Soporte de IPv6 o alternativa para instancias de aws vpc

14

Recientemente, Apple ha impuesto el soporte de IPv6 como obligatorio para todos sus proveedores que usan su mobile-api y aws vpc no proporciona soporte de IPv6. Cómo puedo conseguir esto. Lo he comprobado, https://aws.amazon.com/blogs/aws/elastic-load-balancing-ipv6-zone-apex-support-additional-security/sin embargo, no estoy seguro de qué hacer.

Necesitaría asesoramiento experto aquí.

amazon-ec2 ipv6 amazon-vpc apple apple-ios Shailesh Sutar
fuente
¿Utiliza AWS ELB frente a sus instancias de AWS? Si es así, ya debería tener el reenvío de IPv6 a través del ELB. dig -t aaaa your-elb-assigned-name.amazonaws.com
user4556274
2
@ user4556274 v6 solo está disponible en ELB no VPC. El OP está utilizando una VPC, por lo que no está disponible.
EEAA
Sí, uso AWS ELB en instancias delanteras de aws, sin embargo, estoy usando aws VPC no predeterminado. Las instancias están alojadas en vpc y quiero enrutar el tráfico allí, lo cual no es posible utilizando los vpc de ELB dentro de Shap
Shailesh Sutar
3
¿Pensé que Apple impuso el soporte NAT64 / DNS64 como obligatorio, y todavía puede acceder a los servidores IPv4 en una red NAT64 / DNS64 (aunque subóptimamente)?
user253751
1
Por favor, vea mi edición a continuación. Sí, ELB hacer tener una dirección v6, pero no es utilizable para el tráfico.
EEAA

Respuestas:

16

Desafortunadamente, AWS ha descuidado severamente el soporte significativo de IPv6. Su "solución", si puede llamarlo así, es lanzar un ELB no VPC frente a su aplicación. Por muchas razones, es una solución no sostenible para muchos casos de uso.

Como una solución provisional, la táctica que he visto utilizada por varias organizaciones es hacer frente a un VPS compatible con IPv6 con otro proveedor, apuntar el AAAAregistro allí y luego usar haproxy u otro paquete de software similar para las solicitudes de proxy a su infraestructura IPv4. Sí, esta es una forma realmente incómoda y ciertamente rota de hacer las cosas, pero hasta que AWS libere un soporte significativo de IPv6, no hay muchas otras opciones.

Editar:

Con respecto a la afirmación de Craig de que todos los ELB (VPC o de otro tipo) tienen direcciones IPv6. Sí, eso es correcto, pero en mis pruebas y en discusiones con otros expertos de AWS, los ELB en realidad no escuchan el tráfico en esas IP. Supongo que habilitar IPv6 en los ELB como lo han hecho es un primer paso para ofrecer soporte completo de IPv6 en algún momento. Mi sospecha es que harán un anuncio sobre esto durante o justo antes de su conferencia re: Invent la primera semana de diciembre de 2016.

EEAA
fuente
Los VPB ELB son de doble pila. Mira mi respuesta.
Craig Watson el
@CraigWatson Parece que no escuchan la dirección AAAA.
ceejayoz
1
@EEAA Entiendo que no es posible usar los IPv6 asignados a ese punto final de ELB que obtenemos cuando lo excavamos. Y, por lo tanto, no puede enrutar el tráfico a través de direcciones IPv6. Por lo tanto, volvemos a la solución que propuso que use un VPS de terceros que admita IPv6. Corrígeme si estoy equivocado.
Shailesh Sutar
@ShaileshSutar Sí, lamentablemente volví a mi sugerencia original.
EEAA
1
Soporte EC2 para IPv6 disponible: aws.amazon.com/blogs/aws/…
dsadinoff
7

Puede crear registros IPv6 para su ELB anteponiendo ipv6.al nombre de host público de su ELB.

Nombres de host e IP eliminados debido a que es un entorno de cliente: esto se encuentra en la región eu-west-1 en una VPC no predeterminada.

craig@zeus:~$ dig AAAA ipv6.blah-0000000000.eu-west-1.elb.amazonaws.com +short
2a01:xxx:3::xxx:3314
2a01:xxx:3::xxx:ff14
2a01:xxx:3::xxx:7f20

craig@zeus:~$ dig A blah-0000000000.eu-west-1.elb.amazonaws.com +short
54.xxx.xxx.xxx
52.xxx.xxx.xxx
54.xxx.xxx.xxx

Tenga en cuenta que también puede usar el dualstackprefijo para devolver ambos Ay AAAAregistros para su ELB.

Craig Watson
fuente
Interesante. ¿Es ese nuevo comportamiento? En cualquier caso, los ELB no son una solución sostenible para muchos casos de uso.
EEAA
2
El dualstackprefijo ha existido durante un buen año más, pero no estoy seguro de si Amazon incluso se ha molestado en actualizar sus documentos: el KB todavía dice que IPv6 es solo para EC2-Classic, que ha quedado en desuso durante años y se ha desactivado activamente en todas las cuentas creadas después del 4 de diciembre de 2013.
Craig Watson
1
Dicho esto, estoy de acuerdo en que AWS todavía está atrasado en no ofrecer EIP IPv6; espero que lo hagan pronto, pero hasta entonces la única opción es usar un ELB.
Craig Watson el
2
Entonces, realmente investigué esto, y aunque los ELB tienen una dirección v6, en realidad no está escuchando esa dirección, al menos no en mi caso.
EEAA
No estoy seguro de esto, pero ¿es posible tener una instancia clásica de Ec2 ELB ==> Ec2 clásica. ¿Y configurar HAProxy o nginx como equilibrador de carga en la instancia ec2-classic para enrutar el tráfico a VPC ELB o instancias?
Shailesh Sutar
3

En el este de los Estados Unidos, uso un intermediario de túnel IPv6 para proporcionar un túnel IPv6 que permite que la instancia se aborde directamente utilizando una dirección IPv6. Dado que el punto de presencia del agente de túnel está cruzado localmente con Amazon, esto agrega solo aproximadamente 1 ms de latencia.

El inconveniente es que, para llevar IPv6 a otras instancias en la subred, debe enrutarlo usted mismo (por ejemplo, con radvd).

Michael Hampton
fuente
o ser su propio agente de túnel con un VPS con capacidad v6. Yo uso dos de ellos para mayor redundancia.
Skaperen
@Skaperen Puedes hacerlo tú mismo, hasta cierto punto. Todavía tengo que encontrar el proveedor de VPS que me dará un / 48.
Michael Hampton
No estoy seguro de esto, pero ¿es posible tener una instancia clásica de Ec2 ELB ==> Ec2 clásica. ¿Y configurar HAProxy o nginx como equilibrador de carga en la instancia ec2-classic para enrutar el tráfico a VPC ELB o instancias?
Shailesh Sutar
2

Ponga CloudFlare delante de su aplicación. Aceptarán solicitudes en IP6 pero enrutarán el tráfico a su IP4 ELB.

Tim
fuente