FAQ

Was sind Hetzner Cloud Networks?

Networks stellen über dedizierte Netzwerkschnittstellen private Layer-3-Verbindungen zwischen Hetzner Cloud Servern her. Erstellen Sie bequem und einfach mehrschichtige Architekturen, die sich über mehrere Standorte erstrecken.

Kann ich Networks in verschiedenen Standorten nutzen?

Ja, Sie können Instanzen von unseren Standorten in Falkenstein, Nürnberg und Helsinki innerhalb desselben Netzwerks haben. Beachten Sie aber, dass alle Standorte innerhalb eines Subnetzes aus derselben Netzwerkzone sein müssen. Auch alle Subnetze innerhalb eines Netzwerkes müssen aus derselben Netzwerkzone sein. VSwitch Verbindungen sind ausschließlich bei Subnetzen der Netzwerkzone eu-central möglich.

Netzwerkzone	Standorte
`ap-southeast`	Singapur (`sin`)
`eu-central`	Falkenstein (`fsn1`), Helsinki (`hel1`), Nürnberg (`nbg1`)
`us-east`	Ashburn, VA (`ash`)
`us-west`	Hillsboro, OR (`hil`)

Werden Sie für diese Funktion eine Gebühr erheben? Wie sieht es mit dem Traffic aus?

Die Networks sind kostenlos. Der Datenverkehr auf den privaten Netzwerkschnittstellen ist kostenlos und wird nicht berechnet.

Wie werden IP-Adressen in Networks verwaltet?

Mit der Cloud Console können Sie die IP-Adressen in Networks verwalten. Wann immer Sie einen Server an ein Network anschließen, weist unser System ihm automatisch eine IPv4-Adresse in Ihrem Network zu. Oder Sie können eine bestimmte IP-Adresse in Ihrem Network auswählen, wenn Sie möchten. Da es sich bei Networks um eine Layer-3-Funktion handelt, können Sie nur die vom Backend zugewiesenen IP-Adressen verwenden. Networks unterstützen nur IPv4.

Ist es möglich manuell IPs in Networks für bestimmte Server zu konfigurieren?

Ja, das ist möglich. Wählen Sie hierfür bitte das Projekt aus, dann Networks auf der linken Seite. Nun wählen Sie bitte Ihr Netzwerk und klicken auf Subnetze im oberen Bereich.

Falls Sie bereits Server hinzugefügt haben, müssen Sie diese entfernen und neu hinzufügen, um manuell eine IP zu zuweisen.

Klicken Sie nun auf "Ressource hinzufügen" im rechten Raster, woraufhin ein Pop-up auf der rechten Seite erscheint. In diesem Pop-up finden Sie unten eine kleine Checkbox, mit der Sie die IPs für die ausgewählten Server manuell konfigurieren können.

Welche IP-Adressen können genutzt werden?

Sie können Netzwerke mit den laut RFC 1918 privaten IP-Netzen verwenden:

10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

Wie werden IP-Adressen auf meinen Servern konfiguriert?

Wenn Sie Ihren Server kürzlich mit einem unserer Standardbilder erstellt haben, konfigurieren wir automatisch die Haupt-IP für Ihre private Netzwerkschnittstelle per DHCP.

Sie können die Autokonfiguration deaktivieren, indem Sie unser Autokonfigurationspaket deinstallieren. In diesem Fall müssen Sie die Netzwerkschnittstellen manuell konfigurieren, um sie zu verwenden.

Wir haben einen Wiki-Eintrag mit allen Informationen über die Konfiguration und das Autoconfig Package (Englisch).

Kann ein Server mehrere IP-Adressen in einem Network haben?

Ja, zusätzlich zur Haupt-IP im Netzwerk können Sie für jeden Server auch bis zu fünf Alias-IP-Adressen konfigurieren. Sie müssen diese IP-Adressen manuell konfigurieren, da sie nicht automatisch per DHCP vergeben werden können.

Kann ich einen Server an mehrere Netzwerke anschließen?

Sie können Ihren Server an bis zu drei Networks gleichzeitig anschließen.

Aus technischen Gründen ist es leider nicht möglich dieses Limit zu erhöhen.

Ist der Datenverkehr innerhalb von Hetzner Cloud Networks verschlüsselt?

Der Datenverkehr zwischen Cloud Servern innerhalb eines Networks ist privat und isoliert, aber nicht automatisch verschlüsselt. Wir empfehlen Ihnen, TLS oder ähnliche Protokolle zu verwenden, um vertraulichen Datenverkehr zu verschlüsseln.

Was sind Subnets?

Subnets sind Teil der Funktion Networks. Wenn Sie ein Network erstellen, müssen Sie dessen IP-Bereich definieren. Innerhalb dieses IP-Bereichs können Sie ein oder mehrere Subnets erstellen, die jeweils einen eigenen IP-Bereich innerhalb des Network-IP-Bereichs haben. Die IP-Adressen für Ihre Server werden immer aus Ihrem Subnet-IP-Bereich zugewiesen.

