Mehrere Netzwerkschnittstellen
Auf dieser Seite finden Sie einen Überblick über mehrere Netzwerkschnittstellen für Compute Engine-VM-Instanzen. Instanzen mit mehreren Netzwerkschnittstellen werden als Instanzen mit mehreren NICs bezeichnet.
Eine Instanz hat immer mindestens eine virtuelle Netzwerkschnittstelle (vNIC). Je nach Maschinentyp können Sie zusätzliche Netzwerkschnittstellen konfigurieren.
Anwendungsfälle
Instanzen mit mehreren NICs sind in folgenden Szenarien nützlich:
Verbindung zu Ressourcen in separaten VPC-Netzwerken herstellen: Multi-NIC-Instanzen können eine Verbindung zu Ressourcen in verschiedenen VPC-Netzwerken herstellen, die nicht über VPC-Netzwerk-Peering oder Network Connectivity Center miteinander verbunden sind.
Da sich jede Schnittstelle einer Instanz mit mehreren NICs in einem separaten VPC-Netzwerk befindet, können Sie jede Schnittstelle für einen bestimmten Zweck verwenden. Sie können beispielsweise einige Schnittstellen verwenden, um Pakete zwischen VPC-Netzwerken mit Produktions-Traffic weiterzuleiten, und eine andere Schnittstelle für Verwaltungs- oder Konfigurationszwecke.
Im Gastbetriebssystem jeder Instanz mit mehreren NICs müssen Sie Routenrichtlinien und lokale Routentabellen konfigurieren.
Pakete zwischen VPC-Netzwerken weiterleiten: Instanzen mit mehreren NICs können als nächste Hops für Routen verwendet werden, um zwei oder mehr VPC-Netzwerke zu verbinden.
Software, die im Gastbetriebssystem einer Multi-NIC-Instanz ausgeführt wird, kann Paketprüfung, NAT (Network Address Translation) oder eine andere Netzwerksicherheitsfunktion ausführen.
Wenn Sie VPC-Netzwerke über Instanzen mit mehreren NICs verbinden, empfiehlt es sich, zwei oder mehr Instanzen mit mehreren NICs zu konfigurieren und sie als Back-Ends für einen internen Passthrough Network Load Balancer in jedem VPC-Netzwerk zu verwenden. Weitere Informationen finden Sie in der Dokumentation zu internen Passthrough Network Load Balancern als nächste Hops unter Anwendungsfälle.
Sie können auch Instanzen mit mehreren NICs mit Private Service Connect-Schnittstellen verwenden, um Dienstproduzenten- und ‑nutzernetzwerke in verschiedenen Projekten zu verbinden.
Typen von Netzwerkschnittstellen
Google Cloud unterstützt die folgenden Arten von Netzwerkschnittstellen:
vNICs: Die virtuellen Netzwerkschnittstellen von Compute Engine-Instanzen. Jede Instanz muss mindestens eine vNIC haben. vNICs in regulären VPC-Netzwerken können entweder
GVNIC,VIRTIO_NEToderIDPFsein. Sie können vNICs nur beim Erstellen einer Instanz konfigurieren.Dynamische NICs (Vorabversion): Eine untergeordnete Schnittstelle einer übergeordneten vNIC. Sie können dynamische NICs beim Erstellen einer Instanz konfigurieren oder später hinzufügen. Weitere Informationen finden Sie unter Dynamische NICs.
Sie können auch Instanzen mit mehreren NICs mit Maschinentypen konfigurieren, die RDMA-Netzwerkschnittstellen (IRDMA oder MRDMA) enthalten. Diese müssen an ein VPC-Netzwerk mit einem RDMA-Netzwerkprofil angehängt werden. Andere Netzwerkschnittstellentypen, einschließlich dynamischer NICs, werden in VPC-Netzwerken mit einem RDMA-Netzwerkprofil nicht unterstützt.
