Hinzufügen der IPv6-Unterstützung für Ihre VPC - Amazon Virtual Private Cloud
Schritt 1: Ordnen Sie Ihrer VPC und den Subnetzen einen IPv6-CIDR-Block zu.Schritt 2: Aktualisieren Sie Ihre Routing-Tabellen.Schritt 3: Aktualisieren Sie Ihre Sicherheitsgruppenregeln.Schritt 4: Ihren Instances IPv6-Adressen zuweisen

Hinzufügen der IPv6-Unterstützung für Ihre VPC

Die folgende Tabelle bietet eine Übersicht des Ablaufs zum Aktivieren von IPv6 für Ihre VPC.

Schritt Hinweise
Schritt 1: Ordnen Sie Ihrer VPC und den Subnetzen einen IPv6-CIDR-Block zu. Ordnen Sie einen von Amazon bereitgestellten oder einen eigenen IPv6-CIDR-Block Ihrer VPC und Ihren Subnetzen zu.
Schritt 2: Aktualisieren Sie Ihre Routing-Tabellen. Aktualisieren Sie Ihre Routing-Tabellen für das Routen von IPv6-Datenverkehr. Erstellen Sie für ein öffentliches Subnetz eine Route, die den gesamten IPv6-Datenverkehr vom Subnetz an das Internet-Gateway routet. Erstellen Sie für ein privates Subnetz eine Route, die den gesamten IPv6-Datenverkehr aus dem Subnetz an ein Internet-Gateway für ausgehenden Datenverkehr routet.
Schritt 3: Aktualisieren Sie Ihre Sicherheitsgruppenregeln. Fügen Sie Ihren Sicherheitsgruppenregeln Regeln für IPv6-Adressen hinzu. So sorgen Sie für die Übertragung von IPv6-Datenverkehr von und zu Ihren Instances. Wenn Sie angepasste Netzwerk-ACL-Regeln zur Steuerung der Übertragung von Datenverkehr von und zu Ihrem Subnetz erstellt haben, müssen Sie entsprechende Regeln für IPv6-Datenverkehr einfügen.
Schritt 4: Ihren Instances IPv6-Adressen zuweisen Weisen Sie aus dem IPv6-Adressbereich Ihres Subnetzes IPv6-Adressen zu Ihren Instances zu.

Schritt 1: Ordnen Sie Ihrer VPC und den Subnetzen einen IPv6-CIDR-Block zu.

Sie können Ihrer VPC einen IPv6 CIDR-Block zuweisen. Dann ordnen Sie jedem Subnetz einen /64 CIDR-Block aus dem Bereich zu.

So ordnen Sie einen IPv6 CIDR-Block zu einer VPC zu

  1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Your VPCs.

  3. Wählen Sie Ihre VPC aus.

  4. Wählen Sie Aktionen, CIDRs bearbeiten und dann Neuen IPv6-CIDR hinzufügen.

  5. Wählen Sie eine der folgenden Optionen und klicken Sie dann auf CIDR auswählen:

    • Von Amazon bereitgestellter IPv6-CIDR-Block: Verwendet einen IPv6-CIDR-Block aus dem IPv6-Adresspool von Amazon. Wählen Sie unter ‭‬Netzwerkgrenzgruppe‭‭‬ die Gruppe aus, aus der AWS IP-Adressen bereitstellt.

    • IPAM-zugewiesener IPv6-CIDR-Block – Weist einen IPv6-CIDR-Block aus einem IPAM-Pool zu. Wählen Sie den IPAM-Pool und den IPv6-CIDR-Block.

    • Mein IPv6-CIDR – Weist einen IPv6-CIDR-Block aus Ihrem IPv6-Adresspool (BYOIP) zu. Wählen Sie den IPv6-Adresspool und den IPv6-CIDR-Block.

  6. Klicken Sie auf Schließen.

So ordnen Sie einen IPv6 CIDR-Block zu einem Subnetz zu

  1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Subnets (Subnetze) aus.

  3. Wählen Sie ein Subnetz aus.

  4. Wählen Sie Aktionen, IPv6-CIDRs bearbeiten und dann IPv6-CIDR hinzufügen.

  5. Bearbeiten Sie den CIDR-Block nach Bedarf (ersetzen Sie z. B. den 00).

  6. Wählen Sie Speichern.

  7. Wiederholen Sie diesen Vorgang für alle anderen Subnetze in Ihrer VPC.

Weitere Informationen finden Sie unter IPv6-VPC-CIDR-Blöcke.

