Algumas ou todas as informações nesta página podem não se aplicar à nuvem confiável da S3NS.
Cotas e limites
Este documento lista as cotas e os limites do sistema que se aplicam ao
Cloud NAT.
- As cotas especificam a quantidade de um recurso compartilhado e contável que pode ser usado. As cotas são definidas por Trusted Cloud by S3NS serviços, como o
NAT do Cloud.
- Os limites do sistema são valores fixos que não podem ser alterados.
Uma cota ou um limite determinado é calculado por recurso. As cotas e limites podem ser por projeto, por rede, por região ou por outro recurso. Endereços IP
NAT não podem ser compartilhados entre gateways NAT.
Trusted Cloud by S3NS usa cotas para garantir a imparcialidade e reduzir
picos no uso e na disponibilidade de recursos. Uma cota restringe quanto de um
Trusted Cloud recurso o projeto Trusted Cloud pode usar. As cotas
se aplicam a vários tipos de recursos, incluindo hardware, software e componentes de rede. Por exemplo, as cotas podem restringir o número de chamadas de API para um
serviço, o número de balanceadores de carga usados simultaneamente pelo projeto ou o
número de projetos que podem ser criados. As cotas protegem a comunidade de
usuários doTrusted Cloud , impedindo a sobrecarga de serviços. As cotas também
ajudam você a gerenciar seus próprios recursos Trusted Cloud .
O sistema de cotas do Cloud faz o seguinte:
Na maioria dos casos, quando você tenta consumir mais de um recurso do que a cota
permite, o sistema bloqueia o acesso ao recurso e a tarefa que
você está tentando executar falha.
As cotas geralmente se aplicam ao nível do projeto Trusted Cloud . O uso de um recurso em um projeto não afeta
a cota disponível em outro. Em um projeto Trusted Cloud , as cotas
são compartilhadas entre todos os aplicativos e endereços IP.
Também há limites de sistema para os recursos do Cloud NAT.
Não é possível alterar os limites.
Cotas
Consulte a páginas de cotas do
Cloud Router para verificar quais delas afetam o Cloud NAT.
Limites
| Item |
Limite |
Observações |
| Gateways de NAT |
50 por Cloud Router |
Cada rede aceita até cinco instâncias de Cloud Router por
região, então é possível ter até 250 gateways do Cloud NAT por
rede de nuvem privada virtual (VPC) em cada região. Para mais informações sobre cotas,
consulte a documentação
do Cloud Router. |
| Endereços IP de NAT por gateway |
300 endereços manuais
2.500 endereços alocados automaticamente |
O número máximo de endereços IP externos que um gateway de NAT
pode ter. No entanto, esse valor depende das cotas de endereços IP estáticos
e de endereços IP em uso
da VPC por projeto. |
| Intervalos de sub-rede |
50 por gateway |
O número máximo de sub-redes que pode ser associado a um gateway ao
configurar uma lista personalizada de intervalos de sub-redes. O número de intervalos de sub-redes
pode ser maior que o limite porque cada sub-rede pode ter um intervalo IPv4 principal
e um ou mais intervalos secundários.
Se você tiver configurado o NAT para intervalos principais de todas as sub-redes
e intervalos principais e secundários para todas as sub-redes, esse limite não será aplicado. |
| Regras NAT |
50 por gateway |
Se esse limite for excedido, a API retornará um erro. |
| Endereços IP ativos por regra NAT |
300 |
|
| Caracteres em expressões CEL por regra |
2.048 |
|
| Caracteres em expressões CEL por instância do Cloud Router |
500.000 |
|
Limitações
Alguns servidores, como os de DNS legados, exigem que a porta UDP seja selecionada aleatoriamente entre
64 mil portas para aumentar a segurança. Como o Cloud NAT seleciona uma porta aleatória
de uma das 64 portas ou de um número configurado pelo usuário, é melhor atribuir
um endereço IP externo a esses servidores em vez de usar o Cloud NAT.
Como o Cloud NAT não permite conexões iniciadas de fora,
a maioria desses servidores precisa usar um endereço IP externo.
O Cloud NAT não está disponível para redes legadas.
