3.4 IPv6 网关
3.4.1 什么是IPv6 网关
2017 年,中国推出了IPv6 规模部署计划。云网络对IPv6 的支持是一个系统工程, 包括内网通信支持IPv6,如VPC 支持IPv6、CEN 支持IPv6、高速通道支持IPv6 等, 用户可以在云上建立纯IPv6 通信网络。此外,还包括公网通信支持IPv6,如SLB 支持IPv6、IPv6 网关等。云网络还为其他产品提供了IPv6 支持,如CDN、安全、数据库等,用户可以基于云构建完整的IPv6 网络。下面重点介绍IPv6 网关。
IPv6 网关(IPv6 Gateway)是VPC 的一个IPv6 互联网流量网关。用户可以通过配置IPv6 互联网带宽和仅主动出规则,灵活定义IPv6 互联网出入流量。
3.4.2 IPv6 网关设计思路
相对于IPv4 的VPC,IPv6 在产品形态上是有所不同的。
IPv4 的VPC 地址空间规划一般采用私网地址。因为IPv4 的公网地址有限, 没办法给VPC 中的每台ECS 都分配一个公网IP 地址,所以需要在VPC 边界通过地址转化NAT 复用公网IPv4 地址。在IPv4 场景下,网络工程师需要大量的时间和精力去解决各种地址冲突的问题。但对于IPv6 的地址空间来说,全局单播地址(Global Unique IPv6 Addresses,GUA)充足到可以给地球上每粒沙子都分配到。阿里云当前储备的IPv6 GUA 很充足,可给VPC 中的每个计算节点和云服务分配一个GUA,不会产生地址冲突的问题,网络架构的设计和上层应用系统的实现会简化很多。所以阿里云VPC 中分配的IPv6 地址,都是GUA。这是和IPv4 景最大的区别。在默认情况下,GUA 既不能被公网访问,也不能主动访问互联网。如果用户希望VPC 中的GUA 可以与公网互联,那么需要显示配置IPv6 网关,并为其购买IPv6 公网带宽,如图3-21 所示。
图3-21 IPv6
3.4.3 IPv6 网关的主要应用场景
1.IPv6 私网通信
默认的VPCIPv6 地址的互联网带宽为0Mbit/s,受IPv6 网关保护,只具备私网通信能力。VPC 中的云实例只可以通过IPv6 地址访问同一个VPC 中的其他IPv6 地址,不允许通过该IPv6 地址访问公网,也无法被公网的IPv6 终端访问。
2.IPv6 互联网通信
用户可以通过为申请的IPv6 地址购买公网带宽的方式,让VPC 网络中的云实例通过该IPv6 地址访问公网,同时允许IPv6 客户端通过公网访问VPC 网络中的云实例。用户可以随时将IPv6 地址中的公网带宽设置为零。设置后,该IPv6 地址只拥有私网通信能力。
3.IPv6 互联网通信——仅主动访问
用户通过配置仅主动出规则,使IPv6 地址主动访问互联网,但不允许IPv6 客户端通过互联网访问VPC 中的云实例。用户也可以随时删除主动出规则。删除后, 具有公网带宽的IPv6 地址可主动访问互联网,同时允许IPv6 客户端通过互联网访问VPC 中的云实例。
