2026-01-27 12:18:23
8
在本篇文章中,我们将探讨AWS上的IPv6地址类型以及如何设计可扩展的IPv6地址计划,以应对组织在网络和安全方面的未来挑战。随着越来越多的组织由于政府政策、IPv4地址枯竭和私有IPv4地址稀缺而采用IPv6,我们需要设计一个可扩展、灵活且未来可用的IPv6地址计划。
随着越来越多的组织开始在其环境中采用IPv6,这主要受到政府政策、公共IPv4地址枯竭以及私有IPv4地址稀缺的推动。为了适应工作负载的增长、整合新业务需求如并购、扩展新地区并提高开发人员的生产力,您需要设计并实施一个可扩展、可扩展且具有前瞻性的IPv6地址计划。本文将解释AWS上可用的IPv6地址类型,并回顾使用每种地址类型设计可扩展的IPv6地址计划的用例和最佳实践。
我们假设您对亚马逊虚拟私有云VPC的构造、IPv4和IPv6的功能及配置选项有一定了解,并对亚马逊VPC IP地址管理器VPC IPAM有一定认识。同时,您还应熟悉IPv6协议定义、地址类型和配置机制。我们不会深入探讨IPv6协议的结构,但会回顾与AWS上IPv6地址类型相关的最佳实践。
主要的IPv6地址类型有单播地址、多播地址和任播地址。单播IPv6地址唯一标识网络中的一个接口。在IPv6中,单播地址可分为三类:链路本地地址、唯一本地地址和全球地址。链路本地地址仅限于第2层网络,不会在路由器接口之外进行路由。唯一本地地址保留用于不连接互联网的本地网络。全球单播地址则支持互联网通信,并具有全球唯一的地址。在本文中,我们不重点讨论多播或任播IPv6地址。我们建议深入了解IPv6地址以便更好地理解该协议。
在AWS上,您现在可以为Amazon VPC配置全球单播IPv6地址GUA和唯一本地IPv6地址ULA。Amazon VPC是您的独立逻辑网络,您可以在其中启动资源,且其私有、隔离的安全状态在使用IPv6地址时不会改变。
AWS将公共IP地址定义为那些从AWS在互联网上发布的地址,而私有IP地址则是不可在互联网上进行发布的地址。您可以选择在VPC中使用与之关联的多个IPv6前缀,包括私有和公共。例如,您可以仅将私有IPv6地址、仅公共地址或两者混合使用。
AWS上的私有IPv6地址可以包括ULA,旨在进行本地通信,以及依据协议定义可全局路由的私有GUA。ULA和私有GUA不会在AWS上被发布到互联网。这种行为与AWS操作IPv4私有子网的方式相似。例如,您可以将公共IPv4前缀配置为VPC CIDR,从而使其成为一个永不能在互联网上发布的私有CIDR。类似地,您可以在VPC中将GUA IPv6配置为一个私有前缀,且此前缀不会被发布到互联网。有关AWS IP地址类型的更多详细信息,请参见亚马逊VPC的文档。以下是AWS提供的IPv6地址类型:
亚马逊提供的IPv6前缀是公共的、全球唯一的,且由互联网注册机构分配。在AWS上,亚马逊提供的IPv6地址始终在互联网上被发布,您无法控制或更改其发布状态。您可以直接为新的或现有的VPC配置一个随机分配的IPv6 GUA前缀,或者可以接收由AWS提供的连续IPv6 GUA地址块。如果您在AWS区域中有多个VPC,我们建议使用连续的亚马逊分配的IPv6 GUA地址,以便于总结以及优化安全组、网络访问控制列表NACL、防火墙规则和路由表中的条目。
速云梯登录自带IPv6BYOIPv6允许您将自己的IPv6地址空间导入AWS。通过BYOIPv6,您可以控制前缀的发布状态。您可以将BYOIPv6池配置为公共可发布或非公共可发布。基于池的配置设置:
在公共可发布池中配置的BYOIPv6前缀 必须为/48或更大,并必须经过RDAP注册数据访问协议和ROA路由源授权过程,即使您在配置时不打算进行发布。AWS将这些BYOIPv6前缀视为公共,无论其当前的发布状态如何已发布或撤回。在非公共可发布池中配置的BYOIPv6前缀 必须为/60或更大,并且不需要ROA,但需要RDAP过程。AWS将这些BYOIPv6前缀视为私有,因此在配置后不能在互联网发布。在AWS上,您可以将IPv6 GUA用作不在互联网进行发布的私有IPv6地址。您无需经过RDAP和ROA过程即可配置私有IPv6 GUA。您必须只使用由区域互联网注册机构RIR分配给您的IPv6 GUA地址作为私有GUA,以避免与其他互联网端点和其他AWS用户的IPv6地址重叠。当使用私有GUA时,请注意私有IPv6 GUA前缀不能在将来公开发布。如果AWS上变得需要直接互联网连接,那么您必须使用公共IPv6地址重新创建VPC。
