Maximale Übertragungseinheit
Die maximale Übertragungseinheit (MTU) gibt die Bytezahl des größten IP-Pakets an, einschließlich IP-Header, Layer-4-Protokoll-Header und Daten der Layer 4, die in einen Ethernet-Frame passen.
Gültige MTU-Größen für VPC-Netzwerk
VPC-Netzwerke (Virtual Private Cloud) verwenden standardmäßig eine MTU von 1.460 Byte. Sie können die MTU eines VPC-Netzwerk auf einen beliebigen Wert zwischen 1.300 Byte und 8.896 Byte (einschließlich) festlegen. Gängige benutzerdefinierte MTU-Größen sind 1.500 Byte (Standard-Ethernet) und 8.896 Byte (größtmöglicher Wert). Wir empfehlen, die MTU für jede Netzwerkschnittstelle (NIC) einer Compute Engine-Instanz so zu konfigurieren, dass sie mit der MTU des VPC-Netzwerk übereinstimmt, mit dem sie verbunden ist. Weitere Informationen finden Sie unter Compute-Instanzen und MTU-Einstellungen.
Kommunikation zwischen Compute-Instanzen in VPC-Netzwerken
IP-Pakete bis zur MTU-Größe können zwischen zwei Compute-Instanzen gesendet werden, wenn Folgendes zutrifft:
- Sowohl die sendende als auch die empfangende Instanz verwenden dasselbe VPC-Netzwerk oder Peering-VPC-Netzwerke mit identischen MTUs.
- Die Schnittstellen für beide Instanzen sind für die Verwendung der MTU des VPC-Netzwerk konfiguriert.
Um Probleme mit MTU-Abweichungen zu vermeiden, empfehlen wir, für alle verbundenen VPC-Netzwerke dieselbe MTU zu verwenden. Dies ist zwar die empfohlene Vorgehensweise, Sie sind jedoch nicht gezwungen, identische MTUs in verbundenen VPC-Netzwerken zu konfigurieren. Weitere Informationen dazu, wie Protokolle mit Situationen umgehen, in denen es eine MTU-Abweichung zwischen VPC-Netzwerken gibt, finden Sie unter Nicht übereinstimmende MTUs, MSS-Clamping, Pfad-MTU-Erkennung.
Aus Sicht einer sendenden Instanz stellen Pfade zu den folgenden Zielen den Instanz-zu-Instanz-Traffic dar, der in einem VPC-Netzwerk weitergeleitet wird:
- Eine regionale interne IPv4-Adresse in einem primären IPv4- oder sekundären Subnetz-IPv4-Adressbereich des Subnetzes, einschließlich privater IPv4-Adressbereiche und privat verwendeter öffentlicher IPv4-Adressbereiche, die von diesen Zielressourcen verwendet werden:
- Die primäre interne IPv4-Adresse der Netzwerkschnittstelle (NIC) einer empfangenden Instanz.
- Eine interne IPv4-Adresse in einem Alias-IP-Bereich der NIC einer empfangenden Instanz.
- Eine interne IPv4-Adresse einer internen Weiterleitungsregel für die Protokollweiterleitung oder den internen Passthrough-Network Load Balancer.
- Interne IPv6-Subnetzadressbereiche, die von diesen Zielressourcen verwendet werden:
- Eine IPv6-Adresse aus dem IPv6-Adressbereich
/96, die der NIC einer empfangenden Instanz zugewiesen ist. - Eine IPv6-Adresse aus dem IPv6-Adressbereich
/96einer internen Weiterleitungsregel für die Protokollweiterleitung oder für einen internen Passthrough-Network Load Balancer.
- Eine IPv6-Adresse aus dem IPv6-Adressbereich
- Externe IPv6-Subnetzadressbereiche, die von diesen Zielressourcen verwendet werden, wenn Pakete über Subnetzrouten oder Peering-Subnetzrouten innerhalb des VPC-Netzwerks weitergeleitet werden:
- Eine IPv6-Adresse aus dem IPv6-Adressbereich
/96, die der NIC einer empfangenden Instanz zugewiesen ist. - Eine IPv6-Adresse aus dem IPv6-Adressbereich
/96einer externen Weiterleitungsregel für die Protokollweiterleitung oder für einen externen Passthrough-Network Load Balancer.
