《阿里云:企業上云IPv6解決方案與應用白皮書(2024)(81頁).pdf》由會員分享,可在線閱讀,更多相關《阿里云:企業上云IPv6解決方案與應用白皮書(2024)(81頁).pdf(81頁珍藏版)》請在三個皮匠報告上搜索。
1、 企業上云企業上云 IPv6IPv6 解決方案和應用白皮書解決方案和應用白皮書 II 注:白皮書編寫團隊由來自阿里云網絡研發團隊,云原生應用平臺團隊,云網絡團隊,云安全團隊以及新華三集團的技術和產品專家組成。宋林健宋林健 梁卓梁卓 孟方孟方 劉警劉警 王遠輝王遠輝 徐東徐東 趙飛趙飛 聞博聞博 楊永楊永 王忠雨王忠雨 徐孟徐孟 潘顯奇潘顯奇 秦超秦超 彭昔敏彭昔敏 企業上云企業上云 IPv6IPv6 解決方案和應用白皮書解決方案和應用白皮書 III 前言前言 IPv6 是互聯網基礎協議發展的必然方向,是企業數字化轉型必經之路。根據中國 IPv6 發展狀況白皮書(2024)1,截至 2024 年
2、 5 月,我國 IPv6 活躍用戶這一數字已增長至 72.70%,我國 IPv6 活躍 用戶達到 7.94億。從網絡流量看,移動網 IPv6 總流量占全網移動網總流量的 64.56%?;A通信運營商、云計算平臺和大型移動互聯網企業應用對拉動 IPv6 用戶和流量起到了關鍵作用。為了加速 IPv6 規模部署和應用,讓更多的企業和用戶更容易獲取 IPv6 能力,更快實現業務系統和應用的IPv6 過渡,在 2024 年上半年 推進 IPv6 規模部署和應用專家委組織編撰了數據中心及應用系統 IPv6 改造指南2。該指南主要整理和提出了數據中心和應用 IPv6 改造過程中,數據中心網絡、云平臺和應用應
3、該具備的 IPv6 技術要求,對數據中心,云平臺和應用運營者有借鑒作用。對云上企業和應用開發部署人員,他們面對的是自身 IT 基礎設施、應用部署上云過程中 IPv6 產品使用、IPv6 解決方案應用,以及 IPv6 運維體系落地等實際問題,急需對這些問題有針對性,實操性的技術手冊和指南。浙江省 IPv6 規模部署和下一代互聯網創新實驗室組織阿里云、新華三等相關企業專家針對企業上云、用云的特定場景,整理和編撰了企業上云 IPv6 解決方案和應用白皮書(2024),基于阿里云的 IPv6 部署和應用實踐,從云產品 IPv6 能力,云上 IPv6 解決方案應用、IPv6 運維和安全、專有云/公有云的
4、部署案例和實踐等多個方面試圖給云上企業和用戶提供 IPv6 指南和參考。1 中國 IPv6 發展狀況白皮書(2024):https:/ 2 數據中心及應用系統 IPv6 改造指南:https:/ 企業上云企業上云 IPv6IPv6 解決方案和應用白皮書解決方案和應用白皮書 目錄 IV 目錄目錄 前言前言.III 目錄目錄.IV 1.企業上云企業上云 IPv6IPv6 支持概述支持概述.5 1.1.什么是 IPv6?.5 1.1.1.IPv6 向 IPv4 過渡.8 1.2.業務 IPv6 改造要求和痛點.10 1.2.1.IPv6 改造技術要求.10 1.2.2.企業 IPv6 改造的痛點.1
5、0 1.3.云上 IPv6 解決方案優勢.11 2.云平臺云平臺 IPv6IPv6 解決方案解決方案.14 2.1.IPv6 公有云解決方案.14 2.1.1.云上 IPv6&IPv4 雙棧場景.14 2.1.2.IPv6 to IPv4 轉換場景.16 2.2.IPv6 專有云解決方案.19 2.3.IPv6 云安全解決方案.21 3.基于云速搭基于云速搭 CADTCADT 的的 IPv6IPv6 最佳實踐最佳實踐.23 3.1.創建具有 IPv6 地址的 ECS.23 3.1.1.最佳實踐概述.23 3.1.2.部署基礎環境.25 3.1.3.測試 IPv6 的連通性.36 3.1.4.一
6、鍵釋放資源.39 3.2.應用應用 IPv6IPv6 改造最佳實踐改造最佳實踐.43 3.2.1.最佳實踐概述.43 3.2.2.構建演示環境.45 3.2.3.方案一:增加支持 IPv6 的公網 SLB.60 3.2.4.方案二:遷移 CLB 到 NLB 支持 IPv6.63 3.2.5.方案三:全球加速 GA.67 3.3.應用應用 IPv6 IPv6 安全防護最佳實踐安全防護最佳實踐.70 3.3.1.最佳實踐概述.70 3.3.2.構建演示環境.70 3.3.3.方案架構說明.70 3.3.4.驗證步驟.72 企業上云 IPv6 支持概述 5 1.企業上云企業上云IPv6支持概述支持概
