Viele Google Cloud Ressourcen können interne und externe IP-Adressen haben. So können Sie beispielsweise Compute Engine-Instanzen eine interne und externe IP-Adresse zuweisen. Über diese Adressen kommunizieren die Instanzen mit anderen Google Cloud -Ressourcen und externen Systemen.
Jede Netzwerkschnittstelle, die von einer Instanz verwendet wird, muss eine primäre interne IPv4-Adresse haben. Jede Netzwerkschnittstelle kann auch einen oder mehrere Alias-IPv4-Bereiche und eine externe IPv4-Adresse haben. Wenn die Instanz mit einem Subnetz verbunden ist, das IPv6 unterstützt, können jeder Netzwerkschnittstelle auch interne oder externe IPv6-Adressen zugewiesen werden.
Eine Instanz kann über die interne IPv4-Adresse der Instanz mit Instanzen im selben VPC-Netzwerk (Virtual Private Cloud) kommunizieren. Wenn für die Instanzen IPv6 konfiguriert ist, können Sie auch eine der internen oder externen IPv6-Adressen der Instanz verwenden. Als Best Practice sollten Sie interne IPv6-Adressen für die interne Kommunikation verwenden.
Für die Kommunikation mit dem Internet können Sie eine externe IPv4- oder externe IPv6-Adresse verwenden, die auf der Instanz konfiguriert ist. Wenn auf der Instanz keine externe Adresse konfiguriert ist, kann Cloud NAT für IPv4-Traffic verwendet werden.
Ebenso müssen Sie die externe IPv4- oder externe IPv6-Adresse der Instanz verwenden, um eine Verbindung zu Instanzen außerhalb desselben VPC-Netzwerk herzustellen. Wenn die Netzwerke jedoch auf irgendeine Weise verbunden sind, z. B. über VPC-Netzwerk-Peering, können Sie die interne IP-Adresse der Instanz verwenden.
Unter Netzwerkkonfiguration für eine Instanz ansehen erfahren Sie, wie Sie die interne und externe IP-Adresse für Ihre Instanzen herausfinden.
Interne IP-Adressen
Den Netzwerkschnittstellen einer Instanz werden IP-Adressen aus dem Subnetz zugewiesen, mit dem sie verbunden sind. Jede Netzwerkschnittstelle hat eine primäre interne IPv4-Adresse, die aus dem primären IPv4-Bereich des Subnetzes zugewiesen wird. Wenn das Subnetz einen internen IPv6-Bereich hat, können Sie zusätzlich zur primären internen IPv4-Adresse die Netzwerkschnittstelle optional mit einer primären internen IPv6-Adresse konfigurieren.
Interne IPv4-Adressen können so zugewiesen werden:
- Compute Engine weist automatisch eine einzelne IPv4-Adresse aus den primären IPv4-Subnetzbereichen zu.
- Sie weisen einer Compute-Instanz beim Erstellen eine bestimmte interne IPv4-Adresse zu. Dazu können Sie entweder eine reservierte statische interne IPv4-Adresse verwenden oder eine benutzerdefinierte sitzungsspezifische interne IPv4-Adresse angeben.
Interne IPv6-Adressen können Instanzen, die mit einem Subnetz mit einem internen IPv6-Bereich verbunden sind, auf folgende Weise zugewiesen werden:
- Wenn Sie eine interne IPv6-Adresse auf der vNIC einer Instanz konfigurieren, weist Compute Engine automatisch einen einzelnen
/96-Bereich von IPv6-Adressen aus dem internen IPv6-Bereich des Subnetzes zu. - Sie weisen einer Instanz beim Erstellen eine bestimmte interne IPv6-Adresse zu. Dazu können Sie entweder eine reservierte statische interne IPv6-Adresse verwenden oder eine benutzerdefinierte sitzungsspezifische interne IPv6-Adresse angeben.
Sie können auch eine statische interne Adresse aus dem IPv4- oder IPv6-Bereich des Subnetzes reservieren und später einer Instanz zuweisen.
Compute-Instanzen können auch Alias-IP-Adressen und -Bereiche haben. Wenn mehrere Dienste auf einer Instanz ausgeführt werden, können Sie jedem Dienst eine eigene, eindeutige IP-Adresse zuweisen.
Interne DNS-Namen
Google Cloud löst den voll qualifizierten DNS-Namen (Fully Qualified DNS Name, FQDN) einer Instanz automatisch in die internen IP-Adressen der Instanz auf. Interne DNS-Namen funktionieren nur innerhalb des VPC-Netzwerk der Instanz.
