Viele Google Cloud Ressourcen können interne und externe IP-Adressen haben. So können Sie beispielsweise Compute Engine-Instanzen eine interne und externe IP-Adresse zuweisen. Über diese Adressen kommunizieren die Instanzen mit anderen Google Cloud Ressourcen und externen Systemen.
Jede Netzwerkschnittstelle, die von einer Instanz verwendet wird, muss eine primäre interne IPv4-Adresse haben. Jede Netzwerkschnittstelle kann auch einen oder mehrere Alias-IPv4-Bereiche und eine externe IPv4-Adresse haben. Wenn die Instanz mit einem Subnetz verbunden ist, das IPv6 unterstützt, können jeder Netzwerkschnittstelle auch interne oder externe IPv6-Adressen zugewiesen werden.
Eine Instanz kann über die interne IPv4-Adresse der Instanz mit Instanzen im selben VPC-Netzwerk (Virtual Private Cloud) kommunizieren. Wenn für die Instanzen IPv6 konfiguriert ist, können Sie auch eine der internen oder externen IPv6-Adressen der Instanz verwenden. Als Best Practice sollten Sie interne IPv6-Adressen für die interne Kommunikation verwenden.
Für die Kommunikation mit dem Internet können Sie eine externe IPv4- oder externe IPv6-Adresse verwenden, die auf der Instanz konfiguriert ist. Wenn auf der Instanz keine externe Adresse konfiguriert ist, kann Cloud NAT für IPv4-Traffic verwendet werden.
Ebenso müssen Sie die externe IPv4- oder externe IPv6-Adresse der Instanz verwenden, um eine Verbindung zu Instanzen außerhalb desselben VPC-Netzwerks herzustellen. Wenn die Netzwerke jedoch auf irgendeine Weise verbunden sind, z. B. über VPC Network-Peering, können Sie die interne IP-Adresse der Instanz verwenden.
Unter Netzwerkkonfiguration für eine Instanz ansehen erfahren Sie, wie Sie die interne und externe IP-Adresse für Ihre Instanzen herausfinden.
Interne IP-Adressen
Den Netzwerkschnittstellen einer Instanz werden IP-Adressen aus dem Subnetz zugewiesen, mit dem sie verbunden sind. Jede Netzwerkschnittstelle hat eine primäre interne IPv4-Adresse, die aus dem primären IPv4-Bereich des Subnetzes zugewiesen wird. Wenn das Subnetz einen internen IPv6-Bereich hat, können Sie zusätzlich zur primären internen IPv4-Adresse die Netzwerkschnittstelle optional mit einer primären internen IPv6-Adresse konfigurieren.
Interne IPv4-Adressen können so zugewiesen werden:
- Compute Engine weist automatisch eine einzelne IPv4-Adresse aus den primären IPv4-Subnetzbereichen zu.
- Sie können einer Compute-Instanz beim Erstellen eine spezifische interne IPv4-Adresse zuweisen.
Interne IPv6-Adressen können Instanzen zugewiesen werden, die mit einem Subnetz verbunden sind, das einen internen IPv6-Bereich hat. Dies ist auf folgende Arten möglich:
- Wenn Sie eine interne IPv6-Adresse auf der vNIC einer Instanz konfigurieren, weist Compute Engine einen einzelnen
/96
-Bereich von IPv6-Adressen aus dem internen IPv6-Bereich des Subnetzes zu. - Sie können einer Instanz beim Erstellen eine bestimmte interne IPv6-Adresse zuweisen.
Sie können auch eine statische interne Adresse aus dem IPv4- oder IPv6-Bereich des Subnetzes reservieren und einer Instanz zuweisen.
Compute-Instanzen können auch Alias-IP-Adressen und -Bereiche haben. Wenn mehrere Dienste auf einer Instanz ausgeführt werden, können Sie jedem Dienst eine eigene, eindeutige IP-Adresse zuweisen.
Interne DNS-Namen
Google Cloud löst den voll qualifizierten DNS-Namen (Fully Qualified DNS Name, FQDN) einer Instanz automatisch in die internen IP-Adressen der Instanz auf. Interne DNS-Namen funktionieren nur innerhalb des VPC-Netzwerks der Instanz.
Weitere Informationen zu vollständig qualifizierten Domainnamen (FQDN) finden Sie unter Internes DNS.
