Diese Seite wurde von der Cloud Translation API übersetzt.

Maximale Übertragungseinheit

Die maximale Übertragungseinheit (MTU) gibt die Bytezahl des größten IP-Pakets an, einschließlich IP-Header, Layer-4-Protokoll-Header und Daten der Layer 4, die in einen Ethernet-Frame passen.

Gültige MTU-Größen für VPC-Netzwerke

VPC-Netzwerke (Virtual Private Cloud) verwenden standardmäßig eine MTU von 1.460 Byte. Sie können die MTU eines VPC-Netzwerks auf einen beliebigen Wert zwischen 1.300 Byte und 8.896 Byte (einschließlich) festlegen. Gängige benutzerdefinierte MTU-Größen sind 1.500 Byte (Standard-Ethernet) oder 8.896 Byte (das maximal mögliche). Wir empfehlen, die MTU für jede Netzwerkschnittstelle (NIC) einer VM-Instanz so zu konfigurieren, dass sie mit der MTU des VPC-Netzwerks übereinstimmt, mit dem sie verbunden ist. Weitere Informationen finden Sie unter Einstellungen für VMs und MTU.

Kommunikation zwischen Google Cloud VMs in VPC-Netzwerken

Wenn VMs beim Senden und Empfangen dasselbe VPC-Netzwerk oderPeering-VPC-Netzwerke mit identischen MTUs verwenden, können IP-Pakete bis zur MTU-Größe zwischen den beiden VMs gesendet werden, wenn die Schnittstellen für beide VMs so konfiguriert sind, dass sie das VPC-Netzwerk-MTU verwenden.

Um Probleme mit MTU-Abweichungen zu vermeiden, empfehlen wir, für alle verbundenen VPC-Netzwerke dieselbe MTU zu verwenden. Dies ist zwar die empfohlene Vorgehensweise, Sie sind jedoch nicht gezwungen, identische MTUs zwischen verbundenen VPC-Netzwerken zu verwenden. Weitere Informationen dazu, wie Protokolle Situationen mit MTU-Unterschieden zwischen VPC-Netzwerken verarbeiten, finden Sie unter Nicht übereinstimmende MTUs, MSS-Clamping, Pfad-MTU-Erkennung.

Aus Sicht einer sendenden VM stellen Pfade zu den folgenden Zielen VM-zu-VM-Traffic dar, der innerhalb eines VPC-Netzwerks weitergeleitet wird:

Eine regionale interne IPv4-Adresse in einem primären IPv4- oder sekundären Subnetz-IPv4-Adressbereich des Subnetzes, einschließlich privater IPv4-Adressbereiche und privat verwendeter öffentlicher IPv4-Adressbereiche, die von diesen Zielressourcen verwendet werden:
- Die primäre interne IPv4-Adresse der Netzwerkschnittstelle einer empfangenden VM.
- Eine interne IPv4-Adresse in einem Alias-IP-Bereich der NIC einer empfangenden VM.
- Eine interne IPv4-Adresse einer internen Weiterleitungsregel für die Protokollweiterleitung oder den internen Passthrough-Network Load Balancer.
Interne IPv6-Subnetzadressbereiche, die von diesen Zielressourcen verwendet werden:
- Eine IPv6-Adresse aus dem IPv6-Adressbereich /96, die der NIC einer empfangenden VM zugewiesen ist.
- Eine IPv6-Adresse aus dem IPv6-Adressbereich /96 einer internen Weiterleitungsregel für die Protokollweiterleitung oder für einen internen Passthrough-Network Load Balancer.
Externe IPv6-Subnetzadressbereiche werden von diesen Zielressourcen verwendetwenn Pakete mithilfe von Subnetzrouten oder Peering-Subnetzrouten innerhalb des VPC-Netzwerks weitergeleitet werden :
- Eine IPv6-Adresse aus dem IPv6-Adressbereich /96, die der NIC einer empfangenden VM zugewiesen ist.
- Eine IPv6-Adresse aus dem IPv6-Adressbereich /96 einer externen Weiterleitungsregel für die Protokollweiterleitung oder für einen externen Passthrough-Network Load Balancer.

