Netzwerkübersicht für VMs


In diesem Dokument erhalten Sie eine Übersicht über die Netzwerkfunktionalität Ihrer VM-Instanzen. Darin erhalten Sie einen grundlegenden Einblick in die Interaktion Ihrer VMs mit Google Cloud-VPC-Netzwerken (Virtual Private Cloud). Weitere Informationen zu VPC-Netzwerken und den zugehörigen Funktionen finden Sie in der Übersicht zu VPC-Netzwerken.

Netzwerke und Subnetze

Jede VM ist Teil eines VPC-Netzwerks. VPC-Netzwerke bieten eine Verbindung für Ihre VM-Instanz zu anderen Google Cloud-Produkten und zum Internet. VPC-Netzwerke können im automatischen oder benutzerdefinierten Modus ausgeführt werden.

  • Netzwerke im automatischen Modus haben in jeder Region ein Subnetzwerk (Subnetz). Alle Subnetze sind in diesem IP-Adressbereich enthalten: 10.128.0.0/9. Netzwerke im automatischen Modus unterstützen nur IPv4-Subnetzbereiche.
  • Netzwerke im benutzerdefinierten Modus haben keine angegebene Subnetzkonfiguration. Sie entscheiden anhand der von Ihnen angegebenen IPv4-Bereiche, welche Subnetze in den ausgewählten Regionen erstellt werden sollen. Netzwerke im benutzerdefinierten Modus unterstützen auch IPv6-Subnetzbereiche.

Sofern Sie diese Option nicht deaktivieren, hat jedes Projekt ein default-Netzwerk, bei dem es sich um ein Netzwerk im automatischen Modus handelt.

Jedes Subnetz in einem VPC-Netzwerk ist einer Region zugeordnet und enthält einen oder mehrere IP-Adressbereiche. Sie können mehr als ein Subnetz pro Region erstellen. Jede Netzwerkschnittstelle für Ihre VM muss mit einem Subnetz verbunden sein.

Beim Erstellen einer VM können Sie ein VPC-Netzwerk und ein Subnetz angeben. Wenn Sie diese Konfiguration weglassen, werden das Netzwerk default und das Subnetz verwendet. Google Cloud weist der neuen VM eine interne IPv4-Adresse aus dem primären IPv4-Adressbereich des ausgewählten Subnetzes zu. Wenn das Subnetz auch einen IPv6-Adressbereich hat, können Sie ihm eine IPv6-Adresse zuweisen.

Weitere Informationen zu VPC-Netzwerken finden Sie in der Übersicht zu VPC-Netzwerken. Ein Beispiel für VMs, die ein VPC-Netzwerk mit drei Subnetzen in zwei Regionen verwenden, finden Sie unter Beispiel für VPC-Netzwerk.

Netzwerkschnittstellen-Controller (NICs)

Jede VM in einem VPC-Netzwerk hat eine Standardnetzwerkschnittstelle. Sie können zusätzliche Netzwerkschnittstellen für Ihre VMs erstellen, aber jede Schnittstelle muss an ein anderes VPC-Netzwerk angehängt werden. Mit mehreren Netzwerkschnittstellen sind Konfigurationen möglich, bei denen eine Instanz eine direkte Verbindung zu mehreren VPC-Netzwerken herstellt. Weitere Informationen zur Verwendung mehrerer NICs finden Sie in der Übersicht zu mehreren Netzwerkschnittstellen.

IP-Adressen

Jede VM-Schnittstelle hat eine interne IPv4-Adresse, die aus dem Subnetz zugewiesen wird. Sie können optional eine externe IPv4-Adresse konfigurieren. Wenn die Schnittstelle eine Verbindung zu einem Subnetz mit einem IPv6-Bereich herstellt, können Sie optional eine IPv6-Adresse konfigurieren. VMs verwenden diese IP-Adressen, um mit anderen Google Cloud-Ressourcen und externen Systemen zu kommunizieren. Externe IP-Adressen sind öffentlich routingfähige IP-Adressen, die mit dem Internet kommunizieren können. Sowohl externe als auch interne IP-Adressen können entweder sitzungsspezifisch oder statisch sein.