Externe IP-Adressen
Wenn Sie mit dem Internet oder mit Ressourcen in einem anderen VPC-Netzwerk kommunizieren müssen, können Sie einer Instanz eine externe IPv4- oder IPv6-Adresse zuweisen. Wenn Firewallregeln oder hierarchische Firewallrichtlinien die Verbindung zulassen, können Quellen von außerhalb eines VPC-Netzwerks eine bestimmte Ressource anhand ihrer externen IP-Adresse erreichen. Nur Ressourcen mit einer externen IP-Adresse können direkt mit Ressourcen außerhalb des VPC-Netzwerks kommunizieren. Die Kommunikation mit einer Ressource über eine externe IP-Adresse kann zusätzliche Kosten verursachen.
Externe IPv4-Adressen sind für alle Compute-Instanzen verfügbar. Wenn Sie eine externe IPv4-Adresse auf der vNIC einer Instanz konfigurieren, wird eine einzelne IPv4-Adresse aus den Google-Bereichen externer IPv4-Adressen zugewiesen. Weitere Informationen finden Sie unter Wo finde ich Compute Engine-IP-Bereiche?.
Externe IPv6-Adressen sind für Compute-Instanzen verfügbar, die mit einem Subnetz verbunden sind, das einen externen IPv6-Bereich hat. Wenn Sie eine externe IPv6-Adresse auf der Netzwerkschnittstelle der Instanz konfigurieren, wird ein einzelner
/96
-Bereich von IPv6-Adressen aus dem externen IPv6-Bereich des Subnetzes zugewiesen.Sie können auch eine statische externe IPv6-Adresse aus dem IPv6-Bereich des Subnetzes reservieren und einer Compute-Instanz zuweisen.
Alternativen zur Verwendung einer externen IP-Adresse
Interne oder private IP-Adressen bieten gegenüber externen oder öffentlichen IP-Adressen eine Reihe von Vorteilen, darunter:
- Reduzierte Angriffsfläche: Durch das Entfernen externer IP-Adressen aus Compute-Instanzen wird es für Angreifer schwieriger, auf die Instanzen zuzugreifen und potenzielle Sicherheitslücken auszunutzen.
- Erhöhte Flexibilität: Durch die Einführung einer Abstraktionsebene, z. B. eines Load-Balancers oder eines NAT-Dienstes, lassen sich Dienste im Vergleich zu statischen externen IP-Adressen zuverlässiger und flexibler liefern.
In der folgenden Tabelle sind die Möglichkeiten zusammengefasst, wie Compute-Instanzen auf das Internet zugreifen oder von ihm aus darauf zugegriffen werden kann, wenn sie keine externe IP-Adresse haben.
Zugriffsmethode | Lösung | Geeignet für |
---|---|---|
Interaktiv | TCP-Weiterleitung für Identity-Aware Proxy (IAP) konfigurieren | Sie möchten Verwaltungsdienste wie SSH und RDP verwenden, um eine Verbindung zu Ihren Back-End-Instanzen herzustellen. Die Anfragen müssen jedoch Authentifizierungs- und Autorisierungsüberprüfungen bestehen, bevor sie an die Zielressource weitergeleitet werden. |
Abrufen | Cloud NAT-Gateway | Sie möchten, dass Ihre Compute Engine-Instanzen ohne externe IP-Adressen eine Verbindung zum Internet herstellen können (ausgehend). Hosts außerhalb Ihres VPC-Netzwerks dürfen jedoch keine eigenen Verbindungen zu Ihren Compute-Instanzen initiieren (eingehend). Sie können diesen Ansatz für Betriebssystemupdates oder externe APIs verwenden. |
Sicherer Web-Proxy | Sie müssen Ihre Compute Engine-Instanzen vom Internet isolieren, indem Sie in ihrem Namen neue TCP-Verbindungen erstellen und dabei die verwaltete Sicherheitsrichtlinie einhalten. | |
Serving | Externen Load Balancer erstellen | Sie möchten, dass Clients eine Verbindung zu Ressourcen ohne externe IP-Adressen an einem beliebigen Ort in Google Cloud herstellen können, während Ihre Compute-Instanzen vor DDoS-Angriffen und direkten Angriffen geschützt sind. |
Regionale und globale IP-Adressen
Wenn Sie IP-Adressen in Ihrem Projekt auflisten oder beschreiben,werden sie als global oder regional gekennzeichnet. Google CloudDies gibt an, wie eine bestimmte Adresse verwendet wird. Wenn Sie eine Adresse mit einer regionalen Ressource wie einer Instanz verknüpfen, kennzeichnet Google Cloud die Adresse als regional.
