IPv6 網路的概念規劃
本指南概述將 Azure 中的 IPv4 網路環境轉換為 IPv6 的策略。 此轉換是必要的,因為連線到因特網的裝置數目會擴大,而 IPv4 位址接近耗盡。 IPv6 通訊協定提供較大的因特網位址池,以容納未來的成長,並提供增強的安全性功能(原生 IPSec)、流量標籤和簡化的網路設定。 本文可協助您瞭解 IPv6、取得 IPv6 位址,以及轉換至 IPv6。
瞭解 IPv6
IPv6 具有如此大的位址空間,您應該使用過度配置 IPv6 位址的一致 IPv6 位址區塊大小。 此網路策略與 IPv4 形成鮮明對比。 有限的 IPv4 位址數目會強制您使用最小的可能子網大小。 下表可讓您瞭解 IPv6 的大小增加:
| IP 版本 | IP 位址數目 |
|---|---|
| IPv4 | 4,294,967,296 |
| IPv6 | 340,282,366,920,938,463,463,374,607,431,768,211,456 |
雙重堆疊。 Azure 虛擬網路支援雙重堆疊。 支援雙重堆疊的網路可以同時處理 IPv4 和 IPv6 流量。 您可以將新的 IPv6 位址區塊指派給具有現有 IPv4 區塊的子網。 使用 IPv6 的服務可以與使用 IPv4 的服務共存。 因此,您可以在所有服務都支援 IPv6 之前啟動 IPv6 轉換。
Azure 中的 IPv6。 在您的 Azure 環境中,網路介面會接收三種類型的 IPv6 位址之一:
私人 IP 位址。 若要在私人IP位址上啟用IPv6,請將IPv6位址範圍套用至虛擬網路及其子網。 子網中的網路介面會根據您的組態取得靜態或動態位址。 您可以在 Azure 入口網站 中看到IP位址指派。 如果您使用虛擬機,您也可以在虛擬機設定中看到它。 在作業系統中,此位址會顯示為 IPv6 位址。
公用 IP 位址。 您可以將公用 IPv6 位址套用至網路介面。 公用IP位址在因特網上必須是全域唯一且可路由傳送的。 您必須產生可用於 Azure 上公用端點的唯一 IPv6 位址,例如負載平衡器或應用程式閘道。 您可以使用
New-AzPublicIpAddressCmdlet 在 PowerShell 中建立 IPv6 公用位址。操作系統組態不會顯示公用IP位址,但您可以在 Azure 入口網站 中看到公用IP位址。 您可以使用公用 IPv6 位址對因特網進行輸入和輸出通訊。 您可能需要使用使用者定義的路由來更新路由表,以支援 IPv6。 許多組織會使用共用網路虛擬設備 (NVA) 進行公用通訊,且不會將公用IP位址指派給網路介面。 您不需支付 Azure 公用 IPv6 位址的費用,不過您需支付 IPv4 位址的費用。 如需詳細資訊,請參閱 IP位址定價。
連結-本機位址。 連結本機位址是特殊類型的私人IP位址。 在 IPv6 中,連結本機位址會在所有介面上自動設定。 它們用於單一網路區段內的通訊,且無法在因特網上路由傳送。 它們來自空間,
fe80::/10而不是來自子網的位址區塊。 您可以從作業系統內查看fe80::/10指派給您介面的位址。
如需其他特殊位址區塊的詳細資訊,請參閱 IANA IPv6特殊用途位址登錄。
取得 IPv6 位址
如果您的組織已經有 IPv6 位址,您可以受益於在 Azure 環境中使用這些位址。 如果沒有,您需要取得新的。 使用現有的位址可以更具成本效益且更有效率,但取得新的位址可確保您有足夠的且連續的位址區塊,以滿足您的需求。 它也會減少解決衝突的機會。 如果您沒有為組織保護的 IPv6 空間,您可以使用全域位址或本機位址。
