Supporto IPv6 o alternativa per istanze aws vpc


14

Recentemente apple ha imposto il supporto IPv6 come obbligatorio per tutti i suoi fornitori che usano il suo mobile-api e aws vpc non fornisce supporto IPv6. Come posso raggiungere questo obiettivo. Ho controllato https://aws.amazon.com/blogs/aws/elastic-load-balancing-ipv6-zone-apex-support-additional-security/ma non sono sicuro di cosa fare.

Avrei bisogno di consulenza di esperti qui.


Usi AWS ELB davanti alle tue istanze AWS? In tal caso, dovresti già avere l'inoltro IPv6 tramite ELB. dig -t aaaa your-elb-assigned-name.amazonaws.com
user4556274

2
@ user4556274 v6 è disponibile solo su ELB non VPC. L'OP utilizza un VPC, quindi non è disponibile.
SEE

Sì, utilizzo AWS ELB nelle istanze aws frontali, tuttavia utilizzo VPC aws non predefinito. Le istanze sono ospitate in vpc e voglio instradare il traffico lì che non è possibile utilizzando ELB all'interno di vpc
Shailesh Sutar

3
Pensavo che Apple imponesse il supporto NAT64 / DNS64 come obbligatorio e puoi comunque accedere ai server IPv4 su una rete NAT64 / DNS64 (anche se in modo non ottimale)?
user253751

1
Si prega di vedere la mia modifica qui sotto. Sì, Elbs fare avere un indirizzo v6, ma non è utilizzabile per il traffico.
SEE

Risposte:


16

Purtroppo AWS ha trascurato gravemente il supporto IPv6 significativo. La loro "soluzione", se così si può chiamare, è lanciare un ELB non VPC davanti alla propria applicazione. Per molte ragioni questa è una soluzione non sostenibile per molti casi d'uso.

Come soluzione di stopgap, la tattica che ho visto usato da diverse organizzazioni è quella di difendere un VPS in grado di supportare IPv6 con un altro provider, puntare AAAAlì il record e quindi utilizzare haproxy o un altro pacchetto software simile per inviare proxy alle richieste sulla tua infrastruttura IPv4. Sì, questo è un modo davvero imbarazzante e certamente rotto di fare le cose, ma fino a quando AWS non rilascia un supporto IPv6 significativo, non ci sono molte altre opzioni.

Modificare:

Per quanto riguarda l'affermazione di Craig secondo cui tutti gli ELB (VPC o altro) hanno indirizzi IPv6. Sì, è corretto, ma nei miei test e nelle discussioni con altri esperti AWS, gli ELB in realtà non ascoltano il traffico su quegli IP. La mia ipotesi è che abilitare IPv6 sugli ELB come hanno fatto è un primo passo verso l'offerta del pieno supporto IPv6 ad un certo punto. Il mio sospetto è che faranno un annuncio al riguardo durante o subito prima della conferenza re: Invent la prima settimana di dicembre 2016.


Gli ELB VPC sono dual stack. Vedi la mia risposta
Craig Watson,

@CraigWatson Non sembrano ascoltare l'indirizzo AAAA.
Ceejayoz,

1
@EEAA Comprendo che non è possibile utilizzare quegli IPv6 assegnati a quell'end-point ELB che stiamo ottenendo quando lo scaviamo. E quindi non è possibile instradare il traffico attraverso indirizzi IPv6. Quindi torniamo alla soluzione che hai proposto di utilizzare un VPS di terze parti che supporti IPv6. Correggimi se sbaglio.
Shailesh Sutar,

@ShaileshSutar Sì, purtroppo al mio suggerimento originale.
SEE

1
Supporto EC2 per IPv6 disponibile: aws.amazon.com/blogs/aws/…
dsadinoff,

7

Puoi creare record IPv6 per il tuo ELB anteponendo ipv6.al nome host pubblico del tuo ELB.

Nomi host e IP redatti a causa del fatto che si tratta di un ambiente cliente: si trova nell'area eu-west-1 in un VPC non predefinito.

craig@zeus:~$ dig AAAA ipv6.blah-0000000000.eu-west-1.elb.amazonaws.com +short
2a01:xxx:3::xxx:3314
2a01:xxx:3::xxx:ff14
2a01:xxx:3::xxx:7f20

craig@zeus:~$ dig A blah-0000000000.eu-west-1.elb.amazonaws.com +short
54.xxx.xxx.xxx
52.xxx.xxx.xxx
54.xxx.xxx.xxx

Nota che puoi anche usare il dualstackprefisso per restituire entrambi Ae i AAAArecord per il tuo ELB.


Interessante. È un nuovo comportamento? Indipendentemente da ciò, gli ELB non sono una soluzione sostenibile per molti casi d'uso.
SEE

2
Il dualstackprefisso è in circolazione da un buon anno, ma non sono sicuro che Amazon si sia preso la briga di aggiornare i propri documenti - il KB dice ancora che IPv6 è solo per EC2-Classic, che è stato deprecato per anni e disattivato attivamente su tutti gli account creati dopo il 4 dicembre 2013.
Craig Watson

1
Detto questo, sono d'accordo sul fatto che AWS è ancora indietro nel non offrire EIP IPv6 - si spera che lo faranno presto, ma fino ad allora l'unica opzione è quella di utilizzare un ELB.
Craig Watson,

2
Quindi, ho davvero esaminato questo, e anche se gli ELB hanno un indirizzo v6, in realtà non è in ascolto su quell'indirizzo, almeno non nel mio caso.
EEAA

Non ne sono sicuro, ma è possibile avere un'istanza ELB Ec2-classic ==> Ec2 classic. E configurare HAProxy o nginx come bilanciamento del carico su istanza ec2-classic per instradare il traffico verso VPC ELB o istanze?
Shailesh Sutar,

3

In oriente utilizzo un broker di tunnel IPv6 per fornire un tunnel IPv6 che consenta di indirizzare l'istanza direttamente utilizzando un indirizzo IPv6. Poiché il punto di presenza del broker di tunnel è interconnesso ad Amazon localmente, ciò aggiunge solo circa 1ms di latenza.

Il lato negativo è che, per ottenere IPv6 ad altre istanze nella sottorete, è necessario instradarlo da soli (ad esempio con radvd).


o essere il tuo tunnel-broker con un VPS compatibile con v6. ne uso due per una maggiore ridondanza.
Skaperen,

@Skaperen Puoi farlo da solo, fino a un certo punto. Devo ancora trovare il provider VPS che mi darà un / 48.
Michael Hampton

Non ne sono sicuro, ma è possibile avere un'istanza ELB Ec2-classic ==> Ec2 classic. E configurare HAProxy o nginx come bilanciamento del carico su istanza ec2-classic per instradare il traffico verso VPC ELB o istanze?
Shailesh Sutar,


2

Metti CloudFlare davanti alla tua applicazione. Accetteranno richieste su IP6 ma indirizzeranno il traffico verso il tuo ELB IP4.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.