Spezifikationen
Für Instanzen mit mehreren Netzwerkschnittstellen gelten die folgenden Spezifikationen:
Instanzen und Netzwerkschnittstellen: Jede Instanz hat eine
nic0-Schnittstelle. Die maximale Anzahl von Netzwerkschnittstellen variiert je nach Maschinentyp der Instanz.- Jeder Schnittstelle ist ein Stacktyp zugeordnet, der die unterstützten Subnetz-Stacktypen und IP-Adressversionen bestimmt. Weitere Informationen finden Sie unter Stack-Typ und IP-Adressen.
Eindeutiges Netzwerk für jede Netzwerkschnittstelle: Mit Ausnahme von VPC-Netzwerken, die mit einem RDMA-Netzwerkprofil erstellt wurden, muss jede Netzwerkschnittstelle ein Subnetz in einem eindeutigen VPC-Netzwerk verwenden.
Bei VPC-Netzwerken, die mit einem RDMA-Netzwerkprofil erstellt wurden, können mehrere RDMA-NICs dasselbe VPC-Netzwerk verwenden, sofern jede RDMA-NIC ein eindeutiges Subnetz verwendet.
Ein VPC-Netzwerk und ein Subnetz müssen vorhanden sein, bevor Sie eine Instanz erstellen können, deren Netzwerkschnittstelle das Netzwerk und das Subnetz verwendet. Weitere Informationen zum Erstellen von Netzwerken und Subnetzen finden Sie unter VPC-Netzwerke erstellen und verwalten.
Projekt der Instanz und der Subnetze: Bei Instanzen mit mehreren NICs in eigenständigen Projekten muss jede Netzwerkschnittstelle ein Subnetz verwenden, das sich im selben Projekt wie die Instanz befindet.
Informationen zu Instanzen in Host- oder Dienstprojekten einer freigegebenen VPC finden Sie unter Freigegebene VPC .
Private Service Connect-Schnittstellen ermöglichen es einer Instanz mit mehreren NICs, Netzwerkschnittstellen in Subnetzen in verschiedenen Projekten zu haben. Weitere Informationen finden Sie unter Netzwerkanhänge.
IP-Weiterleitung, MTU und Routing: Für Multi-NIC-Instanzen ist eine sorgfältige Planung der folgenden instanz- und schnittstellenspezifischen Konfigurationsoptionen erforderlich:
Die Option zur IP-Weiterleitung kann für jede Instanz konfiguriert werden und gilt für alle Netzwerkschnittstellen. Weitere Informationen finden Sie unter IP-Weiterleitung für Instanzen aktivieren.
Jede Netzwerkschnittstelle kann eine eindeutige maximale Übertragungseinheit (MTU) verwenden, die der MTU des zugehörigen VPC-Netzwerks entspricht. Weitere Informationen finden Sie unter Maximale Übertragungseinheit.
Jede Instanz erhält eine Standardroute über DHCP-Option 121, wie in RFC 3442 definiert. Die Standardroute ist mit
nic0verknüpft. Sofern nicht manuell anders konfiguriert, wird sämtlicher Traffic, der von der Instanz zu beliebigen Zielen mit Ausnahme eines direkt verbundenen Subnetzes verläuft, über die Standardroute aufnic0geleitet.Auf Linux-Systemen können Sie benutzerdefinierte Regeln und Routen im Gastbetriebssystem mit der Datei
/etc/iproute2/rt_tablesund den Befehlenip ruleundip routekonfigurieren. Weitere Informationen finden Sie in der Dokumentation zum Gastbetriebssystem. Ein Beispiel dafür finden Sie in der folgenden Anleitung: Routing für eine zusätzliche Schnittstelle konfigurieren.
Dynamische NICs
Dynamische NICs sind in folgenden Szenarien nützlich:
Sie müssen Netzwerkschnittstellen zu vorhandenen Instanzen hinzufügen oder aus diesen entfernen. Wenn Sie Dynamic NICs hinzufügen oder entfernen, muss die Instanz nicht neu gestartet oder neu erstellt werden.
Sie benötigen mehr Netzwerkschnittstellen. Die maximale Anzahl von vNICs für die meisten Maschinentypen in Google Cloud beträgt 10. Sie können jedoch bis zu 16 Schnittstellen insgesamt konfigurieren, indem Sie dynamische NICs verwenden. Weitere Informationen finden Sie unter Maximale Anzahl von Netzwerkschnittstellen.