Interne IP-Adressen sind lokal für eines der folgenden Elemente:

  • VPC-Netzwerk
  • Ein VPC-Netzwerk, das über VPC-Netzwerk-Peering verbunden ist
  • Ein lokales Netzwerk, das über Cloud VPN, Cloud Interconnect oder eine Router-Appliance mit einem VPC-Netzwerk verbunden ist

Eine Instanz kann über die interne IPv4-Adresse der VM mit Instanzen im selben VPC-Netzwerk oder einem verbundenen Netzwerk wie in der vorherigen Liste angegeben kommunizieren. Wenn für die VMs IPv6 konfiguriert ist, können Sie auch eine der internen oder externen IPv6-Adressen der VM verwenden. Als Best Practice sollten Sie interne IPv6-Adressen für die interne Kommunikation verwenden. Weitere Informationen zu IP-Adressen finden Sie in der Übersicht zu IP-Adressen für Compute Engine.

Für die Kommunikation mit dem Internet können Sie eine externe IPv4- oder externe IPv6-Adresse verwenden, die auf der Instanz konfiguriert ist. Wenn die Instanz keine externe Adresse hat, kann Cloud NAT für IPv4-Traffic verwendet werden.

Wenn Sie mehrere Dienste auf einer einzelnen VM-Instanz ausführen, können Sie jedem Dienst mithilfe von Alias-IP-Bereichen eine andere interne IPv4-Adresse zuweisen. Das VPC-Netzwerk leitet Pakete, die für einen bestimmten Dienst bestimmt sind, an die entsprechende VM weiter. Weitere Informationen finden Sie unter Alias-IP-Bereiche.

DNS-Namen (Domain Name System)

Wenn Sie eine VM-Instanz erstellen, erstellt Google Cloud einen internen DNS-Namen aus dem VM-Namen. Wenn Sie keinen benutzerdefinierten Hostnamen angeben, verwendet Google Cloud den automatisch erstellten internen DNS-Namen als Hostnamen für die VM.

Für die Kommunikation zwischen VMs im selben VPC-Netzwerk können Sie den vollständig qualifizierten DNS-Namen (Fully Qualified DNS Name, FQDN) der Zielinstanz angeben, anstatt seine interne IP-Adresse zu verwenden. Google Cloud löst den FQDN automatisch in die interne IP-Adresse der Instanz auf.

Weitere Informationen zu vollständig qualifizierten Domainnamen (FQDN) finden Sie unter Zonale und globale interne DNS-Namen.

Routen

Google Cloud-Routen definieren die Pfade, die der Netzwerktraffic von einer VM-Instanz zu anderen Zielen zurücklegt. Diese Ziele können sich innerhalb Ihres VPC-Netzwerks (beispielsweise in einer anderen VM) oder außerhalb davon befinden. Die Routingtabelle für ein VPC-Netzwerk wird auf VPC-Netzwerkebene definiert. Jede VM-Instanz hat einen Controller, der laufend über alle anwendbaren Routen aus der Routingtabelle des Netzwerks informiert wird. Jedes Paket, das eine VM verlässt, wird auf Basis einer Routingreihenfolge an den entsprechenden nächsten Hop einer anwendbaren Route zugestellt.

Subnetzrouten definieren Pfade zu Ressourcen wie VMs und internen Load-Balancern in einem VPC-Netzwerk. Jedes Subnetz hat mindestens eine Subnetzroute, deren Ziel dem primären IP-Bereich des Subnetzes entspricht. Subnetzrouten haben immer die spezifischsten Ziele. Sie können selbst dann nicht durch andere Routen überschrieben werden, wenn eine andere Route eine höhere Priorität hat. Das liegt daran, dass Google Cloud bei der Auswahl einer Route die Zielspezifität berücksichtigt. Weitere Informationen zu Subnetz-IP-Bereichen finden Sie in der Subnetzübersicht.

Weiterleitungsregeln

Während Routen den Traffic regeln, der eine Instanz verlässt, leiten Weiterleitungsregeln den Traffic anhand von IP-Adresse, Protokoll und Port an eine Google Cloud-Ressource in einem VPC-Netzwerk weiter. Einige Weiterleitungsregeln leiten Traffic von außerhalb der Google Cloud zu einem Ziel im Netzwerk, andere Regeln leiten Traffic innerhalb des Netzwerks weiter.

Sie können Weiterleitungsregeln für Ihre Instanzen konfigurieren, um virtuelles Hosting nach IP-Adressen, Cloud VPN, private virtuelle IP-Adressen (VIPs) und Load-Balancing zu implementieren. Weitere Informationen zu Weiterleitungsregeln finden Sie unter Protokollweiterleitung verwenden.

