Adicionar suporte a IPv6 à sua VPC - Amazon Virtual Private Cloud
Exemplo: habilitação de um IPv6 em uma VPC com sub-rede pública e privadaEtapa 1: associar um bloco CIDR IPv6 com a VPC e as sub-redesEtapa 2: atualizar as tabelas de rotasEtapa 3: atualizar as regras do grupo de segurançaEtapa 4: atribuir endereços IPv6 às suas instâncias

Adicionar suporte a IPv6 à sua VPC

Se você possuir uma VPC que ofereça suporte somente a IPv4 e recursos na sub-rede que sejam configurados para usar somente o IPv4, poderá adicionar o suporte a IPv6 para a VPC e seus recursos. A VPC pode operar em modo de pilha dual: os seus recursos podem se comunicar por IPv4, IPv6 ou ambos. A comunicação IPv4 é independente da comunicação IPv6.

Não é possível desabilitar o suporte IPv4 para a VPC e as sub-redes. Este é o sistema de endereçamento IP padrão para a Amazon VPC e o Amazon EC2.

Considerações

  • Não há caminho de migração de sub-redes somente IPv4 para sub-redes somente IPv6.

  • Este exemplo pressupõe que você tenha uma VPC existente com sub-redes públicas e privadas. Para obter mais informações sobre como criar uma VPC para uso com IPv6, consulte Crie uma VPC.

  • Antes de migrar para IPv6, certifique-se de ter lido os recursos do endereçamento IPv6 para a Amazon VPC: Comparar IPv4 e IPv6.

Processar

A tabela a seguir fornece uma visão geral do processo para habilitar o IPv6 para sua VPC.

Etapa Observações
Etapa 1: associar um bloco CIDR IPv6 com a VPC e as sub-redes Associe um bloco CIDR IPv6 fornecido pela Amazon ou BYOIP à sua VPC e a suas sub-redes.
Etapa 2: atualizar as tabelas de rotas Atualize as tabelas de rota para encaminhar o tráfego IPv6. Para uma sub-rede pública, crie uma rota que encaminhe todo o tráfego IPv6 da sub-rede para o gateway de Internet. Para uma sub-rede privada, crie uma rota que encaminhe todo o tráfego IPv6 direcionado à Internet da sub-rede para um gateway de Internet somente de saída.
Etapa 3: atualizar as regras do grupo de segurança Atualize as regras do grupo de segurança de modo a incluir regras para endereços IPv6. Isso permite que o tráfego IPv6 flua para e a partir das instâncias. Se você criou regras personalizadas de ACL de rede para controlar o fluxo de tráfego para e a partir da sub-rede, você deve incluir regras para o tráfego IPv6.
Etapa 4: atribuir endereços IPv6 às suas instâncias Atribua endereços IPv6 às instâncias a partir do intervalo de endereços IPv6 da sub-rede.

Exemplo: habilitação de um IPv6 em uma VPC com sub-rede pública e privada

Neste exemplo, a VPC possui uma sub-rede pública e privada. Você tem uma instância de banco de dados na sub-rede privada que possui comunicação de saída com a Internet por meio de um gateway NAT na VPC. Você tem um servidor web voltado para o público na sub-rede pública que possui acesso à Internet por meio do gateway de Internet. O diagrama a seguir ilustra a arquitetura da VPC.

VPC com uma sub-rede pública e uma privada, um gateway NAT e um gateway da Internet

O grupo de segurança do servidor da Qeb (por exemplo, com o ID de grupo de segurança sg-11aa22bb11aa22bb1) tem as seguintes regras de entrada:

Tipo Protocolo Intervalo de portas Origem Comentário
Todo o tráfego Tudo Tudo sg-33cc44dd33cc44dd3 Concede acesso de entrada para todo o tráfego de instâncias associadas ao sg-33cc44dd33cc44dd3 (a instância do banco de dados).
HTTP TCP 80 0.0.0.0/0 Permite tráfego de entrada da Internet via HTTP.
HTTPS TCP 443 0.0.0.0/0 Permite tráfego de entrada da Internet via HTTPS.
SSH TCP 22 203.0.113.123/32 Permite o acesso SSH de entrada a partir do seu computador local. Por exemplo, quando você precisa se conectar à instância para executar tarefas de administração.

