2024
Mai
31
2024

Private Netze komfortabel im Blick

Nicht jeder Server soll direkt aus dem Internet erreichbar sein. Eine Segmentierung in mehrere Netze kann vor allem mit Blick auf die Sicherheit sinnvoll sein, um z.B. Datenbank-Server abzuschotten oder Traffic auf einer zentralen Firewall zu filtern. In unserem Cloud Control Panel behältst du auch bei zahlreichen privaten Netzen den Überblick und minimierst so die Gefahr von Konfigurationsfehlern.

Private Netze für jeden Bedarf

Der erste Schritt zur Nutzung eines privaten Netzes ist bei cloudscale bewusst einfach gehalten: Direkt beim Launch können virtuelle Server mit wenigen Klicks an ein bestehendes oder neues privates Netz angeschlossen werden. Die Verbindung zum privaten Netz kann entweder zusätzlich zum direkten Anschluss an das Internet erfolgen oder diesen ersetzen. Das private Netz steht dir ab Layer 2 exklusiv zur Verfügung, so dass du z.B. die IP-Adressen auf den beteiligten Servern frei konfigurieren kannst. Für mehr Effizienz sind im privaten Netz "Jumbo-Frames" möglich, die Default-MTU von 9000 Bytes kannst du bei Bedarf aber natürlich anpassen.

Standardmässig steht in einem privaten Netz ein DHCP-Service zur Verfügung, der anfragenden Servern IP-Adressen aus einem zufällig gewählten /24 innerhalb von 172.16.0.0/12 zuweist. Daneben stehen viele weitere Konfigurationsmöglichkeiten zur Verfügung. So kannst du z.B. private Netze ohne DHCP-Service erstellen bzw. für den DHCP-Service einen beliebigen anderen IP-Range (mindestens ein /24) vorsehen. Auch für einzelne Server lässt sich die DHCP-Funktionalität deaktivieren oder die IP-Adresse im privaten Netz fix vergeben, statt dass sie der DHCP-Service zufällig auswählt. Zusammen mit der IP-Adresse kann den Servern via DHCP ausserdem ein Gateway und/oder eine Liste von DNS-Resolvern mitgegeben werden, womit sich eine lokale Konfiguration dieser Angaben erübrigt.

Immer klare Verhältnisse

Damit auch bei mehreren privaten Netzen der Überblick nicht verloren geht, gibt es in unserem Cloud Control Panel den Bereich "Networks". Diesen haben wir in den letzten Monaten schrittweise erweitert, so dass alle relevanten Details zu deinen privaten Netzen übersichtlich zusammengefasst sind und zum Teil direkt angepasst werden können.

Unter "Settings" finden sich nebst der frei wählbaren Netz-Bezeichnung diejenigen Angaben, die sich direkt auf das Layer-2-Netzwerk beziehen, insbesondere die MTU. Diese Einstellung bestimmt einerseits die tatsächlich mögliche Paketgrösse im privaten Netz, und sie wird – bei aktiviertem DHCP-Service – andererseits auch in der DHCP-Antwort an die Server mitgeteilt.

Im Tab "Subnets" sind die Angaben zusammengefasst, die im Zusammenhang mit dem DHCP-Service stehen. Dazu gehört der für das Netz gewählte IP-Adressbereich in CIDR-Notation sowie der Range, aus welchem der DHCP-Service die Adressen wählt, soweit du keine spezifischen Adressen angibst. Die Werte für "Gateway" und "DNS Servers" beeinflussen das Verhalten des DHCP-Service nicht direkt, sondern dienen als Teil der DHCP-Antwort zum Konfigurieren deiner Server.


Unter "Ports" schliesslich siehst du sämtliche Geräte, die an deinem privaten Netz teilnehmen, inklusive ihrer MAC-Adresse sowie der IP-Adresse, die der DHCP-Service allenfalls für das Gerät reserviert hat. Daneben bist du natürlich frei, auf deinen virtuellen Servern auch andere IPv4- oder IPv6-Adressen zu nutzen. Zusätzlich zu deinen virtuellen Servern werden auch die zwei DHCP-Server aufgeführt, die dein Subnet verwalten.

Ebenfalls in der Liste sind allfällige Load-Balancer: Aufgrund des Designs für Hochverfügbarkeit besteht ein Load-Balancer aus zwei einzelnen Servern und taucht in deinem privaten Netz deshalb mit zwei Ports auf. Die hier sichtbaren IP-Adressen sind übrigens die gleichen, die auf deinem Backend auch in den Logs erscheinen – es sei denn, du benutzt in dem betreffenden Load-Balancer-Pool das proxy(v2)-Protokoll, das die eigentliche Source-IP des Clients zusammen mit den reinen TCP-Paketen an dein Backend übergibt. Befindet sich zudem auch die "VIP Address" des Load-Balancers in dem privaten Netz, wird auch sie bei den Ports aufgelistet.


Aus Sicherheitsüberlegungen macht es oft Sinn, wenn nur diejenigen Systeme miteinander verbunden sind, die tatsächlich miteinander kommunizieren sollen. Und auch wenn dein Setup sich über die Zeit weiterentwickelt: In unserem Cloud Control Panel siehst du unter "Networks" jederzeit, welche Netze es gibt und welche Geräte wo teilnehmen. So reduzierst du das Risiko von Fehlern und vereinfachst dir das Leben mit den zentral verwalteten DHCP-Optionen zusätzlich.

Netzwerk "made easy".
Dein cloudscale-Team

Zurück zur Übersicht