Subnetze – Übersicht

VPC-Netzwerke (Virtual Private Cloud) sind globale Ressourcen. Jedes VPC-Netzwerk besteht aus einem oder mehreren IP-Adressbereichen, die als Subnetze bezeichnet werden. Subnetze sind regionale Ressourcen, denen IP-Adressbereiche zugeordnet sind.

In Google Cloud sind die Begriffe Subnetz und Subnetzwerk synonym. Sie sind in der Google Cloud Console, in Befehlen der Google Cloud-Befehlszeile und in der API-Dokumentation austauschbar.

Netzwerke und Subnetze

Ein Netzwerk kann erst verwendet werden, wenn es mindestens ein Subnetz hat. Von VPC-Netzwerken im automatischen Modus werden automatisch Subnetze in den einzelnen Regionen erstellt. Benutzerdefinierte VPC-Netzwerke enthalten zuerst keine Subnetze, sodass Sie selbst bestimmen können, welche Subnetze erstellt werden sollen. Sie können mehr als ein Subnetz pro Region erstellen. Weitere Informationen zu den Unterschieden zwischen VPC-Netzwerken im automatischen Modus und im benutzerdefinierten Modus finden Sie unter VPC-Netzwerktypen.

Wenn Sie eine Ressource in Google Cloud erstellen, wählen Sie ein Netzwerk und ein Subnetz aus. Für andere Ressourcen als Instanzvorlagen können Sie auch eine Zone oder Region auswählen. Bei der Auswahl einer Zone wird implizit auch die zugehörige übergeordnete Region ausgewählt. Da Subnetze regionale Objekte sind, wird durch die Auswahl der Region für eine Ressource auch festgelegt, für welche Subnetze sie verwendet werden kann:

  • Beim Erstellen einer Instanz wählen Sie eine Zone für die Instanz aus. Wenn Sie kein Netzwerk für die VM auswählen, wird das Standard-VPC-Netzwerk verwendet, das in jeder Region ein Subnetz hat. Wenn Sie ein Netzwerk für die VM auswählen, müssen Sie ein Netzwerk auswählen, das ein Subnetz in der übergeordneten Region der ausgewählten Zone enthält.

  • Wenn Sie eine verwaltete Instanzgruppe erstellen, wählen Sie je nach Gruppentyp eine Zone oder Region und eine Instanzvorlage aus. Die Instanzvorlage definiert, welches VPC-Netzwerk verwendet werden soll. Wenn Sie eine verwaltete Instanzgruppe erstellen, müssen Sie daher eine Instanzvorlage mit einer geeigneten Konfiguration auswählen. Die Vorlage muss ein VPC-Netzwerk mit Subnetzen in der ausgewählten Zone oder Region auswählen. VPC-Netzwerke im automatischen Modus haben immer ein Subnetz in jeder Region.

  • Zur Erstellung eines Kubernetes-Container-Clusters gehört die Auswahl einer Zone oder Region (abhängig vom Clustertyp), eines Netzwerks und eines Subnetzes. Sie müssen ein Subnetz auswählen, das in der ausgewählten Zone oder Region ausgewählt ist.

Subnetztypen

VPC-Netzwerke unterstützen die folgenden Subnetztypen:

  • Nur-IPv4-Subnetze (Single-Stack) mit nur IPv4-Subnetzbereichen

  • IPv4- und IPv6-Subnetze (Dual-Stack) mit IPv4- und IPv6-Subnetzbereichen

Ein einzelnes VPC-Netzwerk kann eine beliebige Kombination dieser Subnetztypen enthalten.

Beim Erstellen eines Subnetzes geben Sie an, welcher Stack-Typ verwendet werden soll. Sie können auch ein vorhandenes IPv4-Subnetz aktualisieren, um es als Dual-Stack-Subnetz zu konfigurieren.

Dual-Stack-Subnetze werden nur in VPC-Netzwerken im benutzerdefinierten Modus unterstützt. Dual-Stack-Subnetze werden in VPC-Netzwerken im Legacy-Modus oder Legacy-Netzwerken nicht unterstützt.

