最佳实践：阿里云VPC、ECS支持IPv6啦！

12月6日，阿里云宣布为企业提供全栈IPv6解决方案。

阿里云专有网络VPC、云服务器ECS，做为阿里云的核心产品，也于2018年11月底上线双栈VPC、双栈ECS，目前正在对外公测中。

那么如何在阿里云拥有IPv4/IPv6双栈VPC、双栈ECS呢，请看下文详解。

操做概览

操做详情

（一）VPC开通IPv6

前提：您已经获取阿里云IPv6使用资格，点我申请公测资格

1.一、登陆阿里云专有网络VPC控制台，地域选择“华北5（呼和浩特）”。

说明：当前VPC双栈、ECS双栈，只在阿里云中国站华北5（呼和浩特）地域开服。更多地域即将支持VPC IPv六、ECS IPv6功能，敬请期待。

1.二、点击建立专有网络，在右滑页面按照提示进行操做。

建立专有网络的同时，您还须要建立一个交换机。

交换机的IPv6网段支持用户自定义后8比特位，您能够在输入框输入0-255范围内的任意数字（十进制0-255对应交换机IPv6网段的后8比特位）。

1.三、建立完成后，您能够在VPC的列表页查看刚才建立的IPv6/IPv4 双栈VPC。

也能够控制台交换机列表页查看刚才建立的IPv6/IPv4双栈交换机。

（二）为ECS实例分配IPv6地址

2.一、在已经开通了IPv6的交换机列表页，点击购买-ECS实例。

2.二、在ECS购买页面过滤支持IPv6的规格

按ECS购买页面提示选择镜像系统和存储数据盘。点击下一步：网络和安全组”。

2.三、在ECS购买页面网络和安全组页面选择为ECS实例免费分配IPv6地址。

而后按ECS购买页面的提示完成ECS的购买。

2.四、返回ECS实例列表页，点击ECS的ID，进入ECS管理页面进行查看。在配置信息能够看到系统为ECS分配的IPv6地址

（三）IPv6安全组设置

建立ECS完成后，ECS的安全组出方向默认容许全部访问（包含IPv4地址段和IPv6地址段），您能够根据须要，配置安全组受权指定IPv6地址段的入方向访问策略。

本示例中，为了便于演示，安全组将容许任意IPv6地址段访问ECS。

在ECS详情页的左侧导航栏，选择本实例安全组。而后再安全组的列表页点击配置规则。

点击右上角的添加安全组规则，为ECS实例IPv6地址段设置安全组规则。

以下图所示，ECS实例的入方向对任意IPv6地址段进行放行。

（四）ECS实例配置IPv6服务和IPv6地址

IPv6公测中，默认不会为ECS实例配置IPv6地址，您能够经过工具为实例配置IPv6服务及IPv6静态地址。

您也能够手工配置IPv6服务（Windows / Linux）、及配置静态IPv6地址（Windows/ Linux）

本文采用手工方式配置Linux的IPv6服务及静态IPv6地址。

为ECS实例配置IPv6服务

4.一、先为上面建立的ECS实例配置IPv6服务，由于ECS为Linux，远程链接ECS实例后，分别执行以下操做

运行 vi /etc/default/grub，删除内核参数 ipv6.disable=1 后保存退出。

运行 vi /boot/grub/grub.cfg，删除内核参数 ipv6.disable=1 后保存退出。

而后重启实例。

运行 vi /etc/modprobe.d/disable_ipv6.conf，将 options ipv6 disable=1 修改成 options ipv6 disable=0

运行 vi /etc/sysctl.conf，作以下修改：

net.ipv6.conf.all.disable_ipv6 = 0

net.ipv6.conf.default.disable_ipv6 = 0

net.ipv6.conf.lo.disable_ipv6 = 0

运行 sysctl -p 使配置生效。

4.2 运行 ip addr | grep inet6 ，查看ECS实例的IPv6地址是否已经生效。以下图所示，配置的IPv6服务已经生效。

为ECS实例配置静态IPv6地址

4.三、运行 curl http://100.100.100.200/2016-01-01/meta-data/network/interfaces/macs/

获取ECS实例的mac地址以下图：

注：ECS的mac地址也可经过控制台进行查看。以下图所示

4.四、运行 curl http://100.100.100.200/2016-01-01/meta-data/network/interfaces/macs/[mac]/ipv6-gateway

