割り当てと上限

このドキュメントでは、Cloud NAT に適用される割り当てとシステムの上限を示します。

• 割り当ては、使用できるカウント可能な共有リソースの量を指定します。割り当ては、Cloud NAT などの Trusted Cloud by S3NS サービスによって定義されます。
• システムの上限は固定値で、変更できません。

特定の割り当てまたは上限はリソースごとに計算されます。割り当てと上限は、プロジェクトごと、ネットワークごと、リージョンごと、またはその他のリソースごとに適用されます。NAT IP アドレスを NAT ゲートウェイ間で共有することはできません。

Trusted Cloud by S3NS では、割り当てを使用して公平性を確保し、リソースの使用量と可用性の急増を抑えます。割り当ては、 Trusted Cloud プロジェクトで使用できるTrusted Cloud リソースの量を制限します。割り当ては、ハードウェア、ソフトウェア、ネットワーク コンポーネントなど、さまざまなリソースタイプに適用されます。たとえば、割り当てによって、サービスへの API 呼び出しの数、プロジェクトで同時に使用されるロードバランサの数、作成可能なプロジェクトの数を制限できます。割り当てを適用することで、サービスの過負荷を防ぎ、Trusted Cloud ユーザーのコミュニティを保護します。割り当ては、自組織で使用している Trusted Cloud リソースの管理にも役立ちます。

Cloud Quotas システムは次のことを行います。

• Trusted Cloud のプロダクトとサービスの消費量をモニタリングする
• これらのリソースの消費量を制限する
• 割り当て値の変更をリクエストし、割り当ての調整を自動化する手段を提供する

ほとんどの場合、割り当ての許容量を超えるリソースを消費しようとすると、システムによってリソースへのアクセスがブロックされ、実行しようとしているタスクは失敗します。

割り当ては通常、 Trusted Cloud プロジェクト レベルで適用されます。あるプロジェクトでリソースを使用しても、別のプロジェクトで使用可能な割り当てに影響することはありません。 Trusted Cloud プロジェクト内では、すべてのアプリケーションと IP アドレスで割り当てが共有されます。

Cloud NAT リソースにはシステムの上限もあります。システムの上限は変更できません。

割り当て

Cloud NAT に影響する割り当てについては、Cloud Router の割り当てページをご覧ください。

上限

項目	上限	注
NAT ゲートウェイ	1 Cloud Router あたり 50 個	ネットワークごとに、1 リージョンあたり 5 個の Cloud Router インスタンスまで使用できます。つまり、Virtual Private Cloud（VPC）ネットワークごとに 1 リージョンあたり最大 250 個の Cloud NAT ゲートウェイを設置できます。Cloud Router の割り当てについては、Cloud Router のドキュメントをご覧ください。
1 ゲートウェイあたりの NAT IP アドレス数	手動設定アドレス 300 個 自動割り当てアドレス 2,500 個	NAT ゲートウェイに設定できる外部 IP アドレスの最大数です。ただしこの値は、静的 IP アドレスと使用中の IP アドレスの VPC のプロジェクトごとの割り当てによって異なります。
サブネットの範囲	1 ゲートウェイあたり 50 個	サブネットの範囲のカスタムリストを構成するときにゲートウェイに関連付けることができるサブネットの最大数。各サブネットにはプライマリ IPv4 範囲と 1 つ以上のセカンダリ範囲を設定できるため、サブネットの範囲の数が上限を超えることがあります。 すべてのサブネットのプライマリ範囲に対して、またはすべてのサブネットのプライマリ範囲とセカンダリ範囲に対して NAT を構成している場合、この上限は適用されません。
NAT ルール	1 ゲートウェイあたり 50 個	この上限を超えると、API からエラーが返されます。
NAT ルールごとのアクティブな IP アドレス数	300
ルールごとの CEL 式の文字数	2,048
Cloud Router インスタンスごとの CEL 式の文字数	500,000

制限事項

• 以前の DNS サーバーなどの一部のサーバーでは、セキュリティ強化のため UDP ポートを 64,000 個のポートの間でランダム化する必要があります。Cloud NAT では 64 個またはユーザーが指定した数のポートから 1 つがランダムに選択されるため、こうしたサーバーでは Cloud NAT を使用せず、外部 IP アドレスを割り当てることをおすすめします。Cloud NAT では外部から開始された接続が許可されないため、いずれにしてもこれらのサーバーのほとんどで外部 IP アドレスを使用する必要があります。

• 以前のネットワークでは Cloud NAT を利用できません。

• Cloud NAT はアプリケーション レベル ゲートウェイ（ALG）機能を提供しません。Cloud NAT は、FTP や SIP などのアプリケーション レイヤ プロトコルのパケットデータ内にある IP アドレスとポート情報を更新しません。

• Cloud NAT ゲートウェイは、NAT サービスを提供する VM ネットワーク インターフェースごとに NAT 接続トラッキング テーブルを実装します。各接続トラッキング テーブルのエントリは、ゲートウェイでサポートされているプロトコルの 5 タプルハッシュです。

  各接続トラッキング テーブルのエントリは、関連する NAT タイムアウトまでは、ほぼ存続します。NAT タイムアウトの詳細については、NAT タイムアウトをご覧ください。

  VM に関連付けられたすべての NAT 接続の接続トラッキング テーブル エントリの最大数は 65,535 です。この最大接続数は、ゲートウェイが VM のすべてのネットワーク インターフェースにわたってサポートするすべてのプロトコルの接続の合計接続数です。

• アイドル接続のタイムアウトが短いものは機能しない可能性があります。

  NAT マッピングは、有効期限切れや構成の変更がないか 30 秒ごとに確認されます。接続タイムアウトの値を 5 秒に設定していても、平均で 15 秒間、遅い場合は 30 秒間接続できない場合があります。