將 IPv6 支援新增至您的 VPC - Amazon Virtual Private Cloud
範例:在含公有和私有子網的 VPC 中啟用 IPv6步驟 1:建立 IPv6 CIDR 區塊與 VPC 和子網的關聯步驟 2:更新路由表步驟 3:更新安全群組規則步驟 4:將 IPv6 地址指派給執行個體

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

將 IPv6 支援新增至您的 VPC

如果您有僅支援 IPv4 的現有 VPC,以及子網路中設定為僅使用 IPv4 的資源,則可以為您的 VPC 和資源新增 IPv6 支援。您的 VPC 可在雙堆疊模式中運作:您的資源可透過 IPv4、IPv6 或兩者進行通訊。IPv4 和 IPv6 通訊彼此獨立。

您無法停用 VPC 和子網的 IPv4 支援;這是 Amazon VPC 和 Amazon EC2 的預設 IP 定址系統。

考量事項

  • 沒有從僅限 IPv4 的子網路到僅限 IPv6 的子網路之遷移路徑。

  • 本範例假設您的現有 VPC 包含公有和私有子網路。如需建立新 VPC 來搭配 IPv6 使用的相關資訊,請參閱建立 VPC

  • 在開始使用 IPv6 之前,請確定您已閱讀適用於 Amazon VPC 人雲端的 IPv6 定址功能:比較 IPv4 和 IPv6

處理

下表概述了為您的 VPC 啟用 IPv6 的流程。

步驟 備註
步驟 1:建立 IPv6 CIDR 區塊與 VPC 和子網的關聯 將 Amazon 提供的或 BYOIP IPv6 CIDR 區塊與 VPC 和子網建立關聯。
步驟 2:更新路由表 更新路由表以遞送 IPv6 流量。針對公有子網,建立路由,以將所有 IPv6 流量從子網遞送至網際網路閘道。針對私有子網,建立路由,以將所有網際網路綁定型 IPv6 流量從子網遞送至輸出限定網際網路閘道。
步驟 3:更新安全群組規則 更新安全群組規則,以包含 IPv6 地址的規則。這可讓 IPv6 流量進出執行個體。如果您已建立自訂網路 ACL 規則來控制進出子網的流量流程,則必須包含 IPv6 流量的規則。
步驟 4:將 IPv6 地址指派給執行個體 將 IPv6 地址從子網的 IPv6 地址範圍指派給執行個體。

範例:在含公有和私有子網的 VPC 中啟用 IPv6

在本範例中,VPC 具有公有和私有子網。私有子網中的資料庫執行個體可在 VPC 中透過 NAT 閘道具有與網際網路的傳出通訊。公有子網中的公開 Web 伺服器透過網際網路閘道具有網際網路存取。下圖呈現 VPC 的架構。

具有公有、私有子網路、NAT 閘道和網際網路閘道的 VPC

Web 伺服器的安全群組 (例如使用安全群組 ID sg-11aa22bb11aa22bb1) 具有下列傳入規則:

類型 通訊協定 連接埠範圍 來源 註解
所有流量 全部 全部 sg-33cc44dd33cc44dd3 允許來自與 sg-33cc44dd33cc44dd3 (資料庫執行個體) 相關聯之執行個體的所有流量傳入存取。
HTTP TCP 80 0.0.0.0/0 允許來自網際網路且透過 HTTP 的傳入流量。
HTTPS TCP 443 0.0.0.0/0 允許來自網際網路且透過 HTTPS 的傳入流量。
SSH TCP 22 203.0.113.123/32 允許從本機電腦執行傳入 SSH 存取;例如,當您需要連線至執行個體以執行管理任務時。

資料庫執行個體的安全群組 (例如使用安全群組 ID sg-33cc44dd33cc44dd3) 具有下列傳入規則:

類型 通訊協定 連接埠範圍 來源 註解
MySQL TCP 3306 sg-11aa22bb11aa22bb1 允許來自與 sg-11aa22bb11aa22bb1 (Web 伺服器執行個體) 相關聯之執行個體的 MySQL 流量傳入存取。

兩個安全群組的預設傳出規則都允許所有傳出 IPv4 流量,而且沒有其他傳出規則。

Web 伺服器是 t2.medium 執行個體類型。資料庫伺服器是 m3.large

您想要啟用 VPC 和資源的 IPv6 功能,而且想要它們以雙堆疊模式操作;換句話說,您想要在 VPC 中的資源與透過網際網路的資源之間同時使用 IPv6 和 IPv4 定址。

步驟 1:建立 IPv6 CIDR 區塊與 VPC 和子網的關聯

您可以建立 IPv6 CIDR 區塊與 VPC 的關聯,然後建立該範圍中的 /64 CIDR 區塊與每個子網的關聯。

建立 IPv6 CIDR 區塊與 VPC 的關聯

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇 Your VPCs (您的 VPC)

  3. 選取您的 VPC。

  4. 選擇動作編輯 CIDR,然後選擇新增 IPv6 CIDR

  5. 選取下列其中一個選項,然後選擇選取 CIDR

    • Amazon 提供的 IPv6 CIDR 區塊 – 使用 Amazon 的 IPv6 地址集區中的 IPv6 CIDR 區塊。在「網路邊界群組」中,選擇通 AWS 告 IP 位址的群組。

    • IPAM 配置的 IPv6 CIDR 區塊 – 使用 IPAM 集區中的 IPv6 CIDR 區塊。選擇 IPAM 集區和 IPv6 CIDR 區塊。

    • 我擁有的 IPv6 CIDR – 使用 IPv6 地址集區 (BYOIP) 中的 IPv6 CIDR 區塊。選擇 IPv6 地址集區和 IPv6 CIDR 區塊。