全域位址:全域位址是因特網上唯一的公用IP位址。 您可以連絡註冊機構,要求持續封鎖一般配置或全域位址。 這些 IPv6 位址可用於 Azure 中的子網、虛擬網路和區域超級網路。 若要在多個區域中有足夠的空間可供成長,您應該規劃將 /36 位址空間配置給整個 Azure 環境。 您可以針對專用網和公用端點使用全域位址,也可以配置不同的範圍。 唯一的全域位址不能有IP位址衝突。
本機位址:本機位址是虛擬網路內使用的私人IP位址。 您可以在唯一的本機位址範圍中使用IP。 此位址範圍的運作方式類似IPv4私人位址範圍,例如 10.0.0.0/8 地址空間。 IPv6 會保留唯一本機地址的 fc00::/7 位址區塊。 這些地址無法全局連線,即使它們是IPv6全域單播位址範圍的一部分。
如果您使用唯一的本機位址範圍,您的IP位址可能會與另一個組織的IP位址範圍重疊。 如果有重疊,您可能會遇到整合網路的挑戰。 如需詳細資訊,請參閱 唯一本機 IPv6 單播地址備忘錄。
轉換至 IPv6
您應該將 IPv6 位址指派給 Azure 網路與組織的 IPv6 尋址方案一致。 您的組織應該已經有內部部署 IPv6 用途的計劃,讓您可以在不同位置之間配置空間,而不會重疊。 如果您沒有方案,您應該先定義一個方案,再開始在 Azure 上實作。 如需詳細資訊,請參閱 規劃 IP 尋址。
IPv4 中保護位址所需的一些做法不適用於 IPv6。 您應該過度配置 IPv6 位址,並使用 Azure 環境、區域、虛擬網路和子網的標準區塊大小,如下表所示。 這些建議適用於 IPv6,不適用於 IPv4 環境。 如需詳細資訊,請參閱 規劃 IP 尋址。
| 範圍 | 大小 | 執行個體數目 |
|---|---|---|
| Azure 環境 | /36 | 1 |
| 區域 | /44 | 256 |
| 虛擬網路 | /56 | 每個區域 4,096 個 |
| 子網路 | /64 | 每個虛擬網路 256 個 |
將區域轉換為 IPv6。 您應該使用超級網路,並將 /44 IPv6 位址空間指派給每個 Azure 區域。 如同 IPv4,超級網路在 Azure 中沒有技術代表。 相反地,您會在 IP 位址管理 系統中指派和追蹤它(IPAM)。 下表說明多個區域的位址區塊外觀:
| 網路範圍 | CIDR 範圍 | 第一個IP | 最後一個IP |
|---|---|---|---|
| Azure 區域 1 | fd00:db8:dec0::/44 |
fd00:db8:dec0:0000:0000:0000:0000:0000:0000 | fd00:db8:decf:ffff:ffff:ffff:ffff:ffff |
| Azure 區域 2 | fd00:db8:ded0::/44 |
fd00:db8:ded0:0000:0000:0000:0000:0000:0000 | fd00:db8:dedf:ffff:ffff:ff |
| Azure 區域 3 | fd00:db8:def0::/44 |
fd00:db8:def0:0000:0000:0000:0000:0000:0000 | fd00:db8:definitely:ffff:ffff:ffff:ffff:ffff |
配置此IP位址空間給區域之後,您可以從該IP空間定義虛擬網路和子網,以部署新的網路和工作負載。
將虛擬網路轉換為 IPv6。 您應該將 /56 IPv6 位址空間指派給每個虛擬網路。 此指派有助於網路管理,並簡化建立程式。 它可讓您在單一虛擬網路中的區域和256個子網中建立4,096個虛擬網路。
將子網轉換為IPv6。 您可以繼續使用現有的子網架構,並將 /64 位址區塊指派給每個子網。 此子網大小也可讓您在概念上規劃網路。 由於位址耗盡,您不需要擔心調整子網的大小。