7、述 1.1.什么是什么是IPv6?IPv6(Internet Protocol Version 6,互聯網協議版本 6)是網絡層協議的第二代標準協議,也被稱為 IPng(IP Next Generation,下一代互聯網協議)。IPv6 不僅解決 IPv4 地址空間不足的問題,還在 IPv4 協議的基礎上進行了一些改進,例如,通過擴展頭提高 IPv6 協議的可擴展性、內置安全性解決網絡安全問題。IPv6 可以為互聯網和物聯網提供更加廣泛的連接,實現萬物互聯,打造數字化基礎設施,促進物聯網、工業互聯網、人工智能等新應用、新領域的創新。在 5G、物聯網等新興領域飛速發展的今天,IPv6 協議的魅力
8、不斷展現,IPv6 協議獲得了更加廣闊的發展空間。充足的地址空間充足的地址空間 IPv6 地址的長度是 128 比特(16 字節),可以提供超過 3.41038 個地址。在萬物互聯的需求下,IPv6具有足夠大的地址空間,可以為每一個具有聯網需求的終端提供 IPv6 地址,而不用擔心地址耗盡,極大地增強了互聯網的服務能力。企業上云 IPv6 支持概述 6 層次化的地址結構層次化的地址結構 IPv6 的地址空間采用了層次化的地址結構,地址管理更加便捷,且有利于路由快速查找,借助路由聚合,還可以有效減少 IPv6 路由表占用的系統資源。IPv6 地址使用多層等級結構。地址注冊機構分配 IPv6 地址
9、范圍后,服務提供商、組織機構可以根據各自的需要在該 IPv6 地址范圍內分層級、更加精細地劃分地址范圍,以管理所轄范圍內的地址分布。如圖 1 所示,IPv6 地址由以下幾部分組成:網絡前綴:由 CNNIC(China Internet Network Information Center,中國互聯網絡信息中心)和 ISP 分配。子網 ID(企業可管理地址空間):企業和組織機構根據需要分層級劃分地址范圍。例如,先根據地域分別為省、市分配地址范圍,再按照業務類型分配地址范圍。接口 ID:網絡中主機的標識。IPv6IPv6 地址結構地址結構 IPv6IPv6 前綴分配用戶和使用場景前綴分配用戶和使用
10、場景 前綴長度 用途和使用場景 /12/12 IANA 分配給區域網絡中心 RIRs/32/32 RIR/LIR 分配給有 ASN 的運營商、互聯網公司、大型企業/40,44,48/40,44,48 運營商站點和數據中心的大型企業分配的前綴,48 運營商向中小客戶分配的常見前綴長度。/56/56 寬帶運營商給家庭用戶和小微企業分配的最小前綴長度/64/64 末端設備子網,/127/127 路由器點對點鏈路 企業上云 IPv6 支持概述 7 簡化報文頭簡化報文頭 通過將 IPv4 報文頭中的某些字段裁減或移入到擴展報文頭,減小了 IPv6 基本報文頭的長度。IPv6 使用固定長度的基本報文頭,從
11、而簡化了轉發設備對 IPv6 報文的處理,提高了轉發效率。盡管 IPv6 地址長度是IPv4 地址長度的四倍,但 IPv6 基本報文頭的長度只有 40 字節,為 IPv4 報文頭長度(不包括選項字段)的兩倍。靈活的擴展頭靈活的擴展頭 IPv6 取消了 IPv4 報文頭中的選項字段,并引入了多種擴展報文頭,在提高處理效率的同時還大大增強了IPv6 的靈活性,為 IP 協議提供了良好的擴展能力。IPv4 報文頭中的選項字段最多只有 40 字節,而 IPv6 擴展報文頭的大小只受到 IPv6 報文大小的限制。IPv6IPv6 擴展頭類型擴展頭類型 IPv6 支持的擴展頭如表 1 所示。擴展頭使得 I
12、Pv6 協議具有良好的擴展性。根據業務需要,IPv6 不僅可以定義新的擴展頭,還可以在已有擴展頭中定義新的子擴展頭。IPv6IPv6 擴展頭的報文格式擴展頭的報文格式 一個 IPv6 報文可以攜帶 0 個、1 個或多個擴展頭。如圖 3 所示,IPv6 通過 Next header 字段標明下一個擴展頭的類型。例如,IPv6 基本報文頭中的 Next header 字段取值為 43 時,表示緊跟在 IPv6 基本報文頭后的擴展頭為路由頭;路由頭中的 Next header 字段取值為 44 時,表示路由頭后的擴展頭為分段頭。強大的鄰居發現協議強大的鄰居發現協議 IPv6 的鄰居發現協議是通過一組
13、 ICMPv6(Internet Control Message Protocol for IPv6,IPv6 互聯網控制消息協議)消息實現的,管理著鄰居節點間(即同一鏈路上的節點)信息的交互。它代替了 ARP(Address Resolution Protocol,地址解析協議)、ICMPv4 路由器發現和 ICMPv4 重定向消息,并提供了一系列其他功能:-地址解析:獲取同一鏈路上鄰居節點的鏈路層地址,功能與 IPv4 的 ARP 相同。-鄰居可達性檢測:在獲取到鄰居節點的鏈路層地址后,檢測鄰居節點的狀態,驗證鄰居節點是否可達。-重復地址檢測:當節點獲取到一個 IPv6 地址后,驗證該地址
