带宽 容量从 50 Mbps 到 50 Gbps 不等

每个 VLAN 连接可能达到的最大带宽取决于您所订购的带宽容量。如需了解容量,请参阅价格页面。对于合作伙伴互连,并非所有服务提供商都提供所有容量。

一个 VLAN 连接上单个流的吞吐量是有限制的。如需达到最大吞吐量,您必须使用多个 5 元组流(例如 10 个以上),且数据包大小不应超过 VLAN 连接的 MTU。

每个 VLAN 连接的数据包总速率上限

Dataplane v1:此速率因连接的容量而异:

  • 50-Gbps VLAN 连接的速率上限为 625 万个数据包/秒 (pps)。
  • 10-Gbps VLAN 连接的速率上限为 125 万个数据包/秒 (pps)。
整个 VLAN 连接的数据包速率上限。
VLAN 连接上每个数据流的带宽上限
  • Dataplane v2:10 Gbps
  • Dataplane v1:3 Gbps
  • 即使您使用更高的带宽配置连接,单个流量也可能限制为 Dataplane 版本定义的最大值。

流向 VPC 网络中目的地的流量由五元组哈希(不分段数据包)或三元组哈希(分段数据包)来标识。此外,使用适用于本地主机的专用 Google 访问通道的流量由三元组哈希标识。

  • 五元组哈希由协议、来源 IP 地址、来源端口、目标 IP 地址和目标端口组成。
  • 三元组哈希由协议、来源 IP 地址和目标 IP 地址组成。

以下情况描述了最大带宽低于 3 Gbps 或 10 Gbps 限制的情况:

  • 如果 VLAN 连接的带宽容量低于其 Dataplane 版本的最大带宽(3 Gbps 或 10 Gbps),则每个数据流的带宽受到 VLAN 连接的带宽限制。
  • 如果您达到了“每个数据流的数据包速率上限”(如下一部分所述)。
VLAN 连接上每个数据流的数据包速率上限
  • Dataplane v2:每秒 1,000 万个数据包 (pps)
  • Dataplane v1:每秒 25 万个数据包
每个数据流的数据包速率上限。不分段数据包使用五元组哈希来标识,分段数据包由三元组哈希来标识(如上一部分所述)。
最大传输单元 (MTU)
  • 1440 个字节
  • 1460 个字节
  • 1500 字节
  • 8,896 字节
根据 VLAN 连接 MTU 设置,可通过 VLAN 连接传输的最大 IP 地址数据包的大小。如需了解详情,请参阅 Cloud Interconnect MTU 部分。
(合作伙伴互连连接)VLAN 连接配对密钥的最长有效期 28 天

从生成(合作伙伴互连)VLAN 连接配对密钥到服务提供商成功进行连接预配的最长间隔时间。

如果配对密钥失效,请将其删除,并创建新的配对密钥供合作伙伴互连服务提供商使用。

Cloud Router 路由器限制

由于专用互连和合作伙伴互连需要 Cloud Router 路由器,因此所有 Cloud Router 路由器配额和限制均适用。

已知路由数量上限和通告路由数量均有限制。如需了解详情,请参阅 Cloud Router“配额和限制”页面

Cloud Router

配额

下表涵盖了每个项目的重要配额。如需了解其他配额,请参阅 Google Cloud 控制台的配额和系统限制页面

内容项 配额 备注
每个项目的 Cloud Router 路由器数 配额 无论配额是多少,每个网络在每个区域仅限使用 5 个 Cloud Router 路由器。请参阅限制

每个 VPC 网络中每个区域来自自有区域的唯一 Cloud Router 路由器动态路由前缀

由给定区域中所有 Cloud Router 路由器应用于该区域内子网的已知路由的保证唯一目的地前缀数量上限。这称为某区域的“来自自有区域”配额。

配额

IPv4 和 IPv6 前缀都会计入此配额。

所有已知路由均计入此配额,包括自定义已知路由和 BGP 收到的路由。

路由按唯一目的地进行分组。目的地相同但下一个跃点不同的路由仅计为一个目的地。目的地相同且下一个跃点也相同的路由也仅计为一个目的地。

对于处于全球动态路由模式的网络,可能会达到其中一个唯一动态路由前缀配额,而不会达到另一个配额。如果超出任一配额,在路由丢失时,您可能会遇到间歇性连接问题。如需了解详情,请参阅已知路由示例

