Routenübersicht

Routen definieren auf der Google Cloud Platform (GCP) die Pfade, die der Netzwerktraffic von einer VM-Instanz zu anderen Zielen zurücklegt. Diese Ziele können sich innerhalb Ihres VPC-Netzwerks (beispielsweise in einer anderen VM) oder außerhalb davon befinden.

Jede Route besteht aus einem Ziel und einem nächsten Hop. Traffic, dessen Ziel-IP-Adresse innerhalb des Zielbereichs liegt, wird zur Zustellung an den nächsten Hop gesendet. Diese Seite bietet einen Überblick über die Funktionsweise von Routen auf der GCP.

Routing auf der GCP

Jedes VPC-Netzwerk verwendet einen skalierbaren, verteilten virtuellen Routingmechanismus. Obwohl einige Routen selektiv angewendet werden können, wird die Routingtabelle für ein VPC-Netzwerk auf VPC-Netzwerkebene definiert.

Jede VM-Instanz hat einen Controller, der über alle anwendbaren Routen aus der Routingtabelle des Netzwerks informiert wird. Jedes Paket, das eine VM verlässt, wird auf Basis einer Routingreihenfolge an den entsprechenden nächsten Hop einer anwendbaren Route zugestellt. Wenn Sie eine Route hinzufügen oder löschen, wird der Satz von Änderungen nach dem Eventual Consistency-Modell an die VM-Controller weitergegeben.

Routentypen

Die GCP bietet vier verschiedene Typen von Routen in zwei Kategorien. Vom System generierte Routen werden automatisch erstellt, wenn Sie ein Netzwerk anlegen, ein Subnetz hinzufügen oder den sekundären IP-Bereich eines Subnetzes ändern. Benutzerdefinierte Routen sind Routen, die Sie selbst erstellen und verwalten, entweder direkt oder mithilfe eines Cloud Routers. In der folgenden Tabelle werden die verschiedenen Typen von Routen zusammengefasst:

Typ Kategorie Ziel Nächster Hop Entfernbar Gilt für
Standardroute Vom System generiert 0.0.0.0/0 default-internet-gateway Ja Alle Instanzen im Netzwerk
Subnetzroute Vom System generiert Primäre und sekundäre Subnetz-IP-Bereiche
VPC-Netzwerk, das Pakete an VMs in seinen Subnetzen weiterleitet Nur wenn das Subnetz gelöscht wird oder wenn Sie die sekundären IP-Bereiche des Subnetzes ändern Alle Instanzen im Netzwerk
Statische Route Benutzerdefiniert • IP-Bereich, der sich mit keinem Subnetz-IP-Bereich teilweise oder vollständig überschneidet
• Der IP-Bereich ist breiter als der Subnetz-IP-Bereich
Eine der folgenden Möglichkeiten:
• Eine Instanz anhand ihres Namens
• Eine Instanz anhand ihrer IP-Adresse
• Ein Cloud VPN-Tunnel
Ja Alle Instanzen im Netzwerk, sofern nicht durch Netzwerktag auf bestimmte Instanzen beschränkt
Dynamische Route Benutzerdefiniert • IP-Bereich, der sich mit keinem Subnetz-IP-Bereich teilweise oder vollständig überschneidet
• Der IP-Bereich ist breiter als der Subnetz-IP-Bereich
IP-Adresse des BGP-Peers des Cloud Routers Nur von einem Cloud Router, wenn er die Route nicht mehr von seinem BGP-Peer erhält • Instanzen in derselben Region wie der Cloud Router, wenn sich das VPC-Netzwerk im Modus für regionales dynamisches Routing befindet
• Alle Instanzen, wenn sich das VPC-Netzwerk im Modus für globales dynamisches Routing befindet

Standardroute

Wenn Sie ein VPC-Netzwerk anlegen, erstellt die GCP eine vom System generierte Standardroute. Diese Route dient zwei Zwecken:

  • Sie definiert den Pfad aus dem VPC-Netzwerk heraus, einschließlich des Pfads zum Internet. Neben dieser Route müssen Instanzen zusätzliche Anforderungen erfüllen, wenn sie Internetzugang benötigen.

  • Sie gibt den Standardpfad für den privaten Google-Zugriff an.

Die vom System generierte Standardroute hat die Priorität 1000. Da ihr Ziel das breitest mögliche ist (0.0.0.0/0), wird sie von der GCP nur dann verwendet, wenn für ein Paket keine Route mit einem spezifischeren Ziel gilt. Weitere Informationen dazu, wie mithilfe von Zielspezifität und Routenpriorität eine Route ausgewählt wird, finden Sie unter Routingreihenfolge.

