Routen

Google Cloud-Routen definieren die Pfade, die der Netzwerktraffic von einer VM-Instanz zu anderen Zielen zurücklegt. Diese Ziele können sich innerhalb Ihres Virtual Private Cloud-Netzwerks (VPC) von Google Cloud befinden, beispielsweise in einer anderen VM oder außerhalb davon.

In einem VPC-Netzwerk besteht eine Route aus einem einzelnen Zielpräfix im CIDR-Format und einem einzelnen nächsten Hop. Wenn eine Instanz in einem VPC-Netzwerk ein Paket sendet, liefert Google Cloud das Paket an den nächsten Hop der Route, wenn die Zieladresse des Pakets im Zielbereich der Route liegt.

Diese Seite bietet einen Überblick über die Funktionsweise von Routen in Google Cloud.

Routing in Google Cloud

Jedes VPC-Netzwerk verwendet einen skalierbaren, verteilten virtuellen Routingmechanismus. Dem Netzwerk ist kein physisches Gerät zugewiesen. Einige Routen können selektiv angewendet werden, aber die Routingtabelle für ein VPC-Netzwerk wird auf VPC-Netzwerkebene definiert.

Jede VM-Instanz hat einen Controller, der über alle anwendbaren Routen aus der Routingtabelle des Netzwerks informiert wird. Jedes Paket, das eine VM verlässt, wird auf Basis einer Routingreihenfolge an den entsprechenden nächsten Hop einer anwendbaren Route zugestellt. Wenn Sie eine Route hinzufügen oder löschen, wird der Satz von Änderungen nach dem Eventual Consistency-Modell an die VM-Controller weitergegeben.

Routentypen

In den folgenden Tabellen wird zusammengefasst, wie Google Cloud Routen in VPC-Netzwerken kategorisiert.

Typ und Ziel	Nächster Hop	Hinweise
Vom System generierte Routen
Vom System generierte Standardrouten `0.0.0.0/0` für IPv4 `::/0` für IPv6	`default-internet-gateway`	Gilt für das gesamte VPC-Netzwerk Kann entfernt oder ersetzt werden
Subnetzroute Wird automatisch für jeden Subnetz-IP-Adressbereich erstellt	VPC-Netzwerk Leitet Pakete an VMs und interne Load-Balancer weiter	Gilt für das gesamte VPC-Netzwerk Wird von Google Cloud automatisch erstellt, aktualisiert und entfernt, wenn Sie ein Subnetz oder einen sekundären IP-Adressbereich eines Subnetzes erstellen, ändern oder löschen.
Benutzerdefinierte Routen
Statische Route Unterstützt verschiedene Ziele	Leitet Pakete an eine als nächster Hop dienende statische Route weiter	Weitere Informationen zu jeder als nächster Hop dienenden statischen Route finden Sie unter: Instanzen und interne Passthrough Network Load Balancer Als nächster Hop dienende Instanzen Als nächster Hop dienende Network Load Balancer Als nächster Hop dienende klassische VPN-Tunnel
Dynamische Route Ziele, die nicht mit Subnetzrouten oder statischen Routen in Konflikt stehen	Peer einer BGP-Sitzung auf einem Cloud Router	Routen werden basierend auf erlernten Routen von Cloud Routern in Ihrem VPC-Netzwerk automatisch hinzugefügt und entfernt. Routen gelten für VMs entsprechend dem dynamischen Routingmodus des VPC-Netzwerks.
Peering-Routen
Peering-Subnetzroute Steht für den Subnetz-IP-Adressbereich in einem Netzwerk, das über VPC-Netzwerk-Peering verbunden ist	Peer-VPC-Netzwerk Leitet Pakete an VMs und interne Load-Balancer im Peer-Netzwerk weiter	Gilt für das gesamte VPC-Netzwerk Wird von Google Cloud automatisch erstellt, aktualisiert und entfernt, wenn Sie Subnetze im Peer-Netzwerk erstellt, geändert oder gelöscht werden
Benutzerdefinierte Peering-Route Benutzerdefinierte statische oder benutzerdefinierte dynamische Route in einem Netzwerk, das über VPC-Netzwerk-Peering verbunden ist	Nächster Hop im Peer-VPC-Netzwerk	Benutzerdefinierte Peering-Routen, die von statischen Routen im Peer-Netzwerk unterstützt werden, gelten so: Statische Routen in einem Peer-Netzwerk, die Netzwerk-Tags verwenden, werden niemals als benutzerdefinierte Peering-Routen importiert. Statische Routen in einem Peer-Netzwerk, die das als nächster Hop dienende Standard-Internetgateways verwenden, werden nie als benutzerdefinierte Peering-Routen importiert. Statische Routen in einem Peer-Netzwerk, die als nächster Hop dienende interne Passthrough Network Load Balancer verwenden, können auf nur eine Region oder auf alle Regionen angewendet werden, je nachdem, ob der globale Zugriff aktiviert ist. Weitere Informationen finden Sie unter Überlegungen zu internen Passthrough Network Load Balancern, die als nächster Hop dienen. Die benutzerdefinierten Peering-Routen, die von dynamischen Routen im Peer-Netzwerk unterstützt werden, gelten entsprechend dem Modus für dynamisches Routing des VPC-Netzwerks, in dem die Routen importiert werden.
Richtlinienbasierte Routen
Richtlinienbasierte Route Ordnet Traffic anhand einer Kombination aus Protokoll, Quell-IP-Bereich und Ziel-IP-Bereich zu.	Ein interner Passthrough Network Load Balancer	Richtlinienbasierte Routen werden vor anderen Routen ausgewertet. Richtlinienbasierte Routen können für alle VMs im Netzwerk, für bestimmte durch ein Netzwerktag ausgewählte VMs oder für Traffic gelten, der über von Ihnen identifizierte VLAN-Anhänge in das VPC-Netzwerk eintritt. Richtlinienbasierte Routen werden nicht über VPC-Netzwerk-Peering ausgetauscht.

Vom System generierte Standardrouten

Wenn Sie ein VPC-Netzwerk erstellen, enthält es eine vom System generierte Standardroute (IPv4) (0.0.0.0/0). Wenn Sie ein Dual-Stack-Subnetz mit einem externen IPv6-Adressbereich in einem VPC-Netzwerk erstellen, wird eine vom System generierte IPv6-Standardroute (::/0) zu diesem Netzwerk hinzugefügt, wenn die Route noch nicht vorhanden ist. Standardrouten dienen folgenden Zwecken:

Die Standardrouten von IPv4 und IPv6 definieren einen Pfad aus dem VPC-Netzwerk zu externen IP-Adressen im Internet.
Wenn Sie auf Google APIs und Google-Dienste zugreifen, ohne einen Private Service Connect-Endpunkt zu verwenden, kann die Standardroute als Pfad zu Google APIs und Google-Diensten dienen. Weitere Informationen finden Sie unter Privaten Google-Zugriff konfigurieren und Über VMs mit externen IP-Adressen auf APIs zugreifen.

Google Cloud verwendet eine Standardroute nur, wenn für ein Paket keine Route mit einem spezifischeren Ziel gilt. Weitere Informationen dazu, wie mithilfe von Zielspezifität und Routenpriorität eine Route ausgewählt wird, finden Sie unter Routingreihenfolge.

Sie können die Standardroute löschen, wenn Sie Ihr Netzwerk vollständig vom Internet isolieren möchten oder wenn Sie die Standardroute durch eine benutzerdefinierte Route ersetzen müssen:

Nur IPv4: Sie können die Standardroute durch eine benutzerdefinierte statische oder dynamische Route ersetzen, wenn Sie Internettraffic an einen anderen nächsten Hop weiterleiten möchten. Sie lässt sich beispielsweise durch eine benutzerdefinierte statische Route ersetzen, deren nächster Hop eine Proxy-VM ist.
IPv4 und IPv6: Wenn Sie die Standardroute löschen und nicht ersetzen, werden Pakete gelöscht, deren Ziel-IP-Bereiche nicht von anderen Routen abgedeckt werden.

Subnetzrouten

Subnetzrouten definieren Pfade zu Ressourcen wie VMs und internen Load-Balancern in einem VPC-Netzwerk.

Jedes Subnetz hat mindestens eine Subnetzroute, deren Ziel dem primären IPv4-Bereich des Subnetzes entspricht. Wenn das Subnetz sekundäre IP-Bereiche hat, gibt es für jeden sekundären IP-Adressbereich eine entsprechende Subnetzroute. Wenn das Subnetz einen IPv6-Bereich hat, gibt es für den IPv6-Adressbereich eine entsprechende Subnetzroute. Weitere Informationen zu Subnetz-IP-Bereichen finden Sie unter Subnetze.

