配額與限制
本文列出 Cloud NAT 適用的配額和系統限制。
- 「配額」會指定您可使用的可計數共用資源數量。配額是由 Trusted Cloud by S3NS 服務 (例如 Cloud NAT) 定義。
- 系統限制為固定值,無法變更。
配額或限制是按照資源計算,計算方式可能會「依專案」、「依網路」、「依區域」或依其他資源而有所不同。不同的 NAT 閘道無法共用同一個 NAT IP。
Trusted Cloud by S3NS 會使用配額來確保公平性,並減少資源使用量和可用性的尖峰情形。配額會限制 Trusted Cloud 專案可使用的Trusted Cloud 資源數量。配額適用於多種資源類型,包括硬體、軟體和網路元件。舉例來說,配額可以限制向服務發出的 API 呼叫數、專案並行使用的負載平衡器數量,或可建立的專案數量。限制配額可預防服務超載,進而保障Trusted Cloud 使用者社群的權益。配額也能協助您管理自己的 Trusted Cloud 資源。
Cloud 配額系統會執行以下作業:
在大多數情況下,如果您嘗試使用的資源超過配額限制,系統會封鎖對該資源的存取權,而您要執行的任務也會失敗。
配額通常會套用至 Trusted Cloud 專案層級。您在一個專案中使用資源,不會影響其他專案的可用配額。在 Trusted Cloud 專案中,所有應用程式和 IP 位址都會共用配額。
Cloud NAT 資源也有系統限制。系統限制無法變更。
配額
如要查看會影響 Cloud NAT 的配額規定,請參閱 Cloud Router 配額頁面。
限制
| 項目 | 限制 | 附註 |
|---|---|---|
| NAT 閘道數量 | 每個 Cloud Router 50 個 | 在單一區域中,每個網路最多支援 5 個 Cloud Router 執行個體。也就是說,在各個虛擬私有雲網路的個別區域中,最多可以建立 250 個 Cloud NAT 閘道。如要查看 Cloud Router 的配額規定,請參閱 Cloud Router 說明文件。 |
| 個別閘道的 NAT IP 位址數量 | 300 個手動指派的位址 2,500 個系統自動分配的位址 |
可在同一個 NAT 閘道中指派的外部 IP 位址數量上限。不過,這個值取決於 VPC 的每個專案靜態 IP 位址和使用中的 IP 位址配額。 |
| 子網路範圍 | 每個閘道 50 個 | 設定自訂子網路範圍清單時,可與閘道建立關聯的子網路數量上限。每個子網路可能都有一個主要 IPv4 範圍和一或多個次要範圍,因此子網路範圍的數量可能會超過限制。 如果您已為所有子網路的主要範圍或所有子網路的主要和次要範圍設定 NAT,則不受這項限制。 |
| 網路位址轉譯 (NAT) 規則 | 每個閘道 50 個 | 如果超過此限制,API 會傳回錯誤。 |
| 每個 NAT 規則的有效 IP 位址 | 300 | |
| 每項規則的 CEL 運算式字元 | 2,048 | |
| 每個 Cloud Router 執行個體的 CEL 運算式中的字元 | 500,000 |
限制
以舊版 DNS 伺服器等特定伺服器來說,為了提高安全性,系統會強制在 64,000 個通訊埠中實行 UDP 通訊埠隨機選取機制。由於 Cloud NAT 會從 64 個或使用者設定的連接埠數量中,選取一個隨機連接埠,因此建議您為這些伺服器指派外部 IP 位址,而非使用 Cloud NAT。由於 Cloud NAT 不允許從外部啟動的連線,因此這些伺服器大多需要使用外部 IP 位址。
Cloud NAT 不適用於舊版網路。
Cloud NAT 不提供應用程式層閘 (ALG) 功能,也就是說,Cloud NAT 不會更新封包資料中 FTP 和 SIP 等應用程式層通訊協定中的 IP 位址和連接埠資訊。
Cloud NAT 閘道會為提供 NAT 服務的每個 VM 網路介面實作 NAT 連線追蹤表。每個連線追蹤表中的項目都是閘道支援的通訊協定 5 元組雜湊。
每個連線追蹤表中的項目會保留約等於相關 NAT 逾時時間的時間。如要進一步瞭解 NAT 逾時,請參閱「NAT 逾時」。
與 VM 相關聯的所有 NAT 連線的連線追蹤表項目數量上限為 65,535。這個上限涵蓋閘道支援的所有通訊協定,以及 VM 上所有網路介面的連線總和。
小型閒置連線的逾時機制可能無法發揮作用。
系統每 30 秒會檢查一次 NAT 對應關係,以便找出過期的連線和設定異動。即便所用連線逾時值為 5 秒,還是有可能暫時無法取得連線 (通常為 15 秒,在最不理想的情況下可能多達 30 秒)。