Концептуальное планирование сети IPv6
В этом руководстве описаны стратегии перехода сетевой среды IPv4 в Azure на IPv6. Этот переход необходим, так как количество подключенных к Интернету устройств расширяется и IPv4-адреса почти исчерпаны. Протокол IPv6 предоставляет больший пул ip-адресов для обеспечения будущего роста и предлагает расширенные функции безопасности (собственные IPSec), метки потоков и упрощенную конфигурацию сети. Эта статья поможет вам понять IPv6, получить IPv6-адреса и перейти на IPv6.
Общие сведения об IPv6
IPv6 имеет такое большое адресное пространство, которое следует использовать согласованные размеры блоков адресов IPv6, которые выделяют адреса IPv6. Эта стратегия сети контрастирует с IPv4. Ограниченное количество адресов IPv4 заставляет использовать наименьший возможный размер подсети. Эта таблица дает вам представление о увеличенном размере IPv6:
| Версия протокола IP-адресов | Число IP-адресов |
|---|---|
| IPv4 | 4 294 967 296 |
| IPv6 | 340,282,366,920,938,463,463,374,607,431,768,211,456 |
Двойное стекирование. Виртуальные сети Azure поддерживают двойное стекирование. Сеть, поддерживающая двойное стекирование, может одновременно обрабатывать трафик IPv4 и IPv6. Вы можете назначить новый блок адресов IPv6 подсети, имеющей существующий блок IPv4. Службы, использующие IPv6, могут сосуществовать со службами, используюющими IPv4. Поэтому вы можете начать переход IPv6 до поддержки IPv6 всех служб.
IPv6 в Azure. В среде Azure сетевые интерфейсы получают один из трех типов IPv6-адресов:
Частные IP-адреса. Чтобы включить IPv6 на частных IP-адресах, необходимо применить диапазон адресов IPv6 к виртуальной сети и ее подсетям. Сетевые интерфейсы в подсетях получают статический или динамический адрес в зависимости от конфигурации. Вы можете увидеть назначение IP-адресов в портал Azure. Его также можно увидеть в конфигурации виртуальной машины, если вы используете виртуальные машины. В операционной системе этот адрес отображается как IPv6-адрес.
Общедоступные IP-адреса. К сетевым интерфейсам можно применять общедоступные IPv6-адреса. Общедоступные IP-адреса должны быть глобально уникальными и маршрутизируемыми в Интернете. Необходимо создать уникальный IPv6-адрес, который можно использовать для общедоступных конечных точек в Azure, таких как подсистемы балансировки нагрузки или шлюзы приложений. Командлет можно использовать
New-AzPublicIpAddressдля создания общедоступного адреса IPv6 в PowerShell.Конфигурация операционной системы не отображает общедоступный IP-адрес, но вы можете увидеть общедоступный IP-адрес в портал Azure. Общедоступные IPv6-адреса можно использовать для входящих и исходящих подключений к Интернету. Возможно, потребуется обновить таблицу маршрутов с определяемыми пользователем маршрутами для поддержки IPv6. Многие организации используют виртуальные сетевые устройства (NVA) для общедоступного обмена данными и не назначают общедоступный IP-адрес сетевым интерфейсам. Плата за общедоступные IPv6-адреса Azure не взимается, хотя плата взимается за IPv4-адреса. Дополнительные сведения см. в разделе о ценах на IP-адреса.
Адреса локального канала. Локальные адреса ссылки — это особый тип частного IP-адреса. В IPv6 локальные адреса ссылки автоматически настраиваются во всех интерфейсах. Они используются для обмена данными в одном сетевом сегменте и не являются маршрутизируемыми в Интернете. Они приходят из
fe80::/10пространства вместо блока адресов вашей подсети. Вы можете увидетьfe80::/10адрес, назначенный интерфейсу из операционной системы.
Дополнительные сведения о других специализированных блоках адресов см . в реестре адресов IANA IPv6 специального назначения.
Получение адресов IPv6
Если у вашей организации уже есть IPv6-адреса, вы можете воспользоваться ими в среде Azure. Если нет, вам нужно приобрести новые. Использование существующих адресов может быть более экономичным и эффективным, но получение новых гарантирует наличие достаточного и непрерывного блока адресов для ваших потребностей. Это также снижает вероятность конфликтов в адресе. Если у вас нет пространства IPv6, защищенного для вашей организации, можно использовать глобальные адреса или локальные адреса.