如需详细了解这些配额(包括可用于了解当前用量的指标),请参阅排查 BGP 路由和路由选择问题

仅适用于处于全球动态路由模式的 VPC 网络

每个 VPC 网络中每个区域来自其他区域的唯一 Cloud Router 路由器动态路由前缀

可由不同区域中 Cloud Router 路由器应用于给定区域内子网的已知路由的保证唯一目的地数量上限。这称为某区域的“来自其他区域”配额。

配额

IPv4 和 IPv6 前缀都会计入此配额。

所有已知路由均计入此配额,包括自定义已知路由和 BGP 收到的路由。

路由按唯一目的地进行分组。目的地相同但下一个跃点不同的路由仅计为一个目的地。目的地相同且下一个跃点也相同的路由也仅计为一个目的地。

对于处于全球动态路由模式的网络,可能会达到其中一个唯一动态路由前缀配额,而不会达到另一个配额。如果达到任一配额,则在路由丢失时,您可能会遇到间歇性连接问题。如需了解详情,请参阅已知路由示例

如需详细了解这些配额(包括可用于了解当前用量的指标),请参阅排查 BGP 路由和路由选择问题

限制

如下 Cloud Router 限制适用于 Virtual Private Cloud (VPC) 网络。除非另有说明,否则无法提高这些限制。

设限项 限额 备注
每个 VPC 网络和区域组合的 Cloud Router 路由器数上限 5 如果您有足够的项目配额,那么您在给定的 VPC 网络和区域中最多可以创建 5 个 Cloud Router 路由器。
给定 VPC 网络和区域内每个 Cloud Router 路由器的 BGP 对等体数量上限 128 BGP 对等端可以是以下任何一项:
Cloud Router 路由器从单个 BGP 对等端接受的前缀数上限 5000 如果 BGP 对等端通告的前缀超过 5,000 个,则 Cloud Router 路由器会重置 BGP 会话。
单个 BGP 对等方或方向中所有应用的 BGP 路由政策的术语数上限 1000 此限制不会拆分到多个资源中,而是会合并。单个匹配项或操作表达式的大小、一个术语中的操作数量、单个政策中的术语数量或者政策数量均无限制。
给定 Cloud Router 路由器每个 BGP 会话的子网路由通告数量上限 无限制 Cloud Router 路由器可以通告的子网路由无数量限制。子网路由数量由子网数量决定,而子网数量由 VPC 网络配额和限制控制。
给定 Cloud Router 路由器的每个 BGP 会话的自定义通告路由数量上限 200 如果 Cloud Router 路由器上的所有 BGP 会话的自定义通告路由相同,则此限制即为该 Cloud Router 路由器的唯一 IPv4 和 IPv6 自定义通告路由的总数。在这种情况下,每个会话收到的都是同一组自定义通告路由。
对于给定的 Cloud Router 路由器,编码为 UTF-8 时,此限制是 BGP 路由政策中使用的所有匹配项和操作表达式字面量的总大小上限。 上限为 250 KiB 对于给定的 Cloud Router 路由器,此限制不会拆分到多个资源中,而是会合并。单个匹配项或操作表达式的大小、一个术语中的操作数量、单个 BGP 路由政策中的术语数量或者 BGP 路由政策数量均无限制。
单个 Cloud Router 路由器上每分钟对 list-bgp-routes 调用的查询数上限 1500 此配额来自 compute.googleapis.com/list_requests_per_region。如需了解详情,请参阅速率配额
每个 Cloud Router 路由器的 BGP 路由政策数量上限。 500
给定 BGP 会话的自定义已知路由数上限 10