Die folgenden VM-zu-VM-Pfade werden auf dieselbe Weise wie die Kommunikation mit Zielen außerhalb eines VPC-Netzwerks behandelt:

Wenn das Paketziel eine externe IPv4-Adresse der NIC einer empfangendenGoogle Cloud -VM ist.
Wenn das Paketziel eine externe IPv4-Adresse eines externen Passthrough-Network Load Balancers ist.
Wenn das Paketziel eine externe IPv4-Adresse einer Weiterleitungsregel für die Protokollweiterleitung ist
Wenn das Paketziel eine externe IPv6-Adresse der NIC einer Google Cloud-VM, eines externen Passthrough-Network Load Balancers oder einer Weiterleitungsregel für die externe Protokollweiterleitung und die anwendbare Route im VPC-Netzwerk ein nächstes Hop für das Standard-Internetgateway verwendet. In diesem Szenario befinden sich die empfangenden VMs weder im selben VPC-Netzwerk wie die sendende VM noch in einem VPC-Netzwerk, das über VPC-Netzwerk-Peering mit dem VPC-Netzwerk der sendenden VM verbunden ist.

Kommunikation mit Zielen außerhalb eines VPC-Netzwerks

Google Cloud verarbeitet Pakete, die an Ziele außerhalb des VPC-Netzwerks der sendenden VM gesendet werden, wie in der folgenden Tabelle dargestellt. Zu den Zielen außerhalb des VPC-Netzwerks einer sendenden VM gehören öffentlich routbare IP-Adressen für Ressourcen außerhalb von Google Cloud und vom Kunden verwendbare externe IP-Adressen innerhalb vonGoogle Cloud.

Da im Internet in der Regel eine MTU von 1.500 Byte verwendet wird, lässt sich MTU-bedingter Paketverlust in der Regel vermeiden, wenn die IP-Paketgröße 1.500 Byte oder weniger beträgt.

Situation	Verhalten
TCP-SYN- und SYN-ACK-Pakete	Google Cloud führt bei Bedarf MSS-Clamping durch und ändert die MSS, damit die Pakete in die MTU passen.
IP-Paket-MTU zwischen 1.300 Byte und 1.600 Byte (einschließlich)	Google Cloud nimmt keine Änderungen am Paket vor, mit Ausnahme von SYN- und SYN-ACK-Paketen, wie in der ersten Zeile erläutert.
IP-Paket mit mehr als 1.600 Byte	Google Cloud verwirft das Paket und sendet eine Nachricht „Fragmentierung erforderlich“ (ICMP über IPv4) oder „Paket zu groß (ICMPv6)“ sowohl, wenn das Bit „Nicht fragmentieren“ (DF) aktiviert ist als auch wenn das DF-Bit aus ist.

Kommunikation mit Google APIs und Google-Diensten

VMs, die eine gültige VPC-Netzwerk-MTU-Größe verwenden, können Pakete an Google APIs und Google-Dienste senden, auch über den privaten Google-Zugriff und Private Service Connect für Google APIs. Die Details in diesem Abschnitt gelten auch für lokale Ressourcen, die Pakete mit privatem Google-Zugriff für lokale Hosts an Google APIs und Google-Dienste senden.

Der in diesem Abschnitt beschriebene Traffic-Pfad zu Google APIs und ‑Diensten wird von Google Front Ends (GFEs) implementiert. Diese GFEs verwenden nicht konfigurierbare, feste MTUs. Für Traffic von Google Cloud an Google APIs und -Dienste wird immer das TCP-Protokoll verwendet: Wenn eine VM eine Verbindung zu Google APIs und -Diensten über ein VPC-Netzwerk herstellt, dessen MTU nicht mit der MTU der GFE übereinstimmt, wird die Segmentgröße mithilfe von TCP MSS-Ankündigungen ausgehandelt, wie unter Nicht übereinstimmende MTUs, MSS-Clamping, Path MTU Discovery beschrieben.

Paketquelle Paketziel

Paketquelle	Paketziel
Eine beliebige interne IPv4-Adresse: primäre interne IPv4-Adresse oder interne IPv4-Adresse aus einem Alias-IP-Bereich der VM-NIC Eine externe IPv4-Adresse,die der VM-NIC mit einer 1-1-NAT-Zugriffskonfiguration zugewiesen ist: In diesem Fall führt Google Cloud 1-1-NAT bei ausgehendem Traffic aus und konvertiert eine primäre primäre interne IPv4-Adresse in eine externe IPv4-Quelladresse, die in der Zugriffskonfiguration angegeben ist.	IPv4-Adressen von Google APIs und -Diensten für die Standarddomains `199.36.153.4/30` (restricted.googleapis.com) `199.36.153.8/30` (private.googleapis.com) Privater Service Connect-Endpunkt für Google APIs und -Dienste
Externe oder interne IPv6-Adresse für Dual-Stack- oder reine IPv6-VMs	IPv6-Adressen von Google APIs und -Diensten für die Standarddomains `2600:2d00:0002:1000::/64` (restricted.googleapis.com) `2600:2d00:0002:2000::/64` (private.googleapis.com)