- Eine IPv6-Adresse aus dem IPv6-Adressbereich
Die folgenden Pfade von Instanz zu Instanz werden genauso behandelt wie die Kommunikation mit Zielen außerhalb eines VPC-Netzwerks:
- Wenn das Paketziel eine externe IPv4-Adresse der NIC einer empfangenden Instanz ist.
- Wenn das Paketziel eine externe IPv4-Adresse eines externen Passthrough-Network Load Balancers ist.
- Wenn das Paketziel eine externe IPv4-Adresse einer Weiterleitungsregel für die Protokollweiterleitung ist
- Wenn das Paketziel eine externe IPv6-Adresse der NIC einer Instanz, eines externen Passthrough-Netzwerk-Load-Balancers oder einer Weiterleitungsregel für die externe Protokollweiterleitung und die anwendbare Route im VPC-Netzwerk ein nächstes Hop für das Standard-Internetgateway verwendet. In diesem Szenario befinden sich die empfangenden Instanzen weder im selben VPC-Netzwerk wie die sendende Instanz noch in einem VPC-Netzwerk, das über VPC-Netzwerk-Peering mit dem VPC-Netzwerk der sendenden Instanz verbunden ist.
Kommunikation mit Zielen außerhalb eines VPC-Netzwerks
Google Cloud verarbeitet Pakete, die von Compute-Instanzen an Ziele außerhalb des VPC-Netzwerk der sendenden Instanz gesendet werden, wie in der folgenden Tabelle dargestellt. Zu den Zielen außerhalb des VPC-Netzwerks einer sendenden Instanz gehören öffentlich routbare IP-Adressen für Ressourcen außerhalb vonGoogle Cloud und vom Kunden verwendbare externe IP-Adressen innerhalb von Google Cloud.
Da im Internet in der Regel eine MTU von 1.500 Byte verwendet wird, lässt sich MTU-bedingter Paketverlust in der Regel vermeiden, wenn die Größe von IP-Paketen 1.500 Byte oder weniger beträgt.
| Situation | Verhalten |
|---|---|
| TCP-SYN- und SYN-ACK-Pakete | Google Cloud führt bei Bedarf MSS-Clamping durch und ändert die MSS, damit die Pakete in die MTU passen. |
| IP-Paket-MTU zwischen 1.300 Byte und 1.600 Byte (einschließlich) | Google Cloud nimmt keine Änderungen am Paket vor, mit Ausnahme von SYN- und SYN-ACK-Paketen, wie in der ersten Zeile erläutert. |
| IP-Paket mit mehr als 1.600 Byte | Google Cloud verwirft das Paket und sendet eine Nachricht „Fragmentierung erforderlich“ (ICMP über IPv4) oder „Paket zu groß (ICMPv6)“ sowohl, wenn das Bit „Nicht fragmentieren“ (DF) aktiviert ist als auch wenn das DF-Bit aus ist. |
Kommunikation mit Google APIs und Google-Diensten
Compute-Instanzen, die eine gültige VPC-Netzwerk-MTU-Größe verwenden, können Pakete an Google APIs und Google-Dienste senden, auch über den privaten Google-Zugriff und Private Service Connect für Google APIs. Die Details in diesem Abschnitt gelten auch für lokale Ressourcen, die Pakete mit dem privaten Google-Zugriff für lokale Hosts an Google APIs und Google-Dienste senden.
Der in diesem Abschnitt beschriebene Traffic-Pfad zu Google APIs und ‑Diensten wird von Google Front Ends (GFEs) implementiert. Diese GFEs verwenden nicht konfigurierbare, feste MTUs. Für Traffic von Google Cloud zu Google APIs und ‑Diensten wird immer das TCP-Protokoll verwendet. Wenn eine Compute-Instanz über ein VPC-Netzwerk, dessen MTU nicht mit der MTU der GFE übereinstimmt, eine Verbindung zu Google APIs und ‑Diensten herstellt, wird die Segmentgröße mithilfe von TCP MSS-Ankündigungen ausgehandelt, wie unter Nicht übereinstimmende MTUs, MSS-Clamping, Path MTU Discovery beschrieben.
| Paketquelle | Paketziel |
|---|---|
Eine beliebige interne IPv4-Adresse: primäre interne IPv4-Adresse oder interne IPv4-Adresse aus einem Alias-IP-Bereich der Instanz-NIC Eine externe IPv4-Adresse,die der Instanz-NIC mit einer 1-1-NAT-Zugriffskonfiguration zugewiesen ist: In diesem Fall führt Google Cloud 1-1-NAT bei ausgehendem Traffic aus und konvertiert eine primäre primäre interne IPv4-Adresse in eine externe IPv4-Quelladresse, die in der Zugriffskonfiguration angegeben ist. |
|
| Externe oder interne IPv6-Adresse für Dual-Stack- oder Nur-IPv6-Instanzen |
|
Kommunikation über Cloud VPN-Tunnel
Cloud VPN hat sowohl eine Gateway-MTU für gekapselte Pakete als auch eine Nutzlast-MTU für Pakete vor und nach der Kapselung.