14、是否已被其他節點使用,與 IPv4 的免費 ARP 功能相似。企業上云 IPv6 支持概述 8 -路由器發現/前綴發現:節點獲取鄰居路由器的信息、所在網絡的前綴、以及其他配置參數。節點獲取到所在網絡前綴后,可以根據該前綴自動生成 IPv6 地址,該過程稱為 IPv6 地址無狀態自動配置。-重定向功能:當網絡中存在更優的路徑時,路由器向主機發送 ICMPv6 重定向報文,通知主機選擇更好的下一跳進行后續報文的發送。該功能與 IPv4 的 ICMP 重定向消息的功能相同。內置安全性內置安全性 IPv4 協議本身未提供加密、認證等安全功能,需要與其他安全協議(如 IPsec)配合使用,或由應用協議來
15、提供安全性,增加了應用協議設計的復雜度。IPv6 協議在設計時便充分考慮了安全問題,在 IPv6 協議中定義了 ESP 頭和認證頭,通過 ESP 頭和認證頭為報文傳輸提供端到端的安全性?;?IPv6 協議的應用可以直接繼承 IPv6 協議的安全功能,為解決網絡安全問題提供了標準,并提高了不同 IPv6 應用之間的互操作性。1.1.1.IPV6向向IPV4過渡過渡 很多人有疑問,從 IPv6 協議發明到現在已經過去了超過三十年,IPv6 過渡還未完成。因為 IPv6 向 IPv4過渡涉及到網絡、數據中心、云平臺、應用系統等多個層面的改造,就好比在高空飛機上更換引擎,很難一步到位。另外由于互聯網
16、的特性,IPv6 應用和規模部署需要互聯網整個生態逐步升級到 IPv6 才能達到效果。業內的一個共識是 IPv4 向 IPv6 演進需要三個階段:IPv6IPv6 發展初期:發展初期:在 IPv6 發展初期,互聯網應用和網絡以 IPv4 占主導地位,部分 IPv6 示范網絡以“孤島“的方式存在。IPv6 的孤島往往通過 IPv6 in IPv4 的隧道來進行通信。IPv6IPv6 與與 IPv4IPv4 共存:共存:當 IPv6 規模持續擴大,大范圍的網絡和應用已經支持 IPv6,這個時候 IPv4 業務和用企業上云 IPv6 支持概述 9 戶仍然大量存在。這個時期是 IPv6 與 IPv4
17、共存時期,支持 IPv6 的網絡和應用通常以雙棧形式存在,也出現了部分純 IPv6 的網絡和應用,而純 IPv6 到純 IPv4 的通信通過翻譯網關設備來進行轉換。IPv6IPv6 占主導地位階段:占主導地位階段:當 IPv6 規模繼續持續擴大,逐步進入 IPv6-only 階段。這個階段大部分網絡和業務應用都支持 IPv6(雙?;騿螚7绞?,只剩下部分 IPv4 網絡,需要考慮 IPv4 訪問 IPv6 單棧業務或 IPv4 的孤島互聯。2017 年,中共中央辦公廳、國務院辦公廳印發了推進互聯網協議第六版(IPv6)規模部署行動計劃(以下簡稱“行動計劃”),整個行動計劃分為三個階段,第一階段
18、到 2018 年末,我國 IPv6 活躍用戶數將達到 2 億,在互聯網用戶中的占比不低于 20%,國內用戶量排名前 50 位的商業網站全面支持 IPv6;第二階段到 2020 年末,IPv6 活躍用戶數超過 5 億;第三階段到 2025 年末,網絡、應用、終端全面支持 IPv6。每個階段都明確規定了各個階段標準要求。根據國家 IPv6 發展監測平臺的數據,截至 2024 年 5 月,我國 IPv6 活躍用戶這一數字已增長至 72.70%,我國 IPv6 活躍 用戶達到 7.94 億。從網絡流量看,移動網 IPv6 總流量占全網移動網總流量的 64.56%。僅從這兩項指標看,移動互聯網 IPv6
19、 已經超過了 IPv4,向著 IPv6 主導階段邁進。然而從阿里巴巴視角,IPv6 固網覆蓋率、IDC IPv6 流量占比、云平臺 IPv6 開啟占比幾項指標看,IPv6 過渡還處于爬坡階段。頭部企業頭部企業 IPv6IPv6改造效果顯著,但是大量長尾中小企業還未真正用上改造效果顯著,但是大量長尾中小企業還未真正用上 IPv6IPv6。企業上云 IPv6 支持概述 10 1.2.業務業務IPv6改造要求和痛點改造要求和痛點 1.2.1.IPV6改造技術要求改造技術要求 IPv6 改造是一個復雜的系統工程,涉及整個技術鏈的協議棧升級。在進行改造時,需要從業務的角度重點考慮“端”、“管”、“云”這
