最佳實踐：阿里雲VPC、ECS支持IPv6啦！

12月6日，阿里雲宣佈爲企業提供全棧IPv6解決方案。

阿里雲專有網絡VPC、雲服務器ECS，做爲阿里雲的核心產品，也於2018年11月底上線雙棧VPC、雙棧ECS，目前正在對外公測中。

那麼如何在阿里雲擁有IPv4/IPv6雙棧VPC、雙棧ECS呢，請看下文詳解。

操做概覽

操做詳情
（一）VPC開通IPv6
前提：您已經獲取阿里雲IPv6使用資格，點我申請公測資格

1.一、登陸阿里雲專有網絡VPC控制檯，地域選擇「華北5（呼和浩特）」。

說明：當前VPC雙棧、ECS雙棧，只在阿里雲中國站華北5（呼和浩特）地域開服。更多地域即將支持VPC IPv六、ECS IPv6功能，敬請期待。

1.二、點擊建立專有網絡，在右滑頁面按照提示進行操做。

建立專有網絡的同時，您還須要建立一個交換機。

交換機的IPv6網段支持用戶自定義後8比特位，您能夠在輸入框輸入0-255範圍內的任意數字（十進制0-255對應交換機IPv6網段的後8比特位）。

1.三、建立完成後，您能夠在VPC的列表頁查看剛纔建立的IPv6/IPv4 雙棧VPC。

也能夠控制檯交換機列表頁查看剛纔建立的IPv6/IPv4雙棧交換機。

（二）爲ECS實例分配IPv6地址
2.一、在已經開通了IPv6的交換機列表頁，點擊購買-ECS實例。

2.二、在ECS購買頁面過濾支持IPv6的規格

按ECS購買頁面提示選擇鏡像系統和存儲數據盤。點擊下一步：網絡和安全組」。

2.三、在ECS購買頁面網絡和安全組頁面選擇爲ECS實例免費分配IPv6地址。

而後按ECS購買頁面的提示完成ECS的購買。

2.四、返回ECS實例列表頁，點擊ECS的ID，進入ECS管理頁面進行查看。在配置信息能夠看到系統爲ECS分配的IPv6地址

（三）IPv6安全組設置
建立ECS完成後，ECS的安全組出方向默認容許全部訪問（包含IPv4地址段和IPv6地址段），您能夠根據須要，配置安全組受權指定IPv6地址段的入方向訪問策略。

本示例中，爲了便於演示，安全組將容許任意IPv6地址段訪問ECS。

在ECS詳情頁的左側導航欄，選擇本實例安全組。而後再安全組的列表頁點擊配置規則。

點擊右上角的添加安全組規則，爲ECS實例IPv6地址段設置安全組規則。

以下圖所示，ECS實例的入方向對任意IPv6地址段進行放行。

（四）ECS實例配置IPv6服務和IPv6地址
IPv6公測中，默認不會爲ECS實例配置IPv6地址，您能夠經過工具爲實例配置IPv6服務及IPv6靜態地址。

您也能夠手工配置IPv6服務（Windows / Linux）、及配置靜態IPv6地址（Windows/ Linux）

本文采用手工方式配置Linux的IPv6服務及靜態IPv6地址。

爲ECS實例配置IPv6服務
4.一、先爲上面建立的ECS實例配置IPv6服務，由於ECS爲Linux，遠程鏈接ECS實例後，分別執行以下操做

運行 vi /etc/default/grub，刪除內核參數 ipv6.disable=1 後保存退出。

運行 vi /boot/grub/grub.cfg，刪除內核參數 ipv6.disable=1 後保存退出。

而後重啓實例。

運行 vi /etc/modprobe.d/disable_ipv6.conf，將 options ipv6 disable=1 修改成 options ipv6 disable=0

運行 vi /etc/sysctl.conf，作以下修改：

net.ipv6.conf.all.disable_ipv6 = 0

net.ipv6.conf.default.disable_ipv6 = 0

net.ipv6.conf.lo.disable_ipv6 = 0

運行 sysctl -p 使配置生效。

4.2 運行 ip addr | grep inet6 ，查看ECS實例的IPv6地址是否已經生效。以下圖所示，配置的IPv6服務已經生效。

爲ECS實例配置靜態IPv6地址
4.三、運行 curl http://100.100.100.200/2016-0...