Schritt 2: Aktualisieren Sie Ihre Routing-Tabellen.

Wenn Sie Ihrer VPC einen IPv6-CIDR-Block zuordnen, fügen wir automatisch eine lokale Route zu jeder Routing-Tabelle für die VPC hinzu, die IPv6-Datenverkehr innerhalb der VPC zulassen.

Für Ihre öffentlichen Subnetze müssen Sie die Routing-Tabellen aktualisieren, damit Instances (wie Webserver) das Internet-Gateway für IPv6-Datenverkehr nutzen können. Für Ihre privaten Subnetze müssen Sie die Routing-Tabellen aktualisieren, damit Instances (wie Datenbank-Instances) ein Internet-Gateway für ausgehenden Verkehr für IPv6-Datenverkehr nutzen können, da NAT-Gateways IPv6 nicht unterstützen.

So aktualisieren Sie die Routing-Tabelle für ein öffentliches Subnetz

  1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Subnets (Subnetze) aus. Wählen Sie das öffentliche Subnetz aus. Wählen Sie auf der Registerkarte Routing-Tabelle die Routing-Tabellen-ID aus, um die Detailseite für die Routing-Tabelle zu öffnen.

  3. Wählen Sie die Routing-Tabelle aus. Klicken Sie auf der Registerkarte Routes (Routen) auf Edit routes (Routen bearbeiten).

  4. Wählen Sie Add Route (Route hinzufügen) aus. Wählen Sie ::/0 als Ziel. Wählen Sie die ID für das Internet-Gateway als Ziel aus.

  5. Wählen Sie Änderungen speichern.

So aktualisieren Sie die Routing-Tabelle für ein privates Subnetz

  1. Öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Internet-Gateways für ausgehenden Datenverkehr. Klicken Sie auf Internet-Gateway für ausgehenden Datenverkehr erstellen. Wählen Sie Ihre VPC aus VPC und dann Internet-Gateway für ausgehenden Datenverkehr erstellen aus.

    Weitere Informationen finden Sie unter Aktivieren von ausgehendem IPv6-Datenverkehr mit einem Internet-Gateway, das nur ausgehenden Verkehr zulässt.

  3. Wählen Sie im Navigationsbereich Subnetze aus. Wählen Sie das private Subnetz aus. Wählen Sie auf der Registerkarte Routing-Tabelle die Routing-Tabellen-ID aus, um die Detailseite für die Routing-Tabelle zu öffnen.

  4. Wählen Sie die Routing-Tabelle aus. Klicken Sie auf der Registerkarte Routes (Routen) auf Edit routes (Routen bearbeiten).

  5. Wählen Sie Add Route (Route hinzufügen) aus. Wählen Sie ::/0 als Ziel. Wählen Sie die ID Internet-Gateways für ausgehenden Datenverkehr als Ziel.

  6. Wählen Sie Änderungen speichern aus.

Anmerkung

In einer Routing-Tabelle kann nicht dasselbe Ziel (::: /0) gleichzeitig auf ein Internet-Gateway und ein Internet-Gateway nur für ausgehenden Datenverkehr verweisen. Wenn Sie bei der Konfiguration eines Internet-Gateways nur für ausgehenden Datenverkehr die Fehlermeldung „Es gibt bereits IPv6-Routen mit dem nächsten Hop als Internet-Gateway“ erhalten, müssen Sie zuerst die bestehende IPv6-Route zum Internet-Gateway entfernen, bevor Sie die Route zum nur für ausgehenden Datenverkehr bestimmten Internet-Gateway ergänzen.

Weitere Informationen finden Sie unter Beispiele für Routing-Optionen.

Schritt 3: Aktualisieren Sie Ihre Sicherheitsgruppenregeln.

Damit Ihre Instances Datenverkehr über IPv6 senden und empfangen können, müssen Sie Ihre Sicherheitsgruppenregeln aktualisieren und Regeln für IPv6-Adressen hinzufügen. Im obigen Beispiel können Sie beispielsweise die Webserver-Sicherheitsgruppe (sg-11aa22bb11aa22bb1) aktualisieren, um Regeln hinzuzufügen, die eingehenden HTTP-, HTTPS- und SSH-Zugriff von IPv6-Adressen erlauben. Sie müssen für Ihre Datenbank-Sicherheitsgruppe keine Änderungen an den eingehenden Regeln vornehmen. Die Regel lässt die gesamte eingehende Kommunikation von sg-11aa22bb11aa22bb1 zu. Dies schließt auch die IPv6-Kommunikation mit ein.