Sie müssen Compute Engine-Bare-Metal-Instanzen mit mehreren NICs konfigurieren, die nur eine vNIC haben.
Eigenschaften dynamischer NICs
Weitere Informationen zu den Attributen dynamischer NICs:
Dynamische NICs sind VLAN-Schnittstellen, die das Paketformat IEEE 802.1Q verwenden. Beachten Sie die folgenden Hinweise:
- Die VLAN-ID einer Dynamic NIC muss eine Ganzzahl zwischen 2 und 255 sein.
- Die VLAN-ID einer Dynamic NIC muss innerhalb einer übergeordneten vNIC eindeutig sein. Dynamic NICs, die zu verschiedenen übergeordneten vNICs gehören, können jedoch dieselbe VLAN-ID verwenden.
Google Cloud verwendet das folgende Format für den Namen einer dynamischen NIC:
nicNUMBER.VLAN_ID, wobeinicNUMBERist der Name der übergeordneten vNIC, z. B.nic0.VLAN_IDist die von Ihnen festgelegte VLAN-ID, z. B.4.
Ein Beispiel für einen dynamischen NIC-Namen ist
nic0.4.Wenn Sie eine Instanz mit dynamischen NICs erstellen oder einer vorhandenen Instanz dynamische NICs hinzufügen, sind zusätzliche Schritte erforderlich, um die entsprechenden VLAN-Schnittstellen im Gastbetriebssystem zu installieren und zu verwalten. Sie haben folgende Möglichkeiten:
- Konfigurieren Sie die automatische Verwaltung dynamischer NICs mit dem Google-Gast-Agent.
- Konfigurieren Sie das Gastbetriebssystem manuell.
Weitere Informationen finden Sie unter Gastbetriebssystem für dynamische NICs konfigurieren.
Dynamic NICs teilen sich die Bandbreite ihrer übergeordneten vNIC und es gibt keine Traffic-Isolation innerhalb einer übergeordneten vNIC. Damit keine der Netzwerkschnittstellen die gesamte Bandbreite beansprucht, müssen Sie im Gastbetriebssystem eine anwendungsspezifische Traffic-Richtlinie erstellen, um Traffic zu priorisieren oder zu verteilen, z. B. mit Linux Traffic Control (TC).
Dynamic NICs verwenden dieselben Empfangs- und Übertragungswarteschlangen wie ihre übergeordnete vNIC.
Einschränkungen von Dynamic NICs
Beachten Sie die folgenden Einschränkungen für dynamische NICs:
Die folgenden Attribute einer dynamischen NIC können nach dem Erstellen nicht mehr geändert werden:
- Die übergeordnete vNIC, zu der die Dynamic NIC gehört.
- Die VLAN-ID der Dynamic NIC.
Dynamische NICs unterstützen Folgendes nicht:
- Erweiterter DDoS-Schutz für Netzwerke und Sicherheitsrichtlinien für Netzwerk-Edge für Google Cloud Armor
- IP-Adressen mithilfe von instanzspezifischen Konfigurationen für MIGs konfigurieren
- Nur-IPv6-Schnittstellen (Vorschau)
- Funktionen, die auf das Abfangen von Paketen angewiesen sind, z. B. Firewall-Endpunkte
- Windows-Betriebssysteme
Bei einer dynamischen NIC mit einer übergeordneten vNIC vom Typ
GVNICkann es bei einigen benutzerdefinierten MTU-Größen zu Paketverlusten kommen. Um Paketverlust zu vermeiden, verwenden Sie nicht die folgenden MTU-Größen: 1.986 Byte, 3.986 Byte, 5.986 Byte und 7.986 Byte.Bei VMs der dritten Generation kann über eine dynamische NIC mit der VLAN-ID
255nicht auf die IP-Adresse des Metadatenservers zugegriffen werden. Wenn Sie auf den Metadatenserver zugreifen müssen, verwenden Sie eine andere VLAN-ID.Bei VMs der dritten Generation kann das Löschen und Hinzufügen einer dynamischen NIC mit derselben VLAN-ID unbefugten Zugriff über verschiedene VPC-Netzwerke hinweg ermöglichen. Weitere Informationen finden Sie unter Bekannte Probleme.
