最佳實(shí)踐：阿里云VPC、ECS支持IPv6啦！

12月6日，阿里云宣布為企業(yè)提供全棧IPv6解決方案。

阿里云專有網(wǎng)絡(luò)VPC、云服務(wù)器ECS，作為阿里云的核心產(chǎn)品，也于2018年11月底上線雙棧VPC、雙棧ECS，目前正在對外公測中。

那么如何在阿里云擁有IPv4/IPv6雙棧VPC、雙棧ECS呢，請看下文詳解。

操作概覽

操作詳情

（一）VPC開通IPv6

前提：您已經(jīng)獲取阿里云IPv6使用資格，點(diǎn)我申請公測資格

1.1、登錄阿里云專有網(wǎng)絡(luò)VPC控制臺，地域選擇“華北5（呼和浩特）”。

說明：當(dāng)前VPC雙棧、ECS雙棧，只在阿里云中國站華北5（呼和浩特）地域開服。更多地域即將支持VPC IPv6、ECS IPv6功能，敬請期待。

1.2、點(diǎn)擊創(chuàng)建專有網(wǎng)絡(luò)，在右滑頁面按照提示進(jìn)行操作。

創(chuàng)建專有網(wǎng)絡(luò)的同時(shí)，您還需要創(chuàng)建一個(gè)交換機(jī)。

交換機(jī)的IPv6網(wǎng)段支持用戶自定義后8比特位，您可以在輸入框輸入0-255范圍內(nèi)的任意數(shù)字（十進(jìn)制0-255對應(yīng)交換機(jī)IPv6網(wǎng)段的后8比特位）。

1.3、創(chuàng)建完成后，您可以在VPC的列表頁查看剛才創(chuàng)建的IPv6/IPv4 雙棧VPC。

也可以控制臺交換機(jī)列表頁查看剛才創(chuàng)建的IPv6/IPv4雙棧交換機(jī)。

（二）為ECS實(shí)例分配IPv6地址

2.1、在已經(jīng)開通了IPv6的交換機(jī)列表頁，點(diǎn)擊購買-ECS實(shí)例。

2.2、在ECS購買頁面過濾支持IPv6的規(guī)格

按ECS購買頁面提示選擇鏡像系統(tǒng)和存儲數(shù)據(jù)盤。點(diǎn)擊下一步：網(wǎng)絡(luò)和安全組”。

2.3、在ECS購買頁面網(wǎng)絡(luò)和安全組頁面選擇為ECS實(shí)例免費(fèi)分配IPv6地址。

然后按ECS購買頁面的提示完成ECS的購買。

2.4、返回ECS實(shí)例列表頁，點(diǎn)擊ECS的ID，進(jìn)入ECS管理頁面進(jìn)行查看。在配置信息可以看到系統(tǒng)為ECS分配的IPv6地址

（三）IPv6安全組設(shè)置

創(chuàng)建ECS完成后，ECS的安全組出方向默認(rèn)允許所有訪問（包含IPv4地址段和IPv6地址段），您可以根據(jù)需要，配置安全組授權(quán)指定IPv6地址段的入方向訪問策略。

本示例中，為了便于演示，安全組將允許任意IPv6地址段訪問ECS。

在ECS詳情頁的左側(cè)導(dǎo)航欄，選擇本實(shí)例安全組。然后再安全組的列表頁點(diǎn)擊配置規(guī)則。

點(diǎn)擊右上角的添加安全組規(guī)則，為ECS實(shí)例IPv6地址段設(shè)置安全組規(guī)則。

如下圖所示，ECS實(shí)例的入方向?qū)θ我釯Pv6地址段進(jìn)行放行。

（四）ECS實(shí)例配置IPv6服務(wù)和IPv6地址

IPv6公測中，默認(rèn)不會為ECS實(shí)例配置IPv6地址，您可以通過工具為實(shí)例配置IPv6服務(wù)及IPv6靜態(tài)地址。

您也可以手工配置IPv6服務(wù)（Windows?/?Linux）、及配置靜態(tài)IPv6地址（Windows/?Linux）

本文采用手工方式配置Linux的IPv6服務(wù)及靜態(tài)IPv6地址。

為ECS實(shí)例配置IPv6服務(wù)

