Maximale Übertragungseinheit

Die maximale Übertragungseinheit (MTU) gibt die Bytezahl des größtmöglichen IP-Pakets in Byte an, einschließlich IP-Headern, Ebene-4-Protokollheadern und Ebene-4-Daten die in einen Ethernet-Frame passen.

Gültige MTU-Größen des VPC-Netzwerks

VPC-Netzwerke (Virtual Private Cloud) verwenden eine Standard-MTU von 1.460 Byte. Sie können die MTU eines VPC-Netzwerks auf einen beliebigen Wert zwischen 1.300 Byte und 8.896 Byte (einschließlich) festlegen. Gängige benutzerdefinierte MTU-Größen sind 1.500 Byte (Standard-Ethernet) oder 8.896 Byte (maximal möglich). Google empfiehlt, die MTU für jede VM-Instanz-Netzwerkschnittstelle (NIC) so zu konfigurieren, dass sie der MTU des VPC-Netzwerks entspricht, mit dem sie verbunden ist. Weitere Informationen finden Sie unter Einstellungen für VMs und MTU.

Kommunikation zwischen Google Cloud-VMs in VPC-Netzwerken

Wenn VMs beim Senden und Empfangen dasselbe VPC-Netzwerk oderPeering-VPC-Netzwerke mit identischen MTUs verwenden, können IP-Pakete bis zur MTU-Größe zwischen den beiden VMs gesendet werden, wenn die Schnittstellen für beide VMs so konfiguriert sind, dass sie das VPC-Netzwerk-MTU verwenden.

Zur Vermeidung von Abweichungen bei der MTU empfiehlt Google, für alle verbundenen VPC-Netzwerke dieselbe MTU zu verwenden. Dies ist zwar die empfohlene Vorgehensweise, Sie müssen jedoch nicht zwingend identische MTUs zwischen verbundenen VPC-Netzwerken haben. Weitere Informationen dazu, wie Protokolle Situationen handhaben, bei denen MTUs zwischen VPC-Netzwerken nicht übereinstimmen, finden Sie unter Nicht übereinstimmende MTUs, MSS-Clamping, Pfad-MTU-Erkennung.

Aus Sicht einer sendenden VM stellen Pfade zu den folgenden Zielen VM-zu-VM-Traffic dar, der in einem VPC-Netzwerk weitergeleitet wird:

Eine regionale interne IPv4-Adresse in einem primären IPv4- oder sekundären Subnetz-IPv4-Adressbereich des Subnetzes, einschließlich privater IPv4-Adressbereiche und privat verwendeter öffentlicher IPv4-Adressbereiche, die von diesen Zielressourcen verwendet werden:
- Die primäre interne IPv4-Adresse der Netzwerkschnittstelle einer empfangenden VM.
- Eine interne IPv4-Adresse in einem Alias-IP-Bereich der NIC einer empfangenden VM.
- Eine interne IPv4-Adresse einer internen Weiterleitungsregel für die Protokollweiterleitung oder den internen Passthrough-Network Load Balancer.
Interne IPv6-Subnetzadressbereiche, die von diesen Zielressourcen verwendet werden:
- Eine IPv6-Adresse aus dem IPv6-Adressbereich /96, die einem Dual-Stack-Empfang der NIC der VM zugewiesen ist.
- Eine IPv6-Adresse aus dem IPv6-Adressbereich /96 einer internen Weiterleitungsregel für die Protokollweiterleitung oder für einen internen Passthrough-Network Load Balancer.
Externe IPv6-Subnetzadressbereiche werden von diesen Zielressourcen verwendetwenn Pakete mithilfe von Subnetzrouten oder Peering-Subnetzrouten innerhalb des VPC-Netzwerks weitergeleitet werden :
- Eine IPv6-Adresse aus dem IPv6-Adressbereich /96, die einem Dual-Stack-Empfang der NIC der VM zugewiesen ist.
- Eine IPv6-Adresse aus dem IPv6-Adressbereich /96 einer externen Weiterleitungsregel für die Protokollweiterleitung oder für einen externen Passthrough-Network Load Balancer.

