IP-Adressen


Viele Google Cloud Ressourcen können interne und externe IP-Adressen haben. So können Sie beispielsweise Compute Engine-Instanzen eine interne und externe IP-Adresse zuweisen. Über diese Adressen kommunizieren die Instanzen mit anderen Google Cloud Ressourcen und externen Systemen.

Jede Netzwerkschnittstelle, die von einer Instanz verwendet wird, muss eine primäre interne IPv4-Adresse haben. Jede Netzwerkschnittstelle kann auch einen oder mehrere Alias-IPv4-Bereiche und eine externe IPv4-Adresse haben. Wenn die Instanz mit einem Subnetz verbunden ist, das IPv6 unterstützt, können jeder Netzwerkschnittstelle auch interne oder externe IPv6-Adressen zugewiesen werden.

Eine Instanz kann über die interne IPv4-Adresse der Instanz mit Instanzen im selben VPC-Netzwerk (Virtual Private Cloud) kommunizieren. Wenn für die Instanzen IPv6 konfiguriert ist, können Sie auch eine der internen oder externen IPv6-Adressen der Instanz verwenden. Als Best Practice sollten Sie interne IPv6-Adressen für die interne Kommunikation verwenden.

Für die Kommunikation mit dem Internet können Sie eine externe IPv4- oder externe IPv6-Adresse verwenden, die auf der Instanz konfiguriert ist. Wenn auf der Instanz keine externe Adresse konfiguriert ist, kann Cloud NAT für IPv4-Traffic verwendet werden.

Ebenso müssen Sie die externe IPv4- oder externe IPv6-Adresse der Instanz verwenden, um eine Verbindung zu Instanzen außerhalb desselben VPC-Netzwerks herzustellen. Wenn die Netzwerke jedoch auf irgendeine Weise verbunden sind, z. B. über VPC Network-Peering, können Sie die interne IP-Adresse der Instanz verwenden.

Unter Netzwerkkonfiguration für eine Instanz ansehen erfahren Sie, wie Sie die interne und externe IP-Adresse für Ihre Instanzen herausfinden.

Interne IP-Adressen

Den Netzwerkschnittstellen einer Instanz werden IP-Adressen aus dem Subnetz zugewiesen, mit dem sie verbunden sind. Jede Netzwerkschnittstelle hat eine primäre interne IPv4-Adresse, die aus dem primären IPv4-Bereich des Subnetzes zugewiesen wird. Wenn das Subnetz einen internen IPv6-Bereich hat, können Sie zusätzlich zur primären internen IPv4-Adresse die Netzwerkschnittstelle optional mit einer primären internen IPv6-Adresse konfigurieren.

Interne IPv4-Adressen können so zugewiesen werden:

  • Compute Engine weist automatisch eine einzelne IPv4-Adresse aus den primären IPv4-Subnetzbereichen zu.
  • Sie können einer Compute-Instanz beim Erstellen eine spezifische interne IPv4-Adresse zuweisen.

Interne IPv6-Adressen können Instanzen zugewiesen werden, die mit einem Subnetz verbunden sind, das einen internen IPv6-Bereich hat. Dies ist auf folgende Arten möglich:

Sie können auch eine statische interne Adresse aus dem IPv4- oder IPv6-Bereich des Subnetzes reservieren und einer Instanz zuweisen.

Compute-Instanzen können auch Alias-IP-Adressen und -Bereiche haben. Wenn mehrere Dienste auf einer Instanz ausgeführt werden, können Sie jedem Dienst eine eigene, eindeutige IP-Adresse zuweisen.

Interne DNS-Namen

Google Cloud löst den voll qualifizierten DNS-Namen (Fully Qualified DNS Name, FQDN) einer Instanz automatisch in die internen IP-Adressen der Instanz auf. Interne DNS-Namen funktionieren nur innerhalb des VPC-Netzwerks der Instanz.

Weitere Informationen zu vollständig qualifizierten Domainnamen (FQDN) finden Sie unter Internes DNS.

Externe IP-Adressen

Wenn Sie mit dem Internet oder mit Ressourcen in einem anderen VPC-Netzwerk kommunizieren müssen, können Sie einer Instanz eine externe IPv4- oder IPv6-Adresse zuweisen. Wenn Firewallregeln oder hierarchische Firewallrichtlinien die Verbindung zulassen, können Quellen von außerhalb eines VPC-Netzwerks eine bestimmte Ressource anhand ihrer externen IP-Adresse erreichen. Nur Ressourcen mit einer externen IP-Adresse können direkt mit Ressourcen außerhalb des VPC-Netzwerks kommunizieren. Die Kommunikation mit einer Ressource über eine externe IP-Adresse kann zusätzliche Kosten verursachen.

Alternativen zur Verwendung einer externen IP-Adresse

Interne oder private IP-Adressen bieten gegenüber externen oder öffentlichen IP-Adressen eine Reihe von Vorteilen, darunter:

  • Reduzierte Angriffsfläche: Durch das Entfernen externer IP-Adressen aus Compute-Instanzen wird es für Angreifer schwieriger, auf die Instanzen zuzugreifen und potenzielle Sicherheitslücken auszunutzen.
  • Erhöhte Flexibilität: Durch die Einführung einer Abstraktionsebene, z. B. eines Load-Balancers oder eines NAT-Dienstes, lassen sich Dienste im Vergleich zu statischen externen IP-Adressen zuverlässiger und flexibler liefern.

