Ich habe ein VPC-Setup mit mehreren Hosts, die über IPv6-Dienste kommunizieren müssen. Jede dieser Instanzen ist mit IPv6 konfiguriert und kann externe Hosts erfolgreich anpingen und über IPv6 eine Verbindung zu ihnen herstellen. Ich habe eine Firewall-Regel erstellt, damit sie miteinander kommunizieren können (Hosts sind mit „Test“ gekennzeichnet):
$ gcloud compute firewall-rules create target-all-ipv6 \
--network=test-net-1 --priority=1000 \
--direction=INGRESS --action=ALLOW \
--rules=all \
--source-ranges="fe80::/10" \
--target-tags=test
Mit diesem Setup kann ich jedoch über die lokalen f80-Adressen weder einen Ping ausführen noch IPv6-Verbindungen zwischen diesen Instanzen herstellen.
Ist es möglich, dass zwei GCP-Instanzen im selben Netzwerk über IPv6 kommunizieren?
Antwort1
Als ich tiefer nachforschte, fand ich meine Antwort. Es scheint nicht möglich zu sein, eine Verbindung zwischen Instanzen mit IPv6 über lokale Link-Adressen (fe80::) herzustellen, aber Instanzen können über IPv6 mit ihren globalen Adressen kommunizieren.
Die Lösung besteht in einer Firewall-Regel, die IPv6-Verkehr vom globalen IPv6-Präfix für das Netzwerk zulässt und diese globalen Adressen für die Kommunikation verwendet.
Zum Beispiel:
$ gcloud compute firewall-rules create test-ipv6 \
--network=test-net-1 --priority=1000 \
--direction=INGRESS --action=ALLOW \
--rules=tcp:443,icmp \
--source-ranges="2600:1900:xxxx:xxxx:xxxx::/64" \
--target-tags=test