VPC-Netzwerk-Peering

Virtual Private Cloud-(VPC-)Netzwerk-Peering in der Google Cloud Platform (GCP) ermöglicht private RFC1918-Verbindungen zwischen zwei VPC-Netzwerken, unabhängig von ihrer Zugehörigkeit zu demselben Projekt oder derselben Organisation.

Übersicht

Durch das VPC-Netzwerk-Peering können Sie SaaS-Systeme (Software-as-a-Service) in der GCP aufbauen und Dienste unternehmensintern oder unternehmensextern privat in verschiedenen VPC-Netzwerken zur Verfügung stellen. Die Übertragung der Arbeitslasten erfolgt dabei in einem privaten Bereich nach RFC 1918.

VPC-Netzwerk-Peering eignet sich für:

  • Unternehmen mit mehreren administrativen Netzwerkdomains
  • Unternehmen, die sich mit anderen Unternehmen vernetzen möchten

Wenn Sie in Ihrem Unternehmen mehrere administrative Netzwerkdomains haben, können Sie mit VPC-Netzwerk-Peering Dienste innerhalb eines privaten RFC1918-Bereichs in verschiedenen VPC-Netzwerken zur Verfügung stellen. Wenn Sie hingegen anderen Organisationen Dienste anbieten, können Sie die Dienste mit VPC-Netzwerk-Peering diesen Unternehmen innerhalb eines privaten RFC1918-Bereichs zur Verfügung stellen. Die Möglichkeit, Dienste unternehmensübergreifend bereitzustellen, ist nützlich, wenn Sie anderen Unternehmen Dienste anbieten. Sie ist auch innerhalb Ihres Unternehmens nützlich, wenn Sie aufgrund Ihrer Unternehmensstruktur oder nach Fusionen oder Übernahmen mehrere separate Organisationsknoten haben.

VPC-Netzwerk-Peering bietet im Vergleich zur Verwendung externer IP-Adressen oder VPNs zur Verbindung von Netzwerken diverse Vorteile, unter anderem:

  • Netzwerklatenz: Netzwerke mit öffentlichen IP-Adressen haben eine höhere Latenz als private Netzwerke.
  • Netzwerksicherheit: Dienstinhaber müssen ihre Dienste nicht über das öffentliche Internet anbieten und die zugehörigen Daten den entsprechenden Risiken aussetzen.
  • Netzwerkkosten: Auf der GCP werden Gebühren für die Bandbreitennutzung ausgehenden Traffics aus Netzwerken berechnet, die über externe IP-Adressen kommunizieren. Dies gilt auch für Traffic innerhalb derselben Zone. Wenn die Netzwerke jedoch über Peering zusammengeschaltet sind, können für die Kommunikation interne IP-Adressen verwendet und so Kosten für ausgehenden Traffic gespart werden. Für den gesamten Traffic gelten aber weiterhin die normalen Netzwerkpreise.

Haupteigenschaften

Peering-VPC-Netzwerke haben die folgenden wichtigen Eigenschaften:

