支持 IPv6 寻址的 VPC - Amazon Virtual Private Cloud
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

支持 IPv6 寻址的 VPC

以下步骤介绍如何创建支持 IPv6 寻址的非默认 VPC。

要完成本练习,请执行以下操作:

  • 创建一个具有 IPv6 CIDR 块的非默认 VPC 和一个公有子网。子网可以让您根据自己的安全和运营需要,对实例进行分组。公有子网是可以通过互联网网关访问互联网的子网。

  • 为您的实例创建仅允许流量通过特定端口的安全组。

  • 将一个 Amazon EC2 实例启动到您的子网中,并在启动期间将一个 IPv6 地址与您的实例关联。IPv6 地址全局唯一,使您的实例能够与互联网通信。

  • 您可以为 VPC 请求 IPv6 CIDR 块。选择此选项后,您可以设置网络边界组,这是我们通告 IPv6 CIDR 块的位置。设置网络边界组会将 CIDR 块限制到此组。

有关 IPv4 和 IPv6 寻址的更多信息,请参阅您的 VPC 中的 IP 寻址

步骤 1:创建 VPC

按照这一部分中的步骤创建 VPC。

创建 VPC:

  1. 按照 创建 VPC 中的步骤操作,创建 VPC 和其他资源。创建 VPC 时,请执行以下操作:

    • 对于 Number of Availability Zones (AZs) [可用区 (AZ) 数量],选择 1

    • 对于 Number of public subnets(公有子网数量),选择 1

    • 对于 Number of private subnets(私有子网数量),选择 0

    • 对于 NAT gateways(NAT 网关),选择 None(无)。

    • 对于 VPC endpoints(VPC 端点),选择 None(无)。

    • 对于 DNS options(DNS 选项),选择 Enable DNS hostnames(启用 DNS 主机名)和 Enable DNS resolution(启用 DNS 解析)。

  2. 选择 Create VPC(创建 VPC)。

  3. Your VPCs(您的 VPC)页面将显示您的默认 VPC 和您刚创建的 VPC。

查看有关您的 VPC 的信息

创建 VPC 之后,您就可以查看关于子网、互联网网关和路由表的信息。您创建的 VPC 有两个路由表:一个所有 VPC 默认都会有的主路由表,一个由 Amazon VPC 创建的自定义路由表。自定义路由表与您的子网相关联,这意味着该表中的路由将确定子网数据流的传输方式。如果您向您的 VPC 添加一个新的子网,那么它默认使用主路由表。

查看有关您的 VPC 的信息

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Your VPCs(您的 VPC)。记下您创建的 VPC 的名称和 ID (查看 NameVPC ID 列)。您将使用此信息确定与您的 VPC 关联的组件。

  3. 在导航窗格中,选择 Subnets(子网)。控制台将显示您创建 VPC 时创建的子网。您可以通过 Name 列中的子网名称来识别子网,或者您可以使用上一步骤中获取的 VPC 信息并查看 VPC 列。

  4. 在导航窗格中,选择 Internet Gateways(Internet 网关)。您可以通过查看 VPC 列找到与您的 VPC 连接的互联网网关,该列显示了 VPC 的 ID 和名称(如果适用)。

  5. 在导航窗格中,选择 Route Tables(路由表)。有两个路由表与 VPC 关联。选择自定义路由表(Main 列显示 No),然后选择 Routes(路由)选项卡以便在详细信息窗格中显示路由信息:

    • 表中前两行是本地路由,可允许 VPC 中的实例通过 IPv4 和 IPv6 通信。您不能删除这些路由。

    • 再下一行显示的路由允许目的地为 VPC (0.0.0.0/0) 外部的 IPv4 地址的流量从子网流向互联网网关。

    • 再下一行显示的路由允许目标为 VPC (::/0) 外部的 IPv6 地址的流量从子网流向互联网网关。

  6. 选择主路由表。主路由表拥有一个本地路由,但没有其他路由。

步骤 2:创建安全组

安全组会控制其关联资源(例如 EC2 实例)的流量。要使用安全组,请添加入站规则以控制传入流量,以及添加出站规则以控制传出流量。要将安全组与实例关联,可以在启动实例时指定安全组。在启动实例后,您还可以将安全组与实例关联或取消它们之间的关联。

您的 VPC 带有默认的安全组。所有启动时未与其他安全组关联的实例都将与默认安全组相关联。在本练习中,您将创建一个新的安全组 WebServerSG,并在您将实例启动到您的 VPC 中时指定此安全组。

创建 WebServerSG 安全组

您可以使用 Amazon VPC 控制台创建安全组。

创建 WebServerSG 安全组并添加规则

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Security Groups(安全组),然后选择 Create Security Group(创建安全组)。

  3. 对于 Group name(组名称),输入 WebServerSG 作为安全组的名称,并提供说明。您可以选择使用 Name tag(组标签)字段来为具有密钥 Name 和指定的值的安全组创建标记。

