Alias-IP-Bereiche

Mit den Alias-IP-Bereichen von Google Cloud können Sie den Netzwerkschnittstellen einer virtuellen Maschine (VM) Bereiche interner IP-Adressen als Aliasse zuweisen. Dies ist hilfreich, wenn Sie mehrere Dienste auf einer VM ausführen und jedem Dienst eine andere IP-Adresse zuweisen möchten. Alias-IP-Bereiche können auch mit GKE-Pods verwendet werden.

Wenn nur ein Dienst auf einer VM ausgeführt wird, können Sie ihn über die primäre IP-Adresse der VM referenzieren. Wenn mehrere Dienste auf einer VM ausgeführt werden, können Sie jedem Dienst eine andere interne IP-Adresse zuweisen. Dies erreichen Sie mithilfe von IP-Aliasbereichen.

Primäre und sekundäre CIDR-Bereiche von Subnetzen

Alle Subnetze haben einen primären CIDR-Bereich. Dies ist der Bereich der internen IP-Adressen, die das Subnetz definieren. Jede VM-Instanz erhält ihre primäre interne IP-Adresse aus diesem Bereich. Sie können auch Alias-IP-Bereiche aus diesem primären Bereich zuweisen oder dem Subnetz einen sekundären Bereich hinzufügen und Alias-IP-Bereiche aus dem sekundären Bereich zuweisen. Die Verwendung von Alias-IP-Bereichen erfordert keine sekundären Subnetzbereiche. Diese sekundären Subnetzbereiche bieten lediglich ein organisatorisches Tool.

Alias-IP-Bereiche, die in einer VM-Netzwerkschnittstelle definiert sind

Mit dem IP-Aliasing können Sie mehrere interne IP-Adressen konfigurieren. Diese stehen für Container oder Anwendungen, die in einer VM gehostet werden. Hierzu muss keine separate Netzwerkschnittstelle definiert werden. Sie können VM-Alias-IP-Bereiche entweder vom primären oder vom sekundären Bereich des Subnetzes zuweisen.

Unter Alias-IP-Bereiche konfigurieren werden Befehle beschrieben, mit denen man ein Subnetz mit sekundären Bereichen einrichten und VMs Alias-IP-Adressen zuweisen kann.

Das folgende Diagramm enthält eine grundlegende Darstellung der primären und sekundären CIDR-Bereiche und VM-Alias-IP-Bereiche auf der primären Oberfläche der VM:

Primäre und sekundäre CIDR-Bereiche und VM-Alias-IP-Bereiche (zum Vergrößern anklicken)
Primäre und sekundäre CIDR Bereiche und VM-Alias-IP-Bereiche (zum Vergrößern anklicken)
  • Ein primärer CIDR-Bereich 10.1.0.0/16 ist als Teil eines Subnetzes konfiguriert.
  • Ein sekundärer CIDR-Bereich 10.2.0.0/20 ist als Teil eines Subnetzes konfiguriert.
  • Der primäre IP-Bereich 10.1.0.2 der VM wird aus dem primären CIDR-Bereich 10.1.0.0/16 zugewiesen. Dagegen wird ein Alias-IP-Bereich 10.2.1.0/24 in der VM aus dem sekundären CIDR-Bereich 10.2.0.0/20 zugewiesen.
  • Die Adressen im Alias-IP-Bereich werden als IP-Adressen der Container verwendet, die in der VM gehostet werden.

Hauptvorteile von Alias-IP-Bereichen

Wenn Alias-IP-Bereiche konfiguriert sind, installiert Google Cloud automatisch für das Subnetz der primären Netzwerkschnittstelle VPC-Netzwerkrouten (Virtual Private Cloud) für primäre und Alias-IP-Bereiche. Ihr Container-Orchestrator muss für diese Routen keine VPC-Netzwerkverbindung angeben. Dies vereinfacht das Routing des Traffics und die Verwaltung der Container. Sie müssen aber eine Gastkonfiguration wie unter Schlüsseleigenschaften für Alias-IP-Bereiche erläutert vornehmen.