O grupo de segurança da sua instância de banco de dados (por exemplo, com o ID de grupo de segurança sg-33cc44dd33cc44dd3) tem a seguinte regra de entrada:

Tipo Protocolo Intervalo de portas Origem Comentário
MySQL TCP 3306 sg-11aa22bb11aa22bb1 Concede acesso de entrada para o tráfego de MySQL de instâncias associadas ao sg-11aa22bb11aa22bb1 (a instância do servidor web).

Ambos os grupos de segurança têm a regra de saída padrão que permite todo o tráfego IPv4 de saída e nenhuma outra regra de saída.

O servidor da web é do tipo de instância t2.medium. O servidor de banco de dados é um m3.large.

Você deseja que a VPC e os recursos estejam habilitados para IPv6 e também que eles operem no modo pilha dual. Em outras palavras, você quer usar o endereçamento IPv6 e IPv4 entre recursos da VPC e recursos pela Internet.

Etapa 1: associar um bloco CIDR IPv6 com a VPC e as sub-redes

Você pode associar um bloco CIDR IPv6 com a VPC e, em seguida, associar um bloco CIDR /64 desse intervalo com cada sub-rede.

Para associar um bloco CIDR IPv6 a uma VPC

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Your VPCs (Suas VPCs).

  3. Selecione a VPC.

  4. Escolha Ações, Editar CIDRs e depois Adicionar novo CIDR IPv6.

  5. Selecione uma das seguintes opções e escolha Selecionar CIDR:

    • Bloco CIDR IPv6 fornecido pela Amazon: use um bloco CIDR IPv6 do grupo de endereços IPv6 da Amazon. Em Grupo de borda da rede, selecione o grupo do qual a AWS anuncia endereços IP.

    • Bloco CIDR IPv6 alocado pelo IPAM: use um bloco CIDR IPv6 a partir de um grupo de IPAM. Escolha o grupo de IPAM e o bloco CIDR IPv6.

    • CIDR IPv6 pertencente a mim: use um bloco CIDR IPv6 do seu grupo de endereços IPv6 (BYOIP). Escolha o grupo de endereços IPv6 e o bloco CIDR IPv6.

  6. Escolha Fechar.

Para associar um bloco CIDR IPv6 a uma sub-rede

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Sub-redes.

  3. Selecione uma sub-rede.

  4. Escolha Ações, Editar CIDRs IPv6 e depois Adicionar CIDR IPv6.

  5. Edite o bloco CIDR conforme necessário (por exemplo, substitua 00).

  6. Escolha Salvar.

  7. Repita o procedimento para outras sub-redes da VPC.

Para ter mais informações, consulte Blocos CIDR IPv6 da VPC.

Etapa 2: atualizar as tabelas de rotas

Quando você associa um bloco CIDR IPv6 à sua VPC, adicionamos automaticamente uma rota local a cada tabela de rotas da VPC para permitir o tráfego IPv6 nela.

Você deve atualizar as tabelas de rotas das suas sub-redes públicas para permitir que instâncias (como servidores Web) usem o gateway da Internet para tráfego IPv6. Você também deve atualizar as tabelas de rotas de sub-redes privadas para permitir que instâncias (como instâncias de banco de dados) usem um gateway da Internet somente de saída para tráfego IPv6, pois os gateways NAT não são compatíveis com IPv6.

Para atualizar a tabela de rotas de um sub-rede pública

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Sub-redes. Selecione a sub-rede pública. Na guia Tabela de rotas, escolha o ID da tabela de rotas para abrir a respectiva página de detalhes.

  3. Selecione a tabela de rotas do . Na guia Rotas, escolha Editar rotas.

  4. Escolha Adicionar rota. Escolha ::/0 para Destino. Escolha o ID do gateway da Internet para Alvo.

  5. Escolha Salvar alterações.

Para atualizar a tabela de rotas de uma sub-rede privada

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Gateways da Internet somente de saída. Escolha Criar um Gateway da Internet somente de saída. Escolha sua VPC em VPC e depois escolha Criar gateway da Internet somente de saída.

    Para ter mais informações, consulte Habilitar o tráfego IPv6 de saída usando gateways da Internet somente de saída.