In der folgenden Tabelle sind die Möglichkeiten zusammengefasst, wie Compute-Instanzen auf das Internet zugreifen oder von ihm aus darauf zugegriffen werden kann, wenn sie keine externe IP-Adresse haben.

Zugriffsmethode Lösung Geeignet für
Interaktiv TCP-Weiterleitung für Identity-Aware Proxy (IAP) konfigurieren Sie möchten Verwaltungsdienste wie SSH und RDP verwenden, um eine Verbindung zu Ihren Back-End-Instanzen herzustellen. Die Anfragen müssen jedoch Authentifizierungs- und Autorisierungsüberprüfungen bestehen, bevor sie an die Zielressource weitergeleitet werden.
Abrufen Cloud NAT-Gateway

Sie möchten, dass Ihre Compute Engine-Instanzen ohne externe IP-Adressen eine Verbindung zum Internet herstellen können (ausgehend). Hosts außerhalb Ihres VPC-Netzwerks dürfen jedoch keine eigenen Verbindungen zu Ihren Compute-Instanzen initiieren (eingehend). Sie können diesen Ansatz für Betriebssystemupdates oder externe APIs verwenden.

Sicherer Web-Proxy Sie müssen Ihre Compute Engine-Instanzen vom Internet isolieren, indem Sie in ihrem Namen neue TCP-Verbindungen erstellen und dabei die verwaltete Sicherheitsrichtlinie einhalten.
Serving Externen Load Balancer erstellen Sie möchten, dass Clients eine Verbindung zu Ressourcen ohne externe IP-Adressen an einem beliebigen Ort in Google Cloud herstellen können, während Ihre Compute-Instanzen vor DDoS-Angriffen und direkten Angriffen geschützt sind.

Regionale und globale IP-Adressen

Wenn Sie IP-Adressen in Ihrem Projekt auflisten oder beschreiben,werden sie als global oder regional gekennzeichnet. Google CloudDies gibt an, wie eine bestimmte Adresse verwendet wird. Wenn Sie eine Adresse mit einer regionalen Ressource wie einer Instanz verknüpfen, kennzeichnet Google Cloud die Adresse als regional. Regionen sind Google Cloud Regionen wie us-east4 oder europe-west2.

Globale IP-Adressen werden in den folgenden Konfigurationen verwendet:

Eine Anleitung zum Erstellen einer globalen IP-Adresse finden Sie unter Neue statische externe IP-Adresse reservieren.

SLA für Compute Engine-Netzwerke – Übersicht

Für die Compute Engine gibt es ein Service Level Agreement (SLA), das Service Level Objectives (SLOs) für die monatliche Verfügbarkeitsrate der Netzwerkdienstebenen definiert.

Wenn Sie eine Compute Engine-Instanz erstellen, erhalten Sie standardmäßig eine interne IP-Adresse. Sie können zusätzlich eine externe IP-Adresse mit der Premium-Stufe (Standard) oder der Standardstufe für Netzwerke konfigurieren. Welche Netzwerkdienststufe Sie auswählen, hängt von Ihren Kosten- und Qualitätsanforderungen ab. Für jede Netzwerkdienststufe gilt ein anderer SLO.

Wenn Sie die Compute-Instanz erstellen, können Sie mehrere NICs konfigurieren, die mit der Instanz verbunden sind. Jede NIC kann eine andere Netzwerkkonfiguration haben, wie im folgenden Diagramm dargestellt:

Eine Instanz mit drei NICs, von denen jede einen anderen Netzwerkverkehr mit unterschiedlichen Netzwerkdienststufen verarbeitet.

Abbildung 1. Eine Instanz mit drei NICs, von denen jede einen anderen Netzwerkverkehr mit unterschiedlichen Netzwerkdienststufen verarbeitet.

Im vorherigen Diagramm hat die Beispielinstanz mit dem Namen VM-Appliance drei NICs, die so konfiguriert sind:

  • nic0 ist mit einem internen IP-Subnetz konfiguriert.
  • nic1 ist mit einem externen IP-Subnetz konfiguriert und verwendet die Standardnetzwerkebene.
  • nic2 ist mit einem externen IP-Subnetz konfiguriert und verwendet die Premium-Netzwerkstufe.

In diesem Beispiel ist die VM-Instanz keine speicheroptimierte VM. Je nachdem, bei welcher NIC die Verbindung unterbrochen wird, gelten unterschiedliche SLOs. In der folgenden Liste wird das SLA für die verschiedenen NICs in diesem Beispiel beschrieben.

  • nic0: Eine VM mit einer einzelnen Instanz und internen IP-Adressen. Der Prozentsatz der monatlichen Betriebszeit beträgt 99,9%.
  • nic1: Eine VM mit einer einzelnen Instanz und einer externen IP-Adresse, die die Standardnetzwerkebene verwendet. Diese VM ist durch kein SLA geschützt. Nur mehrere Instanzen in Zonen werden mit der Standard-Netzwerkebene zu 99,9% geschützt.
  • nic2: Eine VM mit einer einzelnen Instanz und einer externen IP-Adresse, die die Premium-Netzwerkebene verwendet. Der Prozentsatz der monatlichen Betriebszeit beträgt 99,9%. Bei mehreren Instanzen in verschiedenen Zonen beträgt die monatliche Betriebszeit mit der Premium-Netzwerkebene 99, 99 %.

Nächste Schritte