20、三個關鍵部分,端(客戶端與服務器端):端(客戶端與服務器端):這一部分包含了移動應用、Web 客戶端和服務器端的改造工作,主要涉及終端對 IPv4/IPv6 雙棧網絡適配,以及網絡接入架構,是應用開發者需要密切關注的核心內容。管(網絡傳輸部分):管(網絡傳輸部分):主要涉及公網和內網的傳輸,特別是運營商提供的網絡服務。這里的挑戰在于,內網和公網的接入方式都需要外部公網運營商和內部接入網元的支持和配合來完成 IPv6 的轉型。云(云端基礎設施):云(云端基礎設施):包括 IDC、CDN、DNS 等應用部署環境以及云服務和中間件。此部分是應用運行環境的核心,涉及應用基礎設施的 IPv6 升級改造。
21、數據中心和應用改造的具體技術要求請參考由推進 IPv6 規模部署和應用專家委組織編撰的數據中心及應用系統 IPv6 改造指南。1.2.2.企業企業IPV6改造的痛點改造的痛點 如今越來越多的企業依托云平臺來實現自身業務的數字化轉型,IPv6 的部署和應用也融入了這些企業數字化轉型過程中。對云上的企業在 IPv6 改造主要有一下幾個痛點:業務連續性業務連續性保障:保障:IPv6 改造涉及運營商線路和地址申請、網絡/計算/存儲等 IT 基礎設施新建或升級、企業上云 IPv6 支持概述 11 應用程序代碼邏輯更改等事項,升級難度大、復雜度高,如何保障業務連續性?改造周期提速:改造周期提速:國家推進
22、IPv6 規模部署行動提速,企業網站系統、互聯網 APP 等難以在較短時間內支持 IPv6 訪問,如何壓縮改造周期?投資成本受控投資成本受控:運營商線路費用、IT 基礎設施軟/硬件新購或升級費用、集成服務費用等綜合成本高昂,原有投資難以得到保護,如何降本增效?基于云平臺的應用系統IPv6部署可以顯著降低云上企業IPv6的使用成本,更快更容易的獲取IPv6能力。企業 IPv6 升級改造場景,可根據應用系統的所在位置分為云上和云下兩類部署環境,根據改造方式分為轉換過渡和雙棧共存兩條技術路線。IPv6 解決方案可適用于如下 3 類典型場景:場景一:云上應用系統進行 IPv6/v4 雙棧改造。場景二:
23、云上面向公眾服務的互聯網應用系統具備 IPv6 訪問能力。場景三:自建數據中心內面向公眾服務的互聯網應用系統具備 IPv6 訪問能力。1.3.云平臺云平臺IPv6能力能力 作為重要的應用基礎設施,大型云計算平臺作為對 IPv6 的支持對 IPv6 規模部署和應用至關重要,能夠幫助用戶使用 IPv6 簡化網絡架構,不受 IPv4 空間的限制。并且能夠顯著地降低 IPv6 技術部署和使用的門檻,快速部署 IPv6 滿足合規要求,同時降低 IPv6 應用風險。以阿里云舉例,阿里云網絡、計算、存儲、數據庫、CDN、DNS、安全、大數據、中間件&應用服務等重要的產品線核心產品已經支持 IPv6。下面是一
24、些核心云產品對 IPv6 能力介紹。云解析云解析 DNSDNS 支持支持 IPv6IPv6 企業上云 IPv6 支持概述 12 要使用 IPv6 服務,首先需要 DNS 支持 IPv6 解析。當用戶訪問互聯網時,訪問的請求會最先到達 DNS,DNS 會根據訪問域名查詢并返回正確的 IP 地址。IPv6 時代,阿里云解析 DNS 依然作為云計算服務的入口,同時支持 IPv4 和 IPv6 雙棧,用戶在解析設置中通過設置 AAAA 記錄,可以實現訪問者通過 IPv6 地址訪問網站。注:云解析 DNS 服務器集群中的 DNS 服務器也已全面支持 IPv6。ECSECS 云服務器支持云服務器支持 IP
25、v6IPv6 ECS 云服務器是企業上云用的最多的云基礎產品。在 IPv6 改造過程中,用戶急需為期其購買部署的 ECS開通 IPv6 服務,分配 IPv6 地址。阿里云 ECS 支持用戶在開通了 IPv6 網段的 VPC 和交換機下創建帶有 IPv6 地址的 ECS 實例。并支持 ECS 通過 IPv6 地址通信、為 ECS 實例分配 IPv6 地址、配置 IPv6 地址等。VPCVPC 和和 IPv6IPv6 網關支持網關支持 IPv6IPv6 專有網絡 VPC(Virtual Private Cloud)是用戶基于阿里云創建的自定義私有網絡,不同的專有網絡之間二層邏輯隔離,用戶可以在自己
26、創建的專有網絡內創建和管理云產品實例,比如 ECS、SLB、RDS 等。如果需要在 VPC 中進行 IPv6 私網通信,您可以在開通了 IPv6 網段的 VPC 和交換機下創建帶有 IPv6 地址的 ECS 實例,同一個 VPC 下的 ECS 實例能夠通過 IPv6 地址相互通信。如果 VPC 需要 IPv6 公網訪問,需要借助 IPv6 網關(IPv6 Gateway)。IPv6 網關是 VPC 的一個 IPv6 流量網關。默認申請的 IPv6 地址只具備 IPv6 私網通信能力,您可以通過在 IPv6 網關中為 IPv6 地址開通 IPv6 公網帶寬,使其具備公網通信能力,并且可以設置僅主