Genaue MTU-Werte für die Nutzlast und andere MTU-Informationen zu Cloud VPN finden Sie in der Cloud VPN-Dokumentation unter Überlegungen zur MTU.
Kommunikation über Cloud Interconnect-Anhänge (VLAN)
Google empfiehlt, für alle VLAN-Anhänge, die mit demselben VPC-Netzwerk verbunden sind, dieselbe MTU zu verwenden und für die MTU des VPC-Netzwerks denselben Wert festzulegen. Weitere Informationen zu Cloud Interconnect-VLAN-Anhang-MTUs finden Sie unter Cloud Interconnect-MTU.
Kommunikation über Firewall-Endpunkte
Wenn Sie Firewall-Endpunkte verwenden, konfigurieren Sie eine geeignete MTU für Ihr VPC-Netzwerk. Wenn die MTU-Einstellung Ihres VPC-Netzwerk die Paketgröße überschreitet, die Ihr Firewall-Endpunkt unterstützt, kann Cloud Next Generation Firewall die Layer-7-Prüfung nicht erfolgreich ausführen. Weitere Informationen finden Sie unter Unterstützte Paketgröße.
Unterstützung von Jumbo Frames
Jumbo-Frames haben eine Nutzlast von mehr als 1.460 Byte. In der folgenden Tabelle ist die Unterstützung von Jumbo-Frames für Google Cloud -Produkte und ‑Funktionen zusammengefasst:
| Produkt oder Funktion | Unterstützung von Jumbo Frames |
|---|---|
| Compute Engine | Ja |
| Cloud Interconnect | Ja |
| Firewall-Endpunkte | Ja |
| Cloud VPN | Nein |
| Google APIs | Nein |
Compute-Instanzen und MTU-Einstellungen
Als Best Practice sollten Sie die MTU einer Compute-Instanz-NIC an die MTU des VPC-Netzwerk anpassen, mit dem die NIC verbunden ist. Die NIC-MTU-Konfiguration variiert je nach Betriebssystem und Konfiguration:
Linux-Instanzen, die auf einem öffentlichen Betriebssystem-Image basieren: Die MTU jeder NIC wird automatisch mit DHCP-Option 26 auf die MTU des jeweiligen VPC-Netzwerk festgelegt.
Windows-Instanzen, die auf einem öffentlichen Betriebssystem-Image basieren: Standardmäßig wird jede NIC-MTU mit einer festen MTU von
1,460Byte konfiguriert. Wenn Sie die MTU eines VPC-Netzwerk ändern, das Windows-Instanzen basierend auf öffentlichen Betriebssystem-Images enthält, müssen Sie die MTU-Einstellung der Windows-Instanzen ändern.Benutzerdefinierte Gastbetriebssystem-Images: Sie müssen NIC-MTUs konfigurieren oder prüfen, ob das Gastbetriebssystem die VPC-Netzwerk-MTU über DHCP-Option 26 akzeptiert.
Instanzen mit mehreren Netzwerkschnittstellen: Legen Sie die MTU jeder NIC auf die MTU des jeweiligen VPC-Netzwerk fest.
Wenn sich die MTU einer NIC von der MTU des VPC-Netzwerk unterscheiden muss, legen Sie die NIC-MTU auf einen Wert fest, der kleiner als die MTU des VPC-Netzwerk ist. Das erzwungene Verringern der NIC-MTU ist in einigen erweiterten Netzwerkszenarien von Vorteil.
MTU eines VPC-Netzwerk ändern
Um Verbindungsprobleme zu vermeiden, müssen Sie zuerst jede Compute-Instanz beenden, bevor Sie die MTU des VPC-Netzwerk ändern. Wenn Sie eine Instanz über das Gastbetriebssystem neu starten, wird die MTU nicht aktualisiert. Wenn Sie Instanzen mit einer niedrigeren MTU als der Netzwerk-MTU konfigurieren, gilt die Anforderung, die Instanz vor dem Ändern der MTU zu beenden, weiterhin.
