​苏宁易购IPv6全场景改造

1.背景

为贯彻落实党中央、国务院关于建设网络强国的战略部署，加快推进基于互联网协议第六版（IPv6）的下一代互联网规模部署，促进互联网演进升级和健康创新发展。根据中共中央办公厅、国务院办公厅印发《推进互联网协议第六版（IPv6）规模部署行动计划》的要求，苏宁易购对公司所属网站和移动应用（国内用户量排名前50位的商业网站及应用）进行IPv6改造。

2.案例

2.1 案例介绍

整体方案从业务场景、改造成本、改造难度、灰度以及回退的方便程度多维度考虑，苏宁公司共制定了两套改造方案，分别为CDN回源场景方案及直接回源场景方案。

由各个业务发布平台（CDN、负载均衡）对外发布IPv6业务，向内回源内容时依然采用IPv4地址回源，这样既减少了网络设备上的改造以及物理内存地址的占用，又免除了在前端服务器上重新发布IPv6新业务，大大减轻了改造负担。

改造方案共发布两套业务，分别为IPv4业务以及IPv6业务，终端用户在访问业务时通过自身系统以及运营商DNS进行优先判定，一旦IPv6业务出现故障终端会自行切换至IPv4业务进行访问，完成故障回退。

2.2 架构设计

2.2.1 方案一：CDN回源站场景

（1）改造CDN节点支持IPv6/IPv4双栈协议，并启用NAT6to4地址转换技术。

（2）IPv6用户访问苏宁易购网站，经过CDN节点，在CDN节点上启用NAT6to4地址转换技术，通过IPv4协议访问源站WEB前置服务器。

（3）IPv4用户访问苏宁易购网站，经过CDN节点，通过IPv4协议访问源站WEB前置服务器。

（4）客户端、后端系统和基础设施进行适配性改造，实现IPv6接入业务上线。

2.2.2 方案二：直接回源站场景

（1）改造运营商Internet出口和出口负载均衡/防火墙设备支持IPv6/IPv4双栈协议。

（2）IPv6用户访问直接回源站业务系统，业务系统通过IP回源在出口负载均衡/防火墙设备进行NAT64转换，通过IPv4访问后端业务系统。

（3）若业务系统通过域名回源，需要在B2B区域GSLB上做CNAME解析；出口负载均衡对外发布IPv6虚地址，进行NAT64转换，通过IPv4访问后端业务系统。

2.3 实施方案

（1）CDN侧架构设计方案：

CDN针对所有域名，节点配置支持v4/v6请求，回源时仅使用v4回源。

规划出V6统一调度CNAME，v4统一调度CNAME（便于域名上线v6，回退操作便捷）。

（2）CDN侧架构设计方案落地完成

（3）实施操作

批量修改域名DNS解析值指向v6统一调度CNAME，即完成上线操作。

批量修改域名DNS解析值指向v4统一调度CNAME，即完成回退操作。

2.4 安全性及可靠性

通过CDN做的IPv6改造，CDN具备防DDOS攻击，具备更高的安全性；

苏宁易购在全国每个省份都有多个CDN节点，通过CDN做的IPv6改造，可以保证网络访问的可靠性；

上线灰度可控，保证改造质量。

3.IPv6改造要点

3.1 客户端改造要点

（1）IPv6用户优先

用户端的改造重点是在保障用户接入质量的前提下，完成双栈优先IPv6的改造，以及在IPv6单栈情况下可以直接访问接入通道。

（2）失败回退

可以基于测速逻辑、失败重试、缓存最优接入IP等方式实现，出现错误后回退到IPv4。

（3）上线灰度可控

支持基于用户、客户端类型、省份/运营商的灰度能力，保证质量可控。

3.2 后端系统改造要点

（1）获取用户IP

所有涉及获取用户IP、存储用户IP的系统或应用均需要进行相应改造。

（2）IP地址库

分控系统、广告推荐构建基于IPv6的新版地址库。

（3）存储空间

所有涉及到IP地址存储的系统需要由原IPv4 32bit扩展为IPv6 128bit地址空间。

（4）业务安全策略

业务安全策略支持IPv6用户访问，做到不误伤、不漏放。

（5）业务上线策略

结合业务特点制定对应的灰度上线方案及策略。

3.3 基础设施改造要点

（1）基础网络环境

公司办公网需要支持双栈、IPv6 only网络环境，方便研发人员开发测试。

（2）DNS/CDN服务

权威DNS服务器、域名解析服务器、CDN加速节点支持IPv6。

（3）互联网出口

互联网出口、抗DDOS服务、高防服务、防火墙、负载均衡、WAF等支持IPv6。

（4）基础服务

服务器、存储、云平台、操作系统、数据库、缓存、消息队列中间件等基础服务支持IPv6。

4.实施效果

目前IPv6流量占比已达到75.7%，报文比例已达到75.9%，用户比例已达到79.8%。