使用来自 RIPE NCC 的 IPv6 CIDR 在 Oracle Cloud Infrastructure 中配置 BYOIP

简介

在本教程中，我们将介绍使用通过 Réseaux IP Européens Network Coordination Centre (RIPE NCC) 分配和管理的 IPv6 CIDR 块将您自己的 IP (BYOIP) 地址空间引入 Oracle Cloud Infrastructure (OCI) 的完整过程。此方法有利于已经拥有 IPv6 范围或需要跨混合云或多云环境保持一致 IP 寻址的组织。

遵循本教程，您不仅将学习如何准备 IPv6 地址空间以导入 OCI，还将学习如何在 RIPE NCC 门户中正确配置管理记录，授权 Oracle 告知您的前缀，并最终将定制 IPv6 地址分配给 OCI 资源，例如虚拟云网络 (Virtual Cloud Networks，VCN) 和计算实例。

本教程详细介绍了从获取或验证 IPv6 CIDR 到更新注册表记录到在 OCI 网络中使用导入范围的每个任务。无论您是迁移工作负载、设置混合连接还是构建面向互联网的架构，本教程都为您提供了将 BYOIP IPv6 集成到 OCI 的基础。

通过 OCI 中的 BYOIP 地址空间，您可以全面控制 IP 身份。此功能支持跨混合云和多云环境的一致网络，同时支持更灵活和定制的网络设计。

在本教程中，您将了解如何获取或使用现有的 IPv6 CIDR 块，使用 RIPE NCC 完成必要的管理步骤，以及如何在 OCI 中导入和验证 CIDR。您还将了解如何在虚拟云网络 (Virtual Cloud Network，VCN) 中部署 IPv6 CIDR，并在所有工作负载中管理全局可路由的 IPv6 地址，这些地址都由您自己的区域互联网注册表 (Regional Internet Registry，RIR) 分配。无论您的目标是由合规性、网络所有权还是架构一致性驱动的，OCI 的 BYOIP IPv6 功能都为构建完全自治的云网络环境提供了强大的基础。

目标

• 任务 1：获取要导入 OCI 的 IPv6 范围。
  • 任务 1.1：购买或租用 IPv6 CIDR。
  • 任务 1.2：完成 RIPE NCC 管理任务。
  • 任务 1.3：验证 RIPE NCC 控制台中的 IPv6 CIDR 分配。
• 任务 2：开始在 OCI 中导入 IPv6 CIDR。
• 任务 3：将令牌字符串添加为与地址范围关联的新 descr 字段。
• 任务 4：创建路由源授权 (ROA) 对象，该对象授权 Oracle 通告 BYOIP CIDR 块。
• 任务 5：完成在 OCI 中导入 IPv6 CIDR。
• 任务 6：验证在 OCI 中导入 IPv6 CIDR。
• 任务 7：将 IPv6 CIDR 通告到 Internet。
• 任务 8：将 BYOIP IPv6 CIDR 分配给 VCN。
• 任务 9：在 BYOIP IPv6 CIDR 范围内创建子网。
• 任务 10：为 VCN 创建并分配新的路由表。
• 任务 11：创建实例并使用 BYOIP IPv6 CIDR 范围内的 IPv6 地址。

任务 1：获取 IPv6 范围以导入 OCI

要将 OCI 中的 BYOIP 功能与 IPv6 CIDR 块结合使用，第一个要求是具有可公开路由的 IPv6 地址空间，该空间通过区域互联网注册表 (RIR) 进行适当注册和管理，在本例中为 RIPE NCC 。

注：我们从第三方提供商租用 IPv6 空间，因为我们不拥有 IPv6 分配。如果您已经拥有 IPv6 地址空间并直接在 RIPE 帐户或本地 Internet 注册表 (Local Internet Registry，LIR) 下管理它，则可以跳过任务 1 并继续执行任务 2。

任务 1.1：购买或租用 IPv6 CIDR

如果尚未拥有 IPv6 范围，则需要执行以下操作之一：

• 购买提供商或代理商的 IPv6 地址块，

或者，

• 租用来自提供租赁地址空间、路由和注册表控制的第三方公司的 IPv6 CIDR。

在本教程中，我们使用的是一家名为 NoPKT LLC 的公司，该公司提供 LIR 服务。其他几个提供商提供类似的 LIR 服务，因此您可以选择最适合您的需求的服务。