Weitere Informationen zu vollständig qualifizierten Domainnamen (FQDN) finden Sie unter Internes DNS.
Externe IP-Adressen
Wenn Sie mit dem Internet oder mit Ressourcen in einem anderen VPC-Netzwerk kommunizieren müssen, können Sie einer Instanz eine externe IPv4- oder IPv6-Adresse zuweisen. Wenn Firewallregeln oder hierarchische Firewallrichtlinien die Verbindung zulassen, können Quellen von außerhalb eines VPC-Netzwerk eine bestimmte Ressource anhand ihrer externen IP-Adresse erreichen. Nur Ressourcen mit einer externen IP-Adresse können direkt mit Ressourcen außerhalb des VPC-Netzwerk kommunizieren. Die Kommunikation mit einer Ressource über eine externe IP-Adresse kann zusätzliche Kosten verursachen.
Externe IPv4-Adressen können so zugewiesen werden:
- Compute Engine weist automatisch eine IPv4-Adresse aus den Google-Bereichen externer IPv4-Adressen zu.
Sie weisen eine bestimmte externe IPv4-Adresse zu, wenn Sie eine Instanz mit einer reservierten statischen externen IPv4-Adresse erstellen.
Weitere Informationen finden Sie unter Wo finde ich Compute Engine-IP-Bereiche?.
Externe IPv6-Adressen können Instanzen, die mit einem Subnetz mit einem externen IPv6-Bereich verbunden sind, auf folgende Weise zugewiesen werden:
- Wenn Sie eine externe IPv6-Adresse auf der vNIC einer Instanz konfigurieren, weist Compute Engine automatisch einen einzelnen
/96-Bereich von IPv6-Adressen aus dem externen IPv6-Bereich des Subnetzes zu. - Sie weisen eine bestimmte externe IPv6-Adresse zu, wenn Sie eine Instanz erstellen. Dazu verwenden Sie entweder eine reservierte statische externe IPv6-Adresse oder geben eine benutzerdefinierte sitzungsspezifische externe IPv6-Adresse an.
Alternativen zur Verwendung einer externen IP-Adresse
Interne oder private IP-Adressen bieten gegenüber externen oder öffentlichen IP-Adressen eine Reihe von Vorteilen, darunter:
- Reduzierte Angriffsfläche: Durch das Entfernen externer IP-Adressen aus Compute-Instanzen wird es für Angreifer schwieriger, auf die Instanzen zuzugreifen und potenzielle Sicherheitslücken auszunutzen.
- Erhöhte Flexibilität: Durch die Einführung einer Abstraktionsebene, z. B. eines Load-Balancers oder eines NAT-Dienstes, lassen sich Dienste im Vergleich zu statischen externen IP-Adressen zuverlässiger und flexibler liefern.
In der folgenden Tabelle sind die Möglichkeiten zusammengefasst, wie Compute-Instanzen ohne externe IP-Adresse auf das Internet zugreifen oder vom Internet aus auf sie zugegriffen werden kann.
| Zugriffsmethode | Lösung | Am besten geeignet für |
|---|---|---|
| Interaktiv | TCP-Weiterleitung für Identity-Aware Proxy (IAP) konfigurieren | Sie möchten Verwaltungsdienste wie SSH und RDP verwenden, um eine Verbindung zu Ihren Backend-Instanzen herzustellen. Die Anfragen müssen jedoch authentifiziert und autorisiert werden, bevor sie zur Zielressource weitergeleitet werden. |
| Abrufen | Cloud NAT-Gateway | Sie möchten, dass Ihre Compute Engine-Instanzen ohne externe IP-Adressen eine Verbindung zum Internet herstellen (ausgehend), aber Hosts außerhalb Ihres VPC-Netzwerk können keine eigenen Verbindungen zu Ihren Compute-Instanzen herstellen (eingehend). Sie können diesen Ansatz für Betriebssystemaktualisierungen oder externe APIs verwenden. |
| Sicherer Web-Proxy | Sie müssen Ihre Compute Engine-Instanzen vom Internet isolieren, indem Sie in ihrem Namen neue TCP-Verbindungen erstellen und dabei die verwaltete Sicherheitsrichtlinie einhalten. | |
| Serving | Externen Load-Balancer erstellen | Sie möchten, dass Clients eine Verbindung zu Ressourcen ohne externe IP-Adressen an einem beliebigen Ort in Google Cloud herstellen können, und gleichzeitig Ihre Compute-Instanzen vor DDoS-Angriffen und direkten Angriffen schützen. |
Regionale und globale IP-Adressen
Wenn Sie IP-Adressen in Ihrem Projekt auflisten oder beschreiben, kennzeichnet Google CloudAdressen als global oder regional, was angibt, wie eine bestimmte Adresse verwendet wird. Wenn Sie eine Adresse mit einer regionalen Ressource wie einer Instanz verknüpfen, kennzeichnet Google Cloud die Adresse als regional.
