Amazon VPCでIPv6を使用する

VPCで指定できるIPアドレス

IPv4とIPv6の両方のIPアドレスをVPCおよびサブネットに割り当てることができる。
IPv6に関する表記はこちらへ。

IPv6に関する注意点

IPv6アドレスはグローバルで一意であるため、パブリックアドレスがデフォルトとなっている。
またIPv4との通信は不可能であり、デュアルスタック技術やNAT64/DNS64を用いる必要がある。

エグレス専用インターネットゲートウェイ

インスタンスからインターネットへアクセスできるが、インターネット上のリソースからインスタンスへの通信をさせないようにする場合に使用するインターネットゲートウェイ。
エグレス専用（Egress-Only）インターネットゲートウェイを使用することで送信専用の通信をサポートする。

<設定方法>

1. VPCでEgress-Onlyインターネットゲートウェイを作成する。
2. すべてのIPv6トラフィック（::/0）または特定のIPv6アドレスの範囲をポイントするルートテーブルにEgress-Onlyインターネットゲートウェイへのルートを追加する。

※Egress-Onlyインターネットゲートウェイはステートフル。
※Egress-Onlyインターネットゲートウェイとセキュリティグループを関連づけることはできない。
※ネットワークACLを使用して、Egress-Onlyインターネットゲートウェイがサブネットとの間でルーティングするトラフィックを制御することができる。

IPv4との通信（DNS64/NAT64)

• DNS64
  IPv6専用ワークロードを用いたVPCで、IPv4専用サービスとの通信を有効にするために用いられる。サブネットのDNS64を有効にしてAWSリソースに適用することで、IPv4宛先アドレスとの通信を可能にする。

  • IPv6アドレス同士の通信の場合は、変換なしに接続が確立される。
  • 通信先がIPv6アドレスではない場合、Route53 ResolverはRFC6052(64:ff9b::/96)で定義された既知の/96プレフィックスの先頭に付加してIPv6アドレスを合成し、IPv4アドレスを送信する。これはNATゲートウェイ経由でルーティングする必要がある。
  • サブネット上のDNS64は「サブネット設定を編集する」から有効無効を変更することができる。

• NAT64
  IPv6を採用したVPCと同VPC内、別の接続されたVPC内、オンプレミスネットワーク、インターネット経由のIPv4専用サービスとの通信を、NATゲートウェイを用いることで可能にする。
  NAT64は新規作成または既存のNATゲートウェイで自動的に使用することができる。

  • 64:ff9b::/96のプレフィックスから通信先がIPv4であることを確認し、IPv6パケットをIPv4へ変換する。
  • NATゲートウェイはインターネットゲートウェイ、仮想プライベートゲートウェイ、Transit Gatewayを介して変換されたIPv4パケットを宛先に送信する。
  • 応答のIPv4パケットをNATゲートウェイで受信し、64:ff9b::/96を用いてIPv6への置き換えを行い受信する。

---

<参照先>

• VPCをIPv4からIPv6に移行する
• VPCとサブネットのIPアドレス指定
• DNS64とNAT64
• エグレス専用インターネットゲートウェイを使用してアウトバウンドIPv6トラフィックを有効にする
• NAT63/DNS64