Geben Sie beim Erstellen eines IPv4-Subnetzbereichs die folgenden Informationen an:

Subnetzeinstellung Zulässige Werte Details
IPv4-Bereich Ein gültiger Bereich, den Sie auswählen Erforderlich
Sekundärer IPv4-Bereich Ein gültiger Bereich, den Sie auswählen Optional

Geben Sie beim Erstellen eines IPv6-Subnetzbereichs die folgenden Informationen an:

Subnetzeinstellung Zulässige Werte Details
IPv6-Zugriffstyp

  • Intern
  • Extern

Dem Subnetz wird automatisch ein IPv6-Adressbereich /64 zugewiesen.

IPv4-Subnetzbereiche

Jedes Subnetz hat einen primären IPv4-Adressbereich. Die primären internen Adressen folgender Ressourcen stammen aus dem primären Bereich des Subnetzes: VM-Instanzen, interne Load-Balancer und interne Protokollweiterleitung. Optional können Sie zu einem Subnetz sekundäre IP-Adressbereiche hinzufügen, die nur von Alias-IP-Bereichen verwendet werden. Sie können jedoch Alias-IP-Bereiche für Instanzen aus dem primären oder sekundären Bereich eines Subnetzes konfigurieren.

Für alle Subnetze in einem VPC-Netzwerk muss jeder primäre oder sekundäre IPv4-Bereich ein eindeutiger gültiger CIDR-Block sein. Informationen zur Anzahl der sekundären IP-Bereiche, die Sie definieren können, finden Sie im Abschnitt zu Limits pro Netzwerk.

Ihre IPv4-Subnetze müssen keinen vordefinierten zusammenhängenden CIDR-Block bilden, bei Bedarf können Sie dies aber festlegen. In Netzwerken im automatischen Modus werden z. B. Subnetze erstellt, die sich in einen für den automatischen Modus vordefinierten IP-Bereich einfügen lassen.

Weitere Informationen finden Sie unter Mit Subnetzen arbeiten.

Gültige IPv4-Bereiche

Die primären und sekundären IPv4-Adressbereiche eines Subnetzes sind regionale interne IPv4-Adressen. In der folgenden Tabelle werden gültige Bereiche beschrieben.

Bereich Beschreibung
Private IPv4-Adressbereiche
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
Private IP-Adressen RFC 1918
100.64.0.0/10 Gemeinsamer Adressbereich RFC 6598
192.0.0.0/24 IETF-Protokollzuweisungen RFC 6890
192.0.2.0/24 (TEST-NET-1)
198.51.100.0/24 (TEST-NET-2)
203.0.113.0/24 (TEST-NET-3)
Dokumentation RFC 5737
192.88.99.0/24 IPv6-zu-IPv4-Relay (verworfen) RFC 7526
198.18.0.0/15 Benchmarktests RFC 2544
240.0.0.0/4

Für die spätere Verwendung (Klasse E) reserviert, wie in RFC 5735 und RFC 1112 vermerkt.

Einige Betriebssysteme unterstützen die Verwendung dieses Bereichs nicht. Prüfen Sie daher, ob Ihr Betriebssystem diese unterstützt, bevor Sie Subnetze erstellen, die diesen Bereich verwenden.

Privat verwendete öffentliche IP-Adressbereiche
Privat genutzte öffentliche IPv4-Adressen Privat genutzte öffentliche IPv4-Adressen:
  • IPv4-Adressen, die normalerweise im Internet geroutet werden können, aber in einem VPC-Netzwerk privat genutzt werden
  • Sie können nicht zu einem unzulässigen Subnetzbereich gehören

Wenn Sie diese Adressen als Subnetzbereiche verwenden, gibt Google Cloud diese Routen nicht an das Internet weiter und leitet keinen Traffic vom Internet an diese weiter.

Wenn Sie mithilfe von Bring your own IP (BYOIP) öffentliche IP-Adressen bei Google importiert haben, dürfen Ihre BYOIP-Bereiche und privat genutzten öffentlichen IP-Adressbereiche im selben VPC-Netzwerk nicht überlappen.

Beim VPC-Netzwerk-Peering werden Subnetzrouten für öffentliche IP-Adressen nicht automatisch ausgetauscht. Die Subnetzrouten werden standardmässig automatisch exportiert. Peer-Netzwerke müssen jedoch explizit für ihren Import konfiguriert werden, damit sie verwendet werden.