  • Das VPC-Netzwerk-Peering kann mit Compute Engine, GKE und der flexiblen App Engine-Umgebung verwendet werden.
  • Peering-VPC-Netzwerke bleiben administrativ getrennt. Die Routen, Firewalls, VPNs und anderen Traffic-Managementtools werden in jedem VPC-Netzwerk separat verwaltet und angewendet.
  • Alle Komponenten der Peering-Verknüpfung werden unabhängig voneinander eingerichtet. Das Peering ist nur aktiv, wenn beide Seiten übereinstimmend konfiguriert sind. Die Peering-Verknüpfung kann von beiden Seiten jederzeit getrennt werden.
  • Peering kann für ein VPC-Netzwerk konfiguriert werden, auch wenn das andere VPC-Netzwerk noch nicht erstellt wurde.
  • Für ein VPC-Netzwerk kann Peering mit mehreren anderen VPC-Netzwerken eingerichtet werden, allerdings gibt es hierfür ein Limit.
  • Das CIDR-Präfix eines Subnetzes in einem Peering-VPC-Netzwerk darf sich mit dem eines anderen Peering-Netzwerks nicht überschneiden. Dies bedeutet, dass zwischen zwei VPC-Netzwerken im automatischen Modus, die nur die Standardsubnetze haben, kein Peering möglich ist. In den folgenden Fällen prüft GCP die Netzwerke auf Überschneidungen:
    • wenn das VPC-Netzwerk-Peering zum ersten Mal aktiviert wird
    • wenn Sie in einem Peering-VPC-Netzwerk ein neues Subnetz erstellen
  • Der CIDR-Bereich eines Subnetzes in einem Peering-VPC-Netzwerk darf sich nicht mit einer Route in einem anderen Peering-VPC-Netzwerk überschneiden. Diese Regel gilt sowohl für Subnetzrouten als auch benutzerdefinierte Routen. In folgenden Fällen wird auf der GCP geprüft, ob eine Überschneidung vorliegt, und gegebenenfalls ein Fehler ausgegeben.
    • wenn das VPC-Netzwerk-Peering zum ersten Mal aktiviert wird
    • wenn Sie in einem Peering-VPC-Netzwerk eine Route erstellen
    • wenn Sie in einem Peering-VPC-Netzwerk ein neues Subnetz erstellen
  • VPC-Netzwerk-Peering ist nur zwischen VPC-Netzwerken möglich. Für Legacy-Netzwerke wird das Peering NICHT unterstützt.
  • IAM-Berechtigungen: Es gibt neue IAM-Berechtigungen für das Erstellen und Löschen von VPC-Netzwerk-Peerings. Diese Berechtigungen sind in den Rollen des Projektinhabers/-bearbeiters sowie des Netzwerkadministrators enthalten.
  • Sobald die Peering-Verbindung zwischen Netzwerken aufgebaut ist, besteht innerhalb dieser Netzwerke Zugriff auf alle privaten IP-Adressen. VPC-Netzwerk-Peering bietet keine detaillierte Routensteuerung, um herauszufiltern, welche Subnetz-CIDRs innerhalb der Peering-Netzwerke erreichbar sind. Verwenden Sie bei Bedarf die Firewallregeln zum Filtern von Traffic. Innerhalb von direkt verbundenen Peering-Netzwerken sind folgende Typen von Endpunkten/Ressourcen erreichbar:
    • interne IP-Adressen virtueller Maschinen (VMs) in allen Subnetzen
    • interne IP-Adressen mit Lastenausgleich in allen Subnetzen
  • Folgende Typen von Endpunkten/Ressourcen werden innerhalb von direkt verbundenen Peering-Netzwerken NICHT freigegeben:
    • Statische Routen
    • VPNs
  • Nur direkt verbundene Peering-Netzwerke können miteinander kommunizieren. Transitives Peering wird nicht unterstützt. Wenn also das VPC-Netzwerk N1 mit N2 und N3 verbunden ist, aber N2 und N3 nicht direkt verbunden sind, kann das VPC-Netzwerk N2 mit dem VPC-Netzwerk N3 nicht über das Peering kommunizieren.
  • Peering-Traffic (Traffic zwischen den Peering-Netzwerken) hat die gleiche Latenz, den gleichen Durchsatz und die gleiche Verfügbarkeit wie privater Traffic innerhalb desselben Netzwerks.
  • Die Abrechnung von Peering-Traffic ist mit der Abrechnung von privatem Traffic innerhalb desselben Netzwerks identisch.

Netzwerkfunktionen in Szenarien mit VPC-Netzwerk-Peering

Interner Lastenausgleich

Für den internen Lastenausgleich zwischen verbundenen Netzwerken werden Weiterleitungsregeln, die auf dem internen Lastenausgleich eines Netzwerks beruhen, automatisch auch auf den VM-Instanzen des verbundenen Netzwerks installiert. Sie müssen hierfür keine zusätzliche Konfiguration vornehmen. Die nachstehende Abbildung veranschaulicht, wie VM-Instanzen in Netzwerk-B auf die Back-Ends mit Lastenausgleich in Netzwerk-A zugreifen. Die interne Konfiguration des Lastenausgleichs von Netzwerk-A wird in diesem Fall automatisch auf Netzwerk-B angewendet. Interne Lastenausgleichsdienste sind nur für Clients direkt verknüpfter Peering-Netzwerke verfügbar. Dies bedeutet, bei einem Peering zwischen Netzwerk-B und Netzwerk-C sind die internen Back-Ends mit Lastenausgleich in Netzwerk-A von den Clients in Netzwerk-C nicht erreichbar.

Interner Lastenausgleich mit VPC-Netzwerk-Peering (zum Vergrößern klicken)
Interner Lastenausgleich mit VPC-Netzwerk-Peering (zum Vergrößern klicken)

Der interne Lastenausgleich ist ein regionaler Dienst und nur für VMs erreichbar, die sich in derselben Region wie das interne Lastenausgleichsmodul befinden. Dies gilt auch für VMs in Peering-Netzwerken. VMs in Peering-Netzwerken, die sich nicht in derselben Region wie das Lastenausgleichsmodul befinden, können den internen Lastenausgleich nicht verwenden.

Firewall

Firewallregeln können nicht in Peering-Netzwerke importiert werden. Sie können Firewallregeln in jedem Netzwerk separat konfigurieren, um Traffic von den verbundenen Netzwerken zuzulassen oder zu blockieren.

Bei einem Peering zwischen Ihrem VPC-Netzwerk und einem anderen VPC-Netzwerk möchten Sie möglicherweise Traffic zu bestimmten VM-Instanzen oder internen Lastenausgleichs-Endpunkten unterbinden. Verwenden Sie hierfür Firewallregeln, da es nicht möglich ist, bestimmte VM-Instanzen oder interne Lastenausgleichsmodule vom Peering auszuschließen. Wenn Sie die Kommunikation mit bestimmten VM-Instanzen oder internen Lastenausgleichsmodulen unterbinden möchten, können Sie in dem Netzwerk, zu dem die Kommunikation blockiert werden soll, Firewallregeln für eingehenden Traffic konfigurieren.