Stacktypen und IP-Adressen
Wenn Sie eine vNIC erstellen, geben Sie einen der folgenden Schnittstellenstacktypen an:
- Nur IPv4
- Dual-Stack
Nur IPv6
In der folgenden Tabelle werden die unterstützten Subnetz-Stack-Typen und IP-Adressdetails für jeden Schnittstellen-Stack-Typ beschrieben:
| Schnittstelle | Nur-IPv4-Subnetz | Dual-Stack-Subnetz | Nur-IPv6-Subnetz | Details zu IP-Adressen |
|---|---|---|---|---|
| Nur IPv4 (Single-Stack) | Nur IPv4-Adressen. Weitere Informationen finden Sie unter Details zur IPv4-Adresse. | |||
| IPv4 und IPv6 (Dual-Stack) | Sowohl IPv4- als auch IPv6-Adressen. Weitere Informationen finden Sie unter IPv4-Adressdetails und IPv6-Adressdetails. | |||
| Nur IPv6 (Einzelstack) | Nur IPv6-Adressen. Weitere Informationen finden Sie unter Details zur IPv6-Adresse. |
Stacktyp der Netzwerkschnittstelle ändern
Sie können den Stacktyp einer Netzwerkschnittstelle so ändern:
Sie können eine reine IPv4-Schnittstelle in eine Dual-Stack-Schnittstelle umwandeln, wenn das Subnetz der Schnittstelle ein Dual-Stack-Subnetz ist oder wenn Sie die Instanz beenden und die Schnittstelle einem Dual-Stack-Subnetz zuweisen.
Sie können eine Dual-Stack-Schnittstelle in eine reine IPv4-Schnittstelle umwandeln.
Sie können den Stacktyp einer reinen IPv6-Schnittstelle nicht ändern. Reine IPv6-Schnittstellen werden nur beim Erstellen von Instanzen unterstützt.
Details zur IPv4-Adresse
Jede reine IPv4- oder Dual-Stack-Netzwerkschnittstelle erhält eine primäre interne IPv4-Adresse. Jede Schnittstelle unterstützt optional Alias-IP-Bereiche und eine externe IPv4-Adresse. Im Folgenden finden Sie die IPv4-Spezifikationen und ‑Anforderungen:
Primäre interne IPv4-Adresse: Compute Engine weist der Netzwerkschnittstelle eine primäre interne IPv4-Adresse aus dem primären IPv4-Adressbereich des Subnetzes der Schnittstelle zu. Die primäre interne IPv4-Adresse wird über DHCP zugewiesen.
Sie können steuern, welche primäre interne IPv4-Adresse zugewiesen wird, indem Sie eine statische interne IPv4-Adresse konfigurieren oder eine benutzerdefinierte sitzungsspezifische interne IPv4-Adresse angeben.
Innerhalb eines VPC-Netzwerks ist die primäre interne IPv4-Adresse jeder VM-Netzwerkschnittstelle eindeutig.
Alias-IP-Bereiche: Optional können Sie der Schnittstelle einen oder mehrere Alias-IP-Bereiche zuweisen. Jeder Alias-IP-Bereich kann entweder aus dem primären IPv4-Adressbereich oder einem sekundären IPv4-Adressbereich des Subnetzes der Schnittstelle stammen.
- In einem VPC-Netzwerk muss der Alias-IP-Bereich jeder Schnittstelle eindeutig sein.
Externe IPv4-Adresse: Optional können Sie der Schnittstelle eine sitzungsspezifische oder reservierte externe IPv4-Adresse zuweisen. Google Cloud sorgt für die Eindeutigkeit jeder externen IPv4-Adresse.
