Ajoutez le support IPv6 à votre VPC - Amazon Virtual Private Cloud
Exemple : activer IPv6 dans un VPC avec un sous-réseau public et privéÉtape 1 : Associer un bloc d'adresse CIDR IPv6 à votre VPC et vos sous-réseauxÉtape 2 : Mettre à jour vos tables de routageÉtape 3 : Mettre à jour les règles de votre groupe de sécuritéÉtape 4 : Attribuer des adresses IPv6 à vos instances

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Ajoutez le support IPv6 à votre VPC

Si vous avez un VPC existant qui prend uniquement en charge IPv4 et que les ressources de votre sous-réseau sont configurées pour utiliser uniquement IPv4, vous pouvez ajouter le support IPv6 à votre VPC et à vos ressources. Votre VPC peut fonctionner en mode double pile : vos ressources peuvent communiquer via IPv4, IPv6 ou les deux. Les communications IPv4 et IPv6 sont indépendantes l'une de l'autre.

Vous ne pouvez pas désactiver la prise en charge d'IPv4 de votre VPC et de vos sous-réseaux ; il s'agit du système d'adressage IP par défaut pour Amazon VPC et Amazon EC2.

Considérations

  • Il n'existe aucun chemin de migration des sous-réseaux IPv4 uniquement vers des sous-réseaux IPv6 uniquement.

  • Cet exemple part du principe que vous disposez d'un VPC existant avec des sous-réseaux publics et privés. Pour plus d'informations sur la création d'un VPC à utiliser avec IPv6, veuillez consulter Création d'un VPC.

  • Avant de commencer à utiliser IPv6, assurez-vous d'avoir lu les fonctionnalités de l'adressage IPv6 pour Amazon VPC :. Comparez l'IPv4 et l'IPv6

Processus

Le tableau suivant fournit une présentation du processus d'activation d'IPv6 pour votre VPC.

Étape Remarques
Étape 1 : Associer un bloc d'adresse CIDR IPv6 à votre VPC et vos sous-réseaux Associez un bloc d'adresse CIDR d'IPv6 ou BYOIP fourni par Amazon avec votre VPC et vos sous-réseaux.
Étape 2 : Mettre à jour vos tables de routage Mettez à jour vos tables de routage pour acheminer le trafic IPv6. Pour un sous-réseau public, créez un routage qui achemine l'ensemble du trafic IPv6 du sous-réseau vers la passerelle Internet. Pour un sous-réseau privé, créez un routage qui achemine l'ensemble du trafic IPv6 Internet entrant du sous-réseau vers une passerelle Internet de sortie uniquement.
Étape 3 : Mettre à jour les règles de votre groupe de sécurité Mettez à jour vos règles de groupe de sécurité pour inclure les règles des adresses IPv6. Cela active le trafic d'IPv6 en provenance ou à destination de vos instances. Si vous avez créé des règles ACL réseau personnalisées pour contrôler le flux du trafic à destination et en provenance de votre sous-réseau, vous devez inclure les règles de trafic IPv6.
Étape 4 : Attribuer des adresses IPv6 à vos instances Attribuez des adresses IPv6 à vos instances à partir de la plage d'adresses IPv6 de votre sous-réseau.

Exemple : activer IPv6 dans un VPC avec un sous-réseau public et privé

Dans cet exemple, votre VPC dispose d'un sous-réseau public et un privé. Vous disposez d'une instance de base de données de votre sous-réseau privé ayant des communications sortantes avec Internet via une passerelle NAT de votre VPC. Vous disposez d'un serveur web public dans votre sous-réseau public ayant accès à Internet via la passerelle Internet. Le schéma suivant présente l'architecture de votre VPC.

Un VPC avec un sous-réseau public, un sous-réseau privé, une passerelle NAT et une passerelle Internet

Le groupe de sécurité de votre serveur web (par exemple avec l'ID de groupe de sécurité sg-11aa22bb11aa22bb1) comporte les règles de trafic entrant suivantes :

Type Protocole Plage de ports Source Commentaire
Tout le trafic Tous Tous sg-33cc44dd33cc44dd3 Autorisez l'accès entrant pour tout le trafic à partir des instances associées à sg-33cc44dd33cc44dd3 (l'instance de base de données).
HTTP TCP 80 0.0.0.0/0 Autorise le trafic entrant à partir d'Internet sur HTTP.
HTTPS TCP 443 0.0.0.0/0 Autorise le trafic entrant à partir d'Internet sur HTTPS.
SSH TCP 22 203.0.113.123/32 Autorise l'accès SSH entrant à partir de votre ordinateur local ; par exemple, lorsque vous devez vous connecter à votre instance pour effectuer des tâches d'administration.