O Cloud NAT não oferece recursos de gateway de nível de aplicativo (ALG). Ele não atualiza o endereço IP e as informações da porta nos dados do pacote para protocolos de camada do aplicativo, como FTP e SIP.
Os gateways do Cloud NAT implementam tabelas de rastreamento de conexão NAT para cada interface de rede de VM em que eles fornecem serviços NAT. As entradas em cada tabela de rastreamento de conexão são hashes de 5 tuplas para os protocolos compatíveis do gateway.
As entradas em cada tabela de rastreamento de conexão persistem por aproximadamente o tempo limite de NAT relevante. Saiba mais sobre os tempos limite de NAT em
Tempos limite de NAT.
O número máximo de entradas na tabela de rastreamento de conexão para todas as conexões
NAT associadas a uma VM é 65.535. Esse valor máximo abrange as conexões,
no agregado, de todos os protocolos compatíveis com o gateway em todas as interfaces
de rede da VM.
O tempo limite curto de conexão inativa pode não funcionar.
Mapeamentos de NAT são verificados a cada 30 segundos em busca de expirações e mudanças de
configuração. Mesmo que o tempo limite de cinco segundos para uma conexão seja usado, ela
ficará indisponível por até 30 segundos na pior das hipóteses e
por 15 segundos em um caso comum.
Exceto em caso de indicação contrária, o conteúdo desta página é licenciado de acordo com a Licença de atribuição 4.0 do Creative Commons, e as amostras de código são licenciadas de acordo com a Licença Apache 2.0. Para mais detalhes, consulte as políticas do site do Google Developers. Java é uma marca registrada da Oracle e/ou afiliadas.
Última atualização 2025-08-19 UTC.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Não contém as informações de que eu preciso","missingTheInformationINeed","thumb-down"],["Muito complicado / etapas demais","tooComplicatedTooManySteps","thumb-down"],["Desatualizado","outOfDate","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Problema com as amostras / o código","samplesCodeIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-19 UTC."],[],[],null,["# Quotas and limits\n=================\n\nThis document lists the quotas and system limits that apply to\nCloud NAT.\n\n- *Quotas* specify the amount of a countable, shared resource that you can use. Quotas are defined by Google Cloud services such as Cloud NAT.\n- *System limits* are fixed values that cannot be changed.\n\nA given quota or limit is calculated per resource. Quotas and limits may be\n*per project* , *per network* , *per region* , or per another resource. NAT IP\naddresses can't be shared between NAT gateways. To change a quota, see\n[requesting additional quota](#requesting-additional-quota).\n\nGoogle Cloud uses quotas to help ensure fairness and reduce\nspikes in resource use and availability. A quota restricts how much of a\nGoogle Cloud resource your Google Cloud project can use. Quotas\napply to a range of resource types, including hardware, software, and network\ncomponents. For example, quotas can restrict the number of API calls to a\nservice, the number of load balancers used concurrently by your project, or the\nnumber of projects that you can create. Quotas protect the community of\nGoogle Cloud users by preventing the overloading of services. Quotas also\nhelp you to manage your own Google Cloud resources.\n\nThe Cloud Quotas system does the following:\n\n- Monitors your consumption of Google Cloud products and services\n- Restricts your consumption of those resources\n- Provides a way to [request changes to the quota value](/docs/quotas/help/request_increase) and [automate quota adjustments](/docs/quotas/quota-adjuster)\n\nIn most cases, when you attempt to consume more of a resource than its quota\nallows, the system blocks access to the resource, and the task that\nyou're trying to perform fails.\n\nQuotas generally apply at the Google Cloud project\nlevel. Your use of a resource in one project doesn't affect\nyour available quota in another project. Within a Google Cloud project, quotas\nare shared across all applications and IP addresses.\n\n\nThere are also *system limits* on Cloud NAT resources.\nSystem limits can't be changed.\n\nQuotas\n------\n\nFor quotas that affect Cloud NAT, see the Cloud Router\n[quotas](/network-connectivity/docs/router/quotas) page.