配額與限制

這份文件列出 Cloud NAT 適用的配額和系統限制。

  • 「配額」有預設值,但通常可以申請調整。
  • 「系統限制」是固定值,無法變更。

配額或限制是按照資源計算,計算方式可能會「依專案」、「依網路」、「依區域」或依其他資源而有所不同。不同的 NAT 閘道無法共用同一個 NAT IP 位址。

Cloud de Confiance by S3NS 使用配額來確保公平性,並減少資源使用量和可用性出現劇烈波動的情況。配額會限制 Cloud de Confiance 專案可使用的Cloud de Confiance 資源數量,且適用多種資源類型,包括軟硬體和網路元件。舉例來說,配額可能會限制能向特定服務發出的 API 呼叫次數、專案可同時使用的負載平衡器數量,或是可建立的專案數量。配額機制可防止服務過載,保障Cloud de Confiance 使用者社群的權益,同時也有助於您管理自己的 Cloud de Confiance 資源。

Cloud Quotas 系統具備以下功能:

如果嘗試使用的資源量超過配額限制,系統通常會阻擋該資源的存取活動,您所執行的工作就會失敗。

配額的計算通常是以 Cloud de Confiance 專案為基準。在某個專案中使用資源,不會影響另一個專案的可用配額。在同一個 Cloud de Confiance 專案內,所有應用程式和 IP 位址會共用配額。

詳情請參閱「Cloud Quotas 總覽」。

Cloud NAT 資源也有「系統限制」, 而且無法變更。

配額

如要查看會影響 Cloud NAT 的配額規定,請參閱 Cloud Router 配額頁面。

限制

項目 限制 附註
NAT 閘道數量 每個 Cloud Router 50 個 在單一區域中,每個網路最多支援 5 個 Cloud Router 執行個體。也就是說,在各個虛擬私有雲端 (VPC) 網路的個別區域中,最多可以建立 250 個 Cloud NAT 閘道。如要查看 Cloud Router 的配額規定,請參閱 Cloud Router 說明文件
個別閘道的 NAT IP 位址數量

300 個手動指派的位址

2,500 個系統自動分配的位址

可在同一個 NAT 閘道中指派的外部 IP 位址數量上限。不過,這個值取決於靜態 IP 位址使用中的 IP 位址每個專案的 VPC 配額。
子網路範圍 每個閘道 50 個

設定子網路範圍的自訂清單時,可以與閘道建立關聯的子網路數量上限。子網路範圍的數量可能超過上限,因為每個子網路可以有一個主要 IPv4 範圍,以及一或多個次要範圍。

如果您已為所有子網路的主要範圍或主要和次要範圍設定 NAT,則不適用這項限制。

網路位址轉譯 (NAT) 規則

每個閘道 150 個

每個 Cloud Router 2,500 個

如果超過上限,API 會傳回錯誤。
每個 NAT 規則的使用中 IP 位址 300
每項規則的 CEL 運算式字元數 2,048
每個 Cloud Router 執行個體的 CEL 運算式字元數 500,000

注意事項

  • 以舊版 DNS 伺服器等特定伺服器來說,為了提高安全性,系統會強制在 64,000 個通訊埠中實行 UDP 通訊埠隨機選取機制。由於 Cloud NAT 會從 64 個或使用者設定的連接埠中隨機選取連接埠,因此最好為這些伺服器指派外部 IP 位址,而不是使用 Cloud NAT。此外,Cloud NAT 不允許從外部發起的連線,因此大多數伺服器無論如何都必須使用外部 IP 位址。

  • Cloud NAT 不適用於舊版網路。

  • Cloud NAT 不提供應用程式層級閘道 (ALG) 功能,也不會更新封包資料中的 IP 位址和連接埠資訊,適用於 FTP 和 SIP 等應用程式層級通訊協定。

  • Cloud NAT 閘道會為提供 NAT 服務的每個 VM 網路介面,實作 NAT 連線追蹤表。每個連線追蹤表中的項目都是閘道支援通訊協定的 5 元組雜湊。

    與 VM 相關聯的所有 NAT 連線,其連線追蹤表項目的數量上限取決於 vCPU 數量和 NAT 轉換類型,如下表所示。每個上限涵蓋閘道支援的所有通訊協定,以及 VM 所有網路介面的連線總數。

    vCPU 每個 VM 的 NAT 連線數量上限
    7 或更少 65,535
    8 到 15
    • 65,535 或
    • 98,3021
    16 個以上
    • 65,535 或
    • 131,0701
    1 只有在與 VM 相關聯的所有 NAT 連線都是 NAT44 時,才會套用這項限制。

    每個連線追蹤資料表中的項目,都會保留大約與相關 NAT 超時時間相同的時間。如要進一步瞭解 NAT 超時,請參閱「NAT 超時」。

  • 小型閒置連線的逾時機制可能無法發揮作用。

    系統每 30 秒會檢查一次 NAT 對應關係,以便找出過期的連線和設定異動。即使所用連線逾時值為 5 秒,還是有可能暫時無法取得連線 (通常為 15 秒,在最不理想的情況下可能多達 30 秒)。