4.1、先為上面創(chuàng)建的ECS實(shí)例配置IPv6服務(wù)，因?yàn)镋CS為Linux，遠(yuǎn)程連接ECS實(shí)例后，分別執(zhí)行如下操作

運(yùn)行 vi /etc/default/grub，刪除內(nèi)核參數(shù) ipv6.disable=1 后保存退出。

運(yùn)行 vi /boot/grub/grub.cfg，刪除內(nèi)核參數(shù) ipv6.disable=1 后保存退出。

然后重啟實(shí)例。

運(yùn)行 vi /etc/modprobe.d/disable_ipv6.conf，將 options ipv6 disable=1 修改為 options ipv6 disable=0

運(yùn)行 vi /etc/sysctl.conf，做如下修改：

net.ipv6.conf.all.disable_ipv6 = 0

net.ipv6.conf.default.disable_ipv6 = 0

net.ipv6.conf.lo.disable_ipv6 = 0

運(yùn)行 sysctl -p 使配置生效。

4.2 運(yùn)行 ip addr | grep inet6 ，查看ECS實(shí)例的IPv6地址是否已經(jīng)生效。如下圖所示，配置的IPv6服務(wù)已經(jīng)生效。

為ECS實(shí)例配置靜態(tài)IPv6地址

4.3、運(yùn)行 curl?http://100.100.100.200/2016-01-01/meta-data/network/interfaces/macs/

獲取ECS實(shí)例的mac地址如下圖：

注：ECS的mac地址也可通過控制臺進(jìn)行查看。如下圖所示

4.4、運(yùn)行 curl?http://100.100.100.200/2016-01-01/meta-data/network/interfaces/macs/[mac]/ipv6-gateway

獲取ECS實(shí)例的IPv6網(wǎng)關(guān)地址，用上面獲取的mac地址替換命令中的[mac]。

如本示例中執(zhí)行如下：

curl?http://100.100.100.200/2016-01-01/meta-data/network/interfaces/macs/00:16:3e:00:3c:60/ipv6-gateway

獲取IPv6網(wǎng)關(guān)地址如下圖：

4.5、運(yùn)行 vi /etc/sysconfig/network-scripts/ifcfg-eth0 打開網(wǎng)卡配置文件，eth0 為網(wǎng)卡標(biāo)識符，您需要修改成實(shí)際的標(biāo)識符。在文件中根據(jù)實(shí)際信息添加以下配置：

IPV6INIT=yes

IPV6ADDR=IPv6地址/子網(wǎng)前綴長度

IPV6_DEFAULTGW= IPv6網(wǎng)關(guān)地址

本示例中，即執(zhí)行如下命令

IPV6INIT=yes

IPV6ADDR=2408:4004:1e0:d01:490d:7903:6cc9:9f2f/64

IPV6_DEFAULTGW=2408:4004:1e0:d01:ffff:ffff:ffff:fff7

4.6、重啟網(wǎng)絡(luò)服務(wù)：運(yùn)行 service network restart 或 systemctl restart network

4.7、通過ifconfig命令，查看ECS實(shí)例的IPv6地址

（五）創(chuàng)建IPv6公網(wǎng)帶寬

為ECS分配的IPv6地址，其默認(rèn)IPv6公網(wǎng)帶寬為0Mbps，即該IPv6地址只具備VPC私網(wǎng)通信權(quán)限，不能與互聯(lián)網(wǎng)進(jìn)行通信。

如果您需要ECS實(shí)例通過IPv6地址與互聯(lián)網(wǎng)進(jìn)行通信，您還需要登錄IPv6網(wǎng)關(guān)控制臺，為指定的IPv6地址開通IPv6公網(wǎng)帶寬。

