线下IDC使用EIP对外提供IPv6服务
应用场景
当已有的IPv4地址的弹性公网IP需要增加IPv6地址时,可以使用弹性公网IP(EIP)服务的IPv6转换功能即可将已有的IPv4地址映射为公网IPv6地址。开启IPv6转换后,将提供IPv4和IPv6弹性公网IP地址,原有IPv4业务可以快速为IPv6用户提供访问能力。
假设后端服务器在用户线下数据中心(IDC),现有IPv4服务无法快速上云,或短期内无法完成IPv6双栈改造,则可以使用IPv6 EIP快速对接线下IDC,对外提供IPv6能力,不必改造IDC内部IPv4网络,快速支持IPv6的用户接入,保证IPv4和IPv6用户的不同需求。
方案架构
- 通过虚拟专用网络(VPN)将用户IDC与VPC连通。
- 在VPC中搭建NAT网关,并绑定IPv6 EIP,对外提供公网IPv6服务。
- IPv6 EIP只能作为服务端地址对外提供服务,无法主动访问IPv6地址。
- IDC的网段与云上VPC中的子网网段不能重叠,否则无法通信。
方案优势
不必改造IDC内部IPv4网络,就可以快速支持IPv6的用户接入,保证IPv4和IPv6用户的不同需求。
约束与限制
开启EIP的IPv6转换后,您需要在安全组的出方向和入方向中放通198.19.0.0/16网段的IP地址。因为IPv6弹性公网IP采用NAT64技术,入方向的源IP地址经过NAT64转换后,会将IPv6地址转换为198.19.0.0/16之间的某个IPv4地址,源端口随机,目的IP为本机的内部私有IPv4地址,目的端口不变。
|
方向 |
协议 |
端口和地址 |
|---|---|---|
|
入方向 |
全部 |
源地址:198.19.0.0/16 |
|
出方向 |
全部 |
目的地址:198.19.0.0/16 |
资源和成本规划
|
资源 |
资源名称 |
资源说明 |
数量 |
|---|---|---|---|
|
虚拟私有云(VPC) |
VPC-Test01 |
在该VPC中购买EIP、NAT网关,VPC网段为:192.168.0.0/24 |
1 |
|
弹性公网IP(EIP) |
EIP-IPv4&IPv6 |
IPv4地址的弹性公网IP,,需开启IPv6转换。 |
1 |
|
NAT网关 |
NAT-Test |
需购买公网NAT网关,并绑定弹性公网IP。 |
1 |
|
VPN网关 |
VPN-GW-Test |
VPN网关是VPC中建立的出口网关设备,通过VPN网关可建立VPC和IDC之间安全可靠的加密通信。 |
1 |
|
VPN连接 |
VPN-Test |
VPN连接帮您快速构建VPN网关和远端网关之间的安全、可靠的加密通道。 |
1 |
|
用户线下数据中心(IDC) |
IDC-Test |
包含远端网关、路由器、后端服务器。该IDC私网网段为:192.168.1.0/24 |
1 |
实施步骤
- 购买EIP并开启IPv6转换
根据出公网的实际业务需求,购买相应带宽的弹性公网IP并勾选IPv6转换。
具体操作请参见申请弹性公网IP。
- 配置VPN
VPN由VPN网关和VPN连接组成,VPN网关提供了虚拟私有云的公网出口,与用户IDC的远端网关对应。
- 创建VPC。
创建VPC,选择网段为192.168.0.0/24,IDC私有网段为192.168.1.0/24。
IDC的网段与云上VPC中的子网网段不能重叠,否则无法通信。
具体操作请参见创建虚拟私有云和子网。
- 创建VPN网关。
虚拟私有云:选择2.a中创建的VPC。
带宽大小:根据实际的业务需求,选择VPN连接需要的带宽大小。
具体操作请参见创建VPN网关。
- 创建VPN连接。
本端子网:选择网段,手动输入网段:192.168.0.0/24,198.19.0.0/16。
远端网关:选择线下IDC的VPN远端公网IP。
远端子网:选择线下IDC的私有网段192.168.1.0/24。
具体操作请参见创建VPN连接。
由于EIP开启IPv6转换后,源IP会被替换成198.19.0.0/16网段,因此需要将该网段加入到本端子网中。由于Console页面的校验,需要先填写VPC的子网,再填写198.19.0.0/16。
- 配置IDC侧VPN设备。
完成云端的VPN配置后,需要对线下IDC侧的VPN设备进行相应配置,具体操作请参见《虚拟专用网络管理员指南》。
- 创建VPC。
- 配置公网NAT网关
购买公网NAT网关,通过添加DNAT规则,可以通过映射方式使您的云主机或通过VPN扩展到云上的主机为互联网提供服务。
配置验证
操作完成后,就可以实现EIP服务的公网IPv6地址对外提供IPv6服务。
IPv6地址可以在EIP页面查询:
使用具有访问公网能力的IPv6客户端,测试IPv6 EIP的IPv6地址的连通性。