如需详细了解此功能,请参阅自定义已知路由

VPC 网络中给定区域的可配置为自定义已知路由的唯一 IP 前缀的数量上限。此限制允许在多个对等方上使用相同的范围。

10

如需详细了解此功能,请参阅自定义已知路由

已知路由示例

以下示例展示了在超出“来自自有区域”配额或“来自其他区域”配额时可能会遇到的路由丢弃行为。

假设您在同一 VPC 网络中的 us-east1 区域和 us-west1 区域有 Cloud Router 路由器,并且启用了全局动态路由。每个区域中的每个 Cloud Router 路由器会学习 250 个唯一目的地。为方便对此示例进行说明,每个区域中的每个 Cloud Router 路由器不会学习任何相同的目的地。

无论哪个 Cloud Router 路由器获知每个区域内的路由,每个区域的“来自自有区域”配额都会用尽,因为每个区域中的 Cloud Router 路由器会获知 250 个唯一目的地(总共 250 个)。两个区域的“来自其他区域”配额也会用尽,因为每个 Cloud Router 路由器会从其他区域导入 250 个唯一目的地。如果示例 VPC 网络使用区域动态路由,则每个区域中的“来自其他区域”配额将不适用,因为区域动态路由模式指示 VPC 网络仅在与路由的下一个跃点匹配的区域中创建动态路由。

超出某个区域的“来自自有区域”配额

假设连接到 us-west1 中的 Cloud Router 路由器的本地路由器通告了第 251 个目的地。us-west1 区域中的 Cloud Router 路由器会按照确定性路由顺序选择 251 个唯一目的地中的 250 个。这些路由器会将这 250 个唯一目的地发送到 VPC 网络,从而在 us-west1 区域中创建 250 个动态路由。

由于 VPC 网络使用全球动态路由模式,因此它还会根据每个其他区域的“来自其他区域”唯一目的地配额,在每个其他区域中最多创建 250 个动态路由。下一部分将更详细地介绍其他区域中发生的情况。

超出某个区域的“来自其他区域”配额

us-west1 区域中的 Cloud Router 路由器获知 251 个唯一目的地时,us-west1 的 251 个唯一目的地中有 250 个可供 us-east1 区域中的资源使用,因为 us-east1 区域的“来自其他区域”配额只能接受 250 个唯一目的地。

假设您在同一 VPC 网络的第三个区域 (us-central1) 中创建一个 Cloud Router 路由器。假设新的 Cloud Router 路由器从其 BGP 对等端学习了 10 个唯一目的地。尽管未超出 us-central1 区域的“来自自有区域”配额,但由于其他两个区域总共提供了 500 个唯一目的地(us-east1 提供了 250 个,us-west1 提供了另外 250 个),因此超出了 us-central1 区域的“来自其他区域”配额。

确定性路由顺序会按照区域,为其他区域中不超过 250 个唯一目的地选择路由,如下表所示。

区域 区域内的本地唯一目的地
(使用区域的“来自自有区域”配额)
其他区域的唯一目的地
(使用区域的“来自其他区域”配额)
us-west1

收到 251 个。确定性路由顺序选择了 251 个中的 250 个,并丢弃一个。在 us-west1 中创建了 250 个下一个跃点在 us-west1 中的动态路由。