Beispiel: Sie erstellen ein Network mit der IP-Range 10.0.0.0/8. In diesem Network legen Sie ein Subnet 10.0.0.0/24 an. Wenn Sie einen Server an Ihr Network anhängen, erhält er eine IP vom 10.0.0.0/24 Subnet.

Im Moment ist die Funktion Subnets nicht sehr nützlich. Dies wird sich jedoch in Zukunft ändern, wenn wir weitere Funktionen hinzufügen.

Wenn Sie ein Netzwerk über die Cloud Console erstellen, wählen wir sinnvolle Standardeinstellungen und erstellen automatisch ein geeignetes Subnet dafür. Verwenden Sie daher im Zweifelsfall bitte die Standardeinstellungen.

Was sind Routes?

Routes ist eine erweiterte Funktion innerhalb von Networks. Damit können Sie eine Route erstellen, die automatisch auf den privaten Verkehr angewendet wird. Sie können Routes verwenden, um sicherzustellen, dass alle Pakete für ein bestimmtes Ziel-IP-Präfix an die in seinem Gateway angegebene Adresse gesendet werden.

Was ist das Besondere an Routenzielen, die nicht zu meinem Netzwerk-IP-Bereich gehören?

Wenn Sie ein Ziel für Ihre Route wählen, das im IP-Bereich Ihres Networks liegt, funktioniert es automatisch wie erwartet.

Wenn Sie jedoch Ihr Ziel so einstellen, dass es außerhalb des IP-Bereichs des Networks liegt, müssen Sie sicherstellen, dass der Verkehr für das Ziel an Ihre private Netzwerkschnittstelle gesendet wird. Dazu müssen Sie die Route manuell im Betriebssystem jedes Ihrer Server hinzufügen.

Warum werden Pakete von Quell-IPs verworfen, die nicht im Prefix des Networks liegen?

Die Gateways eines Networks implementieren ein Konzept namens "strict unicast reverse path forwarding" (strict uRPF). Das bedeutet, dass das Gateway bei jedem Paket die Quell-IP gegen die Routing-Tabelle des Networks prüft. Sollte die beste Route für diese Quell-IP nicht auf den Server zeigen, der das Paket gesendet hat, leitet das Gateway dieses Paket nicht weiter.

Wenn einer Ihrer Server so konfiguriert ist, dass er zwischen einem Cloud Network und einem anderen Netzwerk (wie beispielsweise einem VPN) routet und ein Paket in das Network weiterleitet, kann es vorkommen, dass dieses Paket eine Quell-IP hat, die nicht im Prefix des Networks liegt. In dem Fall ist es notwendig, für den Prefix, der diese anderen Quell-IPs enthält, eine Route anzulegen, die zurück auf den Server zeigt, der diese Pakete sendet. Alternativ können Sie auch NAT verwenden, um die Quell-IP der Pakete, die in das Network geroutet werden, zu maskieren.

Klicken Sie hier für ein Beispiel

Beispiel:

Gateway 10.0.0.1

↕

Cloud Server A
172.16.0.1

↔

Cloud Server B
10.0.0.2

Cloud Server C
10.0.0.3

Angenommen Cloud Server A und Cloud Server B sind über einen VPN verbunden. Sendet Cloud Server A ein Paket an Cloud Server C, würde es folgende Route nehmen:

Server A → Server B (Router) → Gateway → Server C

Wenn der als Router fungierende Cloud Server B die Quell-IP des Pakets nicht anpasst, bleibt die Quell-IP die IP-Adresse von Cloud Server A.

In diesem Beispiel würde das Gateway sehen, dass das Paket über den als Router fungierenden Cloud Server B eingegangen ist, die Quell-IP gehört aber nicht zu Cloud Server B. Ein Paket, das die IP 172.16.0.1 als Ziel hätte, würde auch nicht auf Cloud Server B landen, also darf er auch nicht von dieser IP senden. Aus diesem Grund würde das Gateway das Paket verwerfen.

Um das zu verhindern, muss Cloud Server B die Quell-IP beispielsweise maskieren, bevor das Paket an das Gateway weitergeleitet wird. Alternativ kann eine Route für beispielsweise 172.16.0.0/16 angelegt werden, die auf Cloud Server B zeigt. So wird Cloud Server B berechtigt, Pakete mit diesen Quell-IPs zu senden.

Wie richte ich meinen eigenen Router ein?

Wie in der Frage "Was sind Hetzner Cloud Networks?" bereits hingewiesen, werden zwischen den Cloud Servern Layer-3-Verbindungen (OSI-Modell) hergestellt. Die Server sind nicht direkt miteinander verbunden, sondern über ein Gateway. Die Verbindungen zwischen dem Gateway und den Servern werden per Software hergestellt. Somit ist zwischen den Geräten keine physische Verbindung vorhanden.