Глобальные адреса: глобальные адреса — это общедоступные IP-адреса, уникальные по всему Интернету. Вы можете обратиться к регистратору, чтобы запросить непрерывный блок общего выделения или глобальных адресов. Эти адреса IPv6 можно использовать в подсетях, виртуальных сетях и региональных суперсетях в Azure. Чтобы иметь достаточно места для роста в нескольких регионах, необходимо спланировать выделение адресного пространства /36 для всей среды Azure. Глобальные адреса можно использовать как для частных сетей, так и для общедоступных конечных точек, или выделить разные диапазоны. Уникальные глобальные адреса не могут содержать конфликты IP-адресов.
Локальные адреса: локальные адреса — это частные IP-адреса, используемые в виртуальной сети. Ip-адреса можно использовать в уникальном диапазоне локальных адресов. Этот диапазон адресов работает как диапазон частных адресов IPv4, например адресное 10.0.0.0/8 пространство. IPv6 резервирует fc00::/7 блоки адресов для уникальных локальных адресов. Эти адреса не доступны глобально, даже если они являются частью диапазона глобальных адресов Юниадресов IPv6.
Если вы используете уникальный диапазон локальных адресов, IP-адреса могут перекрываться с диапазоном IP-адресов другой организации. Если есть перекрытие, могут возникнуть проблемы с интеграцией сетей. Дополнительные сведения см . в memo unique Local IPv6 Unicast Addresses.
Переход на IPv6
Вы должны выровнять план назначения IPv6-адресов в сети Azure с планом адресации IPv6 вашей организации. У вашей организации уже должен быть план использования локального IPv6, чтобы можно было выделить пространство между разными расположениями без перекрытия. Если у вас нет плана, необходимо определить его перед началом реализации в Azure. Дополнительные сведения см. в разделе "Планирование IP-адресации".
Некоторые методики, необходимые в IPv4 для сохранения адресов, не применимы в IPv6. Необходимо выделить IPv6-адреса и использовать стандартный размер блока для среды Azure, регионов, виртуальных сетей и подсетей, как показано в следующей таблице. Эти рекомендации применяются к IPv6, а не к средам IPv4. Дополнительные сведения см. в разделе "Планирование IP-адресации".
| Область | Размер | Количество экземпляров |
|---|---|---|
| Среда Azure | /36 | 1 |
| Область/регион | /44 | 256 |
| Виртуальная сеть | /56 | 4096 на регион |
| Подсеть | /64 | 256 на виртуальную сеть |
Переход регионов на IPv6. Следует использовать суперсеть и назначить адресное пространство /44 IPv6 для каждого региона Azure. Как и в случае с IPv4, суперсеть не имеет технического представления в Azure. Вместо этого вы назначаете и отслеживаете его в системе управление IP-адресами (IPAM). В этой таблице показано, как выглядят блоки адресов для нескольких регионов:
| Область сети | Диапазон CIDR | Первый IP-адрес | Последний IP-адрес |
|---|---|---|---|
| Регион Azure 1 | fd00:db8:dec0::/44 |
fd00:db8:dec0:0000:0000:0000:0000:0000:0000 | fd00:db8:decf:ffff:ffff:ffff:ffff:ffff:ffff |
| Регион Azure 2 | fd00:db8:ded0::/44 |
fd00:db8:ded0:0000:0000:0000:0000:0000:0000 | fd00:db8:dedf:ffff:ffff:ffff:ffff:ffff:ffff |
| Регион Azure 3 | fd00:db8:def0::/44 |
fd00:db8:def0:0000:0000:0000:0000:0000:0000 | fd00:db8:определенно:ffff:ffff:ffff:ffff |
После выделения этого пространства IP-адресов в регионе можно развернуть новые сети и рабочие нагрузки, определив виртуальные сети и подсети из этого IP-пространства.
Переход виртуальных сетей в IPv6. Необходимо назначить адресное пространство /56 IPv6 для каждой виртуальной сети. Это назначение упрощает управление сетями и упрощает процесс создания. Он позволяет создавать 4096 виртуальных сетей в регионе и 256 подсетях в одной виртуальной сети.
Переход подсетей на IPv6. Вы можете продолжать использовать существующую архитектуру подсети и назначать блок адресов /64 для каждой подсети. Этот размер подсети также позволяет планировать сеть концептуально. Вам не нужно беспокоиться об изменении размера подсетей из-за нехватки адресов.
