1.背景
为贯彻落实党中央、国务院关于建设网络强国的战略部署,加快推进基于互联网协议第六版(IPv6)的下一代互联网规模部署,促进互联网演进升级和健康创新发展。根据中共中央办公厅、国务院办公厅印发《推进互联网协议第六版(IPv6)规模部署行动计划》的要求,苏宁易购对公司所属网站和移动应用(国内用户量排名前50位的商业网站及应用)进行IPv6改造。
2.案例
2.1 案例介绍
整体方案从业务场景、改造成本、改造难度、灰度以及回退的方便程度多维度考虑,苏宁公司共制定了两套改造方案,分别为CDN回源场景方案及直接回源场景方案。
由各个业务发布平台(CDN、负载均衡)对外发布IPv6业务,向内回源内容时依然采用IPv4地址回源,这样既减少了网络设备上的改造以及物理内存地址的占用,又免除了在前端服务器上重新发布IPv6新业务,大大减轻了改造负担。
改造方案共发布两套业务,分别为IPv4业务以及IPv6业务,终端用户在访问业务时通过自身系统以及运营商DNS进行优先判定,一旦IPv6业务出现故障终端会自行切换至IPv4业务进行访问,完成故障回退。
2.2 架构设计
2.2.1 方案一:CDN回源站场景
(1)改造CDN节点支持IPv6/IPv4双栈协议,并启用NAT6to4地址转换技术。
(2)IPv6用户访问苏宁易购网站,经过CDN节点,在CDN节点上启用NAT6to4地址转换技术,通过IPv4协议访问源站WEB前置服务器。
(3)IPv4用户访问苏宁易购网站,经过CDN节点,通过IPv4协议访问源站WEB前置服务器。
(4)客户端、后端系统和基础设施进行适配性改造,实现IPv6接入业务上线。
2.2.2 方案二:直接回源站场景
(1)改造运营商Internet出口和出口负载均衡/防火墙设备支持IPv6/IPv4双栈协议。
(2)IPv6用户访问直接回源站业务系统,业务系统通过IP回源在出口负载均衡/防火墙设备进行NAT64转换,通过IPv4访问后端业务系统。
(3)若业务系统通过域名回源,需要在B2B区域GSLB上做CNAME解析;出口负载均衡对外发布IPv6虚地址,进行NAT64转换,通过IPv4访问后端业务系统。
2.3 实施方案
(1)CDN侧架构设计方案:
CDN针对所有域名,节点配置支持v4/v6请求,回源时仅使用v4回源。
规划出V6统一调度CNAME,v4统一调度CNAME(便于域名上线v6,回退操作便捷)。
(2)CDN侧架构设计方案落地完成
(3)实施操作
批量修改域名DNS解析值指向v6统一调度CNAME,即完成上线操作。
批量修改域名DNS解析值指向v4统一调度CNAME,即完成回退操作。
2.4 安全性及可靠性
通过CDN做的IPv6改造,CDN具备防DDOS攻击,具备更高的安全性;
苏宁易购在全国每个省份都有多个CDN节点,通过CDN做的IPv6改造,可以保证网络访问的可靠性;
上线灰度可控,保证改造质量。
3.IPv6改造要点
3.1 客户端改造要点
(1)IPv6用户优先
用户端的改造重点是在保障用户接入质量的前提下,完成双栈优先IPv6的改造,以及在IPv6单栈情况下可以直接访问接入通道。
(2)失败回退
可以基于测速逻辑、失败重试、缓存最优接入IP等方式实现,出现错误后回退到IPv4。
(3)上线灰度可控
支持基于用户、客户端类型、省份/运营商的灰度能力,保证质量可控。
3.2 后端系统改造要点
(1)获取用户IP
所有涉及获取用户IP、存储用户IP的系统或应用均需要进行相应改造。
(2)IP地址库
分控系统、广告推荐构建基于IPv6的新版地址库。
(3)存储空间
所有涉及到IP地址存储的系统需要由原IPv4 32bit扩展为IPv6 128bit地址空间。
(4)业务安全策略
业务安全策略支持IPv6用户访问,做到不误伤、不漏放。
(5)业务上线策略
结合业务特点制定对应的灰度上线方案及策略。
3.3 基础设施改造要点
(1)基础网络环境
公司办公网需要支持双栈、IPv6 only网络环境,方便研发人员开发测试。
(2)DNS/CDN服务
权威DNS服务器、域名解析服务器、CDN加速节点支持IPv6。
(3)互联网出口
互联网出口、抗DDOS服务、高防服务、防火墙、负载均衡、WAF等支持IPv6。
(4)基础服务
服务器、存储、云平台、操作系统、数据库、缓存、消息队列中间件等基础服务支持IPv6。
4.实施效果
目前IPv6流量占比已达到75.7%,报文比例已达到75.9%,用户比例已达到79.8%。