Beispiel-Subnet 10.0.0.0/24:

Subnet-Gateway 10.0.0.1

↕

Cloud Server A
10.0.0.2

Cloud Server B
10.0.0.3

Weitere Informationen zur Subnet-Gateway-IP

IP-Adresse des Subnet-Gateway

Die Gateway IP-Adresse ist immer die erste IP-Adresse der Subnet-IP-Range. Aus diesem Grund ist es nicht möglich die erste IP-Adresse aus der IP-Range eines Subnets einem Server zuzuweisen und daher ist die IP-Adresse immer mit Diese IP-Adresse ist reserviert gekennzeichnet.

Der gesamte Traffic muss über das Subnet-Gateway geroutet werden. Das gilt auch dann noch, wenn Sie einen Ihrer eigenen Server als Router einrichten.

Beispiele dazu, wie man einen Server als Router einrichten könnte, finden Sie in diesen Tutorials:
NAT-Gateway für private Cloud Netzwerke einrichten
How to route cloud server over private network using pfSense and Hetzner Cloud Networks (EN)

Ein Router OS auf einem der Server einrichten:

Wenn Sie auf einem Ihrer Cloud Server ein Router OS installieren möchten, beachten Sie Folgendes:

Der gesamte Traffic muss über das Subnet-Gateway geroutet werden.
Zum Zuweisen der IP-Adressen sollten Sie DHCP verwenden.
Die Routen sollten dann automatisch korrekt sein.

Neben dem Server mit dem Router OS müssen auch das private Netzwerk und der Client eingerichtet werden. Beim Festlegen der Route auf dem Client gibt es zwei Methoden:

ip route add-Befehl ausführen ^temporär
Mit dieser Methode ist die neu hinzugefügte Route nach einem Neustart nicht mehr verfügbar.
Netzwerkkonfigurations-Datei bearbeiten ^dauerhaft
Für die Autokonfiguration der Hetzner Netzwerke wird das Hetzner-Paket hc-utils verwendet. Dieses Paket greift bei einem Neustart automatisch auf die Netzwerkkonfigurations-Datei zu, wodurch manuell hinzugefügte Routen verloren gehen. Um eine Route dauerhaft hinzuzufügen, muss daher das hc-utils-Paket deinstalliert werden (siehe Hetzner Cloud Networks Konfiguration).

Sind irgendwelche IP-Adressen reserviert?

Die folgenden IP-Adressen können Ihrem Server nicht zugewiesen werden:

Die erste IP-Adresse Ihres Network-IP-Bereichs. Als Beispiel in 10.0.0.0/8 können Sie 10.0.0.1 nicht benutzen.
Die Netzwerk- und Broadcast-IP-Adressen eines beliebigen Subnets. Als Beispiel in 10.0.0.0/24 können Sie 10.0.0.0 und 10.0.0.255 nicht benutzen.
Die spezielle private IP-Adresse 172.31.1.1. Diese IP-Adresse wird als Standard-Gateway der öffentlichen Netzwerkschnittstelle Ihres Servers verwendet.

Gibt es Limits für die Nutzung von Netzwerken?

Sie können bis zu 100 Server an ein Network anschließen.
Jeder Server kann zusätzlich zu seiner privaten Haupt-IP bis zu 5 Alias-IPs haben.
Sie können bis zu 50 Subnets erstellen (pro Network)
Sie können bis zu 100 Routes erstellen (pro Network)

Kann ich meine dedizierten Root-Server in meine Hetzner Cloud Networks aufnehmen?

Ja, es ist möglich einen Robot vSwitch (dedizierte Root-Server) mit einem Hetzner Cloud Network zu koppeln. Legen Sie dazu einfach ein weiteres Subnet in einem Cloud Network an und wählen Sie die Option "VSwitch Verbindung zu dedizierten Servern aktivieren".

Eine ausführliche Anleitung finden Sie hier.

Wie viele vSwitches kann ich mit einem Cloud Network verbinden?

Jeder vSwitch kann nur mit einem Cloud Netzwerk verbunden werden. Umgekehrt kann auch jedes Cloud Netzwerk nur mit einem vSwitch verknüpft werden.

Ist es möglich einen vSwitch mit öffentlichen IP-Adressen zu verbinden?

Leider kann ein vSwitch mit im Robot zugewiesenen öffentlichen IP-Adressen aktuell nicht mit dem Cloud Netzwerk verbunden werden. Wir werden versuchen dies in Zukunft zu unterstützten, können aber leider noch keinen Zeitpunkt oder Details nennen.

Wie nutze ich Networks? Hast du irgendwelche Anleitungen/Tutorials?

Ja haben wir! Diese sind sehr hilfreich für den Einstieg.

A basic introduction to the Hetzner Cloud Networks (Englisch)

Wenn Sie ein Tutorial über unser Networks Feature schreiben möchten, wenden Sie sich bitte an unseren Community-Manager.