Abilitazione del traffico in uscita IPv6 utilizzando un gateway Internet egress-only

Un gateway Internet egress-only è un componente VPC aggiunto in parallelo, ridondante e ad alta disponibilità che permette la comunicazione in uscita su IPv6 da istanze nel VPC a Internet e impedisce a Internet di avviare una connessione IPv6 con le istanze.

Un gateway Internet egress-only è destinato all'utilizzo solo con traffico IPv6. Per abilitare la comunicazione Internet solo in uscita su IPv4, utilizza invece un gateway NAT. Per ulteriori informazioni, consulta Gateway NAT.

Prezzi

Non sono previsti costi per un gateway Internet egress-only ma sono previsti costi di trasferimento dati per le istanze EC2 che lo utilizzano. Per ulteriori informazioni, consulta Prezzi di Amazon EC2 on demand.

Nozioni di base sull'Internet Gateway egress-only

Gli indirizzi IPv6 sono globalmente univoci e sono pertanto pubblici per impostazione predefinita. Se l'istanza deve essere in grado di accedere a Internet, ma desideri impedire a risorse su Internet di avviare una comunicazione con l'istanza, puoi utilizzare un Internet Gateway egress-only. Per farlo, crea un gateway Internet egress-only nel VPC, quindi aggiungi una route alla tabella di routing che punta tutto il traffico IPv6 (::/0) o un intervallo specifico di indirizzi IPv6 al gateway Internet egress-only. Il traffico IPv6 nella sottorete associata alla tabella di routing viene instradato al gateway Internet egress-only.

Un gateway Internet egress-only è stateful: inoltra il traffico dalle istanze nella sottorete a Internet o ad altri servizi AWS e rispedisce le risposte alle istanze.

Non è possibile associare un gruppo di sicurezza a un gateway Internet egress-only per controllare il traffico che può raggiungere o lasciare il gateway Internet egress-only. Puoi utilizzare una lista di controllo degli accessi di rete per controllare il traffico verso e dalla sottorete per la quale il gateway Internet egress-only instrada il traffico.

Nel diagramma seguente, il VPC ha sia blocchi CIDR IPv4 che IPv6 e la sottorete sia blocchi CIDR IPv4 che IPv6. Il VPC ha un gateway Internet egress-only.

Di seguito è riportata la tabella di routing associata alla sottorete. Esiste una route che invia tutto il traffico IPv6 (::/0) che punta a un gateway Internet egress-only.