מכסות ומגבלות

במאמר הזה מוסבר על מכסות ומגבלות המערכת של Cloud NAT.

המכסות נקבעות כברירת מחדל, אבל בדרך כלל אפשר לבקש לשנות אותן.
מגבלות המערכת קבועות ואי אפשר לשנות אותן.

מכסה או מגבלה מסוימת מחושבות לכל משאב. המכסות והמגבלות יכולות להיות לכל פרויקט, לכל רשת, לכל אזור או לכל משאב אחר. אי אפשר לשתף כתובות IP של NAT בין שערים של NAT. כדי לשנות מכסה, ראו איך מבקשים להגדיל את המכסות.

המכסות שלGoogle Cloud עוזרות לשמור על הוגנות ולצמצם עליות חדות בשימוש במשאבים ובזמינות שלהם. הן מגבילות את כמות המשאבים שלGoogle Cloud שאפשר להשתמש בהם בפרויקט ב- Google Cloud . המכסות רלוונטיות למגוון רחב של סוגי משאבים, כולל רכיבי חומרה, תוכנה ורשתות. לדוגמה, המכסות יכולות להגביל את מספר הקריאות ל-API בשירות מסוים, את מספר מאזני העומסים שאפשר להשתמש בהם בו-זמנית בפרויקט או את מספר הפרויקטים שאפשר ליצור. בשורה התחתונה, המכסות מגינות על משתמשיGoogle Cloud בכך שהן מונעות עומס יתר על השירותים, אבל גם עוזרות לשלוט על השימוש במשאבי Google Cloud .

מערכת המכסות ב-Cloud:

עוקבת אחרי השימוש במוצרים ובשירותים של Google Cloud
מגבילה את השימוש במשאבים האלה
כוללת כלי שבאמצעותו אפשר לשלוח בקשות לשינוי המכסות ולשנות אותן אוטומטית

ברוב המקרים, כשאתם מנסים להשתמש ביותר משאבים מהמכסה, הגישה למשאב נחסמת ומה שאתם מנסים לעשות נכשל.

בדרך כלל, המכסות ב- Google Cloud הן ברמת הפרויקט. כלומר, השימוש במשאב מסוים בפרויקט כלשהו לא משפיע על המכסה שלכם בפרויקטים אחרים. ברמת הפרויקט ב- Google Cloud , המכסות משותפות לכל האפליקציות וכתובות ה-IP.

לסקירה כללית על מכסות ב-Cloud

למשאבי Cloud NAT יש גם מגבלות מערכת. שאי אפשר לשנות.

מכסות

למידע על מכסות שמשפיעות על Cloud NAT, אפשר לעיין בדף המכסות של Cloud Router.

מגבלות

פריט	הגבלה	הערות
שערי NAT	‫50 לכל Cloud Router	כל רשת תומכת בעד 5 מופעים של Cloud Router לכל אזור, כך שאפשר להגדיר עד 250 שערים של Cloud NAT לכל אזור לכל רשת ענן וירטואלי פרטי (VPC). לגבי מכסות של Cloud Router, אפשר לעיין במסמכי התיעוד של Cloud Router.
כתובות IP של NAT לכל שער	300 כתובות ידניות ‫2,500 כתובות שהוקצו אוטומטית	המספר המקסימלי של כתובות IP חיצוניות שיכולות להיות בשער NAT. עם זאת, הערך הזה תלוי במכסות של כתובות IP סטטיות ושל כתובות IP בשימוש ב-VPC לכל פרויקט.
טווחים של רשתות משנה	‫50 לכל שער	המספר המקסימלי של רשתות משנה שאפשר לשייך לשער כשמגדירים רשימה מותאמת אישית של טווחי רשתות משנה. יכול להיות שמספר הטווחים של רשתות המשנה יהיה גבוה מהמכסה, כי לכל רשת משנה יכול להיות טווח IPv4 ראשי וטווח משני אחד או יותר. אם הגדרתם NAT לטווחים ראשיים של כל תת-הרשתות או לטווחים ראשיים ומשניים של כל תת-הרשתות, המגבלה הזו לא חלה.
כללי NAT	‫150 לכל שער ‫2,500 לכל Cloud Router	אם חורגים מהמגבלה הזו, ה-API מחזיר שגיאה.
כתובות IP פעילות לכל כלל NAT	300
רשתות משנה פרטיות של NAT	‫50 לכל שער	המספר המקסימלי של רשתות משנה שאפשר להזמין לשימוש כטווחים של NAT למקור עבור NAT פרטי. המטרה של רשתות המשנה האלה היא `PRIVATE_NAT`.
תווים בביטויי CEL לכל כלל	2,048
מספר התווים בביטויי CEL לכל מכונת Cloud Router	500,000

מגבלות

חלק מהשרתים, כמו שרתי DNS מדור קודם, דורשים הקצאה אקראית של יציאות UDP מתוך 64,000 יציאות כדי לשפר את האבטחה. מכיוון ש-Cloud NAT בוחר באופן אקראי יציאה מתוך 64 יציאות או מספר יציאות שהוגדר על ידי המשתמש, מומלץ להקצות כתובת IP חיצונית לשרתים האלה במקום להשתמש ב-Cloud NAT. בנוסף, מכיוון ש-Cloud NAT לא מאפשר חיבורים שמגיעים מבחוץ, רוב השרתים האלה בכל מקרה צריכים להשתמש בכתובת IP חיצונית.
אי אפשר להשתמש ב-Cloud NAT ברשתות מדור קודם.
‫Cloud NAT לא מספק יכולות של שער ברמת האפליקציה (ALG) –‏ Cloud NAT לא מעדכן את כתובת ה-IP ואת פרטי היציאה בנתוני החבילה עבור פרוטוקולים של שכבת האפליקציה, כמו FTP ו-SIP.
שערי Cloud NAT מטמיעים טבלאות מעקב אחר חיבורי NAT לכל ממשק רשת של מכונה וירטואלית שמוגדרים בו שירותי NAT. הערכים בכל טבלת מעקב אחר חיבורים הם גיבובים של 5 טופלים עבור הפרוטוקולים הנתמכים של השער.