控制臺執(zhí)行VPC開通IPv6時(shí)，系統(tǒng)將為您自動創(chuàng)建一個(gè)免費(fèi)版的IPv6網(wǎng)關(guān)，IPv6網(wǎng)關(guān)是VPC管理IPv6公網(wǎng)流量的出入口。（點(diǎn)我查看更多IPv6網(wǎng)關(guān)信息）

5.1、 登錄IPv6網(wǎng)關(guān)控制臺，可以看到VPC開通IPv6時(shí)系統(tǒng)自動創(chuàng)建的免費(fèi)版IPv6網(wǎng)關(guān)。點(diǎn)擊IPv6網(wǎng)關(guān)實(shí)例ID進(jìn)入管理頁面。

5.2、左側(cè)導(dǎo)航欄選擇IPv6公網(wǎng)帶寬，在這個(gè)頁面，可以看到當(dāng)前VPC下面所有實(shí)例的IPv6地址。選擇要開通IPv6公網(wǎng)帶寬的IPv6地址，點(diǎn)擊開通公網(wǎng)帶寬。

5.3、在IPv6公網(wǎng)帶寬的購買頁面，選擇您需要的公網(wǎng)計(jì)費(fèi)方式和帶寬峰值，點(diǎn)擊立即購買。

在IPv6地址列表下面點(diǎn)擊刷新，就可以看到已開通的IPv6公網(wǎng)帶寬信息，有IPv6公網(wǎng)帶寬的IPv6地址具備IPv6公網(wǎng)通信權(quán)限。

此時(shí)，ECS實(shí)例可通過IPv6地址訪問互聯(lián)網(wǎng)，也可以被互聯(lián)網(wǎng)指定的IPv6終端主動訪問。

（六）驗(yàn)證ECS實(shí)例公網(wǎng)通信能力

6.1、遠(yuǎn)程登錄上面創(chuàng)建的ECS實(shí)例，先ping具備ipv6地址的網(wǎng)站，驗(yàn)證ECS的IPv6連通性。

6.2、搭建簡單web服務(wù)，驗(yàn)證是否可以被IPv6終端訪問，

通過IPv6終端進(jìn)行訪問，訪問結(jié)果如下，訪問成功。

（七）高階功能：使ECS實(shí)例只具備IPv6公網(wǎng)僅主動出能力

為了安全考慮，您需要ECS經(jīng)IPv6地址只能主動訪問互聯(lián)網(wǎng)，而不需要被互聯(lián)網(wǎng)IPv6終端主動發(fā)起對您IPv6地址的連接，您還可以進(jìn)一步設(shè)置IPv6公網(wǎng)僅主動出權(quán)限。

7.1、登錄IPv6網(wǎng)關(guān)控制臺，可以看到VPC開通IPv6時(shí)系統(tǒng)自動創(chuàng)建的免費(fèi)版IPv6網(wǎng)關(guān)。點(diǎn)擊IPv6網(wǎng)關(guān)實(shí)例ID進(jìn)入管理頁面。左側(cè)導(dǎo)航欄選擇僅主動出規(guī)則，在這個(gè)頁面，點(diǎn)擊創(chuàng)建僅主動出規(guī)則。

在右滑頁面選擇需要設(shè)置IPv6公網(wǎng)僅主動出權(quán)限的ECS實(shí)例，單擊確定。

在僅主動出規(guī)則的列表頁，可以看到剛才創(chuàng)建的僅主動出規(guī)則。如下圖

7.2、登錄ipv6終端訪問第（六）步搭建了web服務(wù)的ECS實(shí)例，驗(yàn)證僅主動出規(guī)則是否生效

但登錄ECS實(shí)例，訪問有IPv6地址的網(wǎng)站，依然可以成功訪問，僅主動出規(guī)則生效。

有用鏈接

什么是IPv6網(wǎng)關(guān)

VPC開啟IPv6

交換機(jī)開啟IPv6

管理IPv6公網(wǎng)帶寬

管理出公網(wǎng)規(guī)則

ECS實(shí)例配置IPv6地址

ECS 支持 IPv6 啦，快來嘗鮮吧~

IPv6 VPC|ECS公測申請