Subnetzrouten haben immer die spezifischsten Ziele. Sie können selbst dann nicht durch andere Routen überschrieben werden, wenn eine andere Route eine höhere Priorität hat. Das liegt daran, dass Google Cloud bei der Auswahl einer Route die Zielspezifität berücksichtigt. Google Cloud verwendet 0 als Priorität für alle Subnetzrouten.

Interaktionen mit benutzerdefinierten statischen Routen

Lokale Subnetzrouten und importierte Peering-Subnetzrouten interagieren auf folgende Weise mit benutzerdefinierten statischen Routen:

Mit Google Cloud können Sie keine benutzerdefinierte statische Route erstellen, deren Ziel gleich oder kleiner als eine beliebige Subnetzroute oder Peering-Subnetzroute ist. Beispiel:
- Wenn eine lokale Subnetzroute oder eine Peering-Subnetzroute für das Ziel 10.70.1.0/24 vorhanden ist, können Sie keine neue benutzerdefinierte statische Route für 10.70.1.0/24, 10.70.1.0/25, 10.70.1.128/25 oder andere Ziele, die in 10.70.1.0/24 passen, erstellen.
- Wenn eine lokale Subnetzroute oder eine Peering-Subnetzroute für das 2001:0db8:0a0b:0c0d::/64 Ziel existiert, können Sie keine neue benutzerdefinierte statische Route für 2001:0db8:0a0b:0c0d::/64 erstellen oder ein beliebiges anderes Ziel, das in 2001:0db8:0a0b:0c0d::/64 passt, wie 2001:0db8:0a0b:0c0d::/96.
Umgekehrt können Sie in Google Cloud keine neue Subnetz- oder Peering-Subnetzroute erstellen, deren Ziel genau mit einer vorhandenen benutzerdefinierten statischen Route übereinstimmt bzw. breiter als diese ist (Ziel enthält die Route). Beispiel:
- Wenn Ihr VPC-Netzwerk eine benutzerdefinierte statische Route für das Ziel 10.70.1.128/25 hat, verhindert Google Cloud die Erstellung einer beliebigen Subnetzroute oder einer Peering-Subnetzroute, die einen primären oder sekundären IPv4-Subnetz-Adressbereich von 10.70.1.128/25, 10.70.1.0/24 oder einen anderen Bereich hat, der alle IPv4-Adressen in 10.70.1.128/25 enthält.
- Wenn Ihr VPC-Netzwerk eine benutzerdefinierte statische Route für das Ziel 2001:0db8:0a0b:0c0d::/96 hat, untersagt Google Cloud die Erstellung einer Dual-Stack-Subnetzroute oder einer Peering-Subnetzroute mit einem IPv6-Adressbereich von 2001:0db8:0a0b:0c0d::/64 oder einem anderen Bereich, der alle IPv6-Adressen in 2001:0db8:0a0b:0c0d::/96 enthält.

Interaktionen mit benutzerdefinierten dynamischen Routen

Lokale Subnetzrouten und importierte Peering-Subnetzrouten interagieren so mit Cloud Routern:

Wenn Cloud Router ein Präfix lernen, das genau mit dem Ziel einer vorhandenen Subnetz- oder Peering-Subnetzroute übereinstimmt, erstellt Google Cloud keine benutzerdefinierte dynamische Route für das in Konflikt stehende Präfix. Wenn beispielsweise eine Subnetz- oder Peering-Subnetzroute mit dem Ziel 10.70.1.0/24 vorhanden ist und Cloud Router im VPC-Netzwerk das Präfix 10.70.1.0/24 über BGP erhalten, verwendet Google Cloud das Subnetz oder Peering-Subnetzroute und erstellt keine benutzerdefinierte dynamische Route für 10.70.1.0/24.
- Wenn eine Subnetz- oder Peering-Subnetzroute erstellt wird, deren Ziel genau mit einem Präfix übereinstimmt, das von Cloud Routern im VPC-Netzwerk ermittelt wurde, entfernt Google Cloud die benutzerdefinierte dynamische Route für den in Konflikt stehenden Präfix, um Platz für die Subnetz- oder Peering-Subnetzroute zu schaffen.
Wenn Cloud Router Präfixe lernen, die in das Ziel einer vorhandenen Subnetz- oder Peering-Subnetzroute passen, erstellt Google Cloud keine benutzerdefinierten dynamischen Routen für die in Konflikt stehenden Präfixe. Wenn beispielsweise eine Subnetz- oder Peering-Subnetzroute mit dem Ziel 10.70.1.0/24 vorhanden ist und Cloud Router im VPC-Netzwerk die Präfixe 10.70.1.0/25 und 10.70.1.128/25 über BGP erhalten, verwendet Google Cloud die Subnetz- oder die Peering-Subnetzroute und erstellt keine benutzerdefinierten dynamischen Routen für 10.70.1.0/25 und 10.70.1.128/25.
- Wenn eine Subnetz- oder Peering-Subnetzroute erstellt wird, deren Zielpräfixe von Cloud Routern im VPC-Netzwerk erkannt wurden, entfernt Google Cloud die benutzerdefinierten dynamischen Routen für die in Konflikt stehenden Präfixe, um Platz für die Subnetz- oder Peering-Subnetzroute zu schaffen.

Lebenszyklus von Subnetzrouten

Subnetzrouten werden erstellt, aktualisiert und gelöscht, wenn Sie Subnetze oder deren Subnetz-IP-Adressbereiche erstellen, ändern oder löschen:

Wenn Sie ein Subnetz hinzufügen, erstellt Google Cloud eine entsprechende Subnetzroute für den primären IP-Adressbereich des Subnetzes.
- Wenn Sie den primären IP-Adressbereich eines Subnetzes erweitern, aktualisiert Google Cloud das Ziel der entsprechenden Subnetzroute.
- Wenn Sie einem Subnetz einen sekundären IP-Adressbereich hinzufügen oder ihn daraus entfernen, erstellt oder löscht Google Cloud eine entsprechende Subnetzroute für den sekundären Bereich.
VPC-Netzwerke im automatischen Modus erstellen eine Subnetzroute für die primären IP-Bereiche von jedem automatisch erstellten Subnetz. Sie können diese Subnetze nur dann löschen, wenn Sie den Modus des VPC-Netzwerks von automatisch in benutzerdefiniert ändern.
Sie können eine Subnetzroute nur löschen, wenn Sie das Subnetz ändern oder löschen:
- Wenn Sie einen sekundären Bereich aus einem Subnetz entfernen, wird die Subnetzroute für diesen sekundären Bereich automatisch gelöscht.
- Wenn Sie ein Subnetz löschen, werden alle Subnetzrouten für primäre und sekundäre Bereiche automatisch gelöscht. Sie können die Subnetzroute für den primären Bereich des Subnetzes nicht auf andere Weise löschen.

Die Anzahl von Subnetzrouten in einem VPC-Netzwerk ist beschränkt durch die maximale Anzahl von (primären und sekundären) Subnetz-IP-Bereichen.

Dynamische Routen

Cloud Router weisen das VPC-Netzwerk an, dynamische Routen anhand der empfangenen Border Gateway Protocol-Nachrichten (BGP) und der von Ihnen konfigurierten erkannten Cloud Router-Routen zu erstellen, zu aktualisieren und zu entfernen. Die Cloud Router-Steuerungsebene installiert dynamische Routen regional, basierend auf dem Modus für dynamisches Routing des VPC-Netzwerks:

Wenn ein VPC-Netzwerk den regionalen dynamischen Routingmodus verwendet, erstellen die Cloud Router der verschiedenen Regionen nur in der Region, in der auch der Cloud Router ist, dynamische Routen.
Wenn ein VPC-Netzwerk den globalen dynamischen Routingmodus verwendet, erstellen die Cloud Router der verschiedenen Regionen dynamische Routen in allen Regionen des VPC-Netzwerks.