Für IPv4-Subnetzbereiche gelten die folgenden Einschränkungen:

  • Subnetzbereiche dürfen nicht kleiner oder größer als ein eingeschränkter Bereich sein oder mit diesem übereinstimmen. 169.0.0.0/8 ist beispielsweise kein gültiger Subnetzbereich, da er sich mit dem Link-Local-Bereich 169.254.0.0/16 (RFC 3927) überschneidet, der ein eingeschränkter Bereich ist.

  • Subnetzbereiche dürfen weder einen RFC-Bereich (wie in der Tabelle oben beschrieben) noch einen privat genutzten öffentlichen IP-Adressbereich umfassen. 172.16.0.0/10 ist beispielsweise kein gültiger Subnetzbereich, da er sich mit RFC 1918 und öffentlichen IP-Adressen überschneidet.

  • Subnetzbereiche können nicht mehrere RFC-Bereiche umfassen. Beispielsweise ist 192.0.0.0/8 kein gültiger Subnetzbereich, da er sowohl 192.168.0.0/16 (aus RFC 1918) als auch 192.0.0.0/24 (aus RFC 6890) enthält. Sie können jedoch zwei Subnetze mit unterschiedlichen primären Bereichen erstellen, eines mit 192.168.0.0/16 und eines mit 192.0.0.0/24. Alternativ können Sie beide Bereiche im selben Subnetz verwenden, wenn Sie einen davon als sekundären Bereich festlegen.

Unzulässige IPv4-Subnetzbereiche

Unzulässige Subnetzbereiche umfassen öffentliche IP-Adressen von Google und häufig reservierte RFC-Bereiche, wie in der folgenden Tabelle beschrieben. Diese Bereiche können nicht für Subnetzbereiche verwendet werden.

Bereich Beschreibung
Öffentliche IP-Adressen für Google APIs und -Dienste, einschließlich Google Cloud-Netblocks Sie finden diese IP-Adressen unter https://gstatic.com/ipranges/goog.txt.
199.36.153.4/30
und
199.36.153.8/30
Virtuelle IP-Adressen für den privaten Google-Zugriff
0.0.0.0/8 Aktuelles (lokales) Netzwerk RFC 1122
127.0.0.0/8 Lokaler Host RFC 1122
169.254.0.0/16 Link-Local RFC 3927
224.0.0.0/4 Multicast (Klasse D) RFC 5771
255.255.255.255/32 Eingeschränkte Übertragungszieladresse RFC 8190 und RFC 919

Reservierte IP-Adressen in IPv4-Subnetzen

Für jedes Subnetz sind vier IP-Adressen im primären IP-Bereich reserviert. In den sekundären IP-Bereichen gibt es keine reservierten IP-Adressen.

Reservierte IP-Adresse Beschreibung Beispiel
Netz Erste Adresse im primären IP-Bereich für das Subnetz 10.1.2.0 in 10.1.2.0/24
Standardgateway Zweite Adresse im primären IP-Bereich für das Subnetz 10.1.2.1 in 10.1.2.0/24
Vorletzte Adresse Vorletzte Adresse im primären IP-Bereich für das Subnetz, das von Google Cloud für eine mögliche zukünftige Verwendung reserviert ist 10.1.2.254 in 10.1.2.0/24
Broadcast Letzte Adresse im primären IP-Bereich für das Subnetz 10.1.2.255 in 10.1.2.0/24

IPv4-Bereiche im automatischen Modus

Diese Tabelle enthält die IPv4-Bereiche für die automatisch erstellten Subnetze in einem VPC-Netzwerk im automatischen Modus. IP-Bereiche für diese Subnetze befinden sich innerhalb des CIDR-Blocks 10.128.0.0/9. VPC-Netzwerke im automatischen Modus werden mit einem Subnetz pro Region erstellt und in neuen Regionen werden ihnen automatisch neue Subnetze hinzugefügt. Nicht verwendete Teile von 10.128.0.0/9 sind für zukünftige Nutzung durch Google Cloud reserviert.