Wenn Container-IP-Adressen von Google Cloud zugewiesen werden, sorgen Validierungsprozesse in Google Cloud dafür, dass IP-Adressen von Container-Pods nicht mit VM-IP-Adressen in Konflikt stehen.

Wenn Alias-IP-Adressen konfiguriert sind, wird der Traffic auf Spoofing geprüft, sodass der Traffic, der VMs verlässt, VM-IP-Adressen und Pod-IP-Adressen als Quelladressen verwendet. Die Anti-Spoofing-Prüfungen sorgen dafür, dass VMs keinen Traffic mit beliebigen Quell-IP-Adressen senden. Die Verwendung von statischen Routen für Containernetzwerke ist im Vergleich zum IP-Aliasing weniger sicher, da dafür die Anti-Spoofing-Prüfungen auf Container-Host-VMs deaktiviert sein müssen. Anti-Spoofing-Prüfungen werden deaktiviert, wenn die IP-Weiterleitung aktiviert ist.

Alias-IP-Bereiche können innerhalb des virtuellen GCP-Netzwerks geroutet werden, ohne zusätzliche Routen zu benötigen. Sie müssen nicht für jedes IP-Alias eine Route hinzufügen und keine Routenkontingente berücksichtigen.

Alias-IP-Adressen können durch Cloud Router einem lokalen Netzwerk bekanntgegeben werden, das über VPN oder Interconnect verbunden ist.

Es hat Vorteile, Alias-IP-Bereiche aus einem sekundären CIDR-Bereich zuzuordnen. Durch die Zuordnung aus einem Bereich, der vom Bereich für primäre IP-Adressen getrennt ist, können Sie die Infrastruktur (VMs) von Diensten (Containern) trennen. Wenn Sie separate Adressräume für Infrastruktur und Dienste konfigurieren, können Sie Firewallsteuerungen für VM-Alias-IP-Adressen getrennt von den Firewallsteuerungen für die primären IP-Adressen der VM einrichten. Sie können zum Beispiel bestimmten Traffic für Container-Pods zulassen und ähnlichen Traffic für die primäre IP-Adresse der VM verweigern.

Containerarchitektur in Google Cloud

Stellen Sie sich ein Szenario vor, in dem Sie Containerdienste über Google Cloud konfigurieren möchten. Sie müssen die VMs erstellen, die die Dienste hosten, und zusätzlich die Container.

In diesem Szenario sollten Sie den Traffic von und zu den Containern bzw. lokalen Standorten routen, die über ein VPN verbunden sind. Allerdings sollten Sie nicht zulassen, dass die primären VM-IP-Adressen über das VPN erreichbar sind. Um diese Konfiguration zu erstellen, muss der Container-IP-Bereich über das VPN routbar sein, nicht aber der Primär-IP-Bereich der VM. Zum Zeitpunkt der VM-Erstellung sollten Sie außerdem automatisch einen Pool von IP-Adressen zuweisen, die für den Container verwendet werden.

Um diese Konfiguration zu erstellen, gehen Sie folgendermaßen vor:

  • Zum Erstellen des Subnetzes konfigurieren Sie folgende Bereiche:
    • Einen primären CIDR-Bereich, zum Beispiel 10.128.0.0/16
    • Einen sekundären CIDR-Bereich, z. B. 172.16.0.0/16
  • Verwenden Sie eine Instanzvorlage, um VMs zu erstellen und Folgendes automatisch zuzuweisen:
    • Einen primären IP-Bereich aus dem Bereich 10.128.0.0/16
    • Einen Alias-Bereich /24 aus dem sekundären CIDR-Bereich 172.16.0.0/16, sodass Sie jedem Container auf einer VM eine IP aus dem sekundären CIDR-Bereich /24 zuordnen können
  • Erstellen Sie zwei Firewallregeln.
    • Eine Regel, die verhindert, dass Traffic, der aus lokalen Quellen über das VPN läuft, den primären CIDR-Bereich des Subnetzes erreicht.
    • Eine Regel, die zulässt, dass Traffic, der aus lokalen Quellen über das VPN läuft, den sekundären CIDR-Bereich des Subnetzes erreicht.