Weitere Informationen zum Ändern der Netzwerk-MTU finden Sie unter MTU-Einstellung eines VPC-Netzwerks ändern.
GKE- und MTU-Einstellungen
Die für eine Pod-Schnittstelle ausgewählte MTU hängt von der von den Clusterknoten verwendeten Container Network Interface (CNI) und der zugrunde liegenden VPC-MTU-Einstellung ab. Weitere Informationen finden Sie unter Pods.
Der MTU-Wert der Pod-Schnittstelle ist entweder 1460 oder wird von der primären Schnittstelle des Knotens übernommen.
| CNI | MTU | GKE Standard |
|---|---|---|
| kubenet | 1460 | Standard |
|
kubenet (GKE-Version 1.26.1 und höher) |
Übernommen | Standard |
| Calico | 1460 |
Aktiviert mit Weitere Informationen finden Sie unter Kommunikation zwischen Pods und Services mithilfe von Netzwerkrichtlinien steuern. |
| netd | Übernommen | Aktiviert durch Verwendung einer der folgenden Optionen: |
| GKE Dataplane V2 | Übernommen |
Aktiviert mit Weitere Informationen finden Sie unter GKE Dataplane V2 verwenden. |
Nicht übereinstimmende MTUs, MSS-Clamping, Pfad-MTU-Erkennung
In diesem Abschnitt wird beschrieben, wie TCP- und Nicht-TCP-Protokolle nicht übereinstimmende MTUs verarbeiten.TCP-Protokoll
Das TCP-Protokoll verarbeitet MTU-Fehler automatisch. Sowohl der Client als auch der Server berechnen jedes Mal, wenn eine TCP-Verbindung geöffnet wird, ihre eigenen effektiven Werte für die maximale TCP-Segmentgröße (MSS). Client und Server müssen sich nicht auf einen identischen effektiven MSS-Wert einigen.
Effektive maximale TCP-Segmentgröße (MSS) des Clients: Die größte Menge an übertragbaren Daten in einem TCP-Segment, das von einem Client an einen Server gesendet wird, ist das Minimum der folgenden beiden Werte:
Der Wert des MSS-Felds im SYN-ACK-Paket, das der Client während der TCP-Verbindungsherstellung vom Server empfängt.
Die MTU der Netzwerkschnittstelle des Clients minus 40 Byte. Die subtrahierten 40 Byte umfassen 20 Byte für den IP-Header und 20 Byte für den Basis-TCP-Header.
Effektive maximale TCP-Segmentgröße (MSS) des Servers: Die größte Menge an übertragbaren Daten in einem TCP-Segment, das von einem Server an einen Client gesendet wird, ist das Minimum der folgenden beiden Werte:
Der Wert des MSS-Felds im SYN-Paket, das der Server während der Einrichtung der TCP-Verbindung vom Client empfangen hat.
Die MTU der Netzwerkschnittstelle des Servers minus 40 Byte. Die subtrahierten 40 Byte umfassen 20 Byte für den IP-Header und 20 Byte für den Basis-TCP-Header.
TCP-MSS-Clamping
Beim TCP-MSS-Clamping ändert ein Netzwerkgerät zwischen einem Client und einem Server die MSS-Werte in SYN- und SYN-ACK-Paketen, während es die Pakete zwischen dem Client und dem Server weiterleitet. Google Cloud verwendet MSS-Clamping immer dann, wenn Pakete an Ziele außerhalb eines VPC-Netzwerks gesendet werden.
Cloud VPN-Tunnel und Cloud Interconnect-VLAN-Anhänge verwenden ebenfalls MSS Clamping. Weitere Informationen finden Sie unter Paketkapselung und -verarbeitung in der Cloud VPN-Dokumentation und unter Cloud Interconnect-MTU.
In VPC-Netzwerken wird keine MSS-Korrektur für Pakete durchgeführt, die von den nächsten Hops in einem VPC-Netzwerk weitergeleitet werden, da das TCP-Protokoll selbst ausreicht.
