阿里云IPv6网关完全对接指南：从零搭建双栈VPC到精细化流量管控

引言：为什么需要IPv6网关

随着IPv4地址池的彻底枯竭，全球网络向IPv6的过渡已成为不可逆转的趋势。对于部署在阿里云上的业务系统而言，尽早具备IPv6公网服务能力，不仅关乎合规要求，更是提升用户体验、拓展业务边界的关键举措。然而，IPv6并非简单的地址长度增加，其网络架构、地址分配与路由逻辑与IPv4存在本质差异。阿里云IPv6网关（IPv6 Gateway）正是连接专有网络VPC与IPv6互联网的核心枢纽。默认情况下，VPC内分配的IPv6地址仅具备私网通信能力。若要使云上资源具备IPv6公网的入站与出站能力，或实现更精细的“仅主动出”访问控制，则必须通过IPv6网关进行配置与管理。本文将带你从零开始，全方位掌握阿里云IPv6网关的对接、配置与运维技巧。

需要先登录阿里云控制台，点击：阿里云控制台

一、核心概念与地址规划

在动手操作之前，理解IPv6网关涉及的关键概念与地址分配原则至关重要。

1.1 核心概念解析

• IPv6网关（IPv6 Gateway）：这是VPC内控制IPv6网络流量的网关组件。一个VPC有且仅能创建一个IPv6网关。创建时，系统会自动在VPC路由表中添加一条目标网段为::/0、下一跳指向IPv6网关的自定义路由，用于引导VPC内云资源访问IPv6互联网。
• IPv6公网带宽（IPv6 Internet Bandwidth）：这是决定一个IPv6地址能否访问公网的关键开关。公网带宽为0 Mbps时，该IPv6地址仅用于VPC内部通信；开通带宽后，即具备双向的公网通信能力。
• 仅主动出规则（Egress-Only Rule）：这是一种特殊的访问控制策略。当为一个IPv6地址配置了仅主动出规则后，该地址可以主动发起对IPv6互联网的访问（出站），但外部IPv6客户端主动发起的入站请求将被IPv6网关丢弃。这在需要保护内部服务不被外部直接访问的场景中非常实用。

1.2 IPv6地址段规划

阿里云VPC在开启IPv6时，系统会为VPC分配一个/56的IPv6网段。在该VPC下创建交换机时，每个交换机默认会获得一个/64的IPv6网段。这个/64网段是交换机内ECS实例获取IPv6地址的基础。你可以在为交换机开通IPv6时，自定义最后8位来微调网段。地址来源方面，你可以选择“系统分配”的BGP多线地址，也可以使用IPAM（IP地址管理）从预置的地址池中分配，以实现更统一的地址资源管理。

二、环境准备：为VPC与交换机开通IPv6

使用IPv6网关的第一步，是确保目标VPC和交换机已启用IPv6功能。这可以在创建资源时完成，也可以对现有资源进行配置。

2.1 创建新的VPC并开启IPv6

在阿里云VPC控制台创建专有网络时，在“IPv6网段”配置项中，选择“分配IPv6网段”。系统会提示选择地址类型，通常选择“BGP（多线）”即可。此时，系统将自动为该VPC创建一个IPv6网关，并分配/56的IPv6网段。同时，你还可以勾选“自动开启专有网络内所有交换机IPv6功能”，以便一键完成所有交换机的IPv6开通。

2.2 为已有VPC开启IPv6

对于已经投入使用的VPC，操作同样直接。在VPC控制台的目标VPC详情页，找到“IPv6网段”列，点击“开通IPv6”。同样选择系统分配或IPAM分配的地址段。需要注意的是，VPC开启IPv6网段后，该网段不支持删除。开启后，你还需要逐个为交换机开通IPv6功能，在目标交换机的“IPv6网段”列点击“开通IPv6”即可。

三、创建IPv6网关

如果你在创建VPC时未自动创建IPv6网关，或者在通过API操作时需要显式创建，可以按照以下步骤进行。

3.1 控制台创建

登录IPv6网关管理控制台。在顶部菜单栏选择目标地域，点击“创建IPv6网关”。在配置页面，选择需要关联的VPC。请注意，一个VPC内仅允许创建一个IPv6网关，创建后VPC不可修改。选择IPv6网段类型（通常为BGP多线），并按需配置名称、资源组和标签后，即可完成创建。

3.2 通过API创建

对于基础设施即代码（IaC）的场景，可以调用阿里云API来创建IPv6网关。这是一个异步接口，调用后系统返回实例ID，但后台创建任务仍在进行，需通过DescribeIpv6GatewayAttribute查询状态。