Le groupe de sécurité de votre instance de base de données (par exemple avec l'ID de groupe de sécurité sg-33cc44dd33cc44dd3) comporte la règle entrante suivante :

Type Protocole Plage de ports Source Commentaire
MySQL TCP 3306 sg-11aa22bb11aa22bb1 Autorise l'accès entrant pour le trafic MySQL à partir d'instances associées à sg-11aa22bb11aa22bb1 (l'instance de serveur web).

Les deux groupes de sécurité comportent la règle de trafic sortant par défaut qui autorise tout le trafic IPv4 sortant, et aucune autre règle sortante.

Le type d'instance de votre serveur web est t2.medium. Votre serveur de base de données est une m3.large.

Vous voulez que votre VPC et vos ressources soient activés pour IPv6, et vous voulez qu'ils fonctionnent en mode double pile ; en d'autres termes, vous voulez utiliser l'adressage IPv6 et IPv4 entre les ressources de votre VPC et vos ressources via Internet.

Étape 1 : Associer un bloc d'adresse CIDR IPv6 à votre VPC et vos sous-réseaux

Vous pouvez associer un bloc d'adresse CIDR IPv6 à votre VPC, puis associer un bloc d'adresse CIDR /64 à partir de cette plage à chaque sous-réseau.

Pour associer un bloc d'adresse CIDR IPv6 à un VPC

  1. Ouvrez la console VPC d’Amazon sur https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, sélectionnez Vos VPC.

  3. Sélectionnez votre VPC.

  4. Choisissez Actions, Modifier les CIDR, puis Ajouter un nouveau CIDR IPv6.

  5. Sélectionnez l'une des options suivantes, puis sélectionnez Sélectionner CIDR) :

    • Bloc d'adresse CIDR IPv6 fourni par Amazon : utiliser un bloc d'adresse CIDR IPv6 à partir du groupe d'adresses IPv6 d'Amazon. Pour Network Border Group, choisissez le groupe à partir duquel les AWS adresses IP sont publiées.

    • Bloc d'adresse CIDR IPv6 alloué par IPAM : utiliser un bloc d'adresse CIDR IPv6 à partir d'un groupe IPAM. Choisissez le groupe IPAM et le bloc d'adresse CIDR IPv6.

    • Bloc d'adresse CIDR IPv6 m'appartenant : utiliser un bloc d'adresse CIDR IPv6 à partir de votre groupe d'adresses IPv6 (BYOIP). Choisissez le groupe d'adresses IPv6 et le bloc d'adresse CIDR IPv6.

  6. Choisissez Fermer.

Pour associer un bloc d'adresse CIDR IPv6 à un sous-réseau

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, choisissez Subnets (Sous-réseaux).

  3. Sélectionnez un sous-réseau.

  4. Choisissez Actions, Modifier les CIDR IPv6, puis Ajouter CIDR IPv6.

  5. Modifiez le bloc CIDR selon vos besoins (par exemple, remplacez 00).

  6. Choisissez Enregistrer.

  7. Répétez cette procédure pour tous les autres sous-réseaux dans votre VPC.

Pour plus d’informations, consultez Blocs d'adresse CIDR VPC IPv6.

Étape 2 : Mettre à jour vos tables de routage

Lorsque vous associez un bloc d'adresse CIDR IPv6 à votre VPC, nous ajoutons automatiquement une route locale à chaque table de routage pour le VPC afin d'autoriser le trafic IPv6 au sein du VPC.

Vous devez mettre à jour les tables de routage afin de permettre aux instances (comme les serveurs web) d'utiliser la passerelle Internet pour le trafic IPv6. Vous devez également mettre à jour le tables de routage de vos sous-réseaux privés afin de permettre aux instances (comme les instances de base de données) d'utiliser une passerelle Internet de sortie uniquement pour le trafic IPv6, car les passerelles NAT ne prennent pas en charge IPv6.

Pour mettre à jour la table de routage pour un sous-réseau public

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, choisissez Subnets (Sous-réseaux). Sélectionnez le sous-réseau public. Dans l'onglet Table de routage, choisissez l'ID de table de routage pour ouvrir la page de détails de la table de routage.

  3. Sélectionnez la table de routage. Dans l'onglet Routes, choisissez Edit routes (Modifier les routes).

  4. Choisissez Ajouter une route. Choisissez ::/0 pour Destination. Choisissez l'ID de la passerelle Internet pour Cible.

  5. Sélectionnez Enregistrer les modifications.

Pour mettre à jour le table de routage pour un sous-réseau privé

  1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Passerelles Internet de sortie uniquement. Choisissez Créer une passerelle Internet de sortie uniquement. Choisissez votre VPC parmi VPC, puis choisissez Créer une passerelle Internet de sortie uniquement.

    Pour plus d’informations, consultez Activer le trafic sortant IPv6 à l'aide de passerelles Internet de sortie uniquement.

  3. Dans le panneau de navigation, choisissez Subnets (Sous-réseaux). Sélectionnez le sous-réseau privé. Dans l'onglet Table de routage, choisissez l'ID de table de routage pour ouvrir la page de détails de la table de routage.