Firewallregeln

Mit Firewallregeln können Sie den Traffic zu und von Ihrer VM basierend auf einer von Ihnen festgelegten Konfiguration zulassen oder ablehnen. Google Cloud erzwingt immer aktivierte VPC-Firewallregeln, um Ihre VMs unabhängig von ihrer Konfiguration und ihrem Betriebssystem zu schützen, auch wenn die VM nicht gestartet wurde.

Standardmäßig verfügt jedes VPC-Netzwerk über eingehende (eingehender Traffic) und ausgehende (ausgehender Traffic) Firewall-Regeln, die alle eingehenden Verbindungen blockieren und alle ausgehenden Verbindungen zulassen. Das default-Netzwerk hat zusätzliche Firewallregeln, darunter die Regel default-allow-internal, die die Kommunikation zwischen Instanzen im Netzwerk zulässt. Wenn Sie das default-Netzwerk nicht verwenden, müssen Sie explizit Firewallregeln für eingehenden Traffic mit einer höheren Priorität erstellen, damit Instanzen miteinander kommunizieren können.

Jedes VPC-Netzwerk wirkt wie eine verteilte Firewall. Firewallregeln werden auf VPC-Ebene definiert und können auf alle Instanzen im Netzwerk angewendet werden. Sie können auch Zieltags oder Zieldienstkonten verwenden, um Regeln auf bestimmte Instanzen anzuwenden. Die VPC-Firewallregeln werden dabei nicht nur zwischen Ihren Instanzen und anderen Netzwerken angewendet, sondern auch zwischen einzelnen Instanzen innerhalb eines VPC-Netzwerks.

Mit hierarchischen Firewallrichtlinien können Sie eine konsistente Firewallrichtlinie für Ihre gesamte Organisation erstellen und erzwingen. Sie können der Organisation hierarchische Firewallrichtlinien als Ganzes oder für einzelne Ordner zuweisen. Diese Richtlinien enthalten Regeln, die Verbindungen explizit ablehnen oder zulassen, wie VPC-Firewallregeln. Darüber hinaus können die Regeln einer hierarchischen Firewallrichtlinie die Auswertung an Richtlinien auf einer niedrigeren Ebene oder VPC-Firewallregeln mit der Aktion goto_next delegieren. Regeln auf niedrigerer Ebene können keine Regeln von einer höheren Ebene in der Ressourcenhierarchie überschreiben. Auf diese Weise können organisationsweite Administratoren kritische Firewallregeln an einem Ort verwalten.

Netzwerkbandbreite

Google Cloud berücksichtigt die Bandbreite pro VM-Instanz, nicht pro Netzwerkschnittstelle (Network Interface, NIC) oder IP-Adresse. Die Bandbreite wird mithilfe von zwei Dimensionen gemessen: Traffic-Richtung (eingehender und ausgehender Traffic) und Typ der Ziel-IP-Adresse. Der Maschinentyp einer VM definiert seine maximal mögliche Rate für ausgehenden Traffic. Diese maximal mögliche Rate für ausgehenden Traffic können Sie jedoch nur in bestimmten Situationen erreichen. Weitere Informationen finden Sie unter Netzwerkbandbreite.

Google Virtual NIC (gVNIC) ist eine virtuelle Netzwerkschnittstelle, die speziell für Compute Engine entwickelt wurde. gVNIC ist eine Alternative zum virtIO-basierten Ethernet-Treiber. gVNIC ist für höhere Netzwerkbandbreiten erforderlich, z. B. Geschwindigkeiten von 50 bis 100 Gbit/s, die für verteilte Arbeitslasten auf VMs mit verknüpften GPUs verwendet werden können. Außerdem ist gVNIC erforderlich, wenn Sie mit bestimmten Maschinentypen arbeiten, die für eine optimale Leistung vorgesehen sind. Weitere Informationen finden Sie unter Google Virtual NIC verwenden.

Verwaltete Instanzgruppen und Netzwerkkonfigurationen

Wenn Sie verwaltete Instanzgruppen (MIGs) verwenden, gilt die in der Instanzvorlage angegebene Netzwerkkonfiguration für alle VMs, die mit der Vorlage erstellt wurden. Wenn Sie eine Instanzvorlage in einem VPC-Netzwerk im automatischen Modus erstellen, wählt Google Cloud automatisch das Subnetz für die Region aus, in der Sie die verwaltete Instanzgruppe erstellt haben.

Weitere Informationen finden Sie unter Netzwerke und Subnetze und unter Instanzvorlagen erstellen.

Nächste Schritte