获取ECS实例的IPv6网关地址，用上面获取的mac地址替换命令中的[mac]。

如本示例中执行以下：

curl http://100.100.100.200/2016-01-01/meta-data/network/interfaces/macs/00:16:3e:00:3c:60/ipv6-gateway

获取IPv6网关地址以下图：

4.五、运行 vi /etc/sysconfig/network-scripts/ifcfg-eth0 打开网卡配置文件，eth0 为网卡标识符，您须要修改为实际的标识符。在文件中根据实际信息添加如下配置：

IPV6INIT=yes

IPV6ADDR=IPv6地址/子网前缀长度

IPV6_DEFAULTGW= IPv6网关地址

本示例中，即执行以下命令

IPV6INIT=yes

IPV6ADDR=2408:4004:1e0:d01:490d:7903:6cc9:9f2f/64

IPV6_DEFAULTGW=2408:4004:1e0:d01:ffff:ffff:ffff:fff7

4.六、重启网络服务：运行 service network restart 或 systemctl restart network

4.七、经过ifconfig命令，查看ECS实例的IPv6地址

（五）建立IPv6公网带宽

为ECS分配的IPv6地址，其默认IPv6公网带宽为0Mbps，即该IPv6地址只具有VPC私网通讯权限，不能与互联网进行通讯。

若是您须要ECS实例经过IPv6地址与互联网进行通讯，您还须要登陆IPv6网关控制台，为指定的IPv6地址开通IPv6公网带宽。

控制台执行VPC开通IPv6时，系统将为您自动建立一个免费版的IPv6网关，IPv6网关是VPC管理IPv6公网流量的出入口。（点我查看更多IPv6网关信息）

5.一、 登陆IPv6网关控制台，能够看到VPC开通IPv6时系统自动建立的免费版IPv6网关。点击IPv6网关实例ID进入管理页面。

5.二、左侧导航栏选择IPv6公网带宽，在这个页面，能够看到当前VPC下面全部实例的IPv6地址。选择要开通IPv6公网带宽的IPv6地址，点击开通公网带宽。

5.三、在IPv6公网带宽的购买页面，选择您须要的公网计费方式和带宽峰值，点击当即购买。

在IPv6地址列表下面点击刷新，就能够看到已开通的IPv6公网带宽信息，有IPv6公网带宽的IPv6地址具有IPv6公网通讯权限。

此时，ECS实例可经过IPv6地址访问互联网，也能够被互联网指定的IPv6终端主动访问。

（六）验证ECS实例公网通讯能力

6.一、远程登陆上面建立的ECS实例，先ping具有ipv6地址的网站，验证ECS的IPv6连通性。

6.二、搭建简单web服务，验证是否能够被IPv6终端访问，

经过IPv6终端进行访问，访问结果以下，访问成功。

（七）高阶功能：使ECS实例只具有IPv6公网仅主动出能力

为了安全考虑，您须要ECS经IPv6地址只能主动访问互联网，而不须要被互联网IPv6终端主动发起对您IPv6地址的链接，您还能够进一步设置IPv6公网仅主动出权限。

7.一、登陆IPv6网关控制台，能够看到VPC开通IPv6时系统自动建立的免费版IPv6网关。点击IPv6网关实例ID进入管理页面。左侧导航栏选择仅主动出规则，在这个页面，点击建立仅主动出规则。

在右滑页面选择须要设置IPv6公网仅主动出权限的ECS实例，单击肯定。

在仅主动出规则的列表页，能够看到刚才建立的仅主动出规则。以下图

7.二、登陆ipv6终端访问第（六）步搭建了web服务的ECS实例，验证仅主动出规则是否生效

但登陆ECS实例，访问有IPv6地址的网站，依然能够成功访问，仅主动出规则生效。

有用连接

什么是IPv6网关

VPC开启IPv6

交换机开启IPv6

管理IPv6公网带宽

管理出公网规则

ECS实例配置IPv6地址

ECS 支持 IPv6 啦，快来尝鲜吧~

IPv6 VPC|ECS公测申请