如何为AWS EC2实例正确配置IPv6地址？深入排查与端到端连通性保障

1. IPv6在AWS中的基础架构概述

AWS支持IPv6通过双栈模式（Dual-Stack）实现，即每个EC2实例可同时拥有IPv4和IPv6地址。要启用IPv6，必须在VPC、子网、路由表、安全组及操作系统层面进行协同配置。

VPC需分配一个IPv6 CIDR块（通常为/56），子网从中继承一个/64前缀。EC2实例通过SLAAC（无状态地址自动配置）或DHCPv6获取全局单播地址。

• VPC级别：启用IPv6 CIDR
• 子网级别：关联IPv6 CIDR块
• 路由表：添加 ::/0 → 互联网网关（IGW）
• 安全组：允许ICMPv6入站流量
• 网络接口：操作系统启用IPv6协议栈

2. 配置步骤详解

3. 常见问题分类与排查路径

即使完成上述配置，仍可能出现“无法获取IPv6地址”或“无法通信”的情况。以下是按层级划分的常见故障点：

1. 网络层缺失默认路由：未在子网路由表中添加 ::/0 → IGW
2. 安全组阻断ICMPv6：导致ping不通，误判为无连接
3. NACL限制IPv6流量：默认允许所有，但自定义NACL可能显式拒绝
4. 操作系统禁用IPv6：内核参数设置 net.ipv6.conf.all.disable_ipv6=1
5. ENI未正确分配IPv6地址：检查EC2控制台网络接口详情页
6. DNS解析失败：/etc/resolv.conf 中缺少IPv6 DNS服务器
7. 防火墙软件干扰：如firewalld、iptables对IPv6规则做了DROP
8. 实例类型不支持IPv6：部分旧型实例（如t2.micro）不支持
9. 跨区域资源访问限制：S3、CloudFront等服务需开启双栈终端节点
10. 应用绑定仅限IPv4：Web服务器监听 0.0.0.0 而非 [::]

4. 端到端连通性诊断流程图

graph TD
    A[开始: 创建支持IPv6的VPC] --> B{是否分配IPv6 CIDR?}
    B -- 否 --> C[在VPC上分配Amazon-provided IPv6 CIDR]
    B -- 是 --> D[为子网分配/64 IPv6块]
    D --> E[更新路由表: 添加 ::/0 → IGW]
    E --> F[配置安全组: 允许ICMPv6入站]
    F --> G[启动EC2实例]
    G --> H{OS是否启用IPv6?}
    H -- 否 --> I[修改 sysctl 或 network-scripts]
    H -- 是 --> J[执行 ip -6 addr show]
    J --> K{是否有公网IPv6地址?}
    K -- 否 --> L[检查DHCPv6/SLAAC配置]
    K -- 是 --> M[ping6 ipv6.google.com]
    M --> N{是否可达?}
    N -- 否 --> O[检查NACL、防火墙、DNS]
    N -- 是 --> P[成功建立IPv6连通性]
    

5. 操作系统级配置（以Amazon Linux 2为例）

即便底层网络配置正确，操作系统仍可能未启用IPv6自动获取机制。需检查以下文件：

若使用NetworkManager，则可通过：

确认IPv6协议栈启用：

返回值应为0。若为1，需在/etc/sysctl.conf中注释或设为0，并重启网络服务。

6. 实用诊断命令清单