Details zur IPv6-Adresse
Compute Engine weist jeder Dual-Stack- oder reinen IPv6-Netzwerkschnittstelle einen /96-IPv6-Adressbereich aus dem /64-IPv6-Adressbereich des Subnetzes der Schnittstelle zu:
Ob der IPv6-Adressbereich
/96intern oder extern ist, hängt vom IPv6-Zugriffstyp des Subnetzes der Schnittstelle ab. Google Cloud sorgt für die Eindeutigkeit jedes internen und externen IPv6-Adressbereichs. Weitere Informationen finden Sie unter IPv6-Spezifikationen.- Wenn eine Instanz sowohl einen internen als auch einen externen IPv6-Adressbereich benötigt, müssen Sie zwei Dual-Stack-Schnittstellen, zwei reine IPv6-Schnittstellen oder eine Dual-Stack-Schnittstelle und eine reine IPv6-Schnittstelle konfigurieren. Das von einer Schnittstelle verwendete Subnetz muss einen externen IPv6-Adressbereich haben und das von der anderen Schnittstelle verwendete Subnetz muss einen internen IPv6-Adressbereich haben.
Die erste IPv6-Adresse (
/128) wird auf der Schnittstelle über DHCP konfiguriert. Weitere Informationen finden Sie unter IPv6-Adresszuweisung.Sie können steuern, welcher
/96-IPv6-Adressbereich zugewiesen wird, indem Sie einen statischen internen oder externen IPv6-Adressbereich konfigurieren. Für interne IPv6-Adressen können Sie eine benutzerdefinierte temporäre interne IPv6-Adresse angeben.
Wenn Sie eine Instanz mit mehreren Netzwerken über IPv6-Adressen verbinden, installieren Sie die google-guest-agent-Version 20220603.00 oder höher. Weitere Informationen finden Sie unter Ich kann keine Verbindung zur IPv6-Adresse einer sekundären Schnittstelle herstellen.
Maximale Anzahl von Netzwerkschnittstellen
Bei den meisten Maschinentypen skaliert die maximale Anzahl der Netzwerkschnittstellen, die Sie an eine Instanz anhängen können, mit der Anzahl der vCPUs, wie in den folgenden Tabellen beschrieben.
Die folgenden Ausnahmen gelten für bestimmte Geräte:
Bare-Metal-Instanzen der Compute Engine unterstützen eine einzelne vNIC.
Die maximale Anzahl von vNICs ist für einige beschleunigungsoptimierte Maschinentypen wie A3, A4 und A4X unterschiedlich. Weitere Informationen finden Sie unter Beschleunigungsoptimierte Maschinenfamilie.
Maximale Schnittstellennummern
Mithilfe der folgenden Tabelle können Sie ermitteln, wie viele Netzwerkschnittstellen an eine Instanz angehängt werden können.
| Anzahl von vCPUs | Maximale Anzahl von vNICs | Maximale Anzahl dynamischer NICs | Maximale Anzahl von Netzwerkschnittstellen (vNICs + dynamische NICs) |
|---|---|---|---|
| 2 oder weniger | 2 | 1 | 2 |
| 4 | 4 | 3 | 4 |
| 6 | 6 | 5 | 6 |
| 8 | 8 | 7 | 8 |
| 10 | 10 | 9 | 10 |
| 12 | 10 | 10 | 11 |
| 14 | 10 | 11 | 12 |
| 16 | 10 | 12 | 13 |
| 18 | 10 | 13 | 14 |
| 20 | 10 | 14 | 15 |
| 22 oder mehr | 10 | 15 | 16 |
Referenzformeln
In der folgenden Tabelle finden Sie die Formeln, mit denen die maximale Anzahl von Netzwerkschnittstellen für eine Instanz berechnet wird. Die Formel hängt von der Anzahl der vCPUs ab.
| Anzahl der vCPUs (X) | Maximale Anzahl von vNICs | Maximale Anzahl dynamischer NICs | Maximale Anzahl von Netzwerkschnittstellen (vNICs + dynamische NICs) |
|---|---|---|---|
X=1 |
2 |
1 |
2 |
2 ≤ X ≤ 10 |
X |
(X-1) |
X |
X ≥ 12 |
10 |
min(15, (X-10)/2 + 9) |
min(16, (X-10)/2 + 10) |
Beispielverteilungen dynamischer NICs
Sie müssen dynamische NICs nicht gleichmäßig auf vNICs verteilen. Möglicherweise ist aber eine gleichmäßige Verteilung gewünscht, da sich dynamische NICs die Bandbreite ihrer übergeordneten virtuellen NIC teilen.