Sie können die Standardroute löschen, wenn Sie Ihr Netzwerk vollständig vom Internet isolieren möchten oder wenn Sie sie durch eine benutzerdefinierte Route ersetzen müssen:

  • Sie können die Standardroute durch eine benutzerdefinierte statische oder dynamische Route ersetzen, wenn Sie Internettraffic an einen anderen nächsten Hop weiterleiten möchten. Sie lässt sich beispielsweise durch eine benutzerdefinierte statische Route ersetzen, deren nächster Hop ein Cloud VPN-Tunnel oder eine andere Instanz wie ein Proxyserver ist.

  • Wenn Sie die Standardroute entfernen und nicht ersetzen, gehen Pakete verloren, deren Ziel-IP-Bereiche nicht von anderen Routen abgedeckt werden.

Subnetzrouten

Subnetzrouten sind vom System generierte Routen, die Pfade zu jedem Subnetz im VPC-Netzwerk definieren.

Jedes Subnetz hat mindestens eine Subnetzroute, deren Ziel dem primären IP-Bereich des Subnetzes entspricht. Wenn das Subnetz sekundäre IP-Bereiche hat, erstellt die GCP für jeden sekundären Bereich eine Subnetzroute mit einem entsprechenden Ziel. Ausführliche Informationen zu Subnetz-IP-Bereichen finden Sie unter Netzwerke und Subnetze.

Keine andere Route darf ein Ziel haben, das mit dem Ziel einer Subnetzroute übereinstimmt oder spezifischer als dieses Ziel ist. Sie können aber eine benutzerdefinierte Route mit einem breiteren Zielbereich erstellen, der den Zielbereich der Subnetzroute enthält. Bei Überlappung des IP-Bereichs gilt Folgendes: Da die GCP die Zielspezifität als erstes Kriterium für die Routingreihenfolge verwendet, ist die Subnetzroute immer der bevorzugte nächste Hop für Pakete, deren Ziele in ihren Zielbereich fallen. Dies gilt auch dann, wenn eine andere Route, deren Ziel das Ziel der Subnetzroute "enthält", eine höhere Routenpriorität hat.

In den folgenden Punkten wird beschrieben, wie Subnetzrouten erstellt und entfernt werden:

  • Beim Erstellen eines Subnetzes wird auch eine entsprechende Subnetzroute für den primären IP-Bereich des Subnetzes erstellt.

    • Wenn Sie einem Subnetz einen sekundären IP-Bereich hinzufügen, wird eine entsprechende Subnetzroute für diesen sekundären Bereich erstellt.
  • Netzwerke im automatischen Modus erstellen eine Subnetzroute für die primären IP-Bereiche von jedem automatisch erstellten Subnetz. Sie können diese Subnetze nur dann löschen, wenn Sie den Modus des Netzwerks von automatisch in benutzerdefiniert ändern. Weitere Informationen finden Sie unter VPC-Netzwerktypen.

  • Sie können eine Subnetzroute nur löschen, wenn Sie das Subnetz selbst ändern oder löschen:

    • Wenn Sie einen sekundären Bereich aus einem Subnetz entfernen, wird die Subnetzroute für diesen sekundären Bereich automatisch gelöscht.

    • Wenn Sie ein Subnetz löschen, werden alle Subnetzrouten für primäre und sekundäre Bereiche automatisch gelöscht. Sie können die Subnetzroute für den primären Bereich des Subnetzes nicht auf andere Weise löschen.

  • Wenn Netzwerke über VPC-Netzwerk-Peering verbunden sind, werden Subnetzrouten von einem Netzwerk in das andere Netzwerk importiert und umgekehrt. Daher dürfen alle primären und sekundären Subnetz-IP-Bereiche nur einmal vergeben sein.

    • Subnetzrouten für Subnetze in Peering-Netzwerken können nur entfernt werden, wenn Sie die Peering-Beziehung aufheben. In diesem Fall werden alle importierten Subnetzrouten aus dem anderen Netzwerk automatisch entfernt.

Firewallregeln können die Kommunikation zwischen Instanzen blockieren. Ausführliche Informationen zur Kommunikation zwischen Instanzen finden Sie unter Kommunikation im Netzwerk.

Benutzerdefinierte Routen

Benutzerdefinierte Routen sind entweder statische Routen, die Sie manuell erstellen, oder dynamische Routen, die automatisch von einem oder mehreren Ihrer Cloud Router verwaltet werden.