Region IP-Bereich (CIDR) Standardgateway Verwendbare Adressen (von/bis einschließlich)
asia-east1 10.140.0.0/20 10.140.0.1 10.140.0.2 bis 10.140.15.253
asia-east2 10.170.0.0/20 10.170.0.1 10.170.0.2 bis 10.170.15.253
asia-northeast1 10.146.0.0/20 10.146.0.1 10.146.0.2 bis 10.146.15.253
asia-northeast2 10.174.0.0/20 10.174.0.1 10.174.0.2 bis 10.174.15.253
asia-northeast3 10.178.0.0/20 10.178.0.1 10.178.0.2 bis 10.178.15.253
asia-south1 10.160.0.0/20 10.160.0.1 10.160.0.2 bis 10.160.15.253
asia-south2 10.190.0.0/20 10.190.0.1 10.190.0.2 nach 10.190.15.253
asia-southeast1 10.148.0.0/20 10.148.0.1 10.148.0.2 bis 10.148.15.253
asia-southeast2 10.184.0.0/20 10.184.0.1 10.184.0.2 bis 10.184.15.253
australia-southeast1 10.152.0.0/20 10.152.0.1 10.152.0.2 bis 10.152.15.253
australia-southeast2 10.192.0.0/20 10.192.0.1 10.192.0.2 bis 10.192.15.253
europe-central2 10.186.0.0/20 10.186.0.1 10.186.0.2 bis 10.186.15.253
europe-north1 10.166.0.0/20 10.166.0.1 10.166.0.2 bis 10.166.15.253
europe-west1 10.132.0.0/20 10.132.0.1 10.132.0.2 bis 10.132.15.253
europe-west2 10.154.0.0/20 10.154.0.1 10.154.0.2 bis 10.154.15.253
europe-west3 10.156.0.0/20 10.156.0.1 10.156.0.2 bis 10.156.15.253
europe-west4 10.164.0.0/20 10.164.0.1 10.164.0.2 bis 10.164.15.253
europe-west6 10.172.0.0/20 10.172.0.1 10.172.0.2 bis 10.172.15.253
europe-west8 10.198.0.0/20 10.198.0.1 10.198.0.2 bis 10.198.0.253
europe-west9 10.200.0.0/20 10.200.0.1 10.200.0.2 bis 10.200.0.253
europe-southwest1 10.204.0.0/20 10.204.0.1 10.204.0.2 bis 10.204.15.253
northamerica-northeast1 10.162.0.0/20 10.162.0.1 10.162.0.2 bis 10.162.15.253
northamerica-northeast2 10.188.0.0/20 10.188.0.1 10.188.0.2 bis 10.188.15.253
southamerica-east1 10.158.0.0/20 10.158.0.1 10.158.0.2 bis 10.158.15.253
southamerica-west1 10.194.0.0/20 10.194.0.1 10.194.0.2 bis 10.194.15.253
us-central1 10.128.0.0/20 10.128.0.1 10.128.0.2 bis 10.128.15.253
us-east1 10.142.0.0/20 10.142.0.1 10.142.0.2 bis 10.142.15.253
us-east4 10.150.0.0/20 10.150.0.1 10.150.0.2 bis 10.150.15.253
us-west1 10.138.0.0/20 10.138.0.1 10.138.0.2 bis 10.138.15.253
us-west2 10.168.0.0/20 10.168.0.1 10.168.0.2 bis 10.168.15.253
us-west3 10.180.0.0/20 10.180.0.1 10.180.0.2 bis 10.180.15.253
us-west4 10.182.0.0/20 10.182.0.1 10.182.0.2 bis 10.182.15.253

IPv6-Subnetzbereiche

Wenn Sie IPv6 in einem Subnetz aktivieren, wird ein IPv6-Zugriffstyp für das Subnetz ausgewählt. Der IPv6-Zugriffstyp bestimmt, ob das Subnetz mit internen IPv6-Adressen oder externen IPv6-Adressen konfiguriert ist.

  • Interne IPv6-Adressen werden für die VM-zu-VM-Kommunikation in VPC-Netzwerken verwendet. Sie können nur im Bereich von VPC-Netzwerken und nicht an das Internet weitergeleitet werden.

  • Externe IPv6-Adressen können für die VM-zu-VM-Kommunikation in VPC-Netzwerken verwendet werden und außerdem im Internet weitergeleitet werden.

Wenn eine VM-Schnittstelle mit einem Subnetz mit einem IPv6-Subnetzbereich verbunden ist, können Sie IPv6-Adressen auf der VM konfigurieren. Der IPv6-Zugriffstyp des Subnetzes bestimmt, ob der VM eine interne IPv6-Adresse oder eine externe IPv6-Adresse zugewiesen wird.