  4. VPC 菜单中选择您 VPC 的 ID,然后选择 Yes, Create(是的,创建)。

  5. 选择您刚刚创建的 WebServerSG 安全组【可在 Group Name(组名称)列中查看其名称】。

  6. Inbound Rules(入站规则)选项卡上,选择 Edit(编辑),然后添加入站流量规则,如下所示:

    1. 对于 Type(类型),请选择 HTTP 并在 Source(源)字段中输入 ::/0

    2. 选择 Add another rule(添加其他规则),对于 Type(类型),选择 HTTPS,然后在 Source(源)字段中输入 ::/0

    3. 选择 Add another rule(添加其他规则)。如果您启动的是 Linux 实例,请为 Type(类型)选择 SSH,如果您启动的是 Windows 实例,请选择 RDP。在 Source(源)字段中输入您网络的公有 IPv6 地址范围。如果您不知道地址范围,则可以使用 ::/0 来完成此练习。

      重要

      如果您使用的是 ::/0,则可以允许所有 IPv6 地址使用 SSH 或 RDP 访问您的实例。您可以在本次简短的练习中使用此方法,但是在生产环境中使用其安全性有所欠缺。在生产中,请仅授权特定 IP 地址或地址范围访问您的实例。

    4. 选择Save(保存)。

步骤 3:启动实例

当您将 EC2 实例启动到 VPC 中时,您必须指定要在其中启动实例的子网。在这种情况下,您会将实例启动到您创建的 VPC 的公有子网中。使用 Amazon EC2 控制台中的 Amazon EC2 启动向导启动实例。此处并未详细介绍所有 Amazon EC2 启动向导选项。有关更多信息,请参阅适用于 Linux 实例的 Amazon EC2 用户指南中的启动实例

为确保您的实例可从互联网访问,请在启动期间为实例分配一个子网范围内的 IPv6 地址。这可以确保您的实例可以通过 IPv6 与互联网通信。

如何将一个 EC2 实例推送到 VPC

在 VPC 中启动 EC2 实例前,请将 VPC 的子网配置为自动分配 IPv6 IP 地址。有关更多信息,请参阅 修改子网的 IPv6 寻址属性

  1. 通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/

  2. 在右上角的导航栏中,确保选择您在其中创建了 VPC 和安全组的同一区域。

  3. 在控制面板中,选择 Launch Instance(启动实例)。

  4. 在向导的第一页上,选择要使用的 AMI。在本练习中,我们建议您选择 Amazon Linux AMI 或 Windows AMI。

  5. Choose an Instance Type(选择一种实例类型)页面上,您可以选择要启动的实例的硬件配置和大小。默认情况下,向导会基于您选择的 AMI 选择第一个可用实例类型。您可以保留默认选择,然后选择 Next: Configure Instance Details

  6. Configure Instance Details(配置实例详细信息)页上,从 Network(网络)列表中选择您创建的 VPC,然后从 Subnet(子网)列表中选择子网。

  7. 对于 Auto-assign IPv6 IP,选择 Enable(启用)。

  8. 保留默认设置的其余部分,然后完成向导中的后续页面,直至到达 Add Tags(添加标签)页面。

  9. Add Tags(添加标签)页面上,您可以为实例添加 Name 标签;例如 Name=MyWebServer。这有助于您在启动实例后在 Amazon EC2 控制台中识别您的实例。完成时选择 Next: Configure Security Group(下一步:配置安全组)。

  10. Configure Security Group(配置安全组)页面上,向导会自动定义 launch-wizard-x 安全组,从而让您可以连接到您的实例。而是选择 Select an existing security group(选择现有安全组)选项,选择您之前创建的 WebServerSG 组,然后选择 Review and Launch(检查并启动)。

  11. Review Instance Launch(检查实例启动)页面上,检查您的实例的详细信息,然后选择 Launch(启动)。

  12. Select an existing key pair or create a new key pair(选择现有密钥对或创建新密钥对)对话框中,您可以选择现有密钥对,也可以创建新的密钥对。如果要创建新的密钥对,请确保您将文件下载并保存在安全的位置。您需要知道私钥的内容,以便在启动实例后与实例相连。

    要启动您的实例,请选中确认复选框,然后选择 Launch Instances(启动实例)。

  13. 在确认页面上,选择 View Instances(检查实例)可在 Instances(实例)页面上查看您的实例。选择您的实例,然后在 Description(描述)选项卡中查看其详细信息。Private IPs(私有 IP)字段显示从您的子网中的 IPv4 地址范围分配给您的实例的私有 IPv4 地址。Private IPs(私有 IP)字段显示从您的子网中的 IPv6 地址范围分配给您的实例的 IPv6 地址。

您可以使用 SSH 或远程桌面从您的家庭网络通过您的实例的 IPv6 地址连接到该实例。您的本地计算机必须拥有 IPv6 地址,且必须配置为使用 IPv6。有关如何连接到 Linux 实例的更多信息,请参阅适用于 Linux 实例的 Amazon EC2 用户指南中的连接到 Linux 实例。有关如何连接到 Windows 实例的更多信息,请参阅适用于 Windows 实例的 Amazon EC2 用户指南中的使用 RDP 连接到 Windows 实例

注意

如果您还希望您的实例可通过 IPv4 地址在互联网、SSH 或 RDP 上访问,则必须将一个弹性 IP 地址(静态公有 IPv4 地址)与您的实例关联,而且必须调整您的安全组规则以允许通过 IPv4 访问。有关更多信息,请参阅 开始使用 Amazon VPC