  4. Sélectionnez la table de routage. Dans l'onglet Routes, choisissez Edit routes (Modifier les routes).

  5. Choisissez Ajouter une route. Choisissez ::/0 pour Destination. Choisissez l'ID de la passerelle Internet de sortie uniquement pour Cible.

  6. Sélectionnez Enregistrer les modifications.

Pour plus d’informations, consultez Exemples d'options de routage.

Étape 3 : Mettre à jour les règles de votre groupe de sécurité

Pour activer vos instances de sorte qu'elles envoient et qu'elles reçoivent du trafic sur IPv6, vous devez mettre à jour vos règles de groupe de sécurité, de sorte qu'elles comprennent des règles pour les adresses IPv6. Par exemple, dans l'exemple ci-dessus, vous pouvez mettre à jour le groupe de sécurité du serveur Web (sg-11aa22bb11aa22bb1) pour ajouter des règles autorisant un accès entrant sur HTTP, HTTPS, et SSH depuis à partir des adresses IPv6. Vous n'avez pas besoin d'apporter de modifications aux règles de trafic entrant pour votre groupe de sécurité de base de données ; la règle qui autorise toutes les communications à partir de sg-11aa22bb11aa22bb1 inclut la communication IPv6.

Pour mettre à jour les règles entrantes de votre groupe de sécurité

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, sélectionnez Groupes de sécurité et sélectionnez le groupe de sécurité de votre serveur web.

  3. Sous l'onglet Règles entrantes, choisissez Modifier les règles entrantes.

  4. Pour chaque règle autorisant le trafic IPv4, choisissez Ajouter une règle et configurez la règle pour autoriser le trafic IPv6 correspondant. Par exemple, pour ajouter une règle autorisant tout le trafic HTTP sur IPv6, choisissez HTTP pour Type et ::/0 pour Source.

  5. Lorsque vous avez terminé d'ajouter les règles, choisissez Enregistrer les règles.

Mettre à jour les règles sortantes de votre groupe de sécurité

Lorsque vous associez un bloc d'adresse CIDR IPv6 à votre VPC, nous ajoutons automatiquement une règle sortante aux groupes de sécurité du VPC qui autorise tout le trafic IPv6. Toutefois, si vous avez modifié les règles sortantes d'origine de votre groupe de sécurité, cette règle n'est pas ajoutée automatiquement, et vous devez ajouter des règles sortantes équivalentes pour le trafic IPv6.

Mettre à jour vos règles de liste ACL réseau

Lorsque vous associez un bloc d'adresse CIDR IPv6 à un VPC, nous ajoutons automatiquement des règles à la liste ACL réseau par défaut pour autoriser le trafic IPv6. Toutefois, si vous avez modifié votre liste ACL réseau par défaut ou si vous avez créé une liste ACL réseau personnalisée, vous devez ajouter manuellement des règles pour le trafic IPv6. Pour plus d’informations, consultez Utiliser les ACL réseau.

Étape 4 : Attribuer des adresses IPv6 à vos instances

Tous les types d'instance de la génération actuelle prennent en charge IPv6. Si votre type d'instance ne prend pas en charge IPv6, vous devez redimensionner l'instance vers un type d'instance pris en charge avant de pouvoir attribuer une adresse IPv6. Le processus que vous allez utiliser dépend de la compatibilité du nouveau type d'instance que vous choisissez avec le type d'instance actuel. Pour de plus amples informations, veuillez consulter Modifier le type d'instance dans le Guide de l'utilisateur d'Amazon EC2 pour instances Linux. Si vous devez lancer une instance à partir d'une nouvelle AMI pour prendre en charge IPv6, vous pouvez attribuer une adresse IPv6 à votre instance pendant le lancement.

Après avoir vérifié que votre type d'instance est compatible avec IPv6, vous pouvez attribuer une adresse IPv6 à votre instance à l'aide de la console Amazon EC2. L'adresse IPv6 est attribuée à l'interface réseau principale (eth0) pour l'instance. Pour plus d'informations, consultez Attribuer une adresse IPv6 à une instance dans le Guide de l'utilisateur d'Amazon EC2 pour instances Linux.

Vous pouvez vous connecter à une instance à l'aide de son adresse IPv6. Pour plus d'informations, consultez Se connecter à votre instance Linux à l'aide d'un client SSH dans le Guide de l'utilisateur d'Amazon EC2 pour instances Linux ou Connexion à une instance Windows à l'aide de son adresse IPv6 dans le Guide de l’utilisateur d’Amazon EC2 pour les instances Windows.

Si vous avez lancé votre instance à l'aide d'une AMI pour une version actuelle de votre système d'exploitation, votre instance est configurée pour IPv6. Si vous ne parvenez pas à envoyer une commande ping à une adresse IPv6 depuis votre instance, consultez la documentation de votre système d'exploitation pour configurer IPv6.