Ziele für benutzerdefinierte Routen dürfen weder mit einer Subnetzroute im Netzwerk übereinstimmen noch spezifischer als diese sein.

Bei Verwendung eines VPC-Netzwerks im automatischen Modus dürfen Sie keine Ziele verwenden, die in den CIDR-Block 10.128.0.0/9 fallen, da dieser Block den aktuellen und zukünftigen Adressraum für Subnetzrouten definiert. Weitere Informationen finden Sie unter IP-Bereiche im automatischen Modus. Statische Routen mit Zielen innerhalb von 10.128.0.0/9 können in einem VPC-Netzwerk im automatischen Modus jederzeit deaktiviert werden. Dies kann passieren, wenn eine neue GCP-Region verfügbar und ein neues Subnetz automatisch erstellt wird (zusammen mit seiner Subnetzroute). Lesen Sie dazu die Überlegungen zu Netzwerken im automatischen Modus aufmerksam durch.

Statische Routen

Statische Routen können jeden beliebigen nächsten Hop für statische Routen verwenden. Zum Erstellen statischer Routen gibt es zwei Möglichkeiten:

  • Sie können sie manuell erstellen.

  • Wenn Sie mit der GCP Console einen Cloud VPN-Tunnel erstellen, der richtlinienbasiertes Routing oder ein routenbasiertes VPN verwendet, werden statische Routen für die Remote-Trafficauswahl für Sie erstellt. Einzelheiten hierzu finden Sie in der Cloud VPN-Dokumentation zu Netzwerken und Tunnelrouting.

Weitere Informationen finden Sie unter Parameter für statische Routen.

Dynamische Routen

Dynamische Routen werden von einem oder mehreren Cloud Routern verwaltet. Ihre Ziele stellen immer IP-Bereiche außerhalb Ihres VPC-Netzwerks dar und ihre nächsten Hops sind immer BGP-Peer-Adressen. Ein Cloud Router kann dynamische Routen für Folgendes verwalten:

Anwendbarkeit und Reihenfolge

Anwendbare Routen

Für die Anwendbarkeit von Routen auf Instanzen gelten folgende Regeln:

  • Vom System generierte Routen gelten für alle Instanzen in einem VPC-Netzwerk. Der Umfang der Instanzen, für die Subnetzrouten gelten, kann nicht geändert werden. Sie können jedoch die Standardroute ersetzen.

  • Benutzerdefinierte statische Routen können je nach Tagattribut der Route für alle Instanzen oder bestimmte Instanzen gelten. Statische Routen mit einem Tagattribut gelten für Instanzen, die ein entsprechendes Netzwerktag haben. Wenn kein Tagattribut angegeben ist, gilt die statische Route für alle Instanzen im Netzwerk.

  • Dynamische Routen gelten für Instanzen, die auf dem Modus für dynamisches Routing des VPC-Netzwerks basieren. Wenn sich das VPC-Netzwerk im Modus für regionales dynamisches Routing befindet, wenden alle Cloud Router Routen an, die sie in ihren jeweiligen Regionen kennen. Befindet sich das Netzwerk im Modus für globales dynamisches Routing, wenden alle Cloud Router Routen an, die sie im gesamten Netzwerk kennen.

Routingreihenfolge

Die GCP verwendet das folgende Verfahren, um den nächsten Hop für ein Paket aus dem Pool der anwendbaren Routen auszuwählen:

  1. Subnetzrouten werden zuerst berücksichtigt, da die GCP verlangt, dass Subnetzrouten die spezifischsten Ziele haben, die den IP-Adressbereichen ihrer jeweiligen Subnetze entsprechen. Wenn das Ziel eines Pakets in das Ziel einer Subnetzroute fällt, wird das Paket an das GCP-Subnetz zugestellt. Subnetzrouten können nicht durch andere Routentypen überschrieben werden.

    • Die GCP lässt nicht zu, dass eine statische Route dasselbe Ziel wie eine Subnetzroute oder ein spezifischeres Ziel hat.

    • Bei dynamischen Routen ignoriert jeder Cloud Router alle empfangenen Routen, die dieselben Ziele wie beliebige Subnetzrouten oder spezifischere Ziele haben.

  2. Wenn das Paket nicht in das Ziel für eine Subnetzroute fällt, sucht die GCP nach einer anderen Route mit dem spezifischsten Ziel.

