March 8, 2026

Overlay-Netzwerke verstehen: VXLAN, MTU und Debugging in der Praxis

Overlay-Netzwerke sind ein zentrales Konzept, wenn Container über mehrere Hosts hinweg miteinander kommunizieren sollen. Sie ermöglichen ein virtuelles Layer-2-Netzwerk, das unabhängig von der physischen Netzwerktopologie arbeitet. In Docker Swarm oder Kubernetes werden Overlay-Netzwerke häufig genutzt, um Dienste über Cluster-Knoten hinweg erreichbar zu machen.

1. Grundlagen von Overlay-Netzwerken

Overlay-Netzwerke kapseln Container-Netzwerke in Tunnelprotokollen, sodass Container auf unterschiedlichen Hosts so miteinander kommunizieren, als wären sie im gleichen Subnetz. Das bekannteste Protokoll dafür ist VXLAN.

  • Virtuelle Netzwerke über physische Netzwerke
  • Isolation zwischen verschiedenen Overlay-Netzwerken
  • Kommunikation unabhängig von Host-IP-Adressbereichen

2. VXLAN im Detail

VXLAN (Virtual Extensible LAN) kapselt Layer-2-Ethernet-Frames in Layer-3-UDP-Pakete. Jeder Overlay-Tunnel wird über eine VXLAN Network Identifier (VNI) eindeutig identifiziert.

Funktionsweise

  • Container sendet Paket → VXLAN-Kapselung am Source-Host
  • Transport über physisches IP-Netzwerk (UDP-Port 4789)
  • Entkapselung am Ziel-Host → Paket erreicht Container
# Anzeigen von VXLAN-Interfaces auf dem Host
ip link show type vxlan

3. MTU-Anpassungen

Durch VXLAN wird jedes Paket um VXLAN-Header (50 Bytes) größer. Wenn die MTU nicht angepasst wird, kommt es zu Fragmentierung oder Paketverlusten.

Berechnung der MTU

MTU_physical - VXLAN_header = MTU_overlay
1500 - 50 = 1450

Es empfiehlt sich, die MTU auf den Overlay-Interfaces zu setzen, um Fragmentierung zu vermeiden.

4. Docker Overlay Netzwerke konfigurieren

In Docker Swarm kann ein Overlay-Netzwerk einfach erstellt werden:

docker network create -d overlay 
  --subnet=10.0.0.0/24 
  --opt com.docker.network.driver.mtu=1450 
  my_overlay_net
  • -d overlay: Driver für Overlay-Netzwerke
  • --subnet: Virtuelles Subnetz für den Overlay
  • --opt com.docker.network.driver.mtu: MTU-Wert anpassen

5. Debugging von Overlay-Netzwerken

Probleme in Overlay-Netzwerken treten häufig bei Paketverlusten, Fragmentierung oder falschen MTU-Einstellungen auf.

Wichtige Prüfungen

  • VXLAN-Interfaces prüfen: 
    ip link show type vxlan
  • MTU testen: 
    ping -M do -s 1400
  • Verbindungen prüfen: 
    docker service logs
  • iptables/nftables prüfen, ob UDP 4789 erlaubt ist

6. Common Issues und Lösungen

Typische Probleme bei Overlay-Netzwerken:

  • Fragmentierung → MTU zu hoch, Pakete werden gesplittet
  • Keine Kommunikation zwischen Hosts → Firewall blockiert VXLAN UDP-Port 4789
  • Container-Ping fehlschlägt → falsches Subnetz oder Overlay nicht korrekt attachiert

Lösungen umfassen MTU-Anpassung, Firewall-Regeln überprüfen und Overlay neu attachieren.

7. Monitoring von Overlay-Netzwerken

Für produktive Umgebungen empfiehlt sich Monitoring der Overlay-Tunnel:

  • Verfügbarkeit der VXLAN-Interfaces
  • Traffic-Statistiken: 
    ip -s link show vxlan0
  • Docker Netzwerkstatistiken: 
    docker network inspect my_overlay_net

8. Best Practices

  • MTU auf allen Hosts gleich konfigurieren
  • Overlay-Subnetze sauber planen, Konflikte vermeiden
  • Firewall für UDP 4789 öffnen
  • Services nur an benötigten Overlay-Netzwerken attachieren
  • Monitoring und Logging aktiv halten

9. Zusammenfassung

Overlay-Netzwerke ermöglichen skalierbare Multi-Host-Container-Kommunikation. VXLAN sorgt für die Layer-2-Kapselung über IP, MTU-Anpassungen verhindern Fragmentierung, und gezieltes Debugging erleichtert die Fehlersuche. Wer diese Grundlagen beherrscht, kann sichere, stabile und performante Container-Cluster betreiben.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

  • Professionelle Konfiguration von Routern und Switches

  • Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

  • Erstellung von Topologien und Simulationen in Cisco Packet Tracer

  • Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

  • Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

  • Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

  • Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

  • Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.

Related Articles

Cost-Aware Operations: Image Pull Policies, Cache und Bandbreite

Registry Mirror Setup: Pulls beschleunigen und Ausfälle überleben

Air-Gapped Deployments: Images, Dependencies und Updates offline managen

Compose Migration zu Swarm: Wann der Schritt Sinn macht

Compose Migration zu Kubernetes: Mapping von Services, Volumes, Secrets

Kubernetes vs. Compose: Betriebsaufwand, Resilienz und Komplexität

Multi-Host Networking ohne Kubernetes: Optionen und Grenzen

Security Posture Reviews: Threat Modeling für Compose Stacks

Incident Response für Container: Forensik, Artefakte, Evidence

Observability: OpenTelemetry Collector in Compose integrieren

Debugging ohne Shell: Distroless Container in Produktion analysieren

Metrics Pipeline: Prometheus + exporters für Container und Host