獲取ECS實例的mac地址以下圖：

注：ECS的mac地址也可經過控制檯進行查看。以下圖所示

4.四、運行 curl http://100.100.100.200/2016-0...[mac]/ipv6-gateway

獲取ECS實例的IPv6網關地址，用上面獲取的mac地址替換命令中的[mac]。

如本示例中執行以下：

curl http://100.100.100.200/2016-0...:16:3e:00:3c:60/ipv6-gateway

獲取IPv6網關地址以下圖：

4.五、運行 vi /etc/sysconfig/network-scripts/ifcfg-eth0 打開網卡配置文件，eth0 爲網卡標識符，您須要修改爲實際的標識符。在文件中根據實際信息添加如下配置：

IPV6INIT=yes

IPV6ADDR=IPv6地址/子網前綴長度

IPV6_DEFAULTGW= IPv6網關地址

本示例中，即執行以下命令

IPV6INIT=yes

IPV6ADDR=2408:4004:1e0:d01:490d:7903:6cc9:9f2f/64

IPV6_DEFAULTGW=2408:4004:1e0:d01:ffff:ffff:ffff:fff7

4.六、重啓網絡服務：運行 service network restart 或 systemctl restart network

4.七、經過ifconfig命令，查看ECS實例的IPv6地址

（五）建立IPv6公網帶寬
爲ECS分配的IPv6地址，其默認IPv6公網帶寬爲0Mbps，即該IPv6地址只具有VPC私網通訊權限，不能與互聯網進行通訊。

若是您須要ECS實例經過IPv6地址與互聯網進行通訊，您還須要登陸IPv6網關控制檯，爲指定的IPv6地址開通IPv6公網帶寬。

控制檯執行VPC開通IPv6時，系統將爲您自動建立一個免費版的IPv6網關，IPv6網關是VPC管理IPv6公網流量的出入口。（點我查看更多IPv6網關信息）

5.一、 登陸IPv6網關控制檯，能夠看到VPC開通IPv6時系統自動建立的免費版IPv6網關。點擊IPv6網關實例ID進入管理頁面。

5.二、左側導航欄選擇IPv6公網帶寬，在這個頁面，能夠看到當前VPC下面全部實例的IPv6地址。選擇要開通IPv6公網帶寬的IPv6地址，點擊開通公網帶寬。

5.三、在IPv6公網帶寬的購買頁面，選擇您須要的公網計費方式和帶寬峯值，點擊當即購買。

在IPv6地址列表下面點擊刷新，就能夠看到已開通的IPv6公網帶寬信息，有IPv6公網帶寬的IPv6地址具有IPv6公網通訊權限。

此時，ECS實例可經過IPv6地址訪問互聯網，也能夠被互聯網指定的IPv6終端主動訪問。

（六）驗證ECS實例公網通訊能力
6.一、遠程登陸上面建立的ECS實例，先ping具有ipv6地址的網站，驗證ECS的IPv6連通性。

6.二、搭建簡單web服務，驗證是否能夠被IPv6終端訪問，

經過IPv6終端進行訪問，訪問結果以下，訪問成功。

（七）高階功能：使ECS實例只具有IPv6公網僅主動出能力
爲了安全考慮，您須要ECS經IPv6地址只能主動訪問互聯網，而不須要被互聯網IPv6終端主動發起對您IPv6地址的鏈接，您還能夠進一步設置IPv6公網僅主動出權限。

7.一、登陸IPv6網關控制檯，能夠看到VPC開通IPv6時系統自動建立的免費版IPv6網關。點擊IPv6網關實例ID進入管理頁面。左側導航欄選擇僅主動出規則，在這個頁面，點擊建立僅主動出規則。

在右滑頁面選擇須要設置IPv6公網僅主動出權限的ECS實例，單擊肯定。

在僅主動出規則的列表頁，能夠看到剛纔建立的僅主動出規則。以下圖

7.二、登陸ipv6終端訪問第（六）步搭建了web服務的ECS實例，驗證僅主動出規則是否生效

但登陸ECS實例，訪問有IPv6地址的網站，依然能夠成功訪問，僅主動出規則生效。

有用連接
什麼是IPv6網關

https://help.aliyun.com/docum...

VPC開啓IPv6

https://help.aliyun.com/docum...

交換機開啓IPv6

https://help.aliyun.com/docum...

管理IPv6公網帶寬

https://help.aliyun.com/docum...

管理出公網規則

https://help.aliyun.com/docum...

ECS實例配置IPv6地址

https://help.aliyun.com/docum...

ECS 支持 IPv6 啦，快來嚐鮮吧~

https://yq.aliyun.com/article...

IPv6 VPC|ECS公測申請

https://page.aliyun.com/form/...