Eine Instanz muss mindestens eine virtuelle Netzwerkschnittstelle haben. Eine Instanz mit 2 vCPUs kann beispielsweise eine der folgenden Konfigurationen haben:
- 1 vNIC
- 2 vNICs
- 1 vNIC und 1 Dynamic NIC
Die folgenden Tabellen enthalten Beispielkonfigurationen, mit denen dynamische NICs gleichmäßig auf vNICs verteilt werden, während die maximale Anzahl von Netzwerkschnittstellen für eine bestimmte Anzahl von vCPUs verwendet wird.
2 vCPUs, 2 NICs
Die folgende Tabelle enthält Beispiele für eine Instanz mit 2 vCPUs, die zeigen, wie viele dynamische NICs Sie für eine bestimmte Anzahl von vNICs haben können.
| Anzahl von vCPUs | Anzahl der vNICs | Anzahl der dynamischen NICs pro vNIC | Gesamtzahl der Netzwerkschnittstellen (vNICs + dynamische NICs) |
|---|---|---|---|
| 2 | 1 | 1 | 2 |
| 2 | 0 |
4 vCPUs, 4 NICs
Die folgende Tabelle enthält Beispiele für eine Instanz mit 4 vCPUs, die zeigen, wie viele dynamische NICs Sie für eine bestimmte Anzahl von vNICs haben können.
| Anzahl von vCPUs | Anzahl der vNICs | Anzahl der dynamischen NICs pro vNIC | Gesamtzahl der Netzwerkschnittstellen (vNICs + dynamische NICs) |
|---|---|---|---|
| 4 | 1 | 3 | 4 |
| 2 | 1 | ||
| 4 | 0 |
8 vCPUs, 8 NICs
Die folgende Tabelle enthält Beispiele für eine Instanz mit 8 vCPUs, die zeigen, wie viele dynamische NICs Sie für eine bestimmte Anzahl von vNICs haben können.
| Anzahl von vCPUs | Anzahl der vNICs | Anzahl der dynamischen NICs pro vNIC | Gesamtzahl der Netzwerkschnittstellen (vNICs + dynamische NICs) |
|---|---|---|---|
| 8 | 1 | 7 | 8 |
| 2 | 3 | ||
| 4 | 1 | ||
| 8 | 0 |
14 vCPUs, 12 NICs
Die folgende Tabelle enthält Beispiele für eine Instanz mit 12 vCPUs, die zeigen, wie viele dynamische NICs Sie für eine bestimmte Anzahl von vNICs haben können.
| Anzahl von vCPUs | Anzahl der vNICs | Anzahl der dynamischen NICs pro vNIC | Gesamtzahl der Netzwerkschnittstellen (vNICs + dynamische NICs) |
|---|---|---|---|
| 14 | 1 | 11 | 12 |
| 2 | 5 | ||
| 4 | 2 | ||
| 6 | 1 |
22 vCPUs, 16 NICs
Die folgende Tabelle enthält Beispiele für eine Instanz mit 22 vCPUs, die zeigen, wie viele dynamische NICs Sie für eine bestimmte Anzahl von vNICs haben können.
| Anzahl von vCPUs | Anzahl der vNICs | Anzahl der dynamischen NICs pro vNIC | Gesamtzahl der Netzwerkschnittstellen (vNICs + dynamische NICs) |
|---|---|---|---|
| 22 | 1 | 15 | 16 |
| 2 | 7 | ||
| 4 | 3 | ||
| 8 | 1 |
Produktinteraktionen
In diesem Abschnitt werden Interaktionen zwischen Multi-NIC-Instanzen und anderen Produkten und Funktionen in Google Cloudbeschrieben.