Azure 上的 IPv6 網路和 IPv4 網路之間的一個顯著差異是子網大小下限。 Azure 上的 IPv6 子網大小下限為 /64。 每個子網都包含 18,446,744,073,709,551,616 部主機,減去用於 Azure 管理的主機。 如同 IPv4 網路,IPv6 子網會保留前四個 IP 位址以進行管理。 IPv6 子網大小下限的原因是維持與 Azure 外部網路設備的相容性。 如果子網較小,可能會發生路由問題。
若要計算可放入較大位址區塊之特定大小的子網數目,您可以使用公式 2^(X-Y)。 X 是較小的位址區塊大小,而 Y 是較大的區塊大小。 例如,若要判斷有多少 /64 子網可以放入 /44 位址區塊中,您可以使用 2^(64-44)。 結果是 1,048,576。
重複使用 IPv4 位址。 當您轉換至 IPv6 位址時,您可以在 Azure 環境中的不同虛擬網路中重新用途私人 IPv4 位址。 這項可傳輸性可讓您在轉換期間,在轉換期間維持作用中的服務,並有效地管理您的IP空間。 重複使用選項提供較大的有效 IPv4 空間。 對於任何對等互連的虛擬網路,您必須確定 IPv4 位址範圍不會重疊。
設定 Azure 服務以使用 IPv6
您可以使用下表來尋找將特定服務或元件轉換為 IPv6 的指示。
| 服務/元件 | 轉換指示 |
|---|---|
| Azure 應用程式閘道 | 如需詳細資訊,請參閱使用前端公用IPv6位址設定 應用程式閘道。 |
| AKS 的 Azure 容器網路介面 (CNI) 重疊 | 如需詳細資訊,請參閱 使用 Azure CNI 重疊。 |
| Azure 自定義IP位址前綴 | 您必須為 IPv6 位址範圍建立新的前置詞。 如需指示,請參閱使用 Azure 入口網站 建立自定義 IPv6 位址前綴。 |
| Azure 資料總管 | 您必須執行 API 要求,才能將 publicIPType 屬性更新為 DualStack。 如需詳細資訊,請參閱 建立或更新叢集。 |
| Azure DNS 區域 (公用和私人) | 若要新增 IPv6 記錄,請參閱 管理 DNS 記錄和記錄集。 |
| Azure ExpressRoute 閘道 | 若要轉換 ExpressRoute 閘道,請參閱 Azure ExpressRoute:新增 IPv6 支援。 |
| Azure Front Door | Azure Front Door 可以使用 IPv6 鎖定後端。 除了更新後端資訊之外,您不需要特殊轉換。 |
| Azure Kubernetes Service (AKS) | 如需詳細資訊,請參閱 搭配雙堆棧網路使用 kubenet。 |
| Azure Load Balancer | 若要使用 IPv6 建立或修改新的負載平衡器,請參閱使用 IPv6 的標準公用負載平衡器和 IPv6 的標準內部負載平衡器。 |
| Azure 公用 IP 位址 (基本) | 您必須使用 IPv6 位址建立新的公用 IP 位址。 如需指示,請參閱 建立 IPv6 公用 IP 位址。 |
| Azure Service Fabric | 如需詳細資訊,請參閱 設定受控叢集網路設定。 |
| Azure 虛擬機器擴展集 | 此程式類似於建立 IPv6 虛擬機,但您必須變更網路配置檔。 如需詳細資訊,請參閱使用 IPv6 虛擬機器擴展集。 |
| Azure Virtual Network Manager | 虛擬網絡 管理員可以管理使用 IPv6 的網路。 |
| 虛擬機器 | 若要將 IPv6 新增至現有的虛擬機,請參閱 將 IPv6 組態新增至虛擬機。 |
| 虛擬網路 | 若要將新的 IPv6 空間新增至現有的子網,請參閱 將 IPv6 新增至虛擬網路。 |