本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 新增 VPC 的 IPv6 支援
下表概述了為您的 VPC 啟用 IPv6 的流程。
**Topics**
+ [步驟 1:建立 IPv6 CIDR 區塊與 VPC 和子網的關聯](#vpc-migrate-ipv6-cidr)
+ [步驟 2:更新路由表](#vpc-migrate-ipv6-routes)
+ [步驟 3:更新安全群組規則](#vpc-migrate-ipv6-sg-rules)
+ [步驟 4:將 IPv6 地址指派給執行個體](#vpc-migrate-assign-ipv6-address)
| 步驟 | 備註 |
| --- | --- |
| [步驟 1:建立 IPv6 CIDR 區塊與 VPC 和子網的關聯](#vpc-migrate-ipv6-cidr) | 將 Amazon 提供的或 BYOIP IPv6 CIDR 區塊與 VPC 和子網建立關聯。 |
| [步驟 2:更新路由表](#vpc-migrate-ipv6-routes) | 更新路由表以遞送 IPv6 流量。針對公有子網,建立路由,以將所有 IPv6 流量從子網遞送至網際網路閘道。針對私有子網,建立路由,以將所有網際網路綁定型 IPv6 流量從子網遞送至輸出限定網際網路閘道。 |
| [步驟 3:更新安全群組規則](#vpc-migrate-ipv6-sg-rules) | 更新安全群組規則,以包含 IPv6 地址的規則。這可讓 IPv6 流量進出執行個體。如果您已建立自訂網路 ACL 規則來控制進出子網的流量流程,則必須包含 IPv6 流量的規則。 |
| [步驟 4:將 IPv6 地址指派給執行個體](#vpc-migrate-assign-ipv6-address) | 將 IPv6 地址從子網的 IPv6 地址範圍指派給執行個體。 |
## 步驟 1:建立 IPv6 CIDR 區塊與 VPC 和子網的關聯
您可以建立 IPv6 CIDR 區塊與 VPC 的關聯,然後建立該範圍中的 `/64` CIDR 區塊與每個子網的關聯。
**建立 IPv6 CIDR 區塊與 VPC 的關聯**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Your VPCs (您的 VPC)**。
1. 選取您的 VPC。
1. 選擇**動作**、**編輯 CIDR**,然後選擇**新增 IPv6 CIDR**。
1. 選取下列其中一個選項,然後選擇**選取 CIDR**:
+ **Amazon 提供的 IPv6 CIDR 區塊** – 使用 Amazon 的 IPv6 地址集區中的 IPv6 CIDR 區塊。針對**網路邊界群組**,選擇從中 AWS 公告 IP 地址的群組。
+ **IPAM 配置的 IPv6 CIDR 區塊** – 使用 [IPAM 集區](https://docs.aws.amazon.com/vpc/latest/ipam/how-it-works-ipam.html)中的 IPv6 CIDR 區塊。選擇 IPAM 集區和 IPv6 CIDR 區塊。
+ **我擁有的 IPv6 CIDR** – 使用 IPv6 地址集區 ([BYOIP](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-byoip.html)) 中的 IPv6 CIDR 區塊。選擇 IPv6 地址集區和 IPv6 CIDR 區塊。
1. 選擇**關閉**。
**建立 IPv6 CIDR 區塊與子網的關聯**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Subnets** (子網)。
1. 選取子網路。
1. 選擇**動作**、**編輯 IPv6 CIDR**,然後選擇**新增 IPv6 CIDRs**。
1. 視需要編輯 CIDR 區塊 (例如,取代 `00`)。
1. 選擇**儲存**。
1. 為 VPC 中的任何其他子網路重複此程序。
如需詳細資訊,請參閱[IPv6 VPC CIDR 區塊](vpc-cidr-blocks.md#vpc-sizing-ipv6)。
## 步驟 2:更新路由表
當您將 IPv6 CIDR 區塊與您的 VPC 建立關聯時,會自動將區域路由新增至 VPC 的每個路由表,以允許 VPC 中的 IPv6 流量。
您必須更新公有子網路的路由表,讓執行個體 (例如 Web 伺服器) 將網際網路閘道用於 IPv6 流量。您還必須更新私有子網路的路由表,讓執行個體 (例如資料庫執行個體) 將輸出限定網際網路閘道用於 IPv6 流量,因為 NAT 閘道不支援 IPv6。
**更新公有子網路的路由表**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Subnets** (子網)。選取公有子網路。在**路由表**索引標籤上,選擇路由表 ID 以開啟路由表的詳細資訊頁面。
1. 選取 路由表。在 **Routes (路由)** 標籤中,選擇 **Edit routes (編輯路由)**。
1. 選擇 **Add route (新增路由)**。對於**目的地**,請選擇 `::/0`。選擇**目標**的網際網路閘道的 ID。