Der nächste Hop einer dynamischen Route kann eines der folgenden Elemente sein:

Ein VLAN-Anhang, der entweder über eine Dedicated Interconnect- oder eine Partner Interconnect-Verbindung unterstützt wird
Ein Cloud VPN-Tunnel, entweder ein HA VPN-Tunnel oder ein klassisches VPN, das für die Verwendung von dynamischem Routing konfiguriert ist
Eine Router-Appliance-VM-Instanz im Network Connectivity Center

Wenn ein nächster Hop für eine dynamische Route nicht mehr zugänglich ist, weist der Cloud Router, der dessen BGP-Sitzung verwaltet, das VPC-Netzwerk an, die dynamische Route zu entfernen, sobald eine der folgenden Bedingungen erfüllt ist:

Der Timer für den ordnungsgemäßen Neustart des Peer-Routers ist abgelaufen (falls der BGP-Peer den ordnungsgemäßen Neustart unterstützt).
Der Hold-Timer des Cloud Routers ist abgelaufen. Der Hold-Timer des Cloud Routers ist proportional zum konfigurierbaren Cloud Router-Keepalive-Timer.

Google Cloud löst Konflikte zwischen dynamischen Routen und lokalen und Peering-Subnetzrouten, wie unter Interaktionen mit dynamischen Routen beschrieben.

Peering-Subnetzrouten

Mit Peering-Subnetzrouten werden Pfade zu Ressourcen in Subnetzen in einem anderen VPC-Netzwerk definiert, die über VPC-Netzwerk-Peering verbunden sind. Weitere Informationen finden Sie unter Optionen für den Austausch von Subnetzrouten.

Lokale Subnetz- und Peering-Subnetzrouten dürfen sich nicht überschneiden. Weitere Informationen finden Sie unter Interaktionen mit Subnetz- und Peering-Subnetzrouten.

Die Anzahl der Subnetzrouten pro Peering-Gruppe wird durch das Kontingent der Subnetzwerkbereiche pro Netzwerk pro Peering-Gruppe gesteuert.

Peering von statischen und dynamischen Routen

Wenn Sie zwei VPC-Netzwerke mit VPC-Netzwerk-Peering verbinden, können Sie statische und dynamische Routen aus einem Netzwerk exportieren und in das andere Netzwerk importieren. Weitere Informationen finden Sie unter:

Die Anzahl der statischen Routen pro Peering-Gruppe und der dynamischen Routen pro Region per Peering-Gruppe wird durch die Kontingente für statische und dynamische Routen pro Netzwerk begrenzt.

Richtlinienbasierte Routen

Mit richtlinienbasierten Routen können Sie Pakete an einen internen Passthrough Network Load Balancer als nächsten Hop weiterleiten. Sie können den Traffic, auf den die Route angewendet wird, anhand von Kriterien wie der Quell-IP-Adresse, der Ziel-IP-Adresse oder dem Protokoll eines Pakets auswählen. Weitere Informationen finden Sie unter Richtlinienbasierte Routen.

Anwendbarkeit und Reihenfolge

Anwendbare Routen

Jede Instanz hat eine Reihe von anwendbaren Routen, bei denen es sich um eine Teilmenge aller Routen im VPC-Netzwerk handelt. Anwendbare Routen sind die möglichen Pfade für ausgehenden Traffic, die ein Paket verwenden kann, wenn es von der Instanz weitergeleitet wird.

Spezielle Rückgabepfade gelten beim Routing zu Proxy-Load-Balancern, Systemdiagnosen und anderen Google-Diensten. Weitere Informationen finden Sie unter Load-Balancer-Rückgabepfade. Diese Routen werden in keiner Routentabelle angezeigt.
Richtlinienbasierte Routen können für Pakete gelten, die von Compute Engine-VM-Instanzen oder auf von Cloud Interconnect-VLAN-Anhängen empfangenen Paketen gesendet werden. Richtlinienbasierte Routen gelten nur, wenn ein Paket die Kriterien der richtlinienbasierten Route erfüllt.
Lokale und Peering-Subnetzrouten gelten für alle Instanzen. Mit Ausnahme von richtlinienbasierten Routen kann kein anderer Routentyp ein Ziel haben, das mit dem Ziel einer lokalen oder Peering-Subnetzroute übereinstimmt oder in dieses passt. Weitere Informationen zur Konfliktlösung zwischen Subnetz-, statischen und dynamischen Routen finden Sie unter Interaktionen zwischen Subnetz- und statischen Routen sowie Interaktionen zwischen Subnetz- und dynamischen Routen.
Benutzerdefinierte statische Routen gelten für alle Instanzen oder bestimmte Instanzen. Statische Routen mit einem Tag-Attribut gelten für Instanzen mit demselben Netzwerk-Tag. Wenn die Route kein Netzwerk-Tag hat, gilt sie für alle Instanzen im Netzwerk.
Dynamische Routen gelten für Instanzen, die auf dem Modus für dynamisches Routing des VPC-Netzwerks basieren.

Spezielle Rückgabepfade

VPC-Netzwerke haben spezielle Routen für bestimmte Dienste. Diese Routen werden außerhalb Ihres VPC-Netzwerks im Produktionsnetzwerk von Google definiert. Sie tauchen nicht in Ihrer VPC-Netzwerk-Routingtabelle auf. Sie können sie nicht entfernen oder überschreiben, auch wenn Sie eine Standardroute in Ihrem VPC-Netzwerk löschen oder ersetzen. Sie können Pakete jedoch mithilfe von VPC-Firewallregeln, Netzwerk-Firewallrichtlinien oder hierarchischen Firewallrichtlinien zulassen oder ablehnen.

Load-Balancer-Rückgabepfade

Google Cloud verwendet spezielle Routen außerhalb Ihres VPC-Netzwerks, um Pakete zwischen folgenden Quellen bereitzustellen:

Clientsysteme und Load-Balancer-Back-Ends (für externe Passthrough-Network Load Balancer)
Proxysysteme und Load-Balancer-Back-Ends (für externe Proxy-Load-Balancer)
Systemdiagnose-Prober und Load-Balancer-Back-Ends

Pfade zwischen Google Front End-Proxys (GFE) und Back-Ends

Globale externe Application Load Balancer, Classic Application Load Balancer, klassische Proxy-Network Load Balancer und Globale externe Proxy-Network Load Balancer verwenden Google Front End-Systeme (GFE) als Proxys.

Wenn ein Client eine Anfrage an den Load-Balancer sendet, beenden GFEs diese erste TCP-Verbindung. Die GFEs öffnen dann eine zweite TCP-Verbindung zu den Back-End-VMs. Google Cloud verwendet Routen außerhalb Ihres VPC-Netzwerks, um Pakete zwischen den GFE-Proxys und den Back-End-VMs weiterzuleiten.

Pfade zu externen Passthrough-Load-Balancer des Netzwerk-Load-Balancers

Für externe Passthrough-Network Load Balancer verwendet Google Cloud Routen außerhalb Ihres VPC-Netzwerks, um Pakete zwischen Clients und Back-End-VMs weiterzuleiten.

Systemdiagnosen für alle Load-Balancer-Typen

Pakete, die von den Prüfsystemen der Google Cloud-Systemdiagnose gesendet werden, verwenden Paketquellen, die unter Prüfungs-IP-Bereiche und Firewallregeln dokumentiert sind.

IAP

Google Cloud enthält Routen zu und von 35.235.240.0/20 in jedem VPC-Netzwerk, um die TCP-Weiterleitung mit IAP zu unterstützen. Das Produktionsnetzwerk von Google verwendet 35.235.240.0/20 als internen Bereich. Die nächsten Hops für 35.235.240.0/20 befinden sich vollständig im Produktionsnetzwerk von Google.

Cloud DNS und Service Directory

Google Cloud enthält Routen zu und von 35.199.192.0/19 in jedem VPC-Netzwerk zur Unterstützung von Cloud DNS-Weiterleitungszielen mit privatem Routing, alternativen Cloud DNS-Nameservern, die das private Routing verwenden, und des privaten Netzwerkzugriffs für Service Directory. Das Produktionsnetzwerk von Google verwendet 35.199.192.0/19 als internen Bereich. Die nächsten Hops für 35.199.192.0/19 befinden sich vollständig im Produktionsnetzwerk von Google.

Serverloser VPC-Zugriff

Google Cloud enthält in jedem VPC-Netzwerk Routen zu und von 35.199.224.0/19, um den serverlosen VPC-Zugriff zu unterstützen. Das Produktionsnetzwerk von Google verwendet 35.199.224.0/19 als internen Bereich. Die nächsten Hops für 35.199.224.0/19 befinden sich vollständig im Produktionsnetzwerk von Google.