  • VM-Instanzen: In diesem Fall können Sie eine Firewall für eingehenden Traffic installieren, die nur Traffic von bestimmten Quell-IP-Adressen zulässt. Diese Quell-IP-Adressen können den Subnetz-CIDRs in Ihrem eigenen VPC-Netzwerk zugeordnet werden. Auf diese Weise wird sämtlicher Traffic blockiert, der von den verbundenen Peering-VPC-Netzwerken kommt.
Firewall mit VPC-Netzwerk-Peering (zum Vergrößern klicken)
Firewall mit VPC-Netzwerk-Peering (zum Vergrößern klicken)
  • Interne Lastenausgleichsmodule: In diesem Fall können Sie Firewallregeln für eingehenden Traffic im VPC-Netzwerk mit dem internen Lastenausgleichsmodul konfigurieren. Diese Quell-IP-Adressen können allen oder einigen der Subnetz-CIDRs in Ihrem eigenen Netzwerk zugeordnet werden. Wenn für alle Subnetz-CIDR-Bereiche des verbundenen Peering-Netzwerks Firewallregeln für eingehenden Traffic konfiguriert sind, kann keine Instanz in diesem Netzwerk die Back-End-VMs des internen Lastenausgleichsmoduls erreichen.

Freigegebene VPC

VPC-Netzwerk-Peering ermöglicht das Peering mit einem Shared VPC. Ein Shared VPC-Hostprojekt ist ein Projekt, das es anderen Projekten ermöglicht, eines seiner Netzwerke zu nutzen. Das folgende Diagramm veranschaulicht die Konfiguration.

Freigegebene VPC mit Netzwerk-Peering (zum Vergrößern klicken)
Freigegebene VPC mit Netzwerk-Peering (zum Vergrößern klicken)

Das Netzwerk-SVPC befindet sich in einem Shared VPC-Netzwerk im Hostprojekt P1. Die Dienstprojekte P3 und P4 können VM-Instanzen an das Netzwerk-SVPC anhängen. Netzwerk-SVPC ist im Peering mit Netzwerk-A verbunden. Daraus folgt:

  • VM-Instanzen in freigegebenen VPC-Dienstprojekten, die das Netzwerk-SVPC (VM3 und VM4) nutzen, haben private interne IP-Verbindungen mit allen Endpunkten, die Netzwerk-A zugeordnet sind.
  • Netzwerk-A zugeordnete VM-Instanzen haben private, interne IP-Verbindungen mit allen Endpunkten, die Netzwerk-SVPC zugeordnet sind, unabhängig davon, ob das Projekt, zu dem sie gehören, das Hostprojekt oder ein Dienstprojekt ist.

Sie können auch ein VPC-Netzwerk-Peering zwischen zwei Shared VPC-Netzwerken einrichten.

Mehrere Netzwerkschnittstellen pro Instanz

Eine Instanz kann mehrere Netzwerkschnittstellen in verschiedenen VPC-Netzwerken haben.

Das folgende Diagramm zeigt ein Szenario, in dem das Zusammenspiel der beiden Funktionen deutlich wird. In diesem Fall hat VM1 jeweils eine Netzwerkschnittstelle in Netzwerk-A und Netzwerk-B. Netzwerk-B ist im Peering mit einem weiteren Netzwerk, Netzwerk-C, verbunden.

Mehrere Netzwerkschnittstellen mit Netzwerk-Peering (zum Vergrößern klicken)
Mehrere Netzwerkschnittstellen mit Netzwerk-Peering (zum Vergrößern klicken)

IP3 kann Traffic zu IP2 senden, weil sich IP2 in Netzwerk-B befindet, und die Routen von Netzwerk-B werden automatisch an Netzwerk-C weitergegeben, wenn die beiden Netzwerke verbunden sind. Damit IP2 Traffic an IP3 senden kann, müssen Sie jedoch für die Schnittstelle IP2 Richtlinienrouting konfigurieren.

Datenströme für IP1 sind in Netzwerk-C nicht konfiguriert, daher kann Netzwerk-C nicht auf IP1 zugreifen.

IP-Aliasing

Mit IP-Aliasing kann ein Subnetz primäre und sekundäre IP-Bereiche haben. Die VM-Instanzen in einem solchen Subnetz können eine IP-Adresse aus dem primären IP-Bereich sowie eine oder mehrere IP-Adressen aus dem sekundären IP-Bereich haben.

Mit Cloud VPC-Peering sind sowohl die primären als auch die sekundären IP-Bereiche eines Subnetzes für die VM-Instanzen des verbundenen Peering-Netzwerks erreichbar.

Mit Überschneidungsprüfungen an den Subnetzen wird sichergestellt, dass sich die primären und sekundären Bereiche nicht mit Bereichen der Peering-Netzwerke überschneiden.

IP-Aliasing mit Netzwerk-Peering (zum Vergrößern anklicken)
IP-Aliasing mit Netzwerk-Peering (zum Vergrößern anklicken)

Weitere Informationen

Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit:

Feedback geben zu...