Eine beliebige interne IPv4-Adresse: primäre interne IPv4-Adresse oder interne IPv4-Adresse aus einem Alias-IP-Bereich der VM-NIC

Eine externe IPv4-Adresse,die der VM-NIC mit einer 1-1-NAT-Zugriffskonfiguration zugewiesen ist: In diesem Fall führt Google Cloud 1-1-NAT bei ausgehendem Traffic aus und konvertiert eine primäre primäre interne IPv4-Adresse in eine externe IPv4-Quelladresse, die in der Zugriffskonfiguration angegeben ist.

IPv4-Adressen von Google APIs und -Diensten für die Standarddomains
199.36.153.4/30 (restricted.googleapis.com)
199.36.153.8/30 (private.googleapis.com)
Privater Service Connect-Endpunkt für Google APIs und -Dienste

Externe oder interne IPv6-Adresse für Dual-Stack- oder reine IPv6-VMs

IPv6-Adressen von Google APIs und -Diensten für die Standarddomains
2600:2d00:0002:1000::/64 (restricted.googleapis.com)
2600:2d00:0002:2000::/64 (private.googleapis.com)

Kommunikation über Cloud VPN-Tunnel

Cloud VPN hat sowohl eine Gateway-MTU für gekapselte Pakete als auch eine Nutzlast-MTU für Pakete vor und nach der Kapselung.

Genaue MTU-Werte für die Nutzlast und andere MTU-Informationen zu Cloud VPN finden Sie in der Cloud VPN-Dokumentation unter Überlegungen zur MTU.

Kommunikation über Cloud Interconnect-Anhänge (VLAN)

Google empfiehlt, für alle VLAN-Anhänge, die mit demselben VPC-Netzwerk verbunden sind, dieselbe MTU zu verwenden und für die MTU des VPC-Netzwerks denselben Wert festzulegen. Weitere Informationen zu Cloud Interconnect-VLAN-Anhang-MTUs finden Sie unter Cloud Interconnect-MTU.

Unterstützung für Jumbo Frames

In der folgenden Tabelle ist die Unterstützung von Jumbo-Frames für Google Cloud-Produkte und ‑Funktionen zusammengefasst:

Produkt oder Funktion	Unterstützung für Jumbo Frames
Compute Engine	Ja
Cloud Interconnect	Ja
Cloud VPN	Nein
Google APIs	Nein

Einstellungen für VMs und MTU

Als Best Practice sollten Sie die MTU der NIC einer VM an die MTU des VPC-Netzwerks anpassen, mit dem die NIC verbunden ist:

Die MTU jeder NIC für eine Linux-VM, die auf einem öffentlichen Betriebssystem-Image basiert, wird automatisch auf die entsprechende MTU des VPC-Netzwerks festgelegt. Dazu wird DHCP-Option 26 verwendet.
Die MTU jeder NIC für eine Windows-VM, die auf einem öffentlichen Betriebssystem-Image basiert, wird mit einer festen MTU von 1,460 Byte konfiguriert. Wenn Sie die MTU eines VPC-Netzwerks ändern, das Windows-VMs basierend auf öffentlichen Betriebssystem-Images enthält, müssen Sie die MTU-Einstellung einer Windows-VM ändern.
Wenn Sie benutzerdefinierte Gastbetriebssystem-Images verwenden, müssen Sie die MTUs der NIC konfigurieren oder prüfen, ob das Gastbetriebssystem die MTU des VPC-Netzwerks mit DHCP-Option 26 akzeptiert.
Wenn eine VM mehrere Netzwerkschnittstellen hat, legen Sie die MTU jeder NIC auf die MTU des jeweiligen VPC-Netzwerks fest.
Wenn sich die MTU einer NIC von der MTU des VPC-Netzwerks unterscheiden muss, legen Sie die NIC-MTU auf einen Wert fest, der kleiner als die MTU des VPC-Netzwerks ist. Das erzwungene Verringern der NIC-MTU ist in einigen erweiterten Netzwerkszenarien von Vorteil.