Routingreihenfolge

Im folgenden Prozess wird das Routenauswahlverhalten der VPC-Netzwerke modelliert, beginnend mit der Reihe der anwendbaren Routen, die im vorherigen Abschnitt beschrieben wurden.

Spezielle Rückgabepfade: Spezielle Rückgabepfade werden in der Routentabelle Ihres VPC-Netzwerks nicht angezeigt. Routen, die Sie in einem VPC-Netzwerk konfigurieren, gelten nicht für Antwortpakete für bestimmte Google Cloud-Load-Balancer, Systemdiagnosesysteme, Identity-Aware Proxy (IAP) und Cloud DNS-Proxys. Weitere Informationen finden Sie unter Spezielle Rückgabepfade.

Wenn ein spezieller Rückgabepfad gilt, enthält das Routenauswahlmodell nur den speziellen Rückgabepfad. Alle anderen Routen werden ignoriert und die Bewertung wird in diesem Schritt beendet.
Richtlinienbasierte Routen: Richtlinienbasierte Routen werden nach speziellen Rückgabepfaden aber vor anderen Routentypen ausgewertet. Wenn im VPC-Netzwerk keine richtlinienbasierten Routen vorhanden sind, überspringt Google Cloud diesen Schritt und fährt mit dem Schritt Spezifischstes Ziel fort.
- Google Cloud wertet richtlinienbasierte Routen ausschließlich nach ihrer Priorität aus. Google Cloud wertet die Quelle und das Ziel eines Pakets für jede richtlinienbasierte Route aus, beginnend mit der richtlinienbasierten Route mit der höchsten Priorität. Wenn die Eigenschaften eines Pakets nicht mit einer richtlinienbasierten Route übereinstimmen, ignoriert Google Cloud diese richtlinienbasierte Route und wertet die nächste richtlinienbasierte Route in der sortierten Liste aus. Die nächste auszuwertende richtlinienbasierte Route hat möglicherweise dieselbe oder eine niedrigere Priorität wie die ignorierte richtlinienbasierte Route.
- Wenn die Eigenschaften eines Pakets keiner richtlinienbasierten Route entsprechen, nachdem alle richtlinienbasierten Routen in Ihrem Routenauswahlmodell ausgewertet wurden, ignoriert Google Cloud alle richtlinienbasierten Routen und fährt mit dem Schritt Spezifischstes Ziel fort.
- Wenn die Eigenschaften eines Pakets mit einer richtlinienbasierten Route mit der höchsten Priorität übereinstimmen, ignoriert Google Cloud zuerst alle Routen mit niedrigerer Priorität. Wenn noch zwei oder mehr richtlinienbasierte Routen in der Liste verbleiben, wertet Google Cloud jede der verbleibenden richtlinienbasierten Routen mit identischen Prioritäten aus. Alle verbleibenden richtlinienbasierten Routen werden von Google Cloud ignoriert, wenn die Eigenschaften eines Pakets nicht mit ihnen übereinstimmen. Nach diesem Schritt kann Ihr Routenauswahlmodell eine oder mehrere richtlinienbasierte Routen enthalten.
  - Wenn Ihr Routenauswahlmodell zwei oder mehr übereinstimmende Routen mit der höchsten Priorität enthält, wählt Google Cloud mithilfe eines internen Algorithmus eine einzelne richtlinienbasierte Route aus. Die ausgewählte richtlinienbasierte Route ist möglicherweise nicht die spezifischste Übereinstimmung für die Quelle oder das Ziel des Pakets. Zur Vermeidung dieser Mehrdeutigkeit empfehlen wir Ihnen, richtlinienbasierte Routen mit eindeutigen Prioritäten zu erstellen.
  - Wenn Ihr Routenauswahlmodell nur eine einzige richtlinienbasierte Route mit höchster Priorität enthält, die so konfiguriert ist, dass andere richtlinienbasierte Routen übersprungen werden, bewertet Google Cloud nicht-richtlinienbasierte Routen im Schritt Spezifischstes Ziel und ignoriert alle richtlinienbasierten Routen.
  - Wenn Ihr Routenauswahlmodell nur eine einzige richtlinienbasierte Route mit der höchsten Priorität enthält, die nicht so konfiguriert ist, dass andere richtlinienbasierte Routen übersprungen werden, übergibt Google Cloud das Paket an den internen Passthrough-Network Load Balancer des nächsten Hops und ignoriert alle nicht-richtlinienbasierten Routen.
Spezifischstes Ziel: Google Cloud ermittelt, welche der anwendbaren Routen das spezifischste Ziel hat, das die Ziel-IP-Adresse des Pakets enthält. Alle anderen Routen mit weniger spezifischen Zielen werden von Google Cloud ignoriert. Beispielsweise ist 10.240.1.0/24 ein spezifischeres Ziel als 10.240.0.0/16. Das spezifischste Ziel könnte ein beliebiger Routentyp sein. Per Definition sind jedoch Subnetzrouten, Peering-Subnetzrouten und spezielle Rückgabepfade am spezifischsten.

Nach diesem Schritt enthält Ihr Routenauswahlmodell keine speziellen Rückgabepfade oder richtlinienbasierten Routen. Sie enthält nur die Routen mit den spezifischsten Zielen.
Nächste Hops in einem einzelnen VPC-Netzwerk: Dieser Schritt ist nur anwendbar, wenn das VPC-Netzwerk, dessen Routenverhalten Sie modellieren, über VPC-Netzwerk-Peering mit einem oder mehreren VPC-Netzwerken verbunden ist. Beim VPC-Netzwerk-Peering können benutzerdefinierte Routen mit identischen Zielen in mehr als einem der Netzwerke in der Peering-Gruppe vorhanden sein. Die in diesem Schritt modellierte Anforderung ist, dass Google Cloud nächste Hops auswählt, die sich alle in einem einzelnen VPC-Netzwerk befinden.
- Wenn eine oder mehrere Routen im Routenmodell nächste Hops innerhalb des VPC-Netzwerks haben, das Sie modellieren, ignorieren Sie alle Routen, die nächste Hops in Peer-Netzwerken haben. In dieser Situation verwendet Google Cloud nur nächste Hops im lokalen VPC-Netzwerk, auch wenn nächste Hops für dasselbe Ziel in einem oder mehreren Peer-VPC-Netzwerken vorhanden sind.
- Wenn keine der Routen in Ihrem Routenmodell nächste Hops innerhalb des VPC-Netzwerks haben, das Sie modellieren, und alle nächsten Hops in mehreren Peer-Netzwerken vorhanden sind, verwendet Google Cloud einen internen Algorithmus, um ein einzelnes Peer-Netzwerk mit den nächsten Hops für die spezifischsten Ziele auszuwählen. Die Routenpriorität wird an diesem Punkt nicht berücksichtigt. Wenn Ihr VPC-Netzwerk mit einem neuen VPC-Netzwerk verbunden wird oder die Verbindung zu einem vorhandenen Peer-VPC-Netzwerk getrennt wird, kann sich das für die nächsten Hops ausgewählte VPC-Netzwerk ändern.
Nach diesem Schritt enthält Ihr Routenauswahlmodell nur die Routen mit den spezifischsten Zielen und die nächsten Hops für diese Routen befinden sich alle in einem einzelnen VPC-Netzwerk.
Benutzerdefinierte statische Routen ignorieren, deren nächste Hops nicht aktiv sind: Mit diesem Schritt werden zwei Situationen modelliert, in denen Google Cloud nächste Hops ignoriert, die als nicht ausgeführt betrachtet werden. Dieser Schritt gilt nur für benutzerdefinierte statische Routen. Benutzerdefinierte dynamische Routen werden automatisch mit BGP-Advertising hinzugefügt und entfernt.
- Google Cloud ignoriert jede nächste Hop-VM-Instanz (next-hop-instance oder next-hop-address), wenn die nächste Hop-VM angehalten oder gelöscht wurde. Weitere Informationen finden Sie unter Verhalten beim Anhalten oder Löschen von Instanzen im Abschnitt Überlegungen zu als nächster Hop dienenden Instanzen. Wenn Ihr Routenmodell statische Routen enthält, deren nächste Hop-VMs angehalten oder gelöscht wurden, entfernen Sie diese Routen aus Ihrem Modell.
- Google Cloud ignoriert jede benutzerdefinierte statische Route, die einen als nächster Hop dienenden klassischen VPN-Tunnel verwendet, wenn der Tunnel keine IKE-Sicherheitsverknüpfung (SA) der Phase 1 hat. Weitere Informationen finden Sie in der Dokumentation zu klassischen VPNs unter Reihenfolge der Routen. Wenn Ihr Routenmodell statische Routen enthält, deren nächste Hops klassische VPN-Tunnel ohne eingerichtete IKE-SAs sind, entfernen Sie diese Routen aus Ihrem Modell.
Routen mit niedriger Priorität ignorieren: In diesem Schritt wird modelliert, wie Google Cloud alle Routen mit Ausnahme der Routen mit der höchsten Priorität verwirft.