以下是一个使用阿里云CLI创建IPv6网关的示例：

aliyun vpc CreateIpv6Gateway \
  --RegionId cn-hangzhou \
  --VpcId vpc-bp1m6fhd66****** \
  --Name "my-ipv6-gateway" \
  --Spec Small

创建前需确保目标VPC已开通IPv6网段。

四、为ECS实例赋予IPv6通信能力

VPC和交换机具备IPv6能力后，接下来需要为具体的ECS实例分配IPv6地址，并在操作系统内启用它。

4.1 分配IPv6地址

在ECS控制台创建实例时，在网络配置部分，选择已开通IPv6的交换机，并勾选“分配IPv6地址”。对于已有实例，可以在实例详情页的“网络与安全”中，点击“分配IPv6地址”。需要留意的是，部分旧版实例规格族不支持IPv6，如密集计算型ic5、内存型se1等。单张网卡可分配的IPv6地址数量与实例规格相关。

4.2 操作系统内配置IPv6地址

分配IPv6地址后，需要在ECS操作系统内进行配置才能生效。以下以最常用的CentOS/Alibaba Cloud Linux系统为例，展示手动配置方法。

首先，通过ip addr命令查看网卡名称（如eth0）。然后编辑网络配置文件：

vim /etc/sysconfig/network-scripts/ifcfg-eth0

添加或修改以下配置项：

IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no

保存后重启网络服务：

systemctl restart network

再次执行ip addr show eth0，应能看到已分配的IPv6地址。对于Ubuntu/Debian系统，则需编辑/etc/network/interfaces文件，添加类似iface eth0 inet6 auto的配置。

五、开通IPv6公网带宽

此时，ECS实例已具备IPv6地址，但默认仅能进行VPC内的私网通信。要让实例能够访问IPv6互联网或被互联网访问，必须开通IPv6公网带宽。

5.1 控制台开通

在IPv6网关管理控制台，点击目标网关实例ID进入详情页。切换到“IPv6公网带宽”页签，找到目标IPv6地址，在操作列点击“开通公网带宽”。在弹出的对话框中，选择计费方式并设置带宽峰值，即可完成开通。开通后，该IPv6地址便具备双向的公网通信能力。

5.2 计费方式选择

IPv6公网带宽采用后付费模式，支持两种计费方式。

• 按固定带宽计费：适用于业务流量相对稳定、对带宽峰值有明确预期的场景。你预先购买一个固定的带宽峰值（如10 Mbps），无论实际使用多少，都按此峰值计费。
• 按使用流量计费：适用于业务流量波动较大、难以预估峰值带宽的场景。只需为实际产生的出方向流量付费，入方向流量通常免费。

选择时，需要综合评估业务所需的带宽上限及平均带宽利用率。IPv6网关实例费已于2022年8月10日起取消，目前仅收取公网带宽费。

六、精细化管控：仅主动出规则

在某些场景下，我们需要云服务器能够主动访问外部IPv6资源（如更新软件包、调用外部API），但出于安全考虑，不希望外部IPv6客户端直接访问到我们的服务器。这时，“仅主动出规则”就派上了用场。

6.1 规则原理

当为一个已开通公网带宽的IPv6地址配置仅主动出规则后，该地址发起的出站连接可以正常访问互联网；但来自互联网的入站连接请求将被IPv6网关直接丢弃。这相当于一个单向的、有状态的安全策略，非常适合用作需要主动外联但无需对外提供服务的后端服务器。

6.2 创建仅主动出规则

登录IPv6网关管理控制台，进入目标网关的详情页。点击“仅主动出规则”页签，然后点击“创建仅主动出规则”。在弹出的面板中，选择需要应用该规则的IPv6地址（即目标ECS实例的IPv6地址），并配置名称和描述即可。创建后，该IPv6地址的公网通信行为将立即变为“仅主动出”。

七、流量调度：管理IPv6路由

IPv6网关创建时，系统会自动添加一条目标为::/0、下一跳为IPv6网关的默认路由，将所有出站IPv6流量引向网关。但在复杂的网络拓扑中，你可能需要更精细地控制流量路径，例如将去往特定IPv6网段的流量指向专线网关或VPC对等连接。这时，就需要添加自定义IPv6路由。

7.1 添加自定义路由

登录VPC控制台，进入“路由表”页面。找到目标交换机绑定的路由表，点击其ID进入详情页。在“路由条目”页签下，点击“添加路由条目”。配置目标网段（如2001:db8:1234::/48）和下一跳类型（如“IPv6网关”、“ECS实例”、“VPN网关”等）。需要注意的是，IPv6网关自身绑定的网关路由表不支持用户自行添加条目，但可以修改现有条目的下一跳。