  3. No painel de navegação, escolha Sub-redes. Selecione a sub-rede privada. Na guia Tabela de rotas, escolha o ID da tabela de rotas para abrir a respectiva página de detalhes.

  4. Selecione a tabela de rotas do . Na guia Rotas, escolha Editar rotas.

  5. Escolha Adicionar rota. Escolha ::/0 para Destino. Escolha o ID do gateway da Internet somente de saída para Alvo.

  6. Escolha Salvar alterações.

Para ter mais informações, consulte Exemplo de opções de roteamento.

Etapa 3: atualizar as regras do grupo de segurança

Para permitir que as instâncias enviem e recebam tráfego pelo IPv6, é necessário atualizar as regras de grupo de segurança para incluir regras para endereços IPv6. Por exemplo, no exemplo acima, atualize o grupo de segurança do servidor web (sg-11aa22bb11aa22bb1) para adicionar regras que permitem HTTP e HTTPS de entrada e acesso SSH a partir de endereços IPv6. Não é necessário fazer alterações nas regras de entrada do seu grupo de segurança de banco de dados. A regra que permite toda a comunicação de sg-11aa22bb11aa22bb1 inclui a comunicação IPv6.

Para atualizar as regras do grupo de segurança de entrada

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Grupos de segurança e selecione o grupo de segurança do servidor Web.

  3. Na guia Regras de entrada, selecione Editar regras de entrada.

  4. Para cada regra que permite tráfego IPv4, escolha Adicionar regra e configure-a para permitir o tráfego IPv6 correspondente. Por exemplo, para adicionar uma regra que permite todo o tráfego HTTP via IPv6, escolha HTTP em Tipo e ::/0 em Origem.

  5. Quando terminar de adicionar regras, escolha Salvar regras.

Atualizar regras do grupo de segurança de saída

Quando você associa um bloco CIDR IPv6 à sua VPC, adicionamos automaticamente uma regra de saída aos grupos de segurança da VPC que permite todo o tráfego IPv6. No entanto, se você modificou as regras de saída originais para o grupo de segurança, esta regra não será adicionada automaticamente e você deverá adicionar regras de saída equivalentes para o tráfego IPv6.

Atualizar as regras de ACL de rede

Quando você associa um bloco CIDR IPv6 a uma VPC, adicionamos regras automaticamente à ACL de rede padrão para permitir o tráfego IPv6. Porém, se você tiver modificado a ACL de rede padrão ou criado uma ACL de rede personalizada, deverá adicionar manualmente regras para o tráfego IPv6. Para ter mais informações, consulte Trabalhar com ACLs de rede.

Etapa 4: atribuir endereços IPv6 às suas instâncias

Todos os tipos de instância da geração atual oferecem suporte a IPv6. Se o tipo de instância não oferecer suporte a IPv6, redimensione a instância para um tipo compatível antes de poder atribuir um endereço IPv6. O processo a ser usado depende se o novo tipo de instância escolhido é compatível com o atual. Para obter mais informações, consulte Alterar o tipo de instância, no Guia do usuário do Amazon EC2 para instâncias Linux. Se você tiver que iniciar uma instância de uma nova AMI para oferecer suporte a IPv6, poderá atribuir um endereço IPv6 à instância durante o lançamento.

Depois de verificar se o tipo de instância oferece suporte ao IPv6, será possível atribuir um endereço IPv6 à instância usando o console do Amazon EC2. O endereço IPv6 é atribuído à interface de rede primária (eth0) para a instância. Para obter mais informações, consulte Atribuir um endereço IPv6 a uma instância, no Guia do usuário do Amazon EC2 para instâncias Linux.

É possível conectar-se a uma instância usando seu endereço IPv6. Para obter mais informações, consulte Conectar-se à sua instância Linux usando um cliente SSH, no Guia do usuário do Amazon EC2 para instâncias Linux, ou Conectar-se a uma instância Windows usando seu endereço IPv6, no Guia do usuário do Amazon EC2 para instâncias Windows.

Se você iniciou sua instância usando uma AMI para uma versão atual do sistema operacional, essa instância está configurada para IPv6. Se você não conseguir efetuar ping em um endereço IPv6 da sua instância, consulte a documentação do seu sistema operacional para configurar o IPv6.