Nicht-TCP-Protokolle
Andere Protokolle wie UDP erfordern besondere Vorsicht, wenn zwei verschiedene VPC-Netzwerk-MTUs beteiligt sind. Es liegt in der Verantwortung eines sendenden Systems, Pakete auszugeben, die in die MTU seiner Netzwerkschnittstelle, die MTU der Netzwerkschnittstelle des empfangenden Systems und die MTU aller Netzwerke dazwischen passen. Google Cloud führt keine IP-Fragmentierung für Pakete durch, die von den nächsten Hops in einem VPC-Netzwerk weitergeleitet werden.
Wenn ein IP-Paket zu groß ist, um zugestellt zu werden, z. B. wenn das Paket die MTU des VPC-Netzwerk überschreitet, in dem sich die NIC der empfangenden Compute-Instanz befindet, wird das Paket von Google Cloud verworfen. Wenn das DF-Bit des Pakets festgelegt ist,sendet Google Cloud auch eine Nachricht „Fragmentierung erforderlich“ (ICMP über IPv4) oder „Paket zu groß“ (ICMPv6) an den Absender zurück.
Google Cloud sendet unter den folgenden Umständen eine Nachricht „Fragmentierung erforderlich“ oder „Paket zu groß“, auch wenn das DF-Bit deaktiviert ist:
- Wenn die MTU des VPC-Netzwerk weniger als 1.600 Byte beträgt und das gesendete Paket die MTU des VPC-Netzwerk überschreitet.
- Wenn die MTU des VPC-Netzwerk 1.600 Byte oder mehr beträgt und das gesendete Paket 1.600 Byte überschreitet.
ICMP-Nachrichten „Fragmentierung erforderlich“ oder „Paket zu groß“ sind für eine Compute-Instanz, die Pakete sendet, erforderlich, um Path MTU Discovery (PMTUD) zu verwenden. Das folgende Beispiel mit zwei Compute-Instanzen in verschiedenen VPC-Netzwerken, die über VPC-Netzwerk-Peering verbunden sind, veranschaulicht die Funktionsweise von PMTUD:
- Die sendende Instanz hat eine NIC in einem VPC-Netzwerk,dessen MTU 8.896 Byte beträgt.
- Die empfangende Instanz hat eine NIC in einem VPC-Netzwerk mit einer MTU von 1.460 Byte.
- Die sendende Instanz gibt ein 8.000 Byte großes IP-Paket aus,dessen Bit „Nicht fragmentieren“ (
DF) festgelegt ist. Da das Paket zu groß ist, um an die empfangende Instanz gesendet zu werden, sendet Google Cloud eine Nachricht „Fragmentierung erforderlich“ oder „Paket zu groß“ an die sendende Instanz. Diese Meldung gibt die größtmögliche IP-Paketgröße an, die der Absender verwenden kann, wenn er versucht, Pakete für die Verbindung noch einmal zu übertragen. - Das Betriebssystem der sendenden Instanz verwendet diese Informationen, um die IP-Paketgröße beim Senden nachfolgender Pakete an die empfangende Instanz zu verringern.
Für PMTUD gelten die folgenden zusätzlichen Anforderungen, da von PMTUD generierte Pakete vom Typ „Fragmentierung erforderlich“ oder „Paket zu groß“ das ICMP-Protokoll verwenden und Quellen haben, die mit dem Ziel eines Originalpakets übereinstimmen:
- Sie müssen VPC-Firewallregeln oder Regeln in Firewallrichtlinien für eingehenden Traffic konfigurieren, damit ICMP (für IPv4) oder ICMPv6 (für IPv6) aus Quellen, die mit den ursprünglichen Paketzielen übereinstimmen, erlaubt sind. Um die Firewallkonfiguration zu vereinfachen, sollten Sie ICMP und ICMPv6 aus allen Quellen zulassen.
- Weiterleitungsregeln für den internen Passthrough-Network Load Balancer und die interne Protokollweiterleitung müssen das
L3_DEFAULT-Protokoll verwenden, damit sie sowohl ICMP für Path MTU Discovery (PMTUD) als auch das vom ursprünglichen Paket verwendete Protokoll verarbeiten.
Nächste Schritte
- Eine andere MTU finden Sie unter Jumbo Frame MTU-Netzwerk erstellen und prüfen.
- Erstellen Sie ein VPC-Netzwerk mit einer angegebenen MTU.
- MTU-Einstellung eines VPC-Netzwerks ändern.
Überzeugen Sie sich selbst
Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie einfach ein Konto, um die Leistungsfähigkeit von VPC in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.
VPC kostenlos testen