  6. 選擇關閉

建立 IPv6 CIDR 區塊與子網的關聯

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇 Subnets (子網)。

  3. 選取子網路。

  4. 選擇動作編輯 IPv6 CIDR,然後選擇新增 IPv6 CIDRs

  5. 視需要編輯 CIDR 區塊 (例如,取代 00)。

  6. 選擇儲存

  7. 為 VPC 中的任何其他子網路重複此程序。

如需詳細資訊,請參閱 IPv6 VPC CIDR 區塊

步驟 2:更新路由表

當您將 IPv6 CIDR 區塊與您的 VPC 建立關聯時,會自動將區域路由新增至 VPC 的每個路由表,以允許 VPC 中的 IPv6 流量。

您必須更新公有子網路的路由表,讓執行個體 (例如 Web 伺服器) 將網際網路閘道用於 IPv6 流量。您還必須更新私有子網路的路由表,讓執行個體 (例如資料庫執行個體) 將輸出限定網際網路閘道用於 IPv6 流量,因為 NAT 閘道不支援 IPv6。

更新公有子網路的路由表

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇 Subnets (子網)。選取公有子網路。在路由表索引標籤上,選擇路由表 ID 以開啟路由表的詳細資訊頁面。

  3. 選取 路由表。在 Routes (路由) 標籤中,選擇 Edit routes (編輯路由)

  4. 選擇 Add route (新增路由)。對於目的地,請選擇 ::/0。選擇目標的網際網路閘道的 ID。

  5. 選擇儲存變更

更新私有子網路的路由表

  1. 前往 https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇輸出限定網際網路閘道。選擇建立輸出限定網際網路閘道。從 VPC 中選擇您的 VPC,然後選擇建立輸出限定網際網路閘道

    如需詳細資訊,請參閱 使用輸出限定 (egress-only) 網際網路閘道來啟用傳出 IPv6 流量

  3. 在導覽窗格中,選擇 Subnets (子網)。選取私有子網路。在路由表索引標籤上,選擇路由表 ID 以開啟路由表的詳細資訊頁面。

  4. 選取 路由表。在 Routes (路由) 標籤中,選擇 Edit routes (編輯路由)

  5. 選擇 Add route (新增路由)。對於目的地,請選擇 ::/0。選擇目標的輸出限定網際網路閘道的 ID。

  6. 選擇儲存變更

如需詳細資訊,請參閱 路由選項範例

步驟 3:更新安全群組規則

若要讓執行個體透過 IPv6 傳送和接收流量,您必須更新安全群組規則以包含 IPv6 地址的規則。例如,在上述範例中,您可以更新 Web 伺服器安全群組 (sg-11aa22bb11aa22bb1) 以新增規則,允許透過 IPv6 地址的傳入 HTTP、HTTPS 和 SSH 存取。您不需要變更資料庫安全群組的傳入規則;允許來自 sg-11aa22bb11aa22bb1 之所有通訊的規則包含 IPv6 通訊。

更新傳入安全群組規則

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇安全群組,然後選取 Web 伺服器安全群組。

  3. 傳入規則索引標籤中,選擇編輯傳入規則

  4. 對於允許 IPv4 流量的每個規則,請選擇新增規則,然後將規則設定為允許對應的 IPv6 流量。例如,若要新增規則以允許透過 IPv6 的所有 HTTP 流量,請針對類型選擇 HTTP,然後針對來源選擇 ::/0

  5. 當您完成新增規則的作業時,請選擇儲存規則

更新傳出安全群組規則

當您將 IPv6 CIDR 區塊與 VPC 建立關聯時,我們會自動為允許所有 IPv6 流量的 VPC 的安全群組新增傳出規則。不過,如果您已修改安全群組的原始傳出規則,則不會自動新增此規則,而且您必須新增 IPv6 流量的對等傳出規則。

更新網路 ACL 規則

當您將 IPv6 CIDR 區塊與 VPC 建立關聯時,會自動將規則新增至預設網路 ACL 以允許 IPv6 流量。不過,如果您修改預設網路 ACL,或已建立自訂網路 ACL,則必須手動新增 IPv6 流量的規則。如需詳細資訊,請參閱 使用網路 ACL

步驟 4:將 IPv6 地址指派給執行個體

所有目前世代的執行個體類型都支援 IPv6。如果您的執行個體類型不支援 IPv6,您必須將執行個體的大小調整為支援的執行個體類型,然後才能指派 IPv6 地址。您將使用的程序取決於所選擇的新執行個體類型是否與目前的執行個體類型相容。如需詳細資訊,請參閱 Amazon EC2 使用者指南中的變更執行個體類型。如果您必須從新的 AMI 啟動執行個體以支援 IPv6,則可以在啟動期間將 IPv6 地址指派給執行個體。

確認執行個體類型支援 IPv6 之後,即可使用 Amazon EC2 主控台將 IPv6 地址指派給執行個體。IPv6 地址會指派給執行個體的主要網路界面 (eth0)。如需詳細資訊,請參閱 Amazon EC2 使用者指南中的指派 IPv6 地址給執行個體。

您可以使用執行個體的 IPv6 地址連線到執行個體。如需詳細資訊,請參閱 Amazon EC2 使用者指南中的使用安全殼層用戶端 Connect 到 Linux 執行個體,或使用 Amazon EC2 使用者指南中的 IPv6 地址 Connect 到 Windows 執行個體。

如果您使用適用於目前版本作業系統的 AMI 啟動執行個體,則您的執行個體將設定為使用 IPv6。如果您無法從執行個體 ping IPv6 地址,請參閱適用於您作業系統的說明文件來設定 IPv6。