IPv6 ULA地址的定义见RFC 4193。该RFC将fd00/8定义为本地分配的ULA地址空间,因此不可在互联网上进行发布,属于私有。亚马逊提供的ULA前缀默认是/48。如果您需要特定的ULA前缀,那么可以直接将其分配到您的亚马逊VPC IPAM池中。使用ULA时,建议您考虑在双栈环境中的协议选择优先级。目前,根据RFC 6724,IPv4地址优先于ULA。因此,我们建议在整个组织内设计一个可扩展的全局地址计划,避免潜在的地址重叠。
为帮助您识别与您的VPC相关的IPv6地址的发布状态,AWS引入了一种新的属性,用于VPC IPv6 CIDR。以下表格回顾了基于您在AWS上使用的IPv6地址类型的相关describe调用的输出:
AWS IPv6地址类型互联网发布状态AWS公共/私有“describevpcs”和“describesubnets”输出亚马逊提供的IPv6地址始终在互联网发布公共Ipv6AddressAttribute = ‘Public’非可发布池中的BYOIPv6 GUA前缀不发布,不能在互联网发布私有Ipv6AddressAttribute = ‘Private’可发布池中的BYOIPv6 GUA前缀您控制发布状态公共对于已发布前缀 Ipv6AddressAttribute = ‘Public’ 对于撤回的前缀 Ipv6AddressAttribute = ‘Public’私有IPv6 GUA前缀不发布,不能在互联网发布私有Ipv6AddressAttribute = ‘Private’IPv6 ULA前缀不发布,不能在互联网发布私有Ipv6AddressAttribute = ‘Private’所有IPv6地址类型均可通过Amazon VPC IPAM或亚马逊弹性计算云EC2进行管理。您可以将IPv6地址导入AWS,仅限于单个账户和AWS区域。如果选择Amazon VPC IPAM,管理和确保IPv6地址分配不重叠的范围仅限于AWS区域和账户适用于免费层,或多账户多区域适用于高级层取决于IPAM层。有关Amazon VPC IPAM层的更多详细信息,请参阅亚马逊VPC IPAM定价文档。在AWS上的私有IPv6地址私有GUA和ULA在Amazon VPC IPAM的私有范围内进行管理,而公共IPv6地址则属于Amazon VPC IPAM的公共范围。有关使用Amazon VPC IPAM管理私有IPv6地址的更多详细信息,请查阅文档。无论池的配置或前缀发布状态如何,BYOIPv6地址总是属于Amazon VPC IPAM的公共范围。有关Amazon VPC IPAM BYOIP流程的更多详细信息,请查阅Amazon VPC IPAM BYOIP教程和这个分步文章。
在以下部分,我们详细介绍在AWS构建地址计划时的一些关键考虑因素:
创建可扩展且高效的IPv6地址计划是组织采用IPv6的最重要初步任务之一。IPv6地址空间总共包含2128或340万亿的IPv6地址。因此,可扩展性和摘要功能非常重要。我们集中指导IPv6地址的最佳实践,以及如何利用互联网协议最新版本的规模和简便性,而不是简单地复制IPv4地址计划。简单地将IPv4地址方案复制到IPv6地址中,可能一开始看起来是最直接的方式。然而,IPv6地址空间几乎没有限制,允许您进行不再受到IPv4地址稀缺的约束的地址计划。Amazon VPC不需要互联网网关IGW或仅出网互联网网关EIGW来使用IPv6地址。Amazon VPC默认是一个边界清晰、安全的网络,允许您在隔离环境中交付工作负载,而添加IPv6地址不改变VPC的私有安全姿势。您可以选择是否在VPC中关联IGW或EIGW。然而,只有在您的VPC中使用已发布的IPv6地址的资源才能使用关联的IGW或EIGW,而无需地址转换。如果您选择使用ULA、私有GUA或撤回的BYOIPv6地址,则不能直接使用与VPC关联的IGW或EIGW。在选择AWS上的IPv6地址类型时,请考虑每种地址类型的定义,以及对互联网连接、安全性、运营和监控的要求。以下是您在AWS构建地址计划时可以使用的检查清单:
IPv6地址分配:亚马逊提供的IPv6 GUA地址由互联网注册机构分配给AWS,您可以在您的VPC中使用。BYOIPv6地址由互联网注册机构分配给您,您可以选择如何以及在哪里使用它们。根据企业的需求、法规或者工作负载类型,您可能需要使用分配给您的IPv6地址来处理面向互联网的工作负载。这也允许您使用提供独立的地址管理您的企业全球IPv6分配。
控制互联网发布状态:通过BYOIPv6,您可以控制IPv6前缀的发布状态,根据需要将每个标记为已发布或已撤回。亚马逊提供的IPv6 GUA前缀始终在互联网上发布,并且您无法控制其发布状态。由IPv6 ULA和私有GUA表示的私有IPv6地址则绝不能在互联网上发布。
使用私有IPv6地址:AWS上的私有IPv6地址包括IPv6 ULA和私有GUA,且它们不能在互联网上进行发布。您可以在AWS上使用私有IPv6地址,用于不需要当前或将来的互联网连接的资源。您可以使用撤回的BYOIPv6 GUA来实现同样的功能。如果网络连接设计或要求发生变化,您可以在将来发布IPv6前缀。为防止误配置或意外发布撤回的前缀,建议您在您组织中配置保护机制和授权机制,控制可以修改BYOIPv6前缀发布状态的主体和角色。
主机IP地址选择:大多数操作系统遵循这里的RFC 6724进行IP地址选择。您可以在Amazon VPC中使用多种IPv6地址类型的组合。例如,您可以配置一个VPC,包含IPv6 ULA和GUA前缀,或者已发布的IPv6 GUA和撤回的IPv6 GUA前缀。根据您的工作负载配置,您在实例上可以配置多种IPv6地址类型。在使用多种IPv6地址范围时,我们建议您仔细考虑通信时选择哪个地址。
分层摘要:在IPv6中,摘要有助于减少VPC、AWS Transit Gateway、AWS Cloud WAN和AWS Direct Connect的IPv6路由表规模。这让它们更易于管理,且不超出AWS的配额。摘要还简化了安全组、NACL和防火墙规则的配置。维护全球摘要边界对于使用BYOIPv6地址至关重要。如果您有由不同互联网注册机构如ARIN、APNIC、RIPE、AFRNIC分配的多个IPv6前缀,那么您可以通过在多个池中配置BYOIPv6,持续维护区域分配。例如,您可以为每个地理区域配置一个顶层的Amazon VPC IPAM池,在每个池中分配相应的IPv6块,并为VPC分配区域IPv6前缀,保持互联网的层次结构。相反,如果您仅有一个由互联网注册机构分配的前缀,您可以在AWS上全局使用该前缀,并在任何AWS区域中为VPC进行分配。
区域、帐户和VPC IPv6前缀边界:互联网发布的IPv6前缀的最小大小为/48。大于/48的前缀不能在互联网上发布。例如,如果您使用BYOIPv6并希望从AWS发布前缀,则在配置时或之后的任何时候,您都需要在每个AWS区域维护至少/48的前缀大小。在Amazon VPC中配置的IPv6前缀默认是/56,范围在/44到/60之间,而子网前缀的默认大小是/64,范围在/60到/64之间。
IPv6采纳策略:您的IPv6采纳策略对于选择不同类型的IPv6地址具有重要作用,因为它也促进互联网连接模式的形成。外向型IPv6采纳涉及为在AWS上部署的应用程序创建面向互联网的IPv6端点。您可以使用亚马逊分配的IPv6 GUA或已发布的BYOIPv6 GUA来为面向互联网的资源分配地址。这些地址会从AWS发布到互联网,因此被视为公共。您的资源可以利用AWS IGW和EIGW进行互联网连接。如果您的意图是确保通过本地在您的VPC中实现互联网连接,您可以使用撤回的BYOIPv6 GUA或私有GUA,从而通过本地互联网连接发布前缀。使用撤回的BYOIPv6 GUA而不是私有GUA,允许您在将来的网络要求变化时从AWS发布您的前缀。内向型IPv6采纳涉及在内部使用IPv6,从而超越IPv4空间所提供的能力。您可以使用撤回的BYOIPv6 GUA或私有IPv6用于内部工作负载,如果您的连接要求发生变化,您可以在将来发布BYOIPv6