Beispiel: Container mit Alias-IP-Bereichen konfigurieren

Mit Alias-IP-Bereichen können Container-IP-Adressen aus einem sekundären CIDR-Bereich zugewiesen und als Alias-IP-Adressen in der VM konfiguriert werden, auf der der Container gehostet wird.

Container mit Alias-IP-Adressen konfigurieren (zum Vergrößern anklicken)
Container mit Alias-IP-Adressen konfigurieren (zum Vergrößern anklicken)

So erstellen Sie die oben dargestellte Konfiguration:

  1. Erstellen Sie ein Subnetz mit einem CIDR-Bereich 10.128.0.0/16, aus dem VM-IP-Adressen vergeben werden, und einem sekundären CIDR-Bereich 172.16.0.0/20, der exklusiv für Container verwendet wird. Sie werden als Alias-IP-Bereiche in der VM konfiguriert, auf der sie gehostet werden:

    gcloud compute networks subnets create subnet-a \
        --network network-a \
        --range 10.128.0.0/16 \
        --secondary-range container-range=172.16.0.0/20
    
  2. Erstellen Sie VMs mit einer primären IP-Adresse aus dem Bereich 10.128.0.0/16 und einem Alias-IP-Bereich 172.16.0.0/24 aus dem sekundären CIDR-Bereich 172.16.0.0/20 für die Nutzung durch die Container in der jeweiligen VM:

    gcloud compute instances create vm1 [...] \
        --network-interface subnet=subnet-a,aliases=container-range:172.16.0.0/24
    gcloud compute instances create vm2 [...] \
        --network-interface subnet=subnet-a,aliases=container-range:172.16.1.0/24
    
  3. Container-IP-Adressen werden in Google Cloud als Alias-IP-Adressen konfiguriert. In diesem Szenario sind sowohl Primär- als auch Alias-IPs über den VPN-Tunnel erreichbar. Wenn Cloud Router konfiguriert ist, wird automatisch der sekundäre Subnetzbereich 172.16.0.0/20 vorgeschlagen. Weitere Informationen zur Verwendung von VPN mit Cloud Router finden Sie unter VPN-Tunnel mit Dynamic Routing erstellen.

Weitere Informationen zu den Befehlen zum Erstellen dieser Konfiguration finden Sie unter Alias-IP-Adressen und -Bereiche konfigurieren.

Beispiel: Mehrere in einer einzelnen VM-Instanz konfigurierte Alias-IP-Bereiche

Mit Alias-IP-Bereichen können Sie die IP-Zuordnung für Anwendungen verwalten, die in VMs ausgeführt werden. Dazu gehören auch die Anwendungen in Containern.

Angenommen, Sie haben eine Bereitstellung, bei der einige Container über VMs migriert werden können und andere nicht. Die für die Migration geeigneten Container lassen sich mithilfe von /32-Bereichen konfigurieren, sodass sie problemlos einzeln migriert werden können. Die nicht für die Migration geeigneten Container können mit einem größeren Bereich konfiguriert werden, da sie zusammenbleiben.

Bei dieser Art von Bereitstellung benötigen Sie möglicherweise mehr als einen Alias-IP-Bereich pro VM-Instanz, z. B. einen /27-Bereich für nicht migrierbare Container und mehrere /32-Bereiche für migrierbare Container.

Konfigurieren von VMs mit mehreren Alias-IP-Bereichen (zum Vergrößern anklicken)
Konfigurieren von VMs mit mehreren Alias-IP-Bereichen (zum Vergrößern anklicken)

Zur Konfiguration dieses Beispiels verwenden Sie die folgenden gcloud-Befehle:

gcloud compute networks create vpc1 --subnet-mode custom
gcloud compute networks subnets create subnet1 --region us-central1 --network vpc1 --range 10.128.0.0/16 --secondary-range secondaryrange1=172.16.0.0/20
gcloud compute instances create vm1 --zone us-central1-a --network-interface "subnet=subnet1,aliases=secondaryrange1:172.16.0.0/27;secondaryrange1:172.16.1.0/32"
gcloud compute instances create vm2 --zone us-central1-a --network-interface "subnet=subnet1,aliases=secondaryrange1:172.16.0.32/27;secondaryrange1:172.16.1.1/32"