Nach diesem Schritt ist Ihr Routenauswahlmodell möglicherweise leer oder enthält eine oder mehrere Routen. Wenn Ihr Modell Routen enthält, haben alle Routen alle diese Merkmale:
- Identische, spezifischste Ziele
- Nächste Hops in einem einzigen VPC-Netzwerk – dem lokalen VPC-Netzwerk oder einem einzelnen Peer-VPC-Netzwerk
- Nächste Hops, die nicht bekanntermaßen ausgefallen sind
- Identische, höchste Prioritäten

Nur die bevorzugte Präferenzkategorie auswählen: Google Cloud vermeidet ECMP-Routing bei verschiedenen Typen von nächsten Hops. Sie können dieses Verhalten modellieren, indem Sie das in der folgenden Tabelle beschriebene Präferenzkategoriesystem berücksichtigen. In diesem Schritt wird Ihr Routenmodell so optimiert, dass es nur Routen enthält, die denselben Routentyp oder dieselbe Kombination von Routentyp und Typ des nächsten Hops aufweisen.

Präferenzkategorie	Kombination von Kategorie und nächstem Hop
Erste Wahl (höchste Präferenz)	Benutzerdefinierte statische Routen mit ausgeführter nächster Hop-Instanz (`next-hop-instance` oder `next-hop-address`) oder über IKE-SA eingerichteter klassischer VPN-Tunnel, der als nächster Hop dient
Zweite Wahl	Benutzerdefinierte dynamische Routen, die aus einer beliebigen BGP-Sitzung eines beliebigen Cloud Routers gelernt wurden
Dritte Wahl	Eine einzelne benutzerdefinierte statische Route mit einem als nächster Hop dienenden internen Passthrough Network Load Balancer Google Cloud verwendet einen internen Algorithmus, um einen einzelnen als nächster Hop dienenden internen Passthrough Network Load Balancer auszuwählen, wobei der andere als nächster Hop dienende interne Passthrough Network Load Balancer mit derselben Priorität ignoriert wird. Weitere Informationen finden Sie unter "Gleiches Ziel und mehrere als nächster Hop dienende interne Passthrough Network Load Balancer" im Abschnitt Überlegungen zu internen Network Load Balancern als nächste Hops.
Vierte Wahl	Eine benutzerdefinierte statische Route, die als nächsten Hop `default-internet-gateway` verwendet

Am Ende dieses Schritts können null Routen, eine Route oder zwei oder mehr Routen im Routenmodell vorhanden sein.

Paket senden oder verwerfen: Was geschieht, hängt von der Anzahl der verbleibenden Routen im Routenmodell ab:
- Wenn das Routenmodell leer ist, wird das Paket mit einem Fehler verworfen, der durch das ICMP-Ziel oder ein nicht erreichbares Netzwerk verursacht wird. Google Cloud greift nie auf eine weniger spezifische Route zurück, die möglicherweise einen funktionierenden nächsten Hop hat.
- Wenn das Routenmodell eine einzelne Route enthält, sendet Google Cloud das Paket an den nächsten Hop. Bei als nächster Hop dienenden VMs prüft Google Cloud nicht, ob die nächste Hop-VM Pakete verarbeiten kann. Weitere Informationen finden Sie unter Überlegungen zu Instanzen und internen Passthrough Network Load Balancern, die als nächste Hops dienen. Wenn die einzelne Route eine Subnetzroute oder eine Peering-Subnetzroute ist und keine Google Cloud-Ressource an der Ziel-IP-Adresse des Pakets vorhanden ist, wird das Paket verworfen.
- Wenn das Routenmodell zwei oder mehr Routen enthält, haben die Routen dasselbe, spezifischste Ziel, befinden sich in einem einzelnen VPC-Netzwerk, haben nächste Hops, die nicht bekanntermaßen ausgefallen sind, haben dieselbe höchste Priorität und gehören zur selben Kombination aus Routentyp und nächstem Hop (Präferenzkategorie). Google Cloud verteilt Pakete auf die nächsten Hops, wobei mithilfe eines Hash-Algorithmus Equal Cost Multipath (ECMP) implementiert wird. Hash-Berechnungen werden für jedes Paket zum Zeitpunkt der Übertragung durchgeführt, basierend auf der aktuellen Anzahl der nächsten Hops. Google Cloud verwendet einen 5-Tupel-Hash, wenn das Paket Portinformationen enthält. Andernfalls wird ein 3-Tupel-Hash verwendet. Wenn sich das Routenmodell beim Senden nachfolgender Pakete ändert, leitet Google Cloud diese Pakete möglicherweise an einen anderen nächsten Hop weiter, auch wenn der Hash identisch ist.

Statische Routen

Sie können statische Routen auf zwei Weisen erstellen:

Sie können statische Routen manuell erstellen: mit der Google Cloud Console, gcloud compute routes create oder der routes.insert API.
Wenn Sie mit der Google Cloud Console einen klassischen VPN-Tunnel ohne dynamisches Routing erstellen, erstellt Cloud VPN möglicherweise automatisch entsprechende statische Routen. Weitere Informationen finden Sie unter Cloud VPN-Netzwerke und Tunnelrouting.

Sie können statische Routen mit einem Peering-VPC-Netzwerk austauschen, wie unter Optionen für den Austausch benutzerdefinierter statischer Routen in der Dokumentation zu VPC-Netzwerk-Peering beschrieben.

Routenparameter

Statische Routen unterstützen folgende Attribute:

Name und Beschreibung. Diese Felder identifizieren die Route. Ein Name ist erforderlich, eine Beschreibung jedoch optional. Der Name jeder Route darf in Ihrem Projekt nur einmal vorkommen.
Netzwerk: Jede Route muss genau einem VPC-Netzwerk zugeordnet sein.
Nächster Hop: Der nächste Hop identifiziert die Netzwerkressource, an die Pakete gesendet werden. Alle Next-Hop-Typen unterstützen IPv4-Ziele, einige Next-Hop-Typen unterstützen IPv6-Ziele. Weitere Informationen finden Sie unter Nächste Hops und Features.
Zielbereich: Der Zielbereich ist eine einzelne CIDR-Notation für IPv4 oder IPv6. Ziele für statische Routen müssen den Regeln entsprechen, die unter Interaktionen mit benutzerdefinierten statischen Routen und Interaktionen von Subnetzen und statischen Routen beschrieben werden. Das breitestmögliche Ziel für eine statische IPv4-Route ist 0.0.0.0/0. Das breitestmögliche Ziel für eine statische IPv6-Route ist ::/0.
Priorität: Niedrigere Zahlen bedeuten höhere Prioritäten. Die höchstmögliche Priorität ist 0, die niedrigste Priorität ist 65,535.
Netzwerk-Tags. Sie können eine statische Route nur für ausgewählte VM-Instanzen im VPC-Netzwerk festlegen, die durch ein Netzwerk-Tag identifiziert werden. Wenn Sie kein Netzwerk-Tag angeben, wendet Google Cloud die statische Route auf alle Instanzen im Netzwerk an. Statische Routen mit Tags werden bei Verwendung des VPC-Netzwerk-Peering nie ausgetauscht.