\n\nLimits\n------\n\nLimitations\n-----------\n\n- Some servers such as legacy DNS servers require UDP port randomization among\n 64,000 ports for enhanced security. Because Cloud NAT selects a random\n port from one of 64 or a user-configured number of ports, it is best to assign\n an external IP address to these servers instead of using Cloud NAT.\n Because Cloud NAT doesn't allow connections initiated from outside,\n most of these servers are required to use an external IP address anyway.\n\n- Cloud NAT isn't available for legacy networks.\n\n- Cloud NAT doesn't provide application-level gateway (ALG)\n capabilities---Cloud NAT doesn't update the IP address and port\n information in the packet data for application layer protocols such as\n FTP and SIP.\n\n- Cloud NAT gateways implement NAT connection tracking tables for each\n VM network interface on which it provides NAT services. Entries in each\n connection tracking table are 5-tuple hashes for the gateway's supported\n protocols.\n\n Entries in each connection tracking table persist for about as long as the\n relevant NAT timeout. For more information about NAT timeouts, see\n [NAT timeouts](/nat/docs/tune-nat-configuration#nat-timeouts).\n\n The maximum number of connection tracking table entries for all NAT\n connections associated with a VM is 65,535. This maximum covers connections,\n in aggregate, for all protocols that the gateway supports, across all network\n interfaces of the VM.\n- Small idle connection timeouts might not work.\n\n NAT mappings are checked every 30 seconds for expiration and configuration\n change. Even if a connection timeout value of 5 seconds is used, the\n connection may not be available for up to 30 seconds in the worst case, and\n 15 seconds in the average case.\n\nManage quotas\n-------------\n\nCloud NAT enforces quotas on resource usage for various reasons.\nFor example, quotas protect the community of Google Cloud users by\npreventing unforeseen spikes in usage. Quotas also help users who are exploring\nGoogle Cloud with the\n[free tier](/free/docs/gcp-free-tier)\nto stay within their trial.\n\nAll projects start with the same quotas, which you can change by\n[requesting additional quota](#requesting-additional-quota). Some quotas might increase\nautomatically based on your use of a product.\n\n### Permissions\n\nTo view quotas or request quota increases, Identity and Access Management (IAM) principals need one of the\nfollowing roles.\n\n### Check your quota\n\n### Console\n\n1. In the Google Cloud console, go to the **Quotas** page.\n\n [Go to Quotas](https://console.cloud.google.com/iam-admin/quotas)\n2. To search for the quota that you want to update, use the **Filter table**. If you don't know the name of the quota, use the links on this page instead.\n\n### gcloud\n\nUsing the Google Cloud CLI, run the following command to\ncheck your quotas. Replace \u003cvar translate=\"no\"\u003ePROJECT_ID\u003c/var\u003e with your own project ID. \n\n```\n gcloud compute project-info describe --project PROJECT_ID\n```\n\nTo check your used quota in a region, run the following command: \n\n```\n gcloud compute regions describe example-region\n \n```\n\n### Errors when exceeding your quota\n\nIf you exceed a quota with a `gcloud` command,\n`gcloud` outputs a `quota exceeded` error\nmessage and returns with the exit code `1`.\n\nIf you exceed a quota with an API request, Google Cloud returns the\nfollowing HTTP status code: `413 Request Entity Too Large`.\n\n### Request additional quota\n\nTo adjust most quotas, use the Google Cloud console.\nFor more information, see\n[Request a quota adjustment](/docs/quotas/help/request_increase).\n\n### Resource availability\n\nEach quota represents a maximum number for a particular type of resource that you can create,\nif that resource is available. It's important to note that quotas *don't*\nguarantee resource availability. Even if you have available quota, you can't create\na new resource if it is not available.\n\nFor example, you might have sufficient quota to create a new regional, external IP address\nin a given region. However, that is not possible if there are no\navailable external IP addresses in that region. Zonal resource\navailability can also affect your ability to create a new resource.\n\nSituations where resources are unavailable in an entire region are rare. However, resources\nwithin a zone can be depleted from time to time, typically without impact to the service level\nagreement (SLA) for the type of resource. For more information, review the relevant SLA for the\nresource."]]