So aktualisieren Sie Ihre Regeln der Sicherheitsgruppe für eingehenden Datenverkehr

  1. Öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Sicherheitsgruppen und anschließend die Webserver-Sicherheitsgruppe aus.

  3. Wählen Sie auf der Registerkarte Regeln für eingehenden Datenverkehr die Option Regeln für eingehenden Datenverkehr bearbeiten.

  4. Wählen Sie für jede Regel, die IPv4-Verkehr zulässt, die Option Regel hinzufügen aus und konfigurieren Sie die Regel so, dass der entsprechende IPv6-Verkehr zugelassen wird. Um beispielsweise eine Regel hinzuzufügen, die den gesamten HTTP-Verkehr über IPv6 erlaubt, wählen Sie als Typ HTTP und ::/0 als Quelle.

  5. Wenn Sie mit dem Hinzufügen der Tags fertig sind, wählen Sie Regeln speichern.

So aktualisieren Sie Ihre Regeln der Sicherheitsgruppe für ausgehenden Datenverkehr

Wenn Sie einen IPv6-CIDR-Block mit Ihrer VPC verknüpfen, fügen wir automatisch eine Regel zu den Sicherheitsgruppen für ausgehenden Datenverkehr zu der VPC hinzu, die den gesamten IPv6-Datenverkehr zulässt. Wenn Sie die ursprünglichen Regeln für den ausgehenden Datenverkehr für Ihre Sicherheitsgruppe jedoch verändert haben, wird die Regel nicht automatisch hinzugefügt. In diesem Fall müssen Sie entsprechende ausgehende Regeln für den IPv6-Datenverkehr hinzufügen.

Aktualisieren Ihrer Netzwerk-ACL-Regeln

Wenn Sie einer VPC einen IPv6 CIDR-Block zuweisen und die standardmäßigen Regeln nicht verändert haben, fügen wir automatisch Regeln zur standardmäßigen Netzwerk-ACL hinzu, die IPv6-Datenverkehr zulässt. Wenn Sie jedoch Ihre standardmäßige Netzwerk-ACL geändert haben oder eine angepasste Netzwerk-ACL erstellt haben, müssen Sie manuell Regeln für den IPv6-Datenverkehr hinzufügen. Weitere Informationen finden Sie unter Hinzufügen und Löschen von Regeln.

Schritt 4: Ihren Instances IPv6-Adressen zuweisen

Alle Instance-Typen der aktuellen Generation unterstützen IPv6. Wenn Ihr Instance-Typ IPv6 nicht unterstützt, müssen Sie den Instance-Typ auf einen unterstützten Instance-Typ skalieren, bevor Sie eine IPv6-Adresse zuweisen können. Welches Verfahren Sie verwenden werden, hängt davon ab, ob der von Ihnen gewählte neue Instance-Typ mit dem aktuellen Instance-Typ kompatibel ist. Weitere Informationen finden Sie unter Ändern des Instance-Typ im Amazon-EC2-Benutzerhandbuch. Wenn Sie eine Instance aus einem neuen AMI starten müssen, um IPv6 zu unterstützen, können Sie Ihrer Instance beim Start eine IPv6-Adresse zuweisen.

Nachdem Sie überprüft haben, ob Ihr Instance-Typ IPv6 unterstützt, können Sie über die Amazon EC2-Konsole IPv6-Adressen zu Ihrer Instance zuweisen. Die IPv6-Adresse wird zur primären Netzwerkschnittstelle (zum Beispiel eth0) der Instance zugewiesen. Weitere Informationen dazu finden Sie unter Zuweisen einer IÜv6-Adresse zu einer Instance im Amazon-EC2-Benutzerhandbuch.

Sie können über ihre IPv6-Adresse eine Verbindung zu einer Instance herstellen. Weitere Informationen finden Sie unter Herstellen einer Verbindung mit Ihrer Linux-Instance mit einem SSH-Client im Amazon-EC2-Benutzerhandbuch.

Wenn Sie Ihre Instance mit einem AMI für eine aktuelle Version Ihres Betriebssystems gestartet haben, ist Ihre Instance für IPv6 konfiguriert. Wenn Sie eine IPv6-Adresse von Ihrer Instance aus nicht anpingen können, finden Sie Informationen zur Konfiguration von IPv6 in der Dokumentation zu Ihrem Betriebssystem.