27、動出規則,使 IPv6 地址僅可主動訪問公網。負載均衡負載均衡 SLBSLB 支持支持 IPv6IPv6 公網入口會優先支持 IPv6,快速提升公網流量占比,負載均衡 SLB 長期以來都是關鍵業務系統的公網入口,它可以對多臺 ECS 進行流量分發,提高業務系統的可用性和處理能力。負載均衡 SLB 支持 IPv6 從產品上看主要有兩點:首先,采用了獨立的 IPv6 類型 SLB。獨立的 IPv6 類型的 SLB 實例和 IPv4 的 SLB 實例性能和功能沒有差異。用戶只需要在購買 SLB 時選擇 IPv6 類型,就可以快速創建一個 IPv6 的 SLB 實例。其次,IPv6 類型的 SLB 和
28、后端的 ECS 通信還采用 IPv4 私網地址。CDNCDN 服務服務支持支持 IPv6IPv6 CDN 內容分發網絡(Content Delivery Network),解決跨地域跨運營商網絡性能問題,提供穩定快速的加速服務。CDN 是互聯網的流量入口,阿里云 CDN 團隊從 2017 年起就啟動了 IPv6 的改造,積極持續地在IPv6 改造中投入相關資源,從節點部署、節點網絡架構改造、IPv6 功能支持、IPv6 調度能力完善、IPv6 全鏈路監控方案、IPv6 質量評測體系建設等方面持續打磨,投入物理資源、人力資源,推動 IPv6 整體能力不斷向企業上云 IPv6 支持概述 13 IP
29、v4 靠近。截止到目前累計完成了近千個節點的 IPv6 改造升級,IPv6 合規率超過 90%,超過工信部的驗收標準,在產品化上,基礎的 CDN 產品和全站加速產品率先通過由全球 IPv6 Forum 論壇發布的 IPv6 Enabled CDN。WAFWAF 服務服務支持支持 IPv6IPv6 當用戶以 IPv6 進行通信時,還有一個關鍵的云服務即 Web 應用防火墻,它負責對網站或者 APP 的業務流量進行惡意特征識別及防護,將正常、安全的流量回源到服務器。當我們運行 IPv6 協議時,必須升級到對IPv6/IPv4 雙棧的防護能力,避免網站服務器被惡意入侵,保障業務的核心數據安全,解決因
30、惡意攻擊導致的服務器性能異常問題。阿里云 WAF 已經支持一鍵升級 IPv6 功能,在 WAF 控制臺的被防護域名下,直接打開IPv6 狀態開關即可。DDoSDDoS 服務服務支持支持 IPv6IPv6 同樣重要的還有阿里云 DDoS 防護服務,它是以阿里云覆蓋全球的 DDoS 防護網絡為基礎,結合阿里巴巴自研的 DDoS 攻擊檢測和智能防護體系,向用戶提供可管理的 DDoS 防護服務。同樣需要增加 IPv6 的防護能力,自動快速地緩解網絡攻擊對業務造成的延遲增加、訪問受限、業務中斷等影響,從而減少業務損失,降低潛在 DDoS 攻擊風險。如需對 IPv6 地址進行 DDoS 防護,可以開通 D
31、DoS 防護包中的 IPv6 協議,防護對象設置為 IPv6 轉換服務的地址。ACLACL 黑白名單及安全策略黑白名單及安全策略支持支持 IPv6IPv6 確保 IPv6 安全體系防護的完整性與高效性,對防火墻、入侵檢測、行為審計、流量清洗等網絡安全設備,進行統一升級以支持 IPv6 環境下的正常工作。隨著 IPv6 的發展,IPv6 的地址數量將遠遠超過 IPv4,現有的ACL 黑白名單容量將無法滿足,需要提前進行擴容改造。對于 IPv6 安全防護能力存在風險的節點,應進行網絡安全設備升級或替換。從應用業務層面以及安全管理層面進行 IPv6 安全策略制定與配置,保證 IPv6 的安全策略包含
32、了所有的 IPv4 策略。其他云產品支持其他云產品支持 IPv6IPv6 除了上面提到產品外,還有很多其它產品也已經完成了支持,如對象存儲 OSS、數據庫 RDS 等。云平臺 IPv6 解決方案 14 2.云平臺云平臺IPv6解決方案解決方案 2.1.IPv6公有云解決方案公有云解決方案 現階段,企業上云后的 IPv6 升級改造場景,可總結為如下 2 類:6&46&4 雙棧:雙棧:云上應用系統進行 IPv6/v4 雙棧改造,從而實現“客戶端到服務端”的全鏈路 IPv6 交互。對于 6&4 雙棧場景,需全鏈路涉及的各組件均支持并啟用 IPv6 協議棧。6to46to4 轉換:轉換:云上應用系統保
33、持 IPv4 協議棧不變,但需具備公網可達的 IPv6 地址,使 IPv6 客戶端訪問可達。對于 6to4 轉換場景,通常是在公網訪問入口處進行協議轉換。即如果云上應用系統使用負載均衡 SLB 作為公網入口,可基于 SLB 實現轉換。2.1.1.云上云上IPv6&IPv4雙棧雙棧場景場景 云上 IPv6&IPv4 雙棧網絡架構的示意圖如下:如圖所示,該方案涉及負載均衡 SLB、專有網絡 VPC、轉發路由器 TR(企業版)、高速通道等多款網絡產品服務。VPCVPC 及交換機開通及交換機開通 IPIPv6v6 阿里云 VPC 支持 IPv4 和 IPv6 協議。默認情況下,VPC 使用 IPv4