在通过 NoPKT LLC 进行任何购买之前，我们必须创建一个账户。

• 注册并登录后，转至 NoPKT LLC 存储并单击 LIR Service 。

  

• NoPKT LLC 有权从 RIPE 或 ARIN 租赁 IPv6 CIDR。我们使用 RIPE 选项。

  

• 选择 RIPE /44 IPv6 ($2.00) 产品。

  

• 将 RIPE /44 IPv6 添加到购物车。

  

• 选择计划，对于本教程，我们将选择年度计划并单击结账。

  

• 单击检出。

  

• 单击付款并完成付款。

  

• 付款完成后，NoPKT LLC 会将 /44 IPv6 CIDR 分配给您的账户可能需要几个小时。

  • 您可以看到订单是已分配资源。
  • 这是我们将通过 BYOIP 在 OCI 中使用的 IPv6 范围。

  

• 单击服务以查看服务。

  

• OCI 要求 Route Origin Authorization (ROA) 使用 Resource Public Key Infrastructure (RPKI) 来完成，因为这是用于验证 BGP 路由来源的行业标准安全机制。有关详细信息，请参阅自备 IP 。

  

• 我们在此请求中打开了一个支持请求单，并提供了 Oracle BGP ASN，以便 LIR 可以完成请求。

  

在 LIR 将租用的 IPv6 范围分配给您的账户之前，您可以完成所需的管理任务。您必须先创建 RIPE NCC 账户并设置必要的管理对象。必须适当地配置和链接这些对象（例如 role、mntner 和 organization）。完成此设置后，RIPE NCC 将发出组织 ID ，您必须将其提供给 LIR。然后，LIR 将使用此 ID 将 IPv6 范围分配给您的 RIPE NCC 账户。

任务 1.2：完成 RIPE NCC 管理任务

要准备 IPv6 CIDR 以导入 OCI，必须在 RIPE NCC 数据库中完成以下管理任务。这些步骤可确保您正确控制地址空间并满足 OCI 的验证要求。

您必须：

• 注册 RIPE NCC 帐户（如果您尚未注册）。此帐户将允许您访问 LIR 门户并允许您管理注册表对象。

• 创建 role 对象和 mntner（维护者）对象。这些对象需要定义管理资源的人员并保护对注册表条目的访问。

• 向 role 对象添加 abuse-c 属性。这是用于报告与 IP 空间相关的滥用情况的必填字段。

• 创建 organization 对象以在 RIPE 数据库中表示实体。

  • 此对象将链接到 IPv6 CIDR 块和其他注册表项。
  • 完成此操作并确定组织后，您将获得一个唯一的组织 ID，您必须将其提供给 LIR，以便他们可以将租用的 IPv6 范围分配给您的 RIPE NCC 账户（组织）。

• 添加 LIR 提供者的维护者（例如，如果您使用 NoPKT LLC，则为 NoPKT-MNT）作为组织对象中的 mnt-ref。这可确保 LIR 可以继续代表您管理分配。

确保所有对象均已正确链接且在 RIPE 数据库中可见。稍后，您将更新与 IPv6 范围关联的 inet6num 对象以完成 OCI 验证步骤。

此管理步骤至关重要，OCI 将通过您在 RIPE 数据库中所做的更改来验证您对前缀的所有权或控制权。

• 创建 RIPE NCC 账户并登录。

  

• 单击创建对象。

  

• 选择对象类型作为角色和维护者对，然后单击创建。

  

• 创建 RIPE 维护者和角色，并确保维护者与角色关联。确保按下图中所示指定所有字段。

  

• 将新组织对象链接到正确的维护者对象。

  

• 要对 RIPE 资源进行授权和控制，必须将 NoPKT-MNT 添加到 RIPE 组织对象。确保使用 mnt-ref 字段将 NoPKT-MNT 维护者添加为组织。

  

• 记下 Unique RIPE IDs（唯一 RIPE ID）：

  • 具有主键的角色：NO2XXX-RIPE。
  • 具有主键的容器：XXX-MNT。
  • 组织：ORG-XXXXX-RIPE。

• 输入 LIR 的组织 ID，以便他们可以将租用的 IPv6 块分配给您的 RIPE 帐户/角色/组织。

  

任务 1.3：验证 RIPE NCC 控制台中的 IPv6 CIDR 分配

• LIR 会将租用的 IPv6 块分配给您的 RIPE 账户/角色/组织。一旦这样做，他们就会通知你。

  