Freigegebene VPC
Mit Ausnahme von Private Service Connect-Schnittstellen ist die Beziehung zwischen Subnetz und Projekt einer Instanz mit mehreren NICs in einem freigegebenen VPC-Host- oder Dienstprojekt wie folgt:
Jede Netzwerkschnittstelle einer Instanz mit mehreren NICs in einem Hostprojekt mit freigegebener VPC muss ein Subnetz eines freigegebenen VPC-Netzwerks im Hostprojekt verwenden.
Jede Netzwerkschnittstelle einer Instanz mit mehreren NICs in einem Dienstprojekt einer freigegebenen VPC kann Folgendes verwenden:
- Ein Subnetz eines VPC-Netzwerks im Dienstprojekt.
- Ein Subnetz eines freigegebenen VPC-Netzwerks im Hostprojekt.
Weitere Informationen zur freigegebenen VPC finden Sie unter:
Internes DNS von Compute Engine
Compute Engine erstellt interne DNS-Namens-A- und PTR-Einträge nur für die primäre interne IPv4-Adresse der nic0-Netzwerkschnittstelle einer Instanz. Compute Engine erstellt keine internen DNS-Einträge für IPv4- oder IPv6-Adressen, die einer Netzwerkschnittstelle zugewiesen sind, die sich von nic0 unterscheidet.
Weitere Informationen finden Sie unter Internes DNS von Compute Engine.
Statische Routen
Statische Routen können mithilfe von Netzwerk-Tags auf bestimmte Instanzen beschränkt werden. Wenn ein Netzwerk-Tag mit einer Instanz verknüpft ist, gilt das Tag für alle Netzwerkschnittstellen der Instanz. Wenn Sie einer Instanz ein Netzwerk-Tag hinzufügen oder ein Netzwerk-Tag aus einer Instanz entfernen, kann sich ändern, welche statischen Routen für eine der Netzwerkschnittstellen der Instanz gelten.
Load-Balancer
Instanzgruppen-Backends und zonale NEG-Backends sind jeweils mit einem VPC-Netzwerk verknüpft:
Bei verwalteten Instanzgruppen ist das VPC-Netzwerk für die Instanzgruppe das VPC-Netzwerk, das der
nic0-Schnittstelle in der Instanzvorlage zugewiesen ist.Bei nicht verwalteten Instanzgruppen ist das VPC-Netzwerk für die Instanzgruppe das VPC-Netzwerk, das von der Netzwerkschnittstelle
nic0der ersten Instanz verwendet wird, die Sie der nicht verwalteten Instanzgruppe hinzufügen.
In der folgenden Tabelle sehen Sie, welche Back-Ends die Verteilung von Verbindungen oder Anfragen auf eine beliebige Netzwerkschnittstelle unterstützen.
| Load-Balancer | Instanzgruppen | GCE_VM_IP NEGs |
GCE_VM_IP_PORT NEGs |
|---|---|---|---|
| Backend-Dienst-basierter externer Passthrough-Network-Load-Balancer Der Backend-Dienst ist keinem VPC-Netzwerk zugeordnet. Weitere Informationen finden Sie unter Backend-Dienste und VPC-Netzwerke. |
Nur die nic0 |
Beliebige NIC | – |
| Interner Passthrough Network Load Balancer Der Backend-Dienst ist einem VPC-Netzwerk zugeordnet. Weitere Informationen finden Sie unter Netzwerkspezifikation für Backend-Dienste und Netzwerkregeln für Backend-Dienste. |
Beliebige NIC | Beliebige NIC | – |
| Network Load Balancer für externen Proxy Weitere Informationen zu Backend-Dienst- und Netzwerkanforderungen finden Sie unter Backends und VPC-Netzwerke. |
Nur die nic0 |
– | Beliebige NIC |
| Interner Proxy Network Load Balancer Weitere Informationen zu Backend-Dienst- und Netzwerkanforderungen finden Sie unter Backends und VPC-Netzwerke. |
Nur die nic0 |
– | Beliebige NIC |
| Externer Application Load Balancer Weitere Informationen zu Backend-Dienst- und Netzwerkanforderungen finden Sie unter Backends und VPC-Netzwerke. |
Nur die nic0 |
– | Beliebige NIC |
| Interner Application Load Balancer Weitere Informationen zu den Anforderungen an Backend-Dienste und Netzwerke finden Sie unter Backends und VPC-Netzwerke. |
Nur die nic0 |
– | Beliebige NIC |
Zielpoolbasierte externe Passthrough-Network Load Balancer verwenden keine Instanzgruppen oder NEGs und unterstützen nur das Load Balancing für nic0-Netzwerkschnittstellen.
