web-dev-qa-db-ja.com

単一のインターフェース上の多くのIPアドレスは悪いことですか?

Linodeは素晴らしいビッグを提供しています/116(4096)VPSごとに含まれる単一のIPv4およびIPv6アドレスに加えて、追加コストなしのIPv6アドレスブロック。

通常、SSLを必要としない一般的なWebサイトでは、多くのAレコードを単一のIPv4アドレスにポイントし、Hostヘッダーを使用してApache(または同等のもの)が正しいことを行うように構成できます。必要な場所にブラウザを取得します。

SSLが必要なサイトでは、別のIPv4アドレスをプロビジョニングして構成し、DNSを適切に指定します。これは(SNIがないと仮定して)WebサーバーがSSLハンドシェイクの前に使用する証明書を認識していないためです。

すべてうまくいっています。

Linodeが提供するアドレスを利用して、これらのサイトの一部、そして最終的にはすべてをIPv6ネイティブにしたいのですが、そのために使用するベストプラクティスがわかりません。非SSLホストに対しても同じアプローチに従う必要がありますか?ホストごとに常に個別のIPv6アドレスを割り当てる必要がありますか?どちらのアプローチを取るように指示するものも読んでいません。たぶん私が見逃したRFCがあります。

ただし、myプレーンでシンプル(hehe)質問はこれです:Linodeが単一の「物理的」インターフェースのみを提供していることを考えると(eth0)、およびその上に仮想インターフェイスである必要があるすべての追加のIPv4/v6アドレス(eth0:0eth0:1、…)、これ以上仮想アドレスを追加しないことをお勧めするポイントはありますか?または、その時点までにインターフェイスが飽和状態になっていないと仮定すると、仮想インターフェイスとして多数(数百)のIPv6アドレスを使用することにマイナス面はありませんか?

(Linodeの製品やIPv6全般を誤解している場合は、ここで間違った質問[または複数の間違った質問]をしている可能性がありますが、そうでないことを願っています。;)

1
Abraham Vegh

すでにIPv4で名前ベースの仮想ホスティングを行っている場合は、vhostごとに構成とIPを分割するのではなく、IPv6に対して同じ構成を維持すると思います。もちろん、SSLサイトの場合は、それぞれにIPを割り当てる必要があります。これは、IPv6では非常に単純である必要があります。インターフェイスに必要な数のIPを追加できるため、名前付きインターフェイスを追加する必要はないと思います。

個別のパケットフィルタールールが必要な場合、またはIPに基づいて区別することが役立つネットワーク層でアカウンティングする場合は、各仮想ホストにIPを割り当てる理由がある可能性があります。

2
mtinberg