• 在 RIPE NCC 控制台中，单击 My Resources（我的资源）和 IPv6 ，然后查看租用的 IPv6 范围。现在，您可以在 OCI BYOIP 必须完成的子网上执行管理任务。

  

任务 2：开始在 OCI 中导入 IPv6 CIDR

在您的组织 ID 下的 RIPE NCC 数据库中注册并显示 IPv6 CIDR 后，您可以在 OCI 中开始 BYOIP 导入过程。

• 转到 OCI 控制台，导航到网络，然后单击 BYOIP (Bring Your Own IP) 。

  

• 单击 Import BYOIP CIDR block/prefix（导入 BYOIP 块/前缀）。

  

• 输入以下信息，然后单击导入 BYOIP CIDR 块/前缀。

  • 名称：为前缀指定名称。
  • IPv6 CIDR 块：输入 RIPE 数据库中显示的确切 IPv6 前缀。

  

• 请注意，前缀的状态将为 Creating 。

• 单击前缀名称。

  

• OCI 将生成验证令牌，您必须在下一个任务中在 RIPE 数据库中发布该令牌。在记事本中复制此验证令牌。OCI 将稍后验证此令牌以确认您对 IPv6 块具有管理控制权。

注:

• 请勿继续完成导入。
• 您首先需要在任务 3 中将验证令牌添加到 RIPE inet6num 对象，然后在任务 4 中创建 ROA 对象。
• 只有在两者都完成后，OCI 才能验证并完成导入过程。

任务 3：将令牌添加为与地址范围关联的新 descr

在 OCI 中启动导入过程后，将生成验证令牌。此令牌是 Oracle 用于确认您对尝试引入云的 IPv6 CIDR 块具有管理控制力的唯一字符串。

要验证所有权，必须将此标记添加为 RIPE 数据库中 IPv6 范围的 inet6num 对象中的新 descr。

• 在 RIPE Database 控制台中，导航到 My Resources 和 IPv6 ，然后单击 IPv6 子网。

  

• 单击更新对象。

  

• 单击任意 + 符号并输入以下信息。

  • 要添加新的 descr，请粘贴 OCI 控制台中提供的 OCI 令牌。
  • 单击提交。

  

• 请注意，已成功使用新的 descr 属性更新对象。

  

OCI 现在将定期检查 RIPE 注册表是否存在此令牌。检测到令牌后，CIDR 可以移至下一个验证阶段（ROA 验证）。

任务 4：创建 ROA 对象以授权 Oracle 通告 BYOIP CIDR 块

除了将验证令牌添加到 RIPE 数据库之外，Oracle 还要求您明确授权它通过 BGP 通告 IPv6 CIDR 块。这是通过在 RIPE NCC RPKI 仪表板中创建 ROA 对象来实现的。

ROA 对象告诉互联网路由生态系统，Oracle（由其自治系统编号 (ASN) 标识）可以公布您的 IPv6 前缀。如果没有此授权，OCI 将无法完成 BYOIP 导入过程。

我们已要求 LIR 执行此操作，他们在任务 1.3 的工单中确认已执行此操作。

我们还可以在此处查看此信息： Routinator 。

• 转到网站。

• 输入您的 IPv6 前缀。

• 输入您的 ASN （这将是 Oracle 的 AS 编号 AS31898）。

• 单击验证。

验证令牌和 ROA 对象发布和识别后，Oracle 将验证 BYOIP IPv6 CIDR 块的所有权和路由授权。但在完成此操作之前，您仍必须在 OCI 控制台中单击完成导入。

任务 5：完成在 OCI 中导入 IPv6 CIDR

将验证令牌添加为 RIPE inet6num 对象中的 descr 并创建授权 Oracle ASN AS31898 的有效 ROA 对象时，OCI 将在您单击完成导入后自动开始验证过程。

• 单击完成导入以确认。

  

• 请注意，状态从 CREATING 变为 VALIDATING ，并且会出现一条消息，指明导入流程最多可能需要 10 个工作日。

  

• 查看 BYOIP 状态屏幕。

  