Alias-IP-Adressen in VPC-Netzwerken und Subnetzen im Auto-Modus

Die automatisch erstellten Subnetze in VPC-Netzwerken im automatischen Modus haben jeweils einen primären CIDR-Bereich, aber keinen sekundären Bereich. Alias-IP können Sie mit einem VPC-Netzwerk im automatischen Modus verwenden, indem Sie Alias-IP-Bereiche aus dem primären CIDR-Bereich des automatisch erstellten Subnetzes zuweisen. Sie können außerdem dem automatisch erstellten Subnetz einen sekundären Bereich hinzufügen und Alias-IP-Bereiche aus dem neuen sekundären Bereich zuweisen.

Alternativ können Sie ein neues Subnetz mit sekundären Bereichen im VPC-Netzwerk im automatischen Modus erstellen. Dabei darf sich keiner der Bereiche mit 10.128.0.0/9 überschneiden. Sie können nun VM-Instanzen im neuen Subnetz erstellen und ihnen Alias-IP-Bereiche aus jedem Bereich in diesem Subnetz zuweisen.

Informationen zum Hinzufügen sekundärer Bereiche zu Ihrem Subnetz finden Sie unter Sekundäre CIDR-Bereiche zu einem vorhandenen Subnetz hinzufügen.

Alias-IP-Adressen in benutzerdefinierten Netzwerken und Subnetzen

In Netzwerken im benutzerdefinierten Modus gilt:

  • Alle Subnetze werden manuell erstellt.
  • Ein primärer CIDR-Bereich ist obligatorisch.
  • Sie können optional sekundäre CIDR-Bereiche erstellen.

Wichtigste Eigenschaften von Alias-IP-Bereichen

Die folgenden Eigenschaften gelten für Alias-IP-Bereiche, die in VMs konfiguriert werden:

  • Aus der Perspektive des VM-Betriebssystems werden die primäre IP-Adresse und das Standardgateway typischerweise über DHCP zugewiesen. Alias-IP-Adressen können im VM-Betriebssystem, typischerweise Linux oder Windows, manuell oder mithilfe von Skripts konfiguriert werden.
  • Die primäre IP-Adresse und der Alias-IP-Bereich der Schnittstelle müssen aus CIDR-Bereichen zugeordnet werden, die als Teil des gleichen Subnetzes konfiguriert sind. Beachten Sie folgende Anforderungen:
    • Die primäre IP-Adresse muss aus dem CIDR-Primärbereich zugewiesen werden.
    • Der Alias-IP-Bereich kann entweder aus demselben primären CIDR-Bereich oder aus einem sekundären CIDR-Bereich des gleichen Subnetzes zugewiesen werden.
    • Bei einer VM-Netzwerkschnittstelle muss die Alias-IP von derselben Subnetzressource stammen, die die IP-Adresse für die primäre Netzwerkschnittstelle bereitstellt. Primäre oder sekundäre CIDR-Bereiche von einer anderen Subnetzressource können nicht ausgewählt werden.
    • Die primäre IP-Adresse kann eine statische oder sitzungsspezifische interne IP-Adresse sein.
    • Alias-IP-Bereiche sind optional und werden nicht automatisch hinzugefügt. Ein Alias-IP-Bereich kann während der Instanzerstellung oder -änderung konfiguriert werden.
    • Ein Alias-IP-Bereich kann als explizit angegebener CIDR-Bereich (z. B. 10.128.1.0/24), als eine einzelne IP-Adresse (z. B. 10.128.7.29/32) oder als Netzmaske (/24) konfiguriert werden. Ein Alias-IP-Bereich kann vollständig spezifiziert oder durch die Angabe der Netzmaske automatisch vergeben werden.
    • Verwenden Sie die Netzmaske /32, um eine einzelne IP-Adresse in einem Alias-IP-Bereich zu verwenden.
    • Da alle Subnetze in einem VPC-Netzwerk ein gemeinsames Standardgateway haben, haben alle Alias-IP-Adressen innerhalb einer Schnittstelle das gleiche Standardgateway als primäre IP-Adresse.
    • Sie können reservierte IP-Adressen nicht in Alias-IP-Bereichen verwenden.
Alias-IP-Adressen innerhalb einer Schnittstelle verwenden das gleiche Standardgateway wie die primäre IP-Adresse (zum Vergrößern anklicken)
Alias-IP-Adressen innerhalb einer Schnittstelle verwenden das gleiche Standardgateway wie die primäre IP-Adresse (zum Vergrößern anklicken)

