Habilitar o tráfego IPv6 de saída usando gateways da Internet somente de saída

Um gateway da Internet somente de saída é um componente da VPC horizontalmente escalado, redundante e altamente disponível que permite a comunicação de saída pela IPv6 das instâncias na VPC para a Internet e impede a Internet de iniciar uma conexão IPv6 com suas instâncias.

Um gateway da Internet somente de saída deve ser usado apenas com tráfego IPv6. Para habilitar a comunicação via Internet somente de saída pela IPv4, use um gateway NAT. Para ter mais informações, consulte Gateways NAT.

Preços

Não há cobrança por um gateway da Internet somente de saída, mas há cobranças para a transferência de dados para instâncias do EC2 que usam gateways da Internet. Para mais informações, consulte Amazon EC2 On-Demand Pricing (Preços do Amazon EC2 sob demanda).

Noções básicas do Gateway da Internet somente de saída

Os endereços IPv6 são exclusivos globalmente e, são portanto, públicos por padrão. Se deseja que a instância possa acessar a Internet, mas deseja impedir que recursos na Internet iniciem a comunicação com a instância, será possível usar um gateway da Internet somente de saída. Para fazer isso, crie um gateway da Internet somente de saída na VPC e adicione uma rota à tabela de rotas que aponte todo o tráfego IPv6 (::/0) ou um intervalo específico de endereço IPv6 para o gateway da Internet somente de saída. O tráfego IPv6 na sub-rede associada à tabela de rotas é roteado para o gateway da Internet somente de saída.

Um gateway da Internet somente de saída é com estado: encaminha o tráfego das instâncias da sub-rede para a Internet ou outros serviços da AWS e envia a resposta de volta para as instâncias.

Você não pode associar um grupo de segurança a um gateway da internet somente de saída para controlar o tráfego que pode chegar ou sair do gateway da internet somente de saída. É possível usar um network ACL para controlar o tráfego de entrada e saída da sub-rede para a qual o gateway da Internet somente de saída roteia o tráfego.

No diagrama a seguir, a VPC tem blocos CIDR IPv4 e IPv6, e a sub-rede tem blocos CIDR IPv4 e IPv6. A VPC tem um gateway da Internet somente de saída.

A seguir apresentamos um exemplo da tabela de rotas associada à sub-rede. Há uma rota que envie todo o tráfego IPv6 (::/0) direcionado à Internet para o gateway da Internet apenas de saída.