Oracle 将接受所需的内部验证，并执行所需的内部配置以完成导入。

任务 6：验证在 OCI 中导入 IPv6 CIDR

在 OCI 控制台中完成导入过程后，务必验证您的 IPv6 CIDR 是否已成功验证和预配并可供使用。

• 在 BYOIP 管理屏幕中，您将看到导入的 BYOIP 范围的状态现在已设置为已预配。

• 请注意，已通告列设置为否。

• 我们可以从以下位置验证子网是否可用：bgp.tools 网站。

• 当我们输入前缀并搜索它时，我们可以看到它在 Internet 上找不到。

验证后，您的 IPv6 CIDR 已完全注册，可以随时在 OCI 中通告和分配。在下一个任务中，使其在 Internet 上可用。

任务 7：将 IPv6 CIDR 通告 Internet

在 OCI 中成功导入和验证 IPv6 CIDR 后，使其可全局访问的最终任务是向 Internet 通告 CIDR。

此任务指示 OCI 开始通过 Oracle 网络 (ASN 31898) 的 BGP 宣布您的 IPv6 CIDR，从而允许来自公共互联网的流量到达云中的 IPv6 空间。

注：在将 IPv6 范围与面向互联网的 OCI 资源（例如 OCI Load Balancer、OCI Compute 实例等）一起使用之前，需要通告 CIDR。

• 单击子网末尾的 three dots ，然后选择 Advertise 。

  

• 单击广告进行确认。

  

• 请注意，已通告列设置为是。

  

• 要验证子网是否联机，请访问 bgp.tools 网站。

• 输入前缀并搜索它，我们可以在 Internet 上看到该前缀。

通告生效后，您可以将 IPv6 范围分配给 VCN 并将其用于 OCI 中。

任务 8：将 BYOIP IPv6 CIDR 分配给 VCN

在此任务中，将 IPv6 CIDR 分配给 VCN。这使得 CIDR 可用于创建子网并将 IPv6 地址附加到 OCI Compute 实例和 OCI Load Balancer 等资源。

• 转到 OCI 控制台，导航到网络、虚拟云网络，然后单击要将此 IPv6 BYOIP 分配给它的 VCN。

  

• 向下滚动。

  

• 请注意，只有一个子网可用，这是一个专用子网。

  

• 单击 CIDR 块/前缀。请注意，只有一个 CIDR 块/前缀可用。

• Click Add CIDR Block/IPv6 Prefix.

  

• 从下拉菜单中选择 BYOIP 前缀，然后单击添加 CIDR 块/IPv6 前缀。

  

• 请注意，BYOIP IPv6 CIDR 现在已添加到 VCN。

  

• 转到 OCI 控制台，导航到网络、 BYOIP 并单击导入的 BYOIP 范围。请注意，该范围现在已分配给 VCN。

  

• 导航到 Networking 、 IP management ，然后单击 IP Address Insights 。请注意，VCN 分配了 IPv6 范围。

  

• 导航到网络，然后单击 VCN 。请注意，BYOIP IPv6 范围也已添加到 VCN。

  

我们已准备好在 BYOIP IPv6 CIDR 中切出子网并将其分配给 OCI 资源。

任务 9：在 BYOIP IPv6 CIDR 范围内创建子网

在 IPv6 范围内创建子网。通过此子网，您可以向 OCI 资源（例如计算实例或负载平衡器）分配 IPv6 地址。

• 转到 OCI 控制台并导航到网络，然后单击虚拟云网络。

• 选择将 BYOIP IPv6 CIDR 分配给的 VCN 。

• 在 VCN 详细信息页面中，转至子网部分。

• 单击创建子网。

  

• 输入以下信息。

  • 名称：输入子网的名称。
  • 子网类型：选择特定 AD 或选择区域以实现高可用性。
  • IPv4 CIDR 块（可选）：如果要创建双栈子网，请输入 IPv4 块。

  

• IPv6 前缀：从 BYOIP IPv6 CIDR 选择子网范围。例如，如果导入的范围为 /44，则可以分配 /64 子网。前缀的第一部分已提供，要创建 /64 子网，请仅提供最后一部分 0::。

  

• 在子网访问中，选择公共子网，然后单击创建子网。

  

• 请注意，创建新子网时使用的 IPv6 前缀在导入的 BYOIP 范围之外。

  

在下一个任务中，您将配置路由，以便子网可以通过 Internet 发送和接收流量。

任务 10：为 VCN 创建和分配新的路由表

在此任务中，创建并分配可启用正确网络通信流的路由表。此路由表将定义来自子网的流量（IPv6 流量）在 VCN 内外（包括互联网）的路由方式。

• 转到 OCI 控制台，导航到网络和虚拟云网络。

• 选择您的 VCN 。

• 在资源中，单击路由表。

• 单击创建路由表。

• 在路由规则中，输入以下信息。

  • 名称：输入路由表的说明性名称。
  • Protocol Version（协议版本）：选择 IPv6 。
  • 目标类型：如果子网需要公共 Internet 访问，请选择互联网网关。
  • 目标 CIDR 块：输入 ::/0 以允许传出 IPv6 流量进入 Internet。
  • 目标：选择与 VCN 关联的互联网网关。
  • 单击创建以保存路由表。