选择的 250 个前缀与其他区域共享。

收到 260 个(us-east1 中 250 个,us-central1 中 10 个)。确定性路由顺序选择了 260 个中的 250 个,并丢弃 10 个。

us-west1 中创建了 250 个下一个跃点在 us-west1 之外的动态路由。

us-east1

收到 250 个。确定性路由顺序选择所有 250 个。在 us-east1 中创建了 250 个下一个跃点在 us-east1 中的动态路由。

选择的所有 250 个前缀与其他区域共享。

收到 260 个(us-west1 中 250 个,us-central1 中 10 个)。确定性路由顺序选择了 260 个中的 250 个,并丢弃 10 个。

us-east1 中创建了 250 个下一个跃点在 us-east1 之外的动态路由。

us-central1

已收到 10 个。确定性路由顺序选择所有 10 个。在 us-central1 中创建了 10 个下一个跃点在 us-central1 中的动态路由。

选择的所有 10 个前缀与其他区域共享。

收到 500 个(us-west1 中 250 个,us-east1 中 250 个)。确定性路由顺序选择了 500 个中的 250 个,并丢弃 250 个。

us-central1 中创建了 250 个下一个跃点在 us-central1 之外的动态路由。

虽然超出了 us-central1 区域的“来自其他区域”配额,但其“来自自有区域”配额可以接受下一个跃点位于 us-central1 区域中的目的地。

确定性路由丢弃行为

Cloud Router 路由器根据收到的每个前缀的子网掩码长度和字典特征来实施确定性路由丢弃行为。在每个区域内,以下过程独立应用于该区域的“来自自有区域”目的地列表和该区域的“来自其他区域”唯一目的地列表:

  • 列表首先按子网掩码长度由短到长排序,然后按字典顺序排列。例如,10.0.0.0/8 排在 10.2.1.0/24 之前,后者排在 10.99.1.0/24 之前。

  • 列表中的前 250 个条目会被保留。所有其他条目则被舍弃。

超出某个区域的“来自其他区域”配额中所述,确定性丢弃行为会独立应用于每个区域的“来自自有区域”配额和每个区域的“来自其他区域”配额。

确定性路由丢弃行为会产生以下后果:

  • 如果同时收到 IPv4 和 IPv6 前缀,则在超出唯一目的地配额时,Cloud Router 路由器通常会先舍弃 IPv6 前缀。这是因为 IPv6 最常见的最短子网掩码长度 (/48) 超过 IPv4 的最长子网掩码长度 (/32)。

  • 如果在每个区域中学习的前缀集保持不变,Google Cloud 会基于 VPC 网络的动态路由模式,在每个区域中设置一组一致的本地动态路由。Cloud Router 任务重启时,这种一致性(包括 Cloud Router 路由器丢弃的路由)会得到保留。

避免丢弃路由

在路由丢失期间,丢弃前缀的连接中断。为避免路由丢弃,请使用 Cloud Monitoring 或 Cloud Logging 监控每个区域的“来自自有区域”和“来自其他区域”的前缀使用情况,并确保其通告的唯一目的地数量不会超出每个配额。

请考虑汇总路由,以减少唯一目的地的数量。例如,如果您有四个子网 10.10.10.0/2410.10.10.1/2410.10.10.2/2410.10.10.3/24,则可以将它们汇总为一个前缀 10.10.0.0/22

如果无法进行汇总,请与您的 Google Cloud 销售团队联系以讨论替代方案。

路由器设备

配额

适用于 Cloud Router 网络路由的配额也适用于连接到 Network Connectivity Center Hub 的路由器设备路由。

如需了解详情,请参阅 Cloud Router 配额

限制

Cloud Router 路由器的以下限制也适用于路由器设备:

  • 每个 VPC 网络和区域组合的 Cloud Router 路由器数上限
  • 给定 VPC 网络和区域内每个 Cloud Router 路由器的 BGP 对等体数量上限

如需了解详情,请参阅 Cloud Router 路由器限制

Network Connectivity Center

配额

适用于 Cloud Router 的网络路由的配额也适用于 Network Connectivity Center 的中心辐射式结构。如需了解详情,请参阅 Cloud Router 配额和限制

配额 备注
每个项目的 Hub 数 配额 每个项目(全球)
每个项目在每个区域的 Cloud VPN 隧道 Spoke 数量 配额 每个区域中每个项目:仅支持高可用性 VPN 隧道
每个区域中每个项目的 Cloud Interconnect VLAN 连接 Spoke 数量 配额 每个区域中每个项目的情况
每个区域中每个项目的路由器设备 spoke 数量 配额 每个区域中每个项目的情况
每个项目的 VPC spoke 数量 配额 包括 VPC spoke(边缘 spoke 和中心 spoke 加起来),即使它们未连接到任何 hub。

