使用輸出限定 (egress-only) 網際網路閘道來啟用傳出 IPv6 流量 - Amazon Virtual Private Cloud

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用輸出限定 (egress-only) 網際網路閘道來啟用傳出 IPv6 流量

輸出限定網際網路閘道是一種水平擴展、備援且高可用性的 VPC 元件,允許透過 IPv6 從 VPC 中的執行個體到網際網路的傳出通訊,並防止網際網路啟動與您執行個體的 IPv6 連線。

注意

輸出限定網際網路閘道僅與 IPv6 流量搭配使用。若要啟用透過 IPv4 的傳出限定網際網路通訊,請改為使用 NAT 閘道。如需詳細資訊,請參閱 NAT 閘道

輸出限定網際網路閘道基本概念

IPv6 地址是全域唯一的,因此預設是公開的。如果您想要執行個體可以存取網際網路,但想要防止網際網路上的資源啟動與您執行個體的通訊,則可以使用輸出限定網際網路閘道。若要執行此作業,請在 VPC 中建立輸出限定網際網路閘道,然後將路由新增至路由表,以將所有 IPv6 流量 (::/0) 或特定範圍的 IPv6 地址指向輸出限定網際網路閘道。與路由表建立關聯之子網路中的 IPv6 流量會遞送至輸出限定網際網路閘道。

輸出限定網際網路閘道具有狀態:它會將流量從子網路中的執行個體轉送至網際網路或其他 AWS 服務,然後將回應送回執行個體。

輸出限定網際網路閘道具有下列特性:

  • 您無法建立安全群組與輸出限定網際網路閘道的關聯。您可以使用私有子網路中執行個體的安全群組,來控制進出這些執行個體的流量。

  • 您可以使用網路 ACL,來控制進出輸出限定網際網路閘道路由其流量之子網路的流量。

在下圖中,VPC 同時具有 IPv4 和 IPv6 CIDR 區塊,且子網路同時具有 IPv4 和 IPv6 CIDR 區塊。VPC 具有輸出限定網際網路閘道。


                使用輸出限定網際網路閘道

下面是與子網路關聯的路由表範例。存在一個路由,可將所有網際網路繫結 IPv6 流量 (::/0) 傳送至輸出限定網際網路閘道。

目的地 目標
10.0.0.0/16 區域
2001:db8:1234:1a00:/64 區域
::/0 eigw-id

使用輸出限定網際網路閘道

下列任務說明如何建立私有子網路的輸出限定網際網路閘道,以及設定子網路的路由。

建立輸出限定網際網路閘道

您可以使用 Amazon VPC 主控台來建立 VPC 的輸出限定網際網路閘道。

建立輸出限定網際網路閘道
  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇 Egress Only Internet Gateways (輸出限定網際網路閘道)

  3. 選擇 Create Egress Only Internet Gateway (建立輸出限定網際網路閘道)

  4. (選用) 新增或移除標籤。

    [新增標籤] 選擇新增標籤,並執行下列動作:

    • 對於 Key (金鑰),輸入金鑰名稱。

    • 對於 Value (值),進入金鑰值。

    [移除標籤] 選擇標籤「金鑰」和「值」右側移除

  5. 選取要在其中建立輸出限定網際網路閘道的 VPC。

  6. 選擇 Create (建立)。

檢視您的輸出限定網際網路閘道

您可以在 Amazon VPC 主控台中檢視輸出限定網際網路閘道的相關資訊。

檢視輸出限定網際網路閘道的相關資訊
  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇 Egress Only Internet Gateways (輸出限定網際網路閘道)

  3. 選取要在詳細資訊窗格中檢視資訊的輸出限定網際網路閘道。

建立自訂路由表

若要將目標設為 VPC 外部的流量傳送至輸出限定網際網路閘道,您必須建立自訂路由表,並新增路由以將流量傳送給閘道,然後建立與您子網路的關聯。

建立自訂路由表並新增輸出限定網際網路閘道的路由
  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇 Route Tables (路由表)Create route table (建立路由表)

  3. Create route table (建立路由表) 對話方塊中,選擇性地命名您的路由表,並選取您的 VPC,然後選擇 Create route table (建立路由表)

  4. 選取您剛建立的自訂路由表。詳細資訊窗格會顯示用於使用其路由、關聯和路由傳播的標籤。

  5. Routes (路由) 標籤上,選擇 Edit routes (編輯路由),並在 Destination (目標) 方塊中指定 ::/0,然後在 Target (目標) 清單中選取輸出限定網際網路閘道 ID,再選擇 Save changes (儲存變更)

  6. Subnet associations (子網路關聯) 標籤上,選擇 Edit subnet associations (編輯子網路關聯),然後選取子網路的關聯核取方塊。選擇 Save (儲存)。

或者,您可以將路由新增至與子網路建立關聯的現有路由表。選取現有路由表,並遵循上方的步驟 5 和 6,新增輸出限定網際網路閘道的路由。

如需路由表的詳細資訊,請參閱設定路由表

刪除輸出限定網際網路閘道

如果您不再需要輸出限定網際網路閘道,可以予以刪除。除非您手動刪除或更新路由表中指向已刪除的輸出限定網際網路閘道的任何路由,否則該路由會保持 blackhole 狀態。

刪除輸出限定網際網路閘道
  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇輸出限定網際網路閘道,然後選取輸出限定網際網路閘道。

  3. 選擇 Delete (刪除)。

  4. 在確認對話方塊中,選擇 Delete Egress Only Internet Gateway (刪除輸出限定網際網路閘道)

API 和 CLI 概觀

您可以使用命令列或 API 執行此頁面所述的任務。如需命令列界面的詳細資訊與可用的 API 動作清單,請參閱使用 Amazon VPC

建立輸出限定網際網路閘道
說明輸出限定網際網路閘道
刪除輸出限定網際網路閘道

定價

輸出限定網際網路閘道不收費,但使用網際網路閘道的 EC2 執行個體需支付資料傳輸費用。如需詳細資訊,請參閱 Amazon EC2 隨需定價