1. 選擇**儲存變更**。
**更新私有子網路的路由表**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇**輸出限定網際網路閘道**。選擇**建立輸出限定網際網路閘道**。從 VPC 中選擇您的 **VPC**,然後選擇**建立輸出限定網際網路閘道**。
如需詳細資訊,請參閱[使用輸出限定 (egress-only) 網際網路閘道來啟用傳出 IPv6 流量](egress-only-internet-gateway.md)。
1. 在導覽窗格中,選擇 **Subnets** (子網)。選取私有子網路。在**路由表**索引標籤上,選擇路由表 ID 以開啟路由表的詳細資訊頁面。
1. 選取 路由表。在 **Routes (路由)** 標籤中,選擇 **Edit routes (編輯路由)**。
1. 選擇 **Add route (新增路由)**。對於**目的地**,請選擇 `::/0`。選擇**目標**的輸出限定網際網路閘道的 ID。
1. 選擇**儲存變更**。
**注意**
路由表不能同時存在指向網際網路閘道與僅限輸出網際網路閘道的相同目的地 (::/0)。如果您在設定僅限輸出網際網路閘道時收到 "There are existing ipv6 routes with next hop as internet Gateway" 錯誤訊息,必須先刪除指向網際網路閘道的現有 IPv6 路由,才能新增指向僅限輸出網際網路閘道的路由。
如需詳細資訊,請參閱[路由選項範例](route-table-options.md)。
## 步驟 3:更新安全群組規則
若要讓執行個體透過 IPv6 傳送和接收流量,您必須更新安全群組規則以包含 IPv6 地址的規則。例如,在上述範例中,您可以更新 Web 伺服器安全群組 (`sg-11aa22bb11aa22bb1`) 以新增規則,允許透過 IPv6 地址的傳入 HTTP、HTTPS 和 SSH 存取。您不需要變更資料庫安全群組的傳入規則;允許來自 `sg-11aa22bb11aa22bb1` 之所有通訊的規則包含 IPv6 通訊。
**更新傳入安全群組規則**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇**安全群組**,然後選取 Web 伺服器安全群組。
1. 在**傳入規則**索引標籤中,選擇**編輯傳入規則**。
1. 對於允許 IPv4 流量的每個規則,請選擇**新增規則**,然後將規則設定為允許對應的 IPv6 流量。例如,若要新增規則以允許透過 IPv6 的所有 HTTP 流量,請針對**類型**選擇 **HTTP**,然後針對**來源**選擇 `::/0`。
1. 當您完成新增規則的作業時,請選擇**儲存規則**。
**更新傳出安全群組規則**
當您將 IPv6 CIDR 區塊與 VPC 建立關聯時,我們會自動為允許所有 IPv6 流量的 VPC 的安全群組新增傳出規則。不過,如果您已修改安全群組的原始傳出規則,則不會自動新增此規則,而且您必須新增 IPv6 流量的對等傳出規則。
**更新網路 ACL 規則**
當您將 IPv6 CIDR 區塊與 VPC 建立關聯時,會自動將規則新增至預設網路 ACL 以允許 IPv6 流量。不過,如果您修改預設網路 ACL,或已建立自訂網路 ACL,則必須手動新增 IPv6 流量的規則。如需詳細資訊,請參閱[新增與刪除規則](create-network-acl.md#Rules)。
## 步驟 4:將 IPv6 地址指派給執行個體
所有目前世代的執行個體類型都支援 IPv6。如果您的執行個體類型不支援 IPv6,您必須將執行個體的大小調整為支援的執行個體類型,然後才能指派 IPv6 地址。您將使用的程序取決於所選擇的新執行個體類型是否與目前的執行個體類型相容。如需詳細資訊,請參閱*《Amazon EC2 使用者指南》*中的[變更執行個體類型](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-resize.html)。如果您必須從新的 AMI 啟動執行個體以支援 IPv6,則可以在啟動期間將 IPv6 地址指派給執行個體。
確認執行個體類型支援 IPv6 之後,即可使用 Amazon EC2 主控台將 IPv6 地址指派給執行個體。IPv6 位址會指派給執行個體的主要網路介面 (例如 eth0)。如需詳細資訊,請參閱*《Amazon EC2 使用者指南》*中的[將 IPv6 地址指派給執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#assign-ipv6-address)。
您可以使用執行個體的 IPv6 地址連線到執行個體。如需詳細資訊,請參閱《Amazon EC2 使用者指南**》中的[透過 SSH 用戶端連線至 Linux 執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-linux-inst-ssh.html#connect-linux-inst-sshClient)。
如果您使用適用於目前版本作業系統的 AMI 啟動執行個體,則您的執行個體將設定為使用 IPv6。如果您無法從執行個體 ping IPv6 地址,請參閱適用於您作業系統的說明文件來設定 IPv6。