MTU eines VPC-Netzwerks ändern

Wenn Sie die MTU eines VPC-Netzwerks mit ausgeführten VMs ändern, beachten Sie Folgendes:

Wenn Sie die MTU des VPC-Netzwerks verringern, müssen Sie jede VM beenden und starten. Wenn Sie eine VM über das Gastbetriebssystem neu starten, wird die MTU nicht aktualisiert.
Wenn Sie die MTU des VPC-Netzwerks erhöhen, profitieren ausgeführte VMs, die das VPC-Netzwerk verwenden, erst von der erhöhten MTU des VPC-Netzwerks, wenn die VMs beendet und gestartet wurden. Bis jede VM angehalten und neu gestartet wurde, verwendet sie weiterhin den vorherigen (niedrigeren) MTU-Wert.

Eine Anleitung finden Sie unter MTU-Einstellung eines VPC-Netzwerks ändern.

GKE- und MTU-Einstellungen

Die für eine Pod-Schnittstelle ausgewählte MTU hängt von der von den Clusterknoten verwendeten Container Network Interface (CNI) und der zugrunde liegenden VPC-MTU-Einstellung ab. Weitere Informationen finden Sie unter Pods.

Der MTU-Wert der Pod-Schnittstelle ist entweder 1460 oder wird von der primären Schnittstelle des Knotens übernommen.

CNI	MTU	GKE Standard
kubenet	1460	Standard
kubenet (GKE-Version 1.26.1 und höher)	Übernommen	Standard
Calico	1460	Aktiviert mit `--enable-network-policy`. Weitere Informationen finden Sie unter Kommunikation zwischen Pods und Services mithilfe von Netzwerkrichtlinien steuern.
netd	Übernommen	Aktiviert durch Verwendung einer der folgenden Optionen: Knoteninterne Sichtbarkeit Workload Identity Federation for GKE IPv4/IPv6-Dual-Stack-Netzwerk
GKE Dataplane V2	Übernommen	Aktiviert mit `--enable-dataplane-v2`. Weitere Informationen finden Sie unter GKE Dataplane V2 verwenden.

Nicht übereinstimmende MTUs, MSS-Clamping, Pfad-MTU-Erkennung

In diesem Abschnitt wird beschrieben, wie TCP- und Nicht-TCP-Protokolle nicht übereinstimmende MTUs verarbeiten.

TCP-Protokoll

Das TCP-Protokoll verarbeitet MTU-Abweichungen automatisch. Sowohl der Client als auch der Server berechnen jedes Mal, wenn eine TCP-Verbindung geöffnet wird, ihre eigenen effektiven Werte für die maximale TCP-Segmentgröße (MSS). Client und Server müssen sich nicht auf einen identischen effektiven MSS-Wert einigen.

Effektive maximale TCP-Segmentgröße (MSS) des Clients: Die größte Menge an übertragbaren Daten in einem TCP-Segment, das von einem Client an einen Server gesendet wird, ist das Minimum der folgenden beiden Werte:
- Der Wert des MSS-Felds im SYN-ACK-Paket, das der Client während der TCP-Verbindungsherstellung vom Server empfängt.
- Die MTU der Netzwerkschnittstelle des Clients minus 40 Byte. Die subtrahierten 40 Byte umfassen 20 Byte für den IP-Header und 20 Byte für den Basis-TCP-Header.
Effektive maximale TCP-Segmentgröße (MSS) des Servers: Die größte Menge an übertragbaren Daten in einem TCP-Segment, das von einem Server an einen Client gesendet wird, ist das Minimum der folgenden beiden Werte:
- Der Wert des MSS-Felds im SYN-Paket, das der Server während der TCP-Verbindungsherstellung vom Client empfängt.
- Die MTU der Netzwerkschnittstelle des Servers minus 40 Byte. Die subtrahierten 40 Byte umfassen 20 Byte für den IP-Header und 20 Byte für den Basis-TCP-Header.

TCP-MSS-Clamping

Beim TCP-MSS-Clamping ändert ein Netzwerkgerät zwischen einem Client und einem Server die MSS-Werte in SYN- und SYN-ACK-Paketen, während es die Pakete zwischen dem Client und dem Server weiterleitet. Google Cloud verwendet MSS-Clamping immer dann, wenn Pakete an Ziele außerhalb eines VPC-Netzwerks gesendet werden.

Cloud VPN-Tunnel und Cloud Interconnect-VLAN-Anhänge verwenden ebenfalls MSS-Clamping. Weitere Informationen finden Sie unter Paketkapselung und -verarbeitung in der Cloud VPN-Dokumentation und unter Cloud Interconnect-MTU.

In VPC-Netzwerken wird kein MSS-Clamping für Pakete durchgeführt, die von den nächsten Hops in einem VPC-Netzwerk weitergeleitet werden, da das TCP-Protokoll selbst ausreicht.