Nächste Hops und Funktionen

In der folgenden Tabelle ist die Unterstützung statischer Route-Features nach Typ des nächsten Hops zusammengefasst:

Nächster Hop-Typ	IPv4	IPv6	ECMP¹
Nächstes Hop-Gateway (`next-hop-gateway`) Geben Sie ein Standard-Internetgateway an, um einen Pfad zu externen IP-Adressen zu definieren.
Nächste Hop-Instanz nach Name und Zone (`next-hop-instance`) Pakete an eine nächste Hop-VM senden, die durch Name und Zone identifiziert wird und sich im selben Projekt befindet wie die Route. Weitere Informationen finden Sie unter Überlegungen zu Next-Hop-Instanzen.
Nächste Hop-Instanz nach Adresse (`next-hop-address`) Pakete an eine nächste Hop-VM senden, die durch die primäre IPv4-Adresse ihrer Netzwerkschnittstelle identifiziert wird Weitere Informationen finden Sie unter Überlegungen zu Next-Hop-Instanzen.
Nächster Hop: Interner Passthrough-Netzwerk-Load-Balancer über Weiterleitungsregelnamen und Region (`next-hop-ilb`) Pakete an Back-Ends eines internen Passthrough-Netzwerk-Load-Balancers senden, die durch Name und Region der Weiterleitungsregel identifiziert werden. Weitere Informationen finden Sie unter Überlegungen zu internen Passthrough Network Load Balancern, die als nächster Hop dienen.
Nächster Hop: Interner Passthrough-Netzwerk-Load-Balancer nach Adresse (`next-hop-ilb`) Pakete an Back-Ends eines internen Passthrough-Netzwerk-Load-Balancers senden, die durch die IP-Adresse der Weiterleitungsregel des Load-Balancers identifiziert werden. Weitere Informationen finden Sie unter Überlegungen zu internen Passthrough Network Load Balancern, die als nächster Hop dienen.
Nächster Hop: Klassischer VPN-Tunnel (`next-hop-vpn-tunnel` ) Senden von Paketen an einen als nächster Hop dienenden klassischen VPN-Tunnel über richtlinienbasiertes Routing oder ein routenbasiertes VPN. Weitere Informationen finden Sie unter Überlegungen zu klassischen VPN-Tunneln als nächstem Hop.

¹ ECMP (Equal-Cost Multipath) bedeutet, dass zwei oder mehr statische Routen denselben Zielbereich und dieselbe Priorität haben können. Obwohl Sie in einem VPC-Netzwerk zwei oder mehr statische Routen mit demselben Ziel, derselben Priorität und demselben Standard-Internetgateway als nächsten Hop erstellen können, entspricht dies effektiv einer einzelnen statischen Route, die das standardmäßige Internet-Gateway als nächsten Hop für dieses Ziel und diese Priorität nutzt.

Projekt und Netzwerk des nächsten Hops

Eine statische Route, die als nächster Hop dient, ist sowohl mit einem VPC-Netzwerk als auch mit einem Projekt verknüpft:

Netzwerk: Sofern nicht in der folgenden Tabelle anders angegeben, muss das VPC-Netzwerk des nächsten Hops mit dem VPC-Netzwerk der Route übereinstimmen.
Projekt: Sofern nicht in der folgenden Tabelle anders angegeben, muss sich der nächste Hop in dem Projekt befinden, das das VPC-Netzwerk des nächsten Hops enthält (ein eigenständiges Projekt oder ein freigegebenes VPC-Hostprojekt). Einige nächste Hops können sich in freigegebenen VPC-Dienstprojekten befinden.

Nächster Hop-Typ	Kann sich in einem Peering-VPC-Netzwerk befinden	Kann sich in einem freigegebenen VPC-Dienstprojekt befinden
Nächstes Hop-Gateway (`next-hop-gateway`)
Nächste Hop-Instanz nach Name (`next-hop-instance`)
Nächste Hop-Instanz nach Adresse (`next-hop-address`)
Nächster Hop: Interner Passthrough-Netzwerk-Load-Balancer des nach Name und Region der Weiterleitungsregel (`next-hop-ilb`)
Nächster Hop: Interner Passthrough-Netzwerk-Load-Balancer nach Adresse (`next-hop-ilb`)
Nächster Hop: Klassischer VPN-Tunnel (`next-hop-vpn-tunnel`)

Überlegungen zu Instanzen und internen Passthrough Network Load Balancern, die als nächster Hop dienen

Instanzbasiertes Routing bezieht sich auf eine statische Route mit einer VM-Instanz als nächsten Hop (next-hop-instance oder next-hop-address).

Der interne Passthrough Network Load Balancer als nächster Hop bezieht sich auf eine statische Route mit einem internen Passthrough Network Load Balancer (next-hop-ilb).

Wenn Sie das instanzbasierte Routing oder einen internen Passthrough Network Load Balancer als nächsten Hop konfigurieren, beachten Sie die folgenden Richtlinien:

Sie müssen die Back-End-VMs oder die nächste Hop-Instanz so konfigurieren, dass sie Pakete von einer beliebigen Quell-IP-Adresse weiterleiten. Wenn Sie die Weiterleitung konfigurieren möchten, aktivieren Sie die IP-Weiterleitung (can-ip-forward) pro VM, wenn Sie die VM erstellen. Aktivieren Sie für VMs, die automatisch als Teil einer verwalteten Instanzgruppe erstellt werden, die IP-Weiterleitung in der von der Instanzgruppe verwendeten Instanzvorlage. Sie müssen diese Konfiguration zusätzlich zu jeder Betriebssystemkonfiguration vornehmen, die zum Weiterleiten von Paketen erforderlich ist.
Software, die auf der Back-End-VM oder der nächsten Hop-Instanz ausgeführt wird, muss entsprechend konfiguriert werden. Beispielsweise müssen VM-Appliances von Drittanbietern, die als Router oder Firewalls dienen, gemäß den Anweisungen des Herstellers konfiguriert werden.
Back-End-VMs oder die nächste Hop-Instanz müssen die erforderlichen Firewallregeln haben. Sie müssen Firewallregeln konfigurieren, die für die Pakete gelten, die weitergeleitet werden. Beachten Sie Folgendes:
- Firewallregeln für eingehenden Traffic, die auf Instanzen mit Routingfunktionen angewendet werden, müssen die IP-Adressen der Quellen von weitergeleiteten Paketen enthalten. Die implizierte Regel zum Ablehnen von eingehendem Traffic blockiert alle eingehenden Pakete. Sie müssen also mindestens benutzerdefinierte Firewall-Zulassungsregeln für eingehenden Traffic erstellen.
- Firewallregeln für ausgehenden Traffic, die auf Instanzen mit Routingfunktionen angewendet werden, müssen die IP-Adressen der Ziele von weitergeleiteten Paketen enthalten. Die implizierte Regel zum Zulassen von ausgehendem Traffic erlaubt dies, sofern sie nicht durch eine bestimmte von Ihnen erstellte Regel zum Ablehnen von ausgehendem Traffic überschrieben wird.
- Berücksichtigen Sie beim Erstellen Ihrer Firewallregeln, ob die Back-End-VM oder die nächste Hop-Instanz Network Address Translation (NAT) ausführt.
Weitere Informationen finden Sie unter Implizierte Firewallregeln.
Die Quellregion eines Pakets, das von einer Back-End-VM oder einer Next-Hop-Instanz gesendet wurde, ist die Region, in der sich die Back-End-VM oder die Next-Hop-Instanz befindet. Beispiel: Pakete, die von Back-End-VMs oder Next-Hop-Instanzen in us-west1 verarbeitet werden, können an Ziele gesendet werden, auf die nur in us-west1 zugegriffen werden kann, selbst wenn die Back-End-VM oder die Next-Hop-Instanz das Paket ursprünglich von einer Ressource in einer anderen Region als us-west1 empfangen hat. Beispiele für Ressourcen, auf die nur in der Region zugegriffen werden kann, in der sich die das Paket sendende VM befindet:
- Interne Passthrough Network Load Balancer, interne Application Load Balancer und regionale interne Proxy Network Load Balancer mit deaktiviertem globalen Zugriff
- Cloud VPN-Tunnel, Cloud Interconnect-VLAN-Anhänge und Network Connectivity Router-Appliance-VMs, wenn das VPC-Netzwerk das regionale dynamische Routing nutzt

Überlegungen zu als nächster Hop dienenden Instanzen

Nächster Hop nach Instanzname und Zone (next-hop-instance): Wenn Sie eine statische Route mit einer nächsten Hop-Instanz erstellen, die durch Instanznamen und Zone angegeben ist, erfordert Google Cloud, dass eine Instanz mit diesem Namen in der angegebenen Zone vorhanden ist und folgende Bedingungen erfüllt:
- Die Instanz befindet sich im selben Projekt wie die Route.
- Die Instanz hat eine Netzwerkschnittstelle (NIC) im VPC-Netzwerk der Route (kein Peering-VPC-Netzwerk).
Solange eine statische Route vorhanden ist, deren nächster Hop durch Instanznamen und Zone angegeben ist, gilt Folgendes:
- Google Cloud aktualisiert die Programmierung für den nächsten Hop in folgenden Fällen automatisch:
  - Die primäre interne IPv4-Adresse der nächsten Hop-Instanz ändert sich oder
  - Sie ersetzen die nächste Hop-Instanz und die Ersatzinstanz hat denselben Namen, befindet sich in derselben Zone und demselben Projekt und hat eine Netzwerkschnittstelle im VPC-Netzwerk der Route.
- In den folgenden Fällen aktualisiert Google Cloud die Programmierung für den nächsten Hop nicht:
  - Wenn die Instanz gelöscht wird
  - Der der NIC der Instanz zugewiesene IPv6-Adressbereich ändert sich
  - Wenn die IPv4- oder IPv6-Adresse der Instanz nicht zugewiesen ist
Interne IP-Adresse der nächsten Hop-Instanz (next-hop-address): Wenn Sie eine statische Route mit einer nächsten Hop-Instanz erstellen, die durch eine interne IPv4-Adresse angegeben wird, prüft Google Cloud, ob die IPv4-Adresse des nächsten Hops in einem Subnetz-IPv4-Bereich eines Subnetzes im VPC-Netzwerk der Route liegt. Google Cloud programmiert die Route jedoch nur, wenn die Adresse des nächsten Hops eine primäre interne IPv4-Adresse ist, die einer VM-NIC im VPC-Netzwerk der Route zugewiesen ist (und nicht einem Peering-VPC-Netzwerk).