34、尋址協議。對于雙棧場景,用戶需開通IPv6 尋址協議。開通 IPv6 后,系統將為 VPC 分配掩碼為/56 的 IPv6 GUA 網段,VPC 中每臺交換機的 IPv6 網段掩碼默認云平臺 IPv6 解決方案 15 為 64/。VPC 和交換機開通 IPv6 的方法請參考幫助文檔3,4。ECSECS 開通開通 IPIPv6v6 用戶可在開通了 IPv6 網段的 VPC 和交換機下創建帶有 IPv6 地址的 ECS 實例,并為實例配置 IPv6 地址5。公網開通公網開通 公網開通場景公網開通場景 1 1:ECSECS 直接與互聯網進行雙向交互直接與互聯網進行雙向交互 ECS 配置 IPv6 地
35、址后,VPC 中的 IPv6 地址只具備私網通信能力。如果 ECS 需要主動訪問互聯網或直接被互聯網訪問,則需為 IPv6 地址開通公網帶寬,使其具備 IPv6 公網通信能力。當 VPC 開通 IPv6 后,系統將為 VPC 自動創建 1 個 IPv6 網關。IPv6 網關是該 VPC 的 IPv6 互聯網流量網關。用戶可以在 IPv6 網關上,開通并管理本 VPC 內 IPv6 地址的公網帶寬6。開通公網帶寬后,IPv6 地址可以與公網連通,用戶可以為 IPv6 地址創建僅主動出規則。使該 ECS 可以主動發起 IPv6 訪問,但不允許客戶端通過互聯網訪問 ECS 的 IPv6 地址7。公網
36、開通場景公網開通場景 2 2:ECSECS 借助負載均衡借助負載均衡 SLBSLB,向互聯網發布服務,向互聯網發布服務 如果應用系統借助負載均衡 SLB 面向互聯網發布服務,供 IPv6 客戶端訪問,則需使用應用型負載均衡ALB(七層負載均衡)或網絡型負載均衡 NLB(四層負載均衡)。ALB 和 NLB,支持雙棧協議版本89??山邮湛蛻舳说?IPv6 訪問請求并將請求以 IPv6 協議轉發至后端服務器。私網互通私網互通 轉發路由器 TR(企業版)已支持 IPv6 協議,可實現云上不同 VPC 之間,以及云上 VPC 與云下數據中心之間的 IPv6 私網互通。注意:如需實現云上VPC與云下數據中
37、心之間的IPv6私網互通,需確保高速通道-物理專線端口支持IPv6,3VPC 開通 IPv6 的方法:https:/ 4交換機開通 IPv6 的方法:https:/ 5ECS 分配和配置 IPv6 地址的方法:https:/ 6開通和管理 IPv6 公網帶寬的方法:https:/ 7 創建和管理僅主動出規則的方法:https:/ 8開通雙棧版本 ALB 實例的方法:https:/ 9開通雙棧版本 NLB 實例的方法:https:/ 云平臺 IPv6 解決方案 16 建議用戶在開通高速通道-物理專線端口時,至少勾選【高級配置】中的 IPv6 和 MPBGP-v6 選項。如下圖所示:2.1.2.I
38、PV6 TO IPV4轉換場景轉換場景 實現 IPv6 to IPv4 的轉換,需在“最靠近客戶端側的流量入口位置”進行轉換。如果待支持 IPv6 的應用系統使用了 CDN、DDoS、WAF 等產品服務,則需選擇其中最靠近客戶端側的產品開啟 IPv6 轉換。部署于阿里云的應用系統進行部署于阿里云的應用系統進行 6to46to4 轉換轉換 如果待支持 IPv6 的應用系統部署于阿里云,且未使用上述 CDN、DDoS、WAF 等產品服務,則可通過 IPv6 SLB 實現 IPv6 轉換。應用型負載均衡 ALB、網絡型負載均衡 NLB 以及傳統型負載均衡 CLB,均具備 IPv6 to IPv4 的
39、協議轉換云平臺 IPv6 解決方案 17 能力,可為云上業務系統提供 IPv6 地址,承接 IPv6 客戶端訪問,并將訪問請求轉換為 IPv4 協議轉發至后端的 IPv4 ECS。CLB 不支持雙棧協議版本,IPv6 實例和 IPv4 實例相互獨立,因此需同時部署 IPv6 實例和 IPv4 實例,從而分別承載 IPv6 流量和 IPv4 流量。ALB 和 NLB 支持雙棧協議版本10,11,可同時接收客戶端的 IPv6 及 IPv4 訪問請求,相較使用 CLB12進行轉換,架構更為精簡。部署于本地數據中心的應用系統進行部署于本地數據中心的應用系統進行 6to46to4 轉換轉換 如果待支持
