配额和限制
本文档列出了适用于 Cloud NAT 的配额和系统限制。
- 配额用于指定您可以使用的可计数共享资源的数量。配额由 Cloud NAT 等 Trusted Cloud by S3NS 服务定义。
- 系统限制是无法更改的固定值。
给定的配额或限制按资源计算。配额和限制可能按项目、网络、区域或其他资源来设置。NAT IP 地址无法在 NAT 网关之间共享。
Trusted Cloud by S3NS 使用配额来帮助确保公平性并减少资源使用和可用性的激增。配额用于限制您的 Trusted Cloud 项目可使用的Trusted Cloud 资源的数量。配额适用于一系列资源类型,包括硬件、软件和网络组件。例如,配额可以限制对某项服务的 API 调用次数、您的项目并发使用的负载均衡器数量或者您可以创建的项目数量。配额可以防止服务过载,从而保护Trusted Cloud 用户社区。配额还可以帮助您管理自己的 Trusted Cloud 资源。
Cloud 配额系统执行以下操作:
在大多数情况下,当您尝试消耗的资源超出其配额允许的范围时,系统会阻止对资源的访问,并且您尝试执行的任务会失败。
配额通常在 Trusted Cloud 项目级层应用。您在一个项目中使用资源不会影响您在另一个项目中的可用配额。在 Trusted Cloud 项目中,配额在所有应用和 IP 地址间共享。
Cloud NAT 资源也有系统限制。系统限制不能更改。
配额
如需了解影响 Cloud NAT 的配额,请参阅 Cloud Router 配额页面。
限制
| 项 | 限制 | 备注 |
|---|---|---|
| NAT 网关 | 每个 Cloud Router 路由器 50 个 | 每个网络每个区域最多支持 5 个 Cloud Router 实例,因此每个虚拟私有云 (VPC) 网络每个区域最多可以有 250 个 Cloud NAT 网关。如需了解 Cloud Router 配额,请参阅 Cloud Router 文档。 |
| 每个网关的 NAT IP 地址 | 300 个手动地址 2500 个自动分配的地址 |
每个 NAT 网关可以拥有的外部 IP 地址的数量上限。不过,此值取决于静态 IP 地址和正在使用的 IP 地址 VPC 每个项目的配额。 |
| 子网范围 | 每个网关 50 个 | 配置自定义子网范围列表时,可与网关关联的子网数上限。子网范围的数量可能超过该限值,因为每个子网可以具有一个主要 IPv4 范围以及一个或多个次要范围。 如果您为所有子网的主要范围或所有子网的主要范围和次要范围配置了 NAT,则此限制不适用。 |
| NAT 规则 | 每个网关 50 个 | 如果超出此限制,API 将返回错误。 |
| 每条 NAT 规则的活跃 IP 地址数 | 300 | |
| 每条规则的 CEL 表达式中的字符 | 2048 | |
| 每个 Cloud Router 路由器实例的 CEL 表达式中的字符 | 50 万 |
限制
一些服务器(例如旧式 DNS 服务器)要求从 64,000 个 UDP 端口中随机选择端口,以增强安全性。由于 Cloud NAT 会从 64(或用户配置的数量)个端口中随机选择一个,因此最好为此类服务器分配一个外部 IP 地址,而不是使用 Cloud NAT。这是因为 Cloud NAT 不允许从外部发起连接,因此即使不考虑这一点,大多数此类服务器原本也需要使用一个外部 IP 地址。
Cloud NAT 不适用于旧版网络。
Cloud NAT 不提供应用级网关 (ALG) 功能,即 Cloud NAT 不会更新 FTP 和 SIP 等应用层协议的数据包数据中的 IP 地址和端口信息。
Cloud NAT 网关会为其提供 NAT 服务的每个虚拟机网络接口实施 NAT 连接跟踪表。每个连接跟踪表中的条目都是网关支持的协议的 5 元组哈希。
每个连接跟踪表中的条目的保留时间与相关 NAT 超时时间大致相同。如需详细了解 NAT 超时,请参阅 NAT 超时。
与虚拟机关联的所有 NAT 连接的连接跟踪表条目数上限为 65,535。此上限涵盖了网关支持的所有协议在虚拟机的所有网络接口上的连接总数。
设置较短的空闲连接超时值可能不起作用。
系统会每 30 秒检查一次 NAT 映射是否存在过期和配置更改情况,因此,即使使用 5 秒钟的连接超时值,连接也可能会在长达 30 秒的时间内不可用(这属于最坏的情况,平均时长为 15 秒)。