Beschränkungen

Sie können keine externen IPv6-Subnetzbereiche in asia-southeast2 oder asia-northeast3 erstellen.

IPv6-Spezifikationen

  • IPv6-Subnetzbereiche sind regionale Ressourcen.

  • IPv6-Subnetzbereiche werden automatisch /64-Bereichen zugewiesen.

  • Der IPv6-Zugriffstyp (interne oder externe) eines Subnetzes kann nicht geändert werden.

  • Sie können ein Dual-Stack-Subnetz nicht in Single-Stack-Subnetz ändern, wenn der IPv6-Zugriffstyp intern ist.

Interne IPv6-Spezifikationen

  • Interne IPv6-Bereiche verwenden eindeutige lokale Adressen (ULAs).

  • ULAs für IPv6 entsprechen den RFC 1918-Adressen für IPv4. ULAs können nicht über das Internet erreicht werden und sind nicht öffentlich routingfähig.

  • Weisen Sie dem VPC-Netzwerk zuerst einen internen IPv6-Bereich zu, um Subnetze mit internen IPv6-Bereichen zu erstellen. Ein IPv6-Bereich /48 ist zugewiesen. Wenn Sie ein Subnetz mit einem internen IPv6-Bereich erstellen, wird der Bereich /64 des Subnetzes aus dem Bereich des VPC-Netzwerks zugewiesen.

    • Der interne IPv6-Bereich eines VPC-Netzwerks ist in Google Cloud eindeutig.

    • Sie können Google den VPC-Netzwerk internen IPv6-Bereich zuweisen lassen oder einen bestimmten Bereich auswählen. Wenn Ihr VPC-Netzwerk eine Verbindung zu Netzwerken außerhalb von Google Cloud herstellt, können Sie einen Bereich auswählen, der sich nicht mit den Bereichen in diesen Umgebungen überschneidet.

  • Die Zuweisung des internen IPv6-Bereichs /48 eines VPC-Netzwerks ist permanent. Sie können sie nicht deaktivieren oder später ändern.

Externe IPv6-Spezifikationen

IPv6-Bereichszuweisung

IPv6-Bereiche können Netzwerken, Subnetzen und VM-Instanzen zugewiesen werden.

Ressourcentyp Bereichsgröße Details
VPC-Netzwerk /48

Damit Sie internes IPv6 in einem Subnetz aktivieren können, müssen Sie zuerst einen internen IPv6-Bereich im VPC-Netzwerk zuweisen.

Dem Netzwerk wird ein /48-ULA-Bereich aus fd20::/20 zugewiesen. Alle internen IPv6-Subnetzbereiche im Netzwerk werden aus diesem /48-Bereich zugewiesen.

Der Bereich /48 kann automatisch zugewiesen werden oder Sie können einen bestimmten Bereich aus fd20::/20 auswählen.

Subnetz /64

Mit der IPv6-Zugriffstypeinstellung wird gesteuert, ob die IPv6-Adressen intern oder extern sind.

Ein Subnetz kann entweder interne oder externe IPv6-Adressen haben, aber nicht beides.

Wenn Sie IPv6 aktivieren, geschieht Folgendes:

  • Wenn Sie internes IPv6 in einem Subnetz aktivieren, wird aus dem /48-Bereich Ihres VPC-Netzwerks ein /64-Bereich interner ULAs zugewiesen.

  • Wenn Sie externe IPv6 in einem Subnetz aktivieren, wird ein /64-Bereich externer GUAs zugewiesen.
VM-Instanz (VM) /96

Wenn Sie IPv6 auf einer VM aktivieren, wird der VM der Bereich /96 aus dem Subnetz zugewiesen, mit dem sie verbunden ist. Die erste IP-Adresse in diesem Bereich wird der primären Schnittstelle mithilfe von DHCPv6 zugewiesen.

Sie konfigurieren nicht, ob eine VM interne oder externe IPv6-Adressen erhält. Die VM übernimmt den IPv6-Zugriffstyp aus dem Subnetz, mit dem sie verbunden ist.

Nächste Schritte

Jetzt testen

Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie einfach ein Konto, um die Leistungsfähigkeit von VPC in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

VPC kostenlos testen