40、IPv6 的應用系統部署于本地數據中心,可根據具體場景,按需使用 ALB/NLB 或全球加速 GA,進行 IPv6 to IPv4 的轉換。10 開通雙棧版本 ALB 實例的方法:https:/ 11 開通雙棧版本 NLB 實例的方法:https:/ 12 開通 IPv6 CLB 實例方法:https:/ 云平臺 IPv6 解決方案 18 場景場景 1 1:本地數據中心與阿里云具備互聯專線:本地數據中心與阿里云具備互聯專線 此場景,可使用雙棧版本的 ALB13,14或 NLB15,16,借助 ALB 或 NLB 的“添加 IP 類型后端服務器”功能,將本地數據中心內應用系統的 IPv4 私網地
41、址,添加為 ALB 或 NLB 的后端服務器。同時依托轉發路由器 TR 及高速通道等產品,實現 ALB 或 NLB 與本地數據中心應用系統的私網互通后,便可實現 6to4 轉換,即由 ALB或 NLB 接收客戶端的 IPv6 訪問請求,并將請求以 IPv4 協議轉發至本地數據中心內的服務器。場景場景 2 2:本地數據中心與阿里云無互聯專線:本地數據中心與阿里云無互聯專線 此場景,需使用全球加速 GA17實現 6to4 轉換。即選擇與應用系統相同省份或就近省份的 GA 加速區域,并將加速 IP 配置為 IPv6 協議類型,而后根據應用系統的工作協議及端口號完成監聽配置,并將應用系統的IPv4 公
42、網地址添加為 GA 的后端服務,便可實現 6to4 轉換,即由 GA 接收客戶端的 IPv6 訪問請求,并將請求 13 開通雙棧版本 ALB 實例的方法:https:/ 14 ALB 掛載本地數據中心服務器的方法:https:/ 15 開通雙棧版本 NLB 實例的方法:https:/ 16 NLB 掛載本地數據中心服務器的方法:https:/ 17 開通全球加速 GA 實現 6to4 轉換的方法:https:/ 云平臺 IPv6 解決方案 19 以 IPv4 協議轉發至本地數據中心內的服務器。2.2.IPv6專有云解決方案專有云解決方案 專有云是云計算技術的一種部署形態,目的是在客戶的自有環境
43、一個全棧云平臺。專有云服務的政企客戶不僅要求云平臺的功能,還要安全可靠,滿足業務連續性、金融監管、等保 2.0 等對業務無中斷、數據無丟失的要求。專有云平臺上承載著大量重要信息系統,政企業務逐步向著平臺化、服務化、數據化、智能化、自動化的方向發展,并以安全構建起政企對于專有云技術實力的信心。專有云部署形態滿足了客戶核心數據自持,并符合“數據不出省”、“數據不出機房”等管理要求。專有云服務的客戶需要滿足相關部委、行業監管的戰略要求,IPv6 就是一項重要的國家戰略。專有云是獨立部署在客戶數據中心的云平臺,隨著數字化時代的快速發展,數據中心作為信息處理和存儲的核心,扮演著至關重要的角色。然而,傳統
44、的 IPv4 網絡面臨著日益嚴峻的挑戰,主要表現在地址資源枯竭、網絡拓撲復雜等方面。這些問題嚴重制約了數據中心網絡的發展和擴展,因此迫切需要采取行動來解決。在這一背景下,數據中心 IPv6 改造成為了必然選擇。改造主要涉及兩個關鍵方面:網絡基礎設施和應用系統。專有云平云平臺 IPv6 解決方案 20 臺作為客戶數據的云平臺基礎設施,需要對 IAAS 層網絡進行升級和優化,以確保其完全支持 IPv6 功能,并且對網絡拓撲結構進行調整,以適應 IPv6 的部署需求。在應用系統方面,需要對云平臺上部署的各種應用程序和服務進行調整和優化,以確保其能夠順利運行在 IPv6 環境中。通過綜合考慮和全面規劃
45、,專有云平臺可以順利實施 IPv6 改造,為未來的網絡發展奠定堅實基礎。專有云平臺 IPv6 解決方案改造是一項復雜而關鍵的工程,通過對 IAAS 層基礎設施的升級和優化,以及對應用系統的調整和優化,專有云平臺可以更好地適應 IPv6 的發展趨勢,提升網絡性能和可用性,為未來的網絡發展奠定堅實基礎。專有云平臺的 IPv6 解決方案是基于 IPv6&IPv4 雙棧的方案,從用戶視角通過 IPv6&IPv4 雙棧的方式訪問云平臺業務的鏈路圖,當然這里的前提是基礎設施層已經完成了相應的能力支持。當用戶從外網訪問時用戶可以選擇 v6/v4 不同的訪問路徑,經過 DDoS、WAF、防火墻等一些列的安全防
46、護措施到達云平臺。云平臺邊界分別通過 SLB 和 VPC GW 對外提供了 IPv4 和 IPv6 的外網訪問能力。云平臺內部云主機也都支持 IPv6 和 IPv4 雙棧??梢詽M足云下用戶到云上服務全鏈路實現 IPv6&IPv4 雙棧。用戶的業務是部署在云上 ECS,實際上用戶直接訪問相應的云服務,比如數據庫、存儲等也是類似,這意味著對應的云服務也都提供 IPv6&IPv4 的雙棧能力。上圖中右側部分用戶從云下 IDC 通過專線方式訪問到云上也是類似。IPv6 演進改造是一個長期、分階段、分系統逐步升級的過程,結合上面專有云 IPv6/IPv4 雙棧方案的介紹,在實踐中我們將 IPv6 改造分