  

• 请注意，将创建新的路由表。

  

• 现在，我们需要将路由表分配给子网。

  • 导航到 VCN 和 Subnets（子网）。
  • 单击子网的名称。
  • 单击编辑。

  

• 在路由表中，选择刚刚创建的新路由表，然后单击保存更改。

  

• 您的子网现在使用路由表，该表允许 IPv6 流量通过 OCI 访问 Internet。此子网中具有公共 IPv6 地址的任何实例或资源现在都可以发送和接收 IPv6 流量。

  

接下来，您可以启动计算实例并为其分配 BYOIP 范围内的 IPv6 地址。

任务 11：创建实例并使用 BYOIP IPv6 CIDR 范围中的 IPv6 地址

现在，您已配置 VCN 和子网并实施了路由，您可以启动计算实例并从导入的 BYOIP IPv6 CIDR 范围内为其分配 IPv6 地址。这样，您可以使用您控制的 IPv6 空间通过 Internet 访问实例。

• 转到 OCI 控制台，导航到计算和实例，然后单击创建实例。

  

• 输入以下信息。

  • 名称：为实例输入名称。
  • 区间：选择相应的区间。
  • 可用性域：选择 AD 或使用区域可用性，具体取决于您的设置。

  

  • 映像和配置：选择首选的 OS 映像和配置。例如，Ubuntu 和 Oracle Linux。

  

• 选择在任务 9 中创建的 VCN 和公共子网。

  

• 启用 IPv6 地址，如果无法启用 IPv6 地址，即使为 VCN 分配了有效的 BYOIP IPv6 CIDR，我们也可以稍后执行此操作。

• （可选）附加 SSH 密钥以进行安全访问。

• 单击创建以创建实例。

  

• 请注意，没有为实例分配 IPv6 地址（尚未分配）。

  

• 单击连接的 VNIC ，然后单击实例的现有 VNIC。

  

• 单击 IPv6 地址和分配 IPv6 地址。

  

• 输入以下信息。

  • 从下拉菜单中选择 BYOIP IPv6 前缀。
  • Select Automatically assign IPv6 addresses from prefix.
  • 单击分配。

  

• 请注意，新的 IPv6 地址已分配给 VNIC。

  

• 返回到详细信息，并注意已添加来自 BYOIP IPv6 范围的公共 IPv6 地址。

  

• 转到联机 IPv4 端口扫描程序。例如 SubnetOnline 。使用公共 IPv4 地址验证哪些端口处于打开状态，并注意到端口 TCP/22 已打开。

  

• 转到联机 IPv6 端口扫描程序。例如 SubnetOnline 。

  • 使用公共 IPv6 地址验证哪些端口处于打开状态。

  • 请注意，端口 TCP/22 已打开。

  • 这证明我们的 BYOIP IPv6 地址可以从 Internet 访问。

  

  注：请确保您的安全列表或网络安全组 (NSG) 允许传入和传出 IPv6 通信。例如，ICMPv6、TCP 端口 22（用于 SSH）或其他必需的端口。

• 我们还可以通过使用 SSH 登录到实例来进行最终检查，现在我们将连接到公共 IPv4 地址。

• 运行 ip a 命令。请注意，在实例上配置了 IPv6 地址。

  

您现在拥有一个功能完备的 OCI 计算实例，该实例使用您自己的 BYOIP CIDR IPv6 地址，可公开路由并在 RIPE NCC 管理下注册。

确认

• 作者 — Iwan Hoogendoorn（云网络黑带）

更多学习资源

通过 docs.oracle.com/learn 浏览其他实验室，或者通过 Oracle Learning YouTube 频道访问更多免费学习内容。此外，请访问 education.oracle.com/learning-explorer 以成为 Oracle Learning Explorer。

有关产品文档，请访问 Oracle 帮助中心。

---

标题和版权信息

Configure BYOIP in Oracle Cloud Infrastructure Using an IPv6 CIDR from RIPE NCC

G38940-01

Copyright ©2025, Oracle and/or its affiliates.