Regionen sind Google Cloud
Regionen wie us-east4
oder europe-west2
.
Globale IP-Adressen werden in den folgenden Konfigurationen verwendet:
- Globale interne IP-Adressen: Über Endpunkte auf Google APIs zugreifen oder Zugriff auf private Dienste
- Globale externe IP-Adressen: Externe Proxy-Network Load Balancer und externe Application Load Balancer, die ein Netzwerk der Premium-Stufe verwenden
Eine Anleitung zum Erstellen einer globalen IP-Adresse finden Sie unter Neue statische externe IP-Adresse reservieren.
SLA für Compute Engine-Netzwerke – Übersicht
Für die Compute Engine gibt es ein Service Level Agreement (SLA), das Service Level Objectives (SLOs) für die monatliche Verfügbarkeitsrate der Netzwerkdienstebenen definiert.
Wenn Sie eine Compute Engine-Instanz erstellen, erhalten Sie standardmäßig eine interne IP-Adresse. Sie können zusätzlich eine externe IP-Adresse mit der Premium-Stufe (Standard) oder der Standardstufe für Netzwerke konfigurieren. Welche Netzwerkdienststufe Sie auswählen, hängt von Ihren Kosten- und Qualitätsanforderungen ab. Für jede Netzwerkdienststufe gilt ein anderer SLO.
Wenn Sie die Compute-Instanz erstellen, können Sie mehrere NICs konfigurieren, die mit der Instanz verbunden sind. Jede NIC kann eine andere Netzwerkkonfiguration haben, wie im folgenden Diagramm dargestellt:
Abbildung 1. Eine Instanz mit drei NICs, von denen jede einen anderen Netzwerkverkehr mit unterschiedlichen Netzwerkdienststufen verarbeitet.
Im vorherigen Diagramm hat die Beispielinstanz mit dem Namen VM-Appliance drei NICs, die so konfiguriert sind:
nic0
ist mit einem internen IP-Subnetz konfiguriert.nic1
ist mit einem externen IP-Subnetz konfiguriert und verwendet die Standardnetzwerkebene.nic2
ist mit einem externen IP-Subnetz konfiguriert und verwendet die Premium-Netzwerkstufe.
In diesem Beispiel ist die VM-Instanz keine speicheroptimierte VM. Je nachdem, bei welcher NIC die Verbindung unterbrochen wird, gelten unterschiedliche SLOs. In der folgenden Liste wird das SLA für die verschiedenen NICs in diesem Beispiel beschrieben.
nic0
: Eine VM mit einer einzelnen Instanz und internen IP-Adressen. Der Prozentsatz der monatlichen Betriebszeit beträgt 99,9%.nic1
: Eine VM mit einer einzelnen Instanz und einer externen IP-Adresse, die die Standardnetzwerkebene verwendet. Diese VM ist durch kein SLA geschützt. Nur mehrere Instanzen in Zonen werden mit der Standard-Netzwerkebene zu 99,9% geschützt.nic2
: Eine VM mit einer einzelnen Instanz und einer externen IP-Adresse, die die Premium-Netzwerkebene verwendet. Der Prozentsatz der monatlichen Betriebszeit beträgt 99,9%. Bei mehreren Instanzen in verschiedenen Zonen beträgt die monatliche Betriebszeit mit der Premium-Netzwerkebene 99, 99 %.
Nächste Schritte
- Netzwerkkonfiguration für eine Instanz ansehen
- Neue statische externe IP-Adresse reservieren
- Statische externe IP einer neuen Instanz zuweisen
- Interne IP-Adresse bei der Instanzerstellung auswählen
- Sitzungsspezifische externe IP-Adresse umwandeln
- Instanzen mit internen DNS-Namen über das interne VPC-Netzwerk adressieren
- Weitere Informationen zu IP-Adressen
- Weitere Informationen zu IPv6
- Weitere Informationen zu IP-Adressen und Load Balancing
- Preise für externe IP-Adressen prüfen