47、為三個階段:云平臺 IPv6 解決方案 21 第一階段,通過云平臺 SLB 負載均衡完成 6to4 的能力改造,實現互聯網用戶的 IPv6 接入云內服務的能力,同時為支持互聯網側的 Ipv6 的安全防護能力,平臺側對 DDOS、WAF、CFW 產品進行 IPV6 防護能力升級改造。第二階段,是在第一階段的基礎上,繼續對云平臺的 ECS、VPC 以及 SLB 進行 Ipv6 能力改升級造,配合客戶應用系統的 Ipv6 改造,實現互聯網用戶通過 Ipv6 訪問平臺內的 Ipv6 服務,即 6to6,同時云平臺內的資源可以基于 Ipv6 網關主動訪問互聯網。第三階段,主要是將 Ipv6 能力范圍進一
48、步擴大,實現云內資源之間以及與云下 IDC 之間實現 IPv6 互訪能力,平臺側主要還是對平臺內的相關云產品以及 IDC 并網專線進行一個 Ipv6 能力的改造升級實現?;谏鲜鋈齻€階段的改造實施,整個云平臺已經具備了互聯網側、云內、云下 IDC 等多場景下的 IPv4/IPv6的雙棧能力。2.3.IPv6云安全解決方案云安全解決方案 隨著 IPv6 協議的迅速普及,新的網絡環境以及新興領域均面臨著新的安全挑戰。企業業務 IPv6 改造不僅僅是域名和網站支持 IPv6,還需要有效的防范 IPv6 安全風險,尤其是對關系國計民生的單位如金融、交通、能源、政務等行業。IPv6 線路需要提供不低于
49、IPv4 線路現有的安全防護能力,如訪問控制功能、入侵檢測防訪問控制功能、入侵檢測防御功能、流量分析清洗功能、御功能、流量分析清洗功能、WEBWEB 應用防護功能等。應用防護功能等。對于上云的客戶,可以按照其上云的不同階段來部署 WAF 集群和高防防護包來支持 IPv6 安全防護功能?;痉桨甘峭ㄟ^接入接入 WAFWAF 企業版企業版&高防防護包,高防防護包,通過通過 7 7 層反向代理同時支持層反向代理同時支持 IPv4IPv4 和和 IPv6IPv6 協議協議。云平臺 IPv6 解決方案 22 業務邏輯描述:業務邏輯描述:IPv6 用戶在瀏覽器中輸入要訪問的域名。瀏覽器向 DNS 云解析服
50、務器請求對應域名的解析。E DNS 云解析將域名的解析權交給 CNAME 指向的 WAF DNS 服務器。E WAF DNS 服務器把 WAF 的 IPv6 地址返回給用戶。E IPv6:2408:8719:64:8:3 IPv6 終端用戶向 WAF 的 IPv6 集群發起請求 WAF 的 IPv6 集群對流量進行識別,將安全的流量以 IPv4 協議傳遞給源站?;谠扑俅?CADT 的 IPv6 最佳實踐 23 3.基于云速搭基于云速搭CADT的的IPv6最佳實踐最佳實踐 現在主流的云平臺提供了各種 IPv6 網絡解決方案和產品能力,但是廣大中小客戶使用云服務,尤其是在上云過程中開通和部署 I
51、Pv6 服務通常會遇到一些挑戰,需要一定的專業知識??蛻粼瀑Y源分散在不用的云服務中,不便于從應用架構的角度來開通、運維、管理資源,云速搭 CADT(Cloud Architect Design Tools)18是阿里云推出的一款為云上應用提供自助式云架構管理的產品。通過 CADT 可以快速創建云上 IPv6 應用架構,自動化部署資源,輕松實現對云上應用的全生命周期管理,可以顯著降低 IPv6 云資源管理的難度和時間成本,助力客戶高效便捷上云支持 IPv6。本章將通過典型的三個需求場景來演示如何通過阿里云運速搭 CADT 來創建具有 IPv6 地址的 ECS,為應用開通 IPv6 WAF 安全能
52、力,以及應用 IPv6 改造實踐。3.1.創建具有創建具有IPv6地址的地址的ECS 3.1.1.最佳實踐概述最佳實踐概述 方案概述方案概述 隨著國家推進 IPv6 規模部署行動計劃的貫徹落實,以及工業互聯網、物聯網、5G 等前沿技術的快速發展,各行業用戶 IPv6 改造訴求愈發強烈。阿里云 IPv6 在互聯網、金融、政企、傳媒等各行業,提供了豐富的產品選擇和可靠安全的服務體驗。本文針對希望部署具有 IPv6 地址的 ECS 場景,提供一鍵部署模版,進行部署和效果驗證。應用應用場景場景 l 針對具備 IPv6 地址的 ECS 提供可視化架構 l 支持方案的批量部署和效果驗證 18 云速搭 CA
53、DT 產品介紹:https:/ 基于云速搭 CADT 的 IPv6 最佳實踐 24 部署架構部署架構 架構說明架構說明 我們在新建 ECS 實例時只分配 IPv4 地址,不分配 IPv6 地址。如果業務上需要使用 IPv6 地址并通過 IPv6地址進行通信時,需要配置 IPv6 地址。本文