הערכים בכל טבלת מעקב אחר חיבורים נשמרים למשך הזמן של פסק הזמן הרלוונטי של NAT. מידע נוסף על פסק זמן של NAT זמין במאמר בנושא פסק זמן של NAT.

המספר המקסימלי של רשומות בטבלת מעקב החיבורים לכל חיבורי ה-NAT שמשויכים למכונת VM הוא 65,535. המספר המקסימלי הזה כולל את כל החיבורים, בכל הפרוטוקולים שהשער תומך בהם, בכל ממשקי הרשת של המכונה הווירטואלית.
יכול להיות שפסק זמן קצר מדי לחיבורים לא פעילים לא יעבוד.

מיפוי NAT נבדק כל 30 שניות כדי לראות אם הוא פג או אם יש שינוי בהגדרה. גם אם משתמשים בערך של 5 שניות לזמן קצוב לתפוגה של חיבור, יכול להיות שהחיבור לא יהיה זמין למשך עד 30 שניות במקרה הגרוע, ו-15 שניות במקרה הממוצע.

ניהול מכסות

Cloud NAT אוכפת מכסות על השימוש במשאבים מסיבות שונות. לדוגמה, המכסות מגינות על קהילת משתמשי Google Cloud בכך שהן מונעות עלייה חדה ובלתי צפויה בשימוש. המכסות גם עוזרות למשתמשים שמתנסים ב- Google Cloud במסגרת התוכנית בחינם לא לחרוג מהמכסות של תקופת הניסיון.

כל הפרויקטים מתחילים עם אותן מכסות, שאפשר לשנות אותן על ידי בקשת מכסה נוספת. יכול להיות שחלק מהמכסות יגדלו באופן אוטומטי על סמך השימוש שלכם במוצר.

הרשאות

כדי לראות את המכסות או לבקש להגדיל אותן, לבעלי הרשאות (principals) בניהול הזהויות והרשאות הגישה (IAM) צריכה להיות אחת מההרשאות הבאות.

משימה	התפקיד הנדרש
בדיקת מכסות לפרויקט	אחת מהאפשרויות הבאות: הבעלים של הפרויקט (`roles/owner`) עריכת פרויקטים (`roles/editor`) צפייה במכסות (`roles/servicemanagement.quotaViewer`)
שינוי מכסות, בקשה למכסה נוספת	אחת מהאפשרויות הבאות: הבעלים של הפרויקט (`roles/owner`) עריכת פרויקטים (`roles/editor`) אדמין של מכסות (`roles/servicemanagement.quotaAdmin`) תפקיד בהתאמה אישית עם ההרשאה `serviceusage.quotas.update`

בדיקת המכסה

המסוף

נכנסים לדף Quotas במסוף Google Cloud .
לפתיחת הדף Quotas
כדי לחפש את המכסה שרוצים לעדכן, משתמשים באפשרות Filter table. אם אתם לא יודעים מה שם המכסה, אתם יכולים להשתמש בקישורים שבדף הזה.

gcloud

מריצים את הפקודה הבאה באמצעות Google Cloud CLI כדי לבדוק את המכסות. מחליפים את PROJECT_ID במזהה הפרויקט שלכם.

    gcloud compute project-info describe --project PROJECT_ID

כדי לבדוק את המכסה שנוצלה באזור מסוים, מריצים את הפקודה הבאה:

    gcloud compute regions describe example-region

שגיאות שמתרחשות כשחורגים מהמכסה

אם תחרגו ממכסה במהלך השימוש בפקודה gcloud, פלט gcloud יהיה הודעת השגיאה quota exceeded, עם קוד היציאה 1.

אם תחרגו ממכסה עם בקשת API, Google Cloud יוחזר קוד הסטטוס הבא של HTTP: 413 Request Entity Too Large.

בקשה להגדלת המכסה

כדי לשנות את רוב המכסות, משתמשים במסוף Google Cloud . מידע נוסף זמין במאמר בנושא שליחת בקשה לשינוי המכסות.

זמינות המשאבים

כל מכסה מייצגת מספר מקסימלי של משאב מסוג מסוים שאפשר ליצור, אם המשאב זמין. חשוב לציין שהמכסות לא מבטיחות את זמינות המשאבים. גם אם יש לכם מכסה זמינה, לא תוכלו ליצור משאב חדש אם הוא לא זמין.

לדוגמה, יכול להיות שיש לכם מספיק מכסת שימוש כדי ליצור כתובת IP חיצונית אזורית חדשה באזור מסוים. עם זאת, זה לא אפשרי אם אין כתובות IP חיצוניות זמינות באזור הזה. זמינות של משאב של תחום מוגדר יכולה גם להשפיע על היכולת שלכם ליצור משאב חדש.

מקרים שבהם משאבים לא זמינים באזור שלם הם נדירים. עם זאת, המשאבים באזור עלולים להתרוקן מעת לעת, בדרך כלל בלי להשפיע על הסכם רמת השירות (SLA) לסוג המשאב. מידע נוסף זמין בהסכם רמת השירות הרלוונטי למשאב.