Firewallregeln
Die Firewallregeln aus hierarchischen Firewallrichtlinien, globalen Netzwerk-Firewallrichtlinien, regionalen Netzwerk-Firewallrichtlinien und VPC-Firewallregeln sind für jede Netzwerkschnittstelle eindeutig. Prüfen Sie, ob jedes Netzwerk über geeignete Firewallregeln verfügt, um den Traffic zuzulassen, den Sie von und zu einer Multi-NIC-Instanz zulassen möchten. Informationen dazu, welche Firewallregeln für eine Netzwerkschnittstelle gelten und woher die einzelnen Regeln stammen, finden Sie unter Für eine VM-Schnittstelle geltende Firewallregeln abrufen.
Firewallregeln können mithilfe von Netzwerk-Tags oder sicheren Tags auf bestimmte VM-Instanzen beschränkt werden. Beide gelten für alle Netzwerkschnittstellen einer Instanz. Weitere Informationen finden Sie unter Vergleich von sicheren Tags und Netzwerktags.
Bekannte Probleme
In diesem Abschnitt werden bekannte Probleme bei der Verwendung mehrerer Netzwerkschnittstellen in Google Cloudbeschrieben.
Firewall-Interaktionen bei der Wiederverwendung einer VLAN-ID mit dynamischen NICs
Bei VMs der dritten Generation kann das Löschen und Hinzufügen einer dynamischen NIC mit derselben VLAN-ID unbefugten Zugriff über verschiedene VPC-Netzwerke hinweg ermöglichen.
Stellen Sie sich das folgende Szenario mit zwei Netzwerken (network-1 und network-2) und einer VLAN-ID A vor:
- Sie löschen eine Dynamic NIC mit der VLAN-ID
Aausnetwork-1. - Innerhalb des 10-minütigen Zeitraums für die Cloud NGFW-Verbindungsüberwachung erstellen Sie eine neue dynamische NIC mit derselben VLAN-ID
Ainnetwork-2. - Traffic, der von der neuen dynamischen NIC in
network-2stammt, kann mit einem vorhandenen Connection-Tracking-Eintrag übereinstimmen, der zuvor von der gelöschten dynamischen NIC innetwork-1erstellt wurde.
In diesem Fall wird der Traffic, der von der neuen dynamischen NIC in network-2 gesendet oder empfangen wird, möglicherweise zugelassen, wenn er mit einem Eintrag in der Cloud NGFW-Verbindungsverfolgungstabelle übereinstimmt. Der Eintrag wurde für eine Verbindung erstellt, die von der gelöschten dynamischen NIC in network-1 verwendet wurde. Weitere Informationen dazu, wie Sie dieses Problem umgehen können, finden Sie unten.
Workaround:
Führen Sie einen der folgenden Schritte aus, um dieses Problem zu vermeiden:
- Nachdem Sie eine dynamische NIC gelöscht haben, sollten Sie ihre VLAN-ID nicht wiederverwenden, wenn Sie eine neue dynamische NIC erstellen.
- Nachdem Sie eine dynamische NIC gelöscht haben, müssen Sie mindestens 10 Minuten warten, bevor Sie eine neue dynamische NIC mit derselben VLAN-ID erstellen können.
Weitere Informationen zur Verbindungsüberwachung und zu Firewallregeln finden Sie in der Dokumentation zur Cloud Firewall der nächsten Generation unter Spezifikationen.