Одним из существенных различий между сетями IPv6 и сетями IPv4 в Azure является минимальный размер подсетей. Минимальный размер подсетей IPv6 в Azure — /64. Каждая подсеть содержит 18 446 744 073 709 551 616 узлов, минус узлы, используемые для управления Azure. Как и сети IPv4, подсети IPv6 резервирует первые четыре IP-адреса для управления. Причиной минимального размера подсети IPv6 является обеспечение совместимости с сетевыми устройствами за пределами Azure. Если подсети были меньше, могут возникнуть проблемы с маршрутизацией.
Чтобы вычислить количество подсетей определенного размера, которое может быть вложено в большой блок адресов, можно использовать формулу 2^(X-Y). X — это меньший размер блока адресов, и Y — это более крупный размер блока. Например, чтобы определить, сколько подсетей /64 можно поместить в блок адресов /44, можно использовать 2^(64-44). Результат — 1 048 576.
Повторное использованием IPv4-адресов. При переходе на IPv6-адреса можно повторно использовать частные IPv4-адреса в разных виртуальных сетях в среде Azure. Эта возможность передачи позволяет поддерживать активные службы при переходе на IPv6 и эффективно управлять пространством IP во время перехода. Параметр повторного использования дает более эффективное пространство IPv4. Для любой одноранговой виртуальной сети необходимо убедиться, что диапазоны адресов IPv4 не перекрываются.
Настройка служб Azure для использования IPv6
В следующей таблице можно найти инструкции по переходу определенных служб или компонентов в IPv6.
| Служба или компонент | Инструкции по переходу |
|---|---|
| Шлюз приложений Azure | Дополнительные сведения см. в разделе "Настройка Шлюз приложений с общедоступным IPv6-адресом внешнего интерфейса". |
| Наложение интерфейса сети контейнеров Azure (CNI) для AKS | Дополнительные сведения см. в статье "Использование наложения Azure CNI". |
| Префикс пользовательского IP-адреса Azure | Необходимо создать новые префиксы для диапазонов адресов IPv6. Инструкции см. в статье "Создание пользовательского префикса IPv6-адреса с помощью портал Azure". |
| Azure Data Explorer | Чтобы обновить publicIPType свойство DualStack, необходимо выполнить запрос API. Дополнительные сведения см. в разделе "Создание или обновление кластеров". |
| Зона Azure DNS (общедоступная и частная) | Сведения о добавлении новых записей IPv6 см. в статье "Управление записями DNS и наборами записей". |
| Шлюз Azure ExpressRoute | Сведения о переходе шлюзов ExpressRoute см. в статье Azure ExpressRoute: добавление поддержки IPv6. |
| Azure Front Door | Azure Front Door может использовать серверную часть с помощью IPv6. Вам не нужен специальный переход, кроме обновления внутренних сведений. |
| Служба Azure Kubernetes (AKS) | Дополнительные сведения см. в разделе "Использование kubenet" с сетями с двумя стеками. |
| Azure Load Balancer | Сведения о создании или изменении новых подсистем балансировки нагрузки с помощью IPv6 см. в статье "Стандартный общедоступный балансировщик нагрузки" с IPv6 и внутренней подсистемой балансировки нагрузки уровня "Стандартный" с помощью IPv6. |
| Общедоступный IP-адрес Azure (базовый) | Необходимо создать новые общедоступные IP-адреса с IPv6-адресами. Инструкции см. в разделе "Создание общедоступного IP-адреса IPv6". |
| Azure Service Fabric | Дополнительные сведения см. в разделе "Настройка параметров сети управляемого кластера". |
| Масштабируемые наборы виртуальных машин Azure | Процесс аналогичен созданию виртуальных машин IPv6, но необходимо изменить сетевой профиль. Дополнительные сведения см. в разделе Масштабируемые наборы виртуальных машин с IPv6. |
| Диспетчер виртуальных сетей Azure | диспетчер виртуальная сеть может управлять сетями, используюющими IPv6. |
| Виртуальная машина | Сведения о добавлении IPv6 в существующие виртуальные машины см. в разделе "Добавление конфигурации IPv6" на виртуальную машину. |
| Виртуальная сеть | Сведения о добавлении нового пространства IPv6 в существующие подсети см. в статье "Добавление IPv6 в виртуальную сеть". |
Следующие шаги
- Топология сети iPv6-концентратора и периферийной сети
- IPv6 для Azure виртуальная сеть
- Планирование IP-адресации