每个 Hub 的活跃 VPC Spoke 数量

配额

仅适用于已接受 Hub 的 VPC Spoke;不适用于待处理或已被拒绝的 VPC spoke。

每个 hub 路由表的子网路由数量

配额 仅适用于具有 VPC spoke 的 Hub

限制

Network Connectivity Center 实施以下用量限额。

资源项
可链接到某个 Spoke 的 VPN 隧道数 8
可链接到某个 Spoke 的 VLAN 连接数 6
可关联到某个 Spoke 的路由器设备实例数 8
每个 hub 的活跃 VPC spoke 数量 250
每个 Hub 的 VPC Spoke(活跃和非活跃)数量上限 1000
每个 Spoke 的导出过滤条件数 16
每个 Network Connectivity Center 中心支持的路由 VPC 数量上限 40
每个 Hub 路由表的动态路由数量 500

管理配额

出于各种原因,Google Cloud 会对资源用量实施配额限制。例如,配额可避免出现意料之外的用量突增,从而为 Google Cloud 用户社区提供保护。配额还可帮助正在通过免费层级探索 Google Cloud 的用户避免中断试用。

所有项目在开始时都具有相同的配额,您可以通过申请更多配额来进行更改。根据您使用产品的情况,一些配额可能会自动增加。

权限

如需查看配额或申请增加配额,Identity and Access Management (IAM) 主账号需要具备以下某个角色:

任务 所需角色
检查项目的配额 以下之一:
修改配额,申请更多配额 以下之一:
  • Project Owner (roles/owner)
  • Project Editor (roles/editor)
  • Quota Administrator (roles/servicemanagement.quotaAdmin)
  • 具有 serviceusage.quotas.update 权限的自定义角色

查看您的配额

控制台

  1. 在 Google Cloud 控制台中,转到配额页面。

    转到“配额”

  2. 如需搜索要更新的配额,请使用过滤表。 如果您不知道配额的名称,请使用此页面上的链接。

gcloud

使用 Google Cloud CLI 运行以下命令来查看您的配额。请将 PROJECT_ID 替换为您自己的项目 ID。

    gcloud compute project-info describe --project PROJECT_ID

如需查看您在某一区域中已使用的配额,请运行以下命令:

    gcloud compute regions describe example-region
    

超出配额时引发的错误

如果在发出 gcloud 命令时超过了配额,gcloud 会显示一条 quota exceeded 错误消息,并返回退出代码 1

如果在发出 API 请求时超出了配额,Google Cloud 会返回以下 HTTP 状态代码:413 Request Entity Too Large

申请更多配额

如需调整大多数配额,请使用 Google Cloud 控制台。如需了解详情,请参阅申请配额调整

控制台

  1. 在 Google Cloud 控制台中,转到配额页面。

    转到“配额”

  2. 配额页面上,选择您要更改的配额。
  3. 点击位于页面顶部的修改配额
  4. 名称部分,输入名称。
  5. 可选:在手机部分,输入手机号码。
  6. 提交您的申请。 配额申请需要 24 到 48 小时才能完成处理。

资源可用性

每个配额代表您可以创建的特定类型资源的数量上限(如果该资源可用)。必须要注意的是,配额无法保证资源可用性。即使您具有可用配额,如果新资源不可用,您也无法创建新资源。

例如,您的配额可能足以在 us-central1 区域中创建新的区域性外部 IP 地址。但是,如果该区域中没有可用的外部 IP 地址,则无法执行此操作。可用区级资源可用性也会影响您能否创建新资源。

导致资源在整个区域不可用的情况非常罕见。但是,地区内的资源有时可能会耗尽,通常不会影响资源类型的服务等级协议 (SLA)。如需了解详情,请参阅资源的相关 SLA。