7.2 路由优先级

当路由表中存在多条匹配相同目标网段的路由时，系统会依据最长前缀匹配原则进行选路，即目标网段越精确的路由优先级越高。

八、运维与监控

生产环境的稳定性离不开有效的监控与告警。

8.1 云监控集成

IPv6网关已与阿里云云监控（CloudMonitor）服务深度集成。你可以在云监控控制台查看IPv6网关实例和IPv6公网带宽的实时监控指标，包括入流量、出流量、带宽利用率等，并以时序曲线图的形式直观展示。

8.2 设置阈值告警

为了及时感知异常流量或带宽瓶颈，建议创建阈值报警规则。在云监控控制台，为IPv6网关或公网带宽资源创建报警规则，设定阈值（如出带宽超过80%持续5分钟），并配置通知方式（短信、邮件、钉钉等）。这样，一旦指标超标，运维团队可以第一时间介入处理。

九、计费说明与使用限制

9.1 计费要点

• IPv6网关实例：免费，不收取实例费。
• IPv6公网带宽：后付费，按固定带宽或按使用流量计费。按带宽计费时，带宽峰值上限为2000 Mbps；按流量计费时，峰值上限为1000 Mbps。
• 入方向流量：对于按流量计费的IPv6公网带宽，入方向流量通常不计费。

9.2 关键使用限制

• 一个VPC有且仅能创建一个IPv6网关。
• VPC和交换机一旦开启IPv6网段，则不支持删除该IPv6网段。
• 仅主动出规则每个账号默认最多200条。
• 并非所有ECS实例规格族都支持IPv6，需提前查阅官方文档确认。

十、最佳实践与常见场景

10.1 场景一：构建纯IPv6隔离环境

为VPC开启IPv6后，不为任何ECS开通公网带宽。此时，所有IPv6地址仅能在VPC内部进行私网通信。这适合用于内部测试或需要严格网络隔离的开发环境。

10.2 场景二：对外提供IPv6服务

为提供服务的ECS实例的IPv6地址开通公网带宽，并配置安全组规则放行对应的入站端口（如80、443）。此时，IPv6客户端可以直接通过该IPv6地址访问服务。

10.3 场景三：安全的外联访问

为需要访问外部IPv6资源的服务器开通公网带宽，并为其IPv6地址创建仅主动出规则。这样，服务器可以主动访问外部资源（如yum源、第三方API），但外部无法直接连接进来，有效缩小了攻击面。

结语

阿里云IPv6网关为云上业务向IPv6迁移提供了坚实、灵活的网络基础。从VPC的双栈开通，到ECS的地址分配与操作系统配置，再到公网带宽的精细化管理与路由策略控制，每一个环节都紧密相扣。理解其核心概念与计费逻辑，遵循最佳实践，你将能够平稳、高效地构建出安全可靠的双栈云上架构，从容迎接下一代互联网的浪潮。

常见问题解答

问：我的ECS实例已经分配了IPv6地址，但还是无法ping通外部的IPv6网站，为什么？

答：这是因为IPv6地址默认仅具备私网通信能力。你需要为该IPv6地址在IPv6网关中开通IPv6公网带宽，才能访问IPv6互联网。

问：IPv6网关和IPv4的公网IP（EIP）是什么关系？

答：它们是独立的网络组件。IPv6网关专门处理VPC内IPv6流量的公网接入，而EIP是针对IPv4地址的公网IP产品。两者可以共存于同一个VPC中，实现双栈（IPv4+IPv6）通信。

问：我开通了IPv6公网带宽后，如何只允许ECS主动访问外网，而不允许外网访问我的ECS？

答：你可以为该IPv6地址创建“仅主动出规则”。配置后，该地址发起的出站连接正常，但来自互联网的入站连接将被IPv6网关丢弃。

问：一个VPC下可以创建多个IPv6网关吗？

答：不可以。一个VPC有且仅能创建一个IPv6网关。

问：IPv6公网带宽的计费方式可以变更吗？

答：可以。你可以在IPv6网关控制台的公网带宽管理页面，修改带宽峰值或变更计费方式。变更通常实时生效。

问：我的ECS实例规格不支持IPv6怎么办？

答：你需要将实例迁移或变配到支持IPv6的实例规格族。你可以查阅阿里云官方文档中的“实例规格族”列表，确认哪些规格支持IPv6。