Regionen sind Google Cloud
Regionen wie us-east4 oder europe-west2.
Globale IP-Adressen werden in den folgenden Konfigurationen verwendet:
- Globale interne IP-Adressen: Über Endpunkte auf Google APIs zugreifen oder Zugriff auf private Dienste
- Globale externe IP-Adressen: Externe Proxy-Network Load Balancer und externe Application Load Balancer, die ein Premium-Tier-Netzwerk verwenden
Eine Anleitung zum Erstellen einer globalen IP-Adresse finden Sie unter Neue statische externe IP-Adresse reservieren.
Übersicht über die SLA für Compute Engine-Netzwerke
Für Compute Engine gilt ein Service Level Agreement (SLA), in dem Service Level Objectives (SLOs) für die monatliche Verfügbarkeit für Netzwerkdienststufen definiert sind.
Wenn Sie eine Compute Engine-Instanz erstellen, erhalten Sie standardmäßig eine interne IP-Adresse. Sie können zusätzlich eine externe IP-Adresse mit Premium-Stufe (Standard) oder Standard-Stufe konfigurieren. Welche Netzwerkdienststufe Sie auswählen, hängt von Ihren Anforderungen an Kosten und Servicequalität ab. Für jede Netzwerkdienststufe gilt ein anderes SLO.
Wenn Sie die Compute-Instanz erstellen, können Sie mehrere NICs konfigurieren, die an die Instanz angehängt sind. Jede NIC kann eine andere Netzwerkkonfiguration haben, wie im folgenden Diagramm dargestellt:
Abbildung 1. Eine Instanz mit drei NICs, die jeweils unterschiedlichen Netzwerk-Traffic mit unterschiedlichen Netzwerkdienststufen verarbeiten.
Im vorherigen Diagramm hat die Beispielinstanz mit dem Namen VM-Appliance drei NICs, die so konfiguriert sind:
nic0ist mit einem internen IP-Subnetz konfiguriert.nic1ist mit einem externen IP-Subnetz konfiguriert und verwendet die Standard-Netzwerkstufe.nic2ist mit einem externen IP-Subnetz konfiguriert und verwendet die Premium-Netzwerkstufe.
In diesem Beispiel ist die VM-Instanz keine speicheroptimierte VM. Je nachdem, bei welcher NIC die Verbindung unterbrochen wird, gelten unterschiedliche SLOs. In der folgenden Liste wird die SLA für die verschiedenen NICs in diesem Beispiel beschrieben.
nic0: Eine Einzelinstanz-VM mit internen IP-Adressen. Der Prozentsatz monatlicher Betriebszeit beträgt 99,9%.nic1: Eine Einzelinstanz-VM mit einer externen IP-Adresse, die die Netzwerkstufe „Standard“ verwendet. Für diese VM gilt kein SLA. Nur mehrere Instanzen in verschiedenen Zonen sind mit dem Standard-Netzwerk-Tier zu 99,9% geschützt.nic2: Eine Einzelinstanz-VM mit externer IP-Adresse, die die Premium-Netzwerkstufe verwendet. Der Prozentsatz monatlicher Betriebszeit beträgt 99,9%. Bei mehreren Instanzen in verschiedenen Zonen beträgt die monatliche Betriebszeit mit dem Premium-Netzwerk-Tier 99, 99 %.
Nächste Schritte
- Netzwerkkonfiguration für eine Instanz ansehen
- Neue statische externe IP-Adresse reservieren
- Statische externe IP einer neuen Instanz zuweisen
- Interne IP-Adresse bei der Instanzerstellung auswählen
- Sitzungsspezifische externe IP-Adresse umwandeln
- Instanzen mit internen DNS-Namen über das interne VPC-Netzwerk adressieren
- Weitere Informationen zu IP-Adressen
- Weitere Informationen zu IPv6
- Weitere Informationen zu IP-Adressen und Load-Balancing
- Preise für externe IP-Adressen prüfen