DNS mit Alias-IP-Adressen

Google Cloud konfiguriert automatisch das interne DNS für die primäre IP-Adresse der primären Schnittstelle jeder VM-Instanz. Dadurch wird der Hostname der Instanz der primären IP-Adresse der primären Schnittstelle zugeordnet. Die DNS-Suche für diesen Hostnamen funktioniert jedoch nur in dem Netzwerk mit der primären Schnittstelle.

Google Cloud ordnet dem Hostnamen nicht automatisch andere IP-Adressen zu. Es werden dem Hostnamen in Google Cloud keine Alias-IP-Adressen der primären Schnittstelle und auch keine IP-Adressen sekundärer Schnittstellen zugeordnet.

Sie können das DNS für die Zuordnung anderer IP-Adressen manuell konfigurieren.

Firewalls

Der gesamte eingehende oder ausgehende Traffic, einschließlich Traffic für Alias-IP-Bereiche, wird von einer VPC-Firewallregel für ein übereinstimmendes Ziel-Tag oder Zieldienstkonto ausgewertet. Weitere Informationen zu Zielen und Alias-IP-Adressen finden Sie unter Ziele und IP-Adressen.

Alias-IP-Bereiche sind nicht eingeschlossen, wenn Sie Quellen für eine Firewallregel für eingehenden Traffic mithilfe von Quelltags oder Quelldienstkonten angeben.

Statische Routen

Wenn Sie eine statische Route erstellen, die eine durch eine interne IPv4-Adresse angegebene Next-Hop-Instanz verwendet, prüft Google Cloud, ob die Next-Hop-IP-Adresse zu einem Subnetz-IPv4-Bereich eines Subnetzes im VPC-Netzwerk der Route passt. Google Cloud programmiert die Route jedoch nur, wenn die Next-Hop-Adresse eine primäre interne IPv4-Adresse ist, die der Netzwerkschnittstelle (NIC) einer VM im VPC-Netzwerk der Route zugewiesen ist (und nicht einem Peering-VPC-Netzwerk).

Sie können eine Route erstellen, deren Next-Hop-Adresse eine interne IPv4-Adresse ist, die in einen Alias-IP-Bereich passt. Google Cloud programmiert diese Route jedoch nicht, sondern betrachtet den nächsten Hop als ausgefallen. An das Ziel der Route gesendete Pakete können ausgelassen werden, je nachdem, ob andere Routen für dasselbe Ziel vorhanden sind und ob diese anderen Routen nächste Hops haben, die aktiv sind.

Weitere Informationen finden Sie unter:

VPC-Netzwerk-Peering

Das VPC-Netzwerk-Peering ermöglicht das Peering von zwei VPC-Netzwerken, sodass die VMs in den beiden Netzwerken über interne private IP-Adressen miteinander kommunizieren können.

In einem Peering-Netzwerk sind sowohl die primären als auch die sekundären IP-Bereiche eines Subnetzes von VM-Instanzen erreichbar.

Mit Überschneidungsprüfungen an den Subnetzen wird sichergestellt, dass sich die primären und sekundären Bereiche nicht mit Bereichen der Peering-Netzwerke überschneiden.

IP-Aliasing mit Netzwerk-Peering (zum Vergrößern anklicken)
IP-Aliasing mit Netzwerk-Peering (zum Vergrößern anklicken)

Weitere Informationen