    • Angenommen, das Ziel eines Pakets, das eine VM verlässt, ist 10.240.1.4 und es gibt zwei Routen mit unterschiedlichen Zielen: 10.240.1.0/24 und 10.240.0.0/16. Da 10.240.1.0/24 das spezifischste Ziel für 10.240.1.4 ist, bestimmt die Route mit dem Ziel 10.240.1.0/24 den nächsten Hop für das Paket.
  3. Wenn mehrere Routen dasselbe spezifischste Ziel haben, zieht die GCP die Priorität der Routen heran:

    • Wenn nur eine Route höchste Priorität hat, wird das Paket an den nächsten Hop dieser Route gesendet.

    • Wenn mehrere Routen dieselbe höchste Priorität haben und verfügbar sind, wird der Traffic auf mehrere nächste Hops verteilt. Dies erfolgt mithilfe eines 5-Tupel-Hashs, der Sitzungsaffinität bietet und somit ein ECMP-Routingmodell implementiert. Der Hash wird aus dem Protokoll, den Quell- und Ziel-IP-Adressen sowie den Quell- und Zielports des gesendeten Pakets berechnet und neu berechnet, wenn sich die Anzahl der verfügbaren Routen ändert.

  4. Wenn kein anwendbares Ziel gefunden wird, löscht die GCP das Paket und meldet, dass ein Problem mit dem ICMP-Ziel vorliegt oder dass das Netzwerk nicht erreichbar ist.

Parameter für statische Routen

Jede statische Route besteht aus folgenden Komponenten:

  • Name und Beschreibung: Diese Felder identifizieren die Route. Ein Name ist erforderlich, eine Beschreibung jedoch optional. Der Name jeder Route darf in Ihrem Projekt nur einmal vorkommen.

  • Netzwerk: Jede Route muss genau einem VPC-Netzwerk zugeordnet sein.

  • Zielbereich: Der Zielbereich ist ein einzelner IPv4-CIDR-Block, der die IP-Adressen von Systemen enthält, die eingehende Pakete empfangen. IPv6-Zielbereiche werden auf der GCP nicht unterstützt. Ziele müssen in CIDR-Notation angegeben werden und das breiteste mögliche Ziel ist 0.0.0.0/0.

  • Priorität: Mit der Priorität wird festgelegt, welche Route verwendet werden soll, wenn mehrere Routen identische Ziele haben. Niedrigere Zahlen zeigen höhere Prioritäten an. Beispielsweise hat eine Route mit einem Prioritätswert von 100 eine höhere Priorität als eine Route mit einem Prioritätswert von 200.

  • Nächster Hop: Statische Routen können nächste Hops haben, die auf das Standard-Internetgateway, eine GCP-Instanz oder einen Cloud VPN-Tunnel verweisen. Weitere Informationen finden Sie unter Nächste Hops für statische Routen.

  • Tags: Sie können eine Liste von Netzwerktags angeben, sodass die Route nur für Instanzen gilt, die mindestens einen der aufgelisteten Tags haben. Wenn Sie keine Tags angeben, wendet die GCP die Route auf alle Instanzen im Netzwerk an.

Nächste Hops für statische Routen

Im Folgenden sind die gültigen nächsten Hops für statische Routen aufgeführt. Weitere Informationen zu den einzelnen Typen finden Sie in der Referenzdokumentation zu gcloud.

  • Nächstes Hop-Gateway (next-hop-gateway): Sie können ein Standard-Internetgateway angeben, um einen Pfad zu öffentlichen IP-Adressen zu definieren.

  • Nächste Hop-Instanz (next-hop-instance): Sie können Traffic an eine vorhandene Instanz auf der GCP weiterleiten, indem Sie den Namen und die Zone der Instanz angeben. Der Traffic wird an die primäre interne IP-Adresse im Netzwerk weitergeleitet.

    • Wenn sich die interne IP-Adresse der primären Netzwerkschnittstelle der Instanz ändert, werden Routingtabellen auf der GCP automatisch aktualisiert, sodass der Traffic weiterhin an diese Instanz unter ihrer neuen IP-Adresse gesendet wird.

    • Wenn die Instanz durch eine neue Instanz mit demselben Namen in derselben Zone ersetzt wird, werden Routingtabellen auf der GCP automatisch aktualisiert, sodass der Traffic an die Ersatzinstanz weitergeleitet wird. Dabei spielt es keine Rolle, ob die Instanz automatisch oder manuell ersetzt wurde.

  • Nächste Hop-IP (next-hop-address): Sie können eine vorhandene Instanz auf der GCP über die interne IP-Adresse ihrer primären Netzwerkschnittstelle referenzieren.

    • Wenn die Instanz durch eine neue Instanz ersetzt wird, muss die Ersatzinstanz dieselbe interne IP-Adresse verwenden. Die GCP leitet Traffic an diejenige Instanz weiter, die gerade die angegebene interne IP-Adresse für den nächsten Hop hat.