Die folgenden VM-zu-VM-Pfade werden genauso behandelt wie Kommunikation mit Zielen außerhalb eines VPC-Netzwerks:

Wenn das Paketziel eine externe IPv4-Adresse der empfangenden NIC der Google Cloud-VM ist.
Wenn das Paketziel eine externe IPv4-Adresse eines externen Passthrough-Netzwerk-Load-Balancers ist.
Wenn das Paketziel eine externe IPv4-Adresse einer Weiterleitungsregel für die Protokollweiterleitung ist
Wenn das Paketziel eine externe IPv6-Adresse der NIC einer Google Cloud-VM, eines externen Passthrough-Netzwerk-Load-Balancers oder einer Weiterleitungsregel für die externe Protokollweiterleitung und die anwendbare Route im VPC-Netzwerk ein nächstes Hop für das Standard-Internetgateway verwendet. In diesem Szenario befinden sich empfangene VMs weder im selben VPC-Netzwerk wie die sendende VM noch in einem VPC-Netzwerk, das über VPC-Netzwerk-Peering mit dem VPC-Netzwerk der sendenden VM verbunden ist.

Kommunikation mit Zielen außerhalb eines VPC-Netzwerks

Google Cloud verarbeitet Pakete, die an Ziele außerhalb des VPC-Netzwerks der sendenden VM gesendet werden, wie in der folgenden Tabelle dargestellt. Ziele außerhalb des VPC-Netzwerks einer sendenden VM umfassen öffentlich routingfähige IP-Adressen für Ressourcen außerhalb von Google Cloud und vom Kunden nutzbare externe IP-Adressen innerhalb von Google Cloud.

Da das Internet in der Regel eine MTU von 1.500 Byte verwendet, wird durch die Beibehaltung einer IP-Paketgröße von 1.500 Byte in der Regel der MTU-bezogene Paketverlust vermieden.

Situation	Verhalten
TCP-SYN- und SYN-ACK-Pakete	Google Cloud führt bei Bedarf MSS Clamping durch, wobei der MSS geändert wird, um sicherzustellen, dass Pakete in die MTU passen.
IP-Paket-MTU zwischen 1.300 Byte und 1.600 Byte (einschließlich)	Google Cloud nimmt keine Änderungen am Paket vor, mit Ausnahme von SYN- und SYN-ACK-Paketen, wie in der ersten Zeile erläutert.
IP-Paket größer als 1.600 Byte	Google Cloud löscht das Paket und sendet eine ICMP-Fragmentierungsanforderung, wenn das DF-Bit aktiviert und das DF-Bit deaktiviert ist.

Kommunikation mit Google APIs und Google-Diensten

VMs mit einer gültigen MTU-Größe des VPC-Netzwerks können Pakete an Google APIs und Google-Dienste senden, einschließlich des privaten Google-Zugriffs und von Private Service Connect für Google APIs Die Details in diesem Abschnitt gelten auch für lokale Ressourcen, die Pakete mit dem privaten Google-Zugriff für lokale Hosts an Google APIs und Google-Dienste senden.

Der in diesem Abschnitt beschriebene Trafficpfad zu Google APIs und Google-Diensten wird von Google Front Ends (GFEs) implementiert. Diese GFEs verwenden nicht konfigurierbare, feste MTUs. Traffic von Google Cloud zu Google APIs und Diensten verwendet immer das TCP-Protokoll: Wenn eine VM eine Verbindung zu Google APIs und Diensten von einem VPC-Netzwerk aus herstellt, dessen MTU nicht mit der MTU des GFE übereinstimmt, wird die Segmentgröße mithilfe von TCP-MSS-Advertisement ausgehandelt, wie unter Nicht übereinstimmende MTUs, MSS-Clamping, Pfad-MTU-Erkennung beschrieben.

Paketquelle Paketziel

Paketquelle	Paketziel
Beliebige interne IPv4-Adresse: Primäre interne IPv4-Adresse oder interne IPv4-Adresse aus einem Alias-IP-Bereich der VM-NIC Eine externe IPv4-Adresse, die der VM-NIC mit einer 1-1-NAT-Zugriffskonfiguration zugewiesen ist: In diesem Fall führt Google Cloud 1-1-NAT bei ausgehendem Traffic aus und konvertiert eine primäre primäre interne IPv4-Adresse in eine externe IPv4-Quelladresse, die in der Zugriffskonfiguration angegeben ist	IPv4-Adressen von Google APIs und Diensten für die Standarddomains `199.36.153.4/30` (restricted.googleapis.com) `199.36.153.8/30` (private.googleapis.com) Privater Service Connect-Endpunkt für Google APIs und -Dienste
Externe oder interne IPv6-Adresse für Dual-Stack-VMs	IPv6-Adressen von Google APIs und -Diensten für die Standarddomains `2600:2d00:0002:1000::/64` (restricted.googleapis.com) `2600:2d00:0002:2000::/64` (private.googleapis.com)

Beliebige interne IPv4-Adresse: Primäre interne IPv4-Adresse oder interne IPv4-Adresse aus einem Alias-IP-Bereich der VM-NIC

Eine externe IPv4-Adresse, die der VM-NIC mit einer 1-1-NAT-Zugriffskonfiguration zugewiesen ist: In diesem Fall führt Google Cloud 1-1-NAT bei ausgehendem Traffic aus und konvertiert eine primäre primäre interne IPv4-Adresse in eine externe IPv4-Quelladresse, die in der Zugriffskonfiguration angegeben ist

IPv4-Adressen von Google APIs und Diensten für die Standarddomains
199.36.153.4/30 (restricted.googleapis.com)
199.36.153.8/30 (private.googleapis.com)
Privater Service Connect-Endpunkt für Google APIs und -Dienste

Externe oder interne IPv6-Adresse für Dual-Stack-VMs

IPv6-Adressen von Google APIs und -Diensten für die Standarddomains
2600:2d00:0002:1000::/64 (restricted.googleapis.com)
2600:2d00:0002:2000::/64 (private.googleapis.com)

Kommunikation über Cloud VPN-Tunnel

Cloud VPN hat sowohl eine Gateway-MTU für gekapselte Pakete als auch eine Nutzlast-MTU für Pakete vor und nach der Kapselung.

Genaue Nutzlastwerte und andere MTU-Informationen in Cloud VPN finden Sie unter Überlegungen zur MTU in der Cloud VPN-Dokumentation.

Kommunikation über Cloud Interconnect-Anhänge (VLANs)

Google empfiehlt, für alle VLAN-Anhänge, die mit demselben VPC-Netzwerk verbunden sind, dieselbe MTU zu verwenden und für die MTU des VPC-Netzwerks denselben Wert festzulegen. Weitere Informationen zu den MTUs von Cloud Interconnect-VLAN-Anhängen finden Sie unter Cloud Interconnect-MTU.

Unterstützung für Jumbo Frames

In der folgenden Tabelle ist die Jumbo Frame-Unterstützung unter den Google Cloud-Produkten und -Features zusammengefasst:

Produkt oder Feature	Unterstützung für Jumbo Frames
Compute Engine	Ja
Cloud Interconnect	Ja
Cloud VPN	Nein
Von Google APIs unterstützte Dienste	Nein

Einstellungen für VMs und MTU

Passen Sie als Best Practice die NIC einer NIC einer VM an die MTU des VPC-Netzwerks an, mit dem die NIC verbunden ist:

Jede NIC-MTU für eine Linux-VM, die auf einem von Google bereitgestellten Betriebssystem-Image basiert, wird mithilfe der DHCP-Option 26 automatisch auf die entsprechende VPC-Netzwerk-MTU eingestellt.
Jede NIC-MTU für eine Windows-VM, die auf einem von Google bereitgestellten Betriebssystem-Image basiert, wird mit einer festen MTU von 1,460-Byte konfiguriert. Wenn Sie die MTU eines VPC-Netzwerks ändern, das Windows-VMs basierend auf von Google bereitgestellten Betriebssystem-Images enthält, müssen Sie die MTU für die Windows-VM ändern.
Wenn Sie benutzerdefinierte Gastbetriebssystem-Images verwenden, müssen Sie NIC-MTUs konfigurieren oder prüfen, ob das Gastbetriebssystem mit DHCP-Option 26 den VPC-Netzwerk-MTU akzeptiert.
Wenn eine VM mehrere Netzwerkschnittstellen hat, legen Sie für jede NIC-MTU die entsprechende VPC-Netzwerk-MTU fest.
Wenn sich eine NIC-MTU von der VPC-Netzwerk-MTU unterscheiden muss, setzen Sie die NIC-MTU auf weniger als die VPC-Netzwerk-MTU. Das erzwungene Verringern der NIC-MTU ist für einige erweiterte Netzwerkszenarien vorteilhaft.

MTU eines VPC-Netzwerks ändern

Beachten Sie die folgenden Hinweise, wenn Sie die MTU eines VPC-Netzwerks mit ausgeführten VMs ändern:

Wenn Sie die VPC-Netzwerk-MTU reduzieren, müssen Sie jede VM beenden und starten. Beim Neustart einer VM innerhalb des Gastbetriebssystems wird die MTU nicht aktualisiert.
Wenn Sie die VPC-Netzwerk-MTU erhöhen, nutzen ausgeführte VMs, die das VPC-Netzwerk verwenden, nicht die erhöhte VPC-Netzwerk-MTU, bis die VMs angehalten und gestartet wurden. Bis jede VM beendet und neu gestartet wurde, verwendet die VM weiterhin den vorherigen (niedrigeren) MTU-Wert.

Eine Anleitung finden Sie unter MTU-Einstellung eines VPC-Netzwerks ändern.

GKE- und MTU-Einstellungen

Die für eine Pod-Schnittstelle ausgewählte MTU hängt von der von den Clusterknoten verwendeten Container Network Interface (CNI) und der zugrunde liegenden VPC-MTU-Einstellung ab. Weitere Informationen finden Sie unter Pods.

Der MTU-Wert der Pod-Schnittstelle ist entweder 1460 oder wird von der primären Schnittstelle des Knotens übernommen.

CNI	MTU	GKE Standard
kubenet	1460	Default
kubenet (GKE-Version 1.26.1 und höher)	Übernommen	Default
Calico	1460	Aktiviert mit `--enable-network-policy`. Weitere Informationen finden Sie unter Kommunikation zwischen Pods und Services mithilfe von Netzwerkrichtlinien steuern.
netd	Übernommen	Aktiviert durch Verwendung einer der folgenden Optionen: Knoteninterne Sichtbarkeit Workload Identity IPv4/IPv6-Dual-Stack-Netzwerk
GKE Dataplane V2	Übernommen	Aktiviert mit `--enable-dataplane-v2`. Weitere Informationen finden Sie unter GKE Dataplane V2 verwenden.

Nicht übereinstimmende MTUs, MSS-Clamping, Pfad-MTU-Erkennung

In diesem Abschnitt wird beschrieben, wie TCP- und Nicht-TCP-Protokolle nicht übereinstimmende MTUs verarbeiten.

TCP-Protokoll

Das TCP-Protokoll verarbeitet MTU-Abweichungen automatisch. Sowohl der Client als auch der Server berechnen jedes Mal, wenn eine TCP-Verbindung geöffnet wird, ihre eigenen effektiven Werte für die maximale TCP-Segmentgröße (MSS) einzeln. Client und Server müssen sich nicht auf einen identischen effektiven MSS-Wert einigen.

Effektive maximale TCP-Segmentgröße (MSS) des Clients: Die größte Menge an übertragbaren Daten in einem TCP-Segment, das von einem Client an einen Server gesendet wird, ist das Minimum der folgenden beiden Werte:
- Der Wert des MSS-Felds im SYN-ACK-Paket, das der Client während des TCP-Verbindungsaufbaus vom Server empfängt.
- Die MTU der Netzwerkschnittstelle des Clients abzüglich 40 Byte. Die subtrahierten 40 Byte umfassen 20 Byte für den IP-Header und 20 Byte für den Basis-TCP-Header.
Effektive maximale TCP-Segmentgröße (MSS) des Servers: Die größte Menge an übertragbaren Daten in einem TCP-Segment, das von einem Server an einen Client gesendet wird, ist das Minimum der folgenden beiden Werte:
- Der Wert des MSS-Felds im SYN-Paket, das der Server während des TCP-Verbindungsaufbaus vom Client empfangen hat.
- Die MTU der Netzwerkschnittstelle des Servers abzüglich 40 Byte. Die subtrahierten 40 Byte umfassen 20 Byte für den IP-Header und 20 Byte für den Basis-TCP-Header.

TCP-MSS-Clamping

TCP-MSS Clamping ist ein Prozess, bei dem ein Netzwerkgerät zwischen einem Client und einem Server die MSS-Werte in SYN- und SYN-ACK-Paketen ändert, während die Pakete zwischen Client und Server weitergeleitet werden. Google Cloud verwendet MSS Clamping, wenn Pakete an Ziele außerhalb eines VPC-Netzwerks gesendet werden.

Cloud VPN-Tunnel und Cloud Interconnect-VLAN-Anhänge verwenden auch MSS-Clamping. Weitere Informationen finden Sie in der Cloud VPN-Dokumentation unter Paketkapselung und -verarbeitung und unter Cloud Interconnect-MTU.

VPC-Netzwerke führen kein MSS-Clamping für Pakete durch, die von den nächsten Hops innerhalb eines VPC-Netzwerks weitergeleitet werden, da das TCP-Protokoll selbst ausreichend ist.

Nicht-TCP-Protokolle

Andere Protokolle wie UDP erfordern besondere Sorgfalt, wenn zwei verschiedene VPC-Netzwerk-MTUs beteiligt sind. Es liegt in der Verantwortung eines Sendesystems, Pakete auszugeben, die in seine Netzwerkschnittstellen-MTU, die MTU der Netzwerkschnittstelle des empfangenden Systems und die MTU aller dazwischen liegenden Netzwerke passen. Google Cloud führt keine IP-Fragmentierung für Pakete durch, die von den nächsten Hops innerhalb eines VPC-Netzwerks weitergeleitet werden.

Wenn ein IP-Paket für die Zustellung zu groß ist, z. B. wenn das Paket die MTU des VPC-Netzwerks überschreitet, in dem sich die NIC der empfangenden VM befindet, löscht Google Cloud das Paket. Wenn für das Paket das DF-Bit festgelegt ist, sendet Google Cloud auch eine Nachricht über „Fragmentierung erforderlich“ (ICMP über IPv4) oder „Paket zu groß“ (ICMPv6) an den Absender zurück.

Google Cloud sendet unter den folgenden Umständen eine Nachricht „Fragmentierung erforderlich“ oder „Paket zu groß“, auch wenn ein DF-Bit nicht festgelegt ist:

Wenn die VPC-Netzwerk-MTU kleiner als 1.600 Byte ist, und das gesendete Paket die VPC-Netzwerk-MTU überschreitet.
Wenn die VPC-Netzwerk-MTU 1.600 Byte oder mehr umfasst und das gesendete Paket 1.600 Byte überschreitet.

Die erforderlichen ICMP-Fragmentierung oder Paket-zu-Big-Nachrichten sind für eine VM erforderlich, die Pakete sendet, um Path MTU Discovery (PMTUD) zu verwenden. Das folgende Beispiel zeigt zwei VMs in verschiedenen VPC-Netzwerken, die über VPC-Netzwerk-Peering verbunden sind, um die Funktionsweise von PMTUD zu veranschaulichen:

Die sendende VM hat eine NIC in einem VPC-Netzwerk mit einer MTU von 8.896 Byte.
Die empfangende VM hat eine NIC in einem VPC-Netzwerk mit einer MTU von 1.460 Byte.
Die sendende VM gibt ein IP-Paket mit 8.000 Byte aus,dessen Bit "Nicht fragmentieren" (DF) festgelegt ist. Da das Paket zu groß ist, um an die empfangende VM zugestellt zu werden, sendet Google Cloud die Nachricht "Fragmentierung erforderlich" oder "Paket zu groß" an die sendende VM. Diese Meldung gibt die größte mögliche IP-Paketgröße an, die der Absender verwenden kann, wenn er versucht, Pakete für die Verbindung noch einmal zu senden.
Das Betriebssystem der sendenden VM verwendet diese Informationen, um die IP-Paketgröße zu verringern, wenn nachfolgende Pakete an die empfangende VM gesendet werden.

PMTUD hat die folgenden zusätzlichen Anforderungen, da von PMTUD generierte Fragmentierung erforderlich oder Pakete für große Pakete das ICMP-Protokoll verwenden und Quellen haben, die dem Ziel eines ursprünglichen Pakets entsprechen:

Sie müssen VPC-Firewallregeln oder Regeln in Firewallrichtlinien für eingehenden Traffic konfigurieren, damit ICMP (für IPv4) oder ICMPv6 (für IPv6) aus Quellen, die mit den ursprünglichen Paketzielen übereinstimmen, erlaubt sind. Um die Firewallkonfiguration zu vereinfachen, sollten Sie ICMP und ICMPv6 aus allen Quellen zulassen.
Weiterleitungsregeln für den internen Passthrough-Netzwerk-Load-Balancer und die interne Protokollweiterleitung müssen das L3_DEFAULT-Protokoll verwenden, damit sie sowohl ICMP für PMTUD als auch das vom ursprünglichen Paket verwendete Protokoll verarbeiten.

Nächste Schritte

Eine andere MTU finden Sie unter Jumbo Frame MTU-Netzwerk erstellen und prüfen.
Erstellen Sie ein VPC-Netzwerk mit einer angegebenen MTU.
MTU-Einstellung eines VPC-Netzwerks ändern.

Überzeugen Sie sich selbst

Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie einfach ein Konto, um die Leistungsfähigkeit von VPC in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

VPC kostenlos testen