Nicht-TCP-Protokolle

Andere Protokolle wie UDP erfordern besondere Vorsicht, wenn zwei verschiedene MTUs für VPC-Netzwerke beteiligt sind. Es liegt in der Verantwortung eines sendenden Systems, Pakete auszugeben, die in die MTU seiner Netzwerkschnittstelle, die MTU der Netzwerkschnittstelle des empfangenden Systems und die MTU aller Netzwerke dazwischen passen. Google Cloud führt keine IP-Fragmentierung für Pakete durch, die von den nächsten Hops in einem VPC-Netzwerk weitergeleitet werden.

Wenn ein IP-Paket zu groß ist, um zugestellt zu werden, z. B. wenn das Paket die MTU des VPC-Netzwerks überschreitet, in dem sich die NIC der empfangenden VM befindet, wird das Paket von Google Cloud verworfen. Wenn das DF-Bit des Pakets festgelegt ist,sendet Google Cloud auch eine Nachricht „Fragmentierung erforderlich“ (ICMP über IPv4) oder „Paket zu groß“ (ICMPv6) an den Absender zurück.

Google Cloud sendet unter den folgenden Umständen eine Nachricht „Fragmentierung erforderlich“ oder „Paket zu groß“, auch wenn ein DF-Bit deaktiviert ist:

Wenn die MTU des VPC-Netzwerks weniger als 1.600 Byte beträgt und das gesendete Paket die MTU des VPC-Netzwerks überschreitet.
Wenn die MTU des VPC-Netzwerks 1.600 Byte oder mehr beträgt und das gesendete Paket 1.600 Byte überschreitet.

ICMP-Nachrichten „Fragmentierung erforderlich“ oder „Paket zu groß“ sind für eine VM erforderlich, die Pakete sendet, um Path MTU Discovery (PMTUD) zu verwenden. Das folgende Beispiel mit zwei VMs in verschiedenen VPC-Netzwerken, die über VPC-Netzwerk-Peering verbunden sind, veranschaulicht die Funktionsweise von PMTUD:

Die sendende VM hat eine NIC in einem VPC-Netzwerk mit einer MTU von 8.896 Byte.
Die empfangende VM hat eine NIC in einem VPC-Netzwerk,dessen MTU 1.460 Byte beträgt.
Die sendende VM gibt ein 8.000 Byte großes IP-Paket aus,dessen Bit „Nicht fragmentieren“ (DF) festgelegt ist. Da das Paket zu groß ist, um an die empfangende VM gesendet zu werden, sendetGoogle Cloud eine Nachricht „Fragmentierung erforderlich“ oder „Paket zu groß“ an die sendende VM. Diese Meldung gibt die größtmögliche IP-Paketgröße an, die der Absender verwenden kann, wenn er versucht, Pakete für die Verbindung noch einmal zu übertragen.
Das Betriebssystem der sendenden VM verwendet diese Informationen, um die Größe des IP-Pakets zu verringern, wenn nachfolgende Pakete an die empfangende VM gesendet werden.

Für PMTUD gelten die folgenden zusätzlichen Anforderungen, da von PMTUD generierte Pakete vom Typ „Fragmentierung erforderlich“ oder „Paket zu groß“ das ICMP-Protokoll verwenden und Quellen haben, die mit dem Ziel eines Originalpakets übereinstimmen:

Sie müssen VPC-Firewallregeln oder Regeln in Firewallrichtlinien für eingehenden Traffic konfigurieren, damit ICMP (für IPv4) oder ICMPv6 (für IPv6) aus Quellen, die mit den ursprünglichen Paketzielen übereinstimmen, erlaubt sind. Um die Firewallkonfiguration zu vereinfachen, sollten Sie ICMP und ICMPv6 aus allen Quellen zulassen.
Weiterleitungsregeln für den internen Passthrough-Network Load Balancer und die interne Protokollweiterleitung müssen das L3_DEFAULT-Protokoll verwenden, damit sie sowohl ICMP für Path MTU Discovery (PMTUD) als auch das vom ursprünglichen Paket verwendete Protokoll verarbeiten.

Nächste Schritte

Eine andere MTU finden Sie unter Jumbo Frame MTU-Netzwerk erstellen und prüfen.
Erstellen Sie ein VPC-Netzwerk mit einer angegebenen MTU.
MTU-Einstellung eines VPC-Netzwerks ändern.

Überzeugen Sie sich selbst

Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie einfach ein Konto, um die Leistungsfähigkeit von VPC in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

VPC kostenlos testen