    • Die IP-Adresse des nächsten Hops muss eine vorhandene Instanz in Ihrem VPC-Netzwerk sein. Öffentliche IP-Adressen und private IP-Adressen in Netzwerken, die mit Ihrem VPC-Netzwerk verbunden sind, gelten nicht als gültige nächste Hops.

  • Nächster Hop-VPN-Tunnel (next-hop-vpn-tunnel): Bei Cloud VPN-Tunneln, die richtlinienbasiertes Routing und routenbasierte VPNs verwenden, können Sie Traffic an den VPN-Tunnel weiterleiten. Dazu erstellen Sie Routen, deren nächste Hops auf den Tunnel anhand seines Namens und seiner Region verweisen.

Instanzen als nächste Hops

Wenn Sie eine statische Route erstellen, deren nächster Hop eine Instanz ist – entweder durch Verwendung der nächsten Hop-Instanz oder der nächsten Hop-IP – muss die als nächster Hop fungierende Instanz so konfiguriert sein, dass sie eingehenden Traffic von anderen Instanzen empfängt:

  • Als nächste Hops fungierende Instanzen müssen so konfiguriert sein, dass sie IP-Weiterleitung zulassen. Sie können die IP-Weiterleitung für einzelne VMs nur dann aktivieren, wenn Sie die jeweilige VM erstellen. Wenn die IP-Weiterleitung für VMs aktiviert werden soll, die automatisch im Rahmen einer verwalteten Instanzgruppe erstellt werden, müssen Sie die IP-Weiterleitung in der von der Instanzgruppe verwendeten Instanzvorlage aktivieren.

  • Als nächste Hops fungierende Instanzen müssen entsprechend konfigurierte Firewallregeln haben. Wenn Sie eine Route konfigurieren und eine Instanz als nächsten Hop angeben, werden Firewallregeln nicht automatisch angepasst. Die implizierte Regel zum Ablehnen von eingehendem Traffic blockiert eingehenden Traffic, sofern Sie keine Firewallregeln erstellt haben, die diesen zulassen. Ausführliche Informationen finden Sie unter Firewallregeln – Übersicht.

  • Firewallregeln gelten für die Quellen und Ziele des Pakets, nicht für die nächste Hop-Instanz. Eine nächste Hop-Instanz sollte so konfiguriert werden, dass Paketquellen und -ziele unverändert bleiben. Wenn die Quelle für eine Eingangsfirewallregel beispielsweise den IP-Bereich 10.240.0.3/32 einschließt, werden Pakete mit dieser Quelle, die durch eine korrekt konfigurierte NAT-Instanz weitergeleitet werden, von der Firewallregel zugelassen, selbst wenn die IP-Adresse der NAT-Instanz nicht 10.240.0.3 ist.

  • Wenn Sie eine Instanz als nächsten Hop verwenden, sollten Sie daran denken, dass die Instanz eine zonale Ressource ist. Die Auswahl einer Zone impliziert, dass Sie eine Region ausgewählt haben. Entfernungen zwischen Regionen werden von der GCP für Routen nicht berücksichtigt. Daher kann auch eine Route erstellt werden, die Traffic an eine nächste Hop-Instanz in einer anderen Region sendet. Dies erhöht die Kosten für ausgehenden Traffic und führt zu Netzwerklatenz.

  • Für GCP ist eine Route, deren nächster Hop eine Instanz darstellt, so lange gültig, wie die Instanz ausgeführt wird. Wenn Software innerhalb der Instanz (z. B. ihr Betriebssystem oder der für das Routing von Paketen zuständige Prozess) nicht mehr reagiert oder abstürzt, werden Pakete verworfen. Erwägen Sie, GCP mit verwalteten Instanzgruppen und automatischer Reparatur anzuweisen, nächste Hop-Instanzen neu zu erstellen, wenn diese konfigurierbare Systemdiagnosen nicht bestehen.

  • Das Deaktivieren einer Netzwerkschnittstelle durch Konfigurieren des Gastbetriebssystems der Instanz bewirkt nicht, dass GCP diese künftig nicht mehr als nächsten Hop der Route ansieht.

Weitere Informationen

  • Mehr über das Erstellen und Verwenden von Routen unter Routen verwenden lesen
  • Mehr über GCP-VPC-Netzwerke finden Sie in der VPC-Übersicht
  • Anleitungen zum Erstellen und Ändern von VPC-Netzwerken finden Sie unter VPC verwenden
Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit:

Feedback geben zu...