Google Cloud aktualisiert die Programmierung für den nächsten Hop automatisch, wenn die IPv4-Adresse des nächsten Hops in eine andere VM verschoben wird, sofern die Ersatz-VM dieselben Anforderungen erfüllt.
Nächste Hop-Instanzen in freigegebenen VPC-Dienstprojekten: Wenn Sie eine Nex-Hop-VM über eine IP-Adresse angeben, kann sich die VM entweder im selben Projekt wie die Route (in einem eigenständigen Projekt oder einem freigegebenen VPC-Hostprojekt) oder in einem freigegebenen VPC-Dienstprojekt befinden. Wenn Sie eine Next-Hop-VM über Instanzname und Zone angeben, muss sich die Next-Hop-VM im selben Projekt wie die Route und das VPC-Netzwerk befinden (in einem eigenständigen Projekt oder einem freigegebenen VPC-Hostprojekt).
Kosten und Latenz von Region zu Region:: Wenn Sie eine VM als nächsten Hop verwenden, befindet sich der nächste Hop in einer Zone einer Region. Die Route, die den nächsten Hop verwendet, ist für alle Instanzen im selben VPC-Netzwerk oder für ausgewählte Instanzen mit einem übereinstimmenden Netzwerk-Tag verfügbar. Die regionale Entfernung für Routen, die eine Instanz als nächsten Hop verwenden, wird von Google Cloud nicht berücksichtigt. Daher kann auch eine Route erstellt werden, die Traffic an eine nächste Hop-VM in einer anderen Region sendet. Das Senden von Paketen von einer Region in eine andere erhöht die Kosten für ausgehenden Traffic und führt zu Netzwerklatenz.
Keine Systemdiagnose, keine Konfigurationsvalidierung: Google Cloud prüft niemals, ob eine nächste Hop-Instanz alle unter Überlegungen zu Instanzen und internen Passthrough Network Load Balancern, die als nächste Hops dienen beschriebenen Anforderungen erfüllt. Das Deaktivieren der Netzwerkschnittstelle der VM durch Konfigurieren des Gastbetriebssystems der Instanz bewirkt nicht, dass Google Cloud die nächste Hop-Instanz ignoriert.
Kein symmetrisches Hashing beim Verbinden von zwei VPC-Netzwerken: Google Cloud bietet kein symmetrisches Hashing, wenn zwei oder mehr nächste Hop-VMs mit mehreren Netzwerkschnittstellen in einer Konfiguration verwendet werden, die alle folgenden Kriterien erfüllt:
- Die VMs haben genau eine Netzwerkschnittstelle in genau einem VPC-Netzwerk und eine weitere Oberfläche in einem zweiten VPC-Netzwerk.
- In jedem VPC-Netzwerk gibt es einen Satz von mindestens zwei benutzerdefinierten statischen Routen für dasselbe Ziel mit derselben Priorität, wobei jede Route im Satz auf eine eindeutige nächste Hop-VM verweist.
Wenn Sie zwei oder mehr VMs mit mehreren Schnittstellen verwenden, um VPC-Netzwerke zu verbinden, und Sie möchten, dass dieselbe VM Pakete für eine bestimmte Verbindung in beide Richtungen verarbeitet, benötigen Sie symmetrisches Hashing. Dieses wird nur durch interne, als nächste Hops dienende Passthrough Load Balancer unterstützt. Weitere Informationen zum symmetrischen Hashing finden Sie in der Dokumentation zum symmetrischen Hashing in den als nächste Hops dienenden internen Passthrough Network Load Balancern.
Verhalten beim Anhalten oder Löschen von Instanzen: Google Cloud verhindert nicht, dass Sie eine statische Route als nächsten Hop dienende VM anhalten oder löschen (angegeben durch Name und Zone oder interne Adresse). Ist eine als nächster Hop dienende VM nicht aktiv, so hängt das Routing für das Ziel davon ab, ob andere Routen für genau dasselbe Ziel vorhanden sind und ob diese anderen Routen aktive nächste Hops haben. Die folgenden Beispiele veranschaulichen dieses Verhalten:
- Pakete, deren Ziele in 192.168.168.0/24 passen, werden in folgender Situation an den nächsten Hop von route-vm-b gesendet, wenn der nächste Hop für die Route mit der höchsten Priorität nicht aktiv ist. Dieses Routing tritt auf, weil Google Cloud nächste Hops ignoriert, die nicht aktiv sind, bevor der Schritt Routen mit niedriger Priorität ignoriert der Routingreihenfolge berücksichtigt wird:
  - route-vm-a, Ziel 192.168.168.0/24, Priorität 10, VM des nächsten Hops wurde beendet
  - route-vm-b, Ziel 192.168.168.0/24, Priorität 20, VM des nächsten Hops ist aktiv
  - route-vm-c, Ziel 192.168.168.0/24, Priorität 30, VM des nächsten Hops ist aktiv
- Pakete, deren Ziele in 192.168.168.0/24 passen, werden in diesem nächsten Beispiel gelöscht, in dem keine als nächsten Hops dienenden VMs für die 192.168.168.0/24-Routen aktiv sind, obwohl eine Route für den breiteren 192.168.0.0/16 einen als nächster Hop dienende VM aufweist, die ausgeführt wird. Die Pakete werden verworfen, da Google Cloud Routen mit breiteren Zielbereichen (kürzerer Subnetzmaskenlänge) im Schritt spezifischstes Ziel ignoriert, der vor dem Schritt Benutzerdefinierte statische Routen ignorieren, deren nächste Hops nicht aktiv sind der Routingreihenfolge erfolgt:
  - route-vm-x, Ziel 192.168.168.0/24, Priorität 10, VM des nächsten Hops wurde beendet
  - route-vm-y, Ziel 192.168.168.0/24, Priorität 20, VM des nächsten Hops wurde beendet
  - route-vm-z, Ziel 192.168.0.0/16, Priorität 0, VM des nächsten Hops ist aktiv

Überlegungen zu internen Passthrough Network Load Balancern, die als nächster Hop dienen

Unterstützte Weiterleitungsregeln. Google Cloud unterstützt nur interne Weiterleitungsregeln für Network Load Balancer als nächsten Hop. Google Cloud unterstützt keine Weiterleitungsregeln für den nächsten Hop, die von anderen Load Balancern, Protokollweiterleitungen oder als Private Service Connect-Endpunkten verwendet werden.
Spezifikationsmethoden sowie das Netzwerk und Projekt für die Weiterleitungsregel. Sie können eine der folgenden Hop-Weiterleitungsregeln angeben. Die von Ihnen verwendete Spezifikationsmethode bestimmt, ob das Netzwerk der Weiterleitungsregel mit dem Netzwerk der Route übereinstimmen muss und in welchem Projekt sich die Weiterleitungsregel befinden kann:
- Nach Weiterleitungsregelname (--next-hop-ilb) und Region (--next-hop-ilb-region): Wenn Sie eine Weiterleitungsregel als nächsten Hop nach Name und Region angeben, muss das Netzwerk der Weiterleitungsregel mit dem VPC-Netzwerk der Route übereinstimmen. Die Weiterleitungsregel muss sich in demselben Projekt befinden, das das Netzwerk der Weiterleitungsregel enthält (ein eigenständiges Projekt oder ein freigegebenes VPC-Hostprojekt).
- Durch Weiterleitung des Links zur Weiterleitungsregelressource: Der Ressourcenlink einer Weiterleitungsregel verwendet das folgende Format: /projects/PROJECT_ID/regions/REGION/forwardingRules/FORWARDING_RULE_NAME, wobei PROJECT_ID die Projekt-ID des Projekts ist, das die Weiterleitungsregel enthält. REGION ist die Region der Weiterleitungsregel und FORWARDING_RULE_NAME ist der Name der Weiterleitungsregel. Wenn Sie eine Weiterleitungsregel für den nächsten Hop über den Ressourcenlink angeben, muss das Netzwerk der Weiterleitungsregel mit dem VPC-Netzwerk der Route übereinstimmen. Die Weiterleitungsregel kann sich in dem Projekt befinden, das das Netzwerk der Weiterleitungsregel enthält (ein eigenständiges Projekt oder ein freigegebenes VPC-Hostprojekt) oder in einem freigegebenen VPC-Dienstprojekt.
- Durch eine die IPv4-Adresse einer Weiterleitungsregel: Wenn Sie eine Weiterleitungsregel für den nächsten Hop anhand seiner IPv4-Adresse angeben, kann das Netzwerk der Weiterleitungsregel entweder das VPC-Netzwerk der Route oder ein Peering-VPC-Netzwerk sein. Die Weiterleitungsregel kann sich in dem Projekt befinden, das das Netzwerk der Weiterleitungsregel enthält (ein eigenständiges Projekt oder ein freigegebenes VPC-Hostprojekt) oder in einem freigegebenen VPC-Dienstprojekt.
Auswirkungen des globalen Zugriffs. Benutzerdefinierte statische Routen, die interne Network Load Balancer als nächste Hops verwenden, werden in allen Regionen programmiert. Ob der nächste Hop verwendet werden kann, hängt von der Einstellung für den globalen Zugriff des Load-Balancers ab. Wenn der globale Zugriff aktiviert ist, ist der Load-Balancer als nächster Hop in allen Regionen des VPC-Netzwerks zugänglich. Wenn der globale Zugriff deaktiviert ist, ist der Load-Balancer als nächster Hop nur in derselben Region wie der Load-Balancer zugänglich. Wenn der globale Zugriff deaktiviert ist, werden Pakete, die aus einer anderen Region an eine Route mit einem internen Passthrough Network Load Balancer gesendet werden, verworfen.
Wenn alle Back-Ends fehlerhaft sind. Wenn alle Back-Ends eines internen Passthrough Network Load Balancers bei Systemdiagnosen fehlschlagen, sind die Routen, die diesen nächsten Hop verwenden, noch aktiv. Von der Route verarbeitete Pakete werden gemäß der Trafficverteilung an eines der Back-Ends des nächsten Hop-Load-Balancers gesendet.
Weiterleitungsregeln, die eine gemeinsame interne IP-Adresse verwenden (--purpose=SHARED_LOADBALANCER_VIP), werden nicht unterstützt. Die Network Load Balancer des nächsten Hops und die Weiterleitungsregeln für internen Passthrough Network Load Balancer mit einer gemeinsamen IP-Adresse schließen sich gegenseitig aus. Der interne Passthrough Network Load Balancer mit nächstem Hop muss eine IP-Adresse verwenden, die für die Weiterleitungsregel des Load-Balancers eindeutig ist, damit nur ein Back-End-Dienst (ein Load-Balancer) eindeutig referenziert wird. Es ist möglich, dass Weiterleitungsregeln, die eine gemeinsame interne IP-Adresse verwenden, auf verschiedene Back-End-Dienste verweisen (verschiedene interne Passthrough Network Load Balancer).
Gleiches Ziel und mehrere interne Passthrough Network Load Balancer als nächster Hop. Wenn Sie zwei oder mehr benutzerdefinierte statische Routen mit demselben Ziel und unterschiedlichen internen Passthrough Network Load Balancern als nächste Hops erstellen, verteilt Google Cloud den Traffic nie unter den Load-Balancern als nächste Hops mit ECMP. Wenn die Routen eindeutige Prioritäten haben, verwendet Google Cloud den internen Passthrough Network Load Balancer als nächsten Hop aus der Route mit der höchsten Priorität. Wenn die Routen dieselben Prioritäten haben, wählt Google Cloud trotzdem nur einen internen Passthrough Network Load Balancer als nächsten Hop aus. Wie in der folgenden Abbildung dargestellt, verwendet Google Cloud einen deterministischen internen Algorithmus, um eine Weiterleitungsregel als nächsten Hop (forwarding-rule-a) auszuwählen und andere Routen mit derselben Priorität zu ignorieren.

Google Cloud wählt einen einzelnen nächsten Hop aus, wenn statische Routen mit unterschiedlichen internen Passthrough Network Load Balancern als nächste Hops dieselbe Priorität und dasselbe Ziel haben.
Mehrere Ziele und derselbe Passthrough Network Load Balancer für den nächsten Hop:

Mit Instanz-Tags:

Wenn Sie Instanz-Tags (auch Netzwerk-Tags genannt) verwenden, können Sie denselben internen Passthrough Network Load Balancer als nächsten Hop für mehrere benutzerdefinierte statische Routen mit demselben Ziel und derselben Priorität verwenden.

Ohne Instanz-Tags: Ohne Instanz-Tags können Sie nicht mehrere benutzerdefinierte statische Routen mit derselben Kombination aus Ziel, Priorität und internem Passthrough Network Load Balancer als nächsten Hop erstellen. Beispielsweise können route-x, route-y und route-z erstellt werden, route-x-copy jedoch nicht.

Statische Routen, die keine Instanz-Tags enthalten, können nicht mit demselben Ziel, derselben Priorität und demselben internen Passthrough Network Load Balancer als nächster Hop erstellt werden.
Instanz-Tags.

Sie können Instanz-Tags angeben (auch als Netzwerk-Tags bezeichnet), sodass die Route für den nächsten Hop nur für Clientinstanzen gilt, die mit dem Tag konfiguriert wurden. Dadurch können Sie auswählen, welche Clientinstanzen mit welcher getaggten Route für den nächsten Hop gefüllt werden und an welche Gruppe von Appliances der Traffic weitergeleitet werden soll.

Sie müssen die verschiedenen Clientinstanzen nicht in separate VPC-Netzwerke unterteilen, die jeweils auf ihre bevorzugten internen Passthrough Network Load Balancer mit dem Front-End einer Reihe von Appliances verweisen.

Hinweis: Getaggte Routen werden nicht über Peering exportiert oder importiert.
Mehrere Routen für dasselbe Zielpräfix: Mit Instanz-Tags können Sie mehrere Routen zum selben Ziel mit unterschiedlichen internen Load-Balancern als nächste Hops angeben. Sie können für diese Zielrouten unterschiedliche Instanz-Tags oder unterschiedliche Prioritäten verwenden.

Überlegungen zu klassischen VPN-Tunneln mit nächstem Hop

Kosten und Latenz von Region zu Region: Google Cloud berücksichtigt keine regionalen Entfernungen für Routen, die einen als nächster Hop dienenden klassischen VPN-Tunnel verwenden. Das Senden von Traffic an einen als nächster Hop dienenden klassischen VPN-Tunnel in einer anderen Region erhöht die Kosten für ausgehenden Traffic und führt zu Netzwerklatenz. Verwenden Sie als Best Practice stattdessen einen HA VPN-Tunnel mit dynamischem Routing, da diese Konfiguration regionale Entfernungen berücksichtigt.
Verhalten, wenn klassische VPN-Tunnel nicht ausgeführt werden: Benutzerdefinierte statische Routen, deren nächste Hops klassische VPN-Tunnel sind, werden nicht automatisch entfernt, wenn die klassischen VPN-Tunnel nicht aktiv sind. Weitere Informationen dazu, was geschieht, wenn Tunnel nicht aktiv sind, finden Sie in der Dokumentation zu klassischen VPNs unter Wenn Tunnel nicht erreichbar sind.

Nächste Schritte

Mehr zum Erstellen und Verwalten von Routen erfahren Sie unter Routen verwenden.
Einen Überblick über Google Cloud VPC-Netzwerke erhalten Sie unter VPC-Netzwerke.
Anleitungen zum Erstellen, Ändern oder Löschen von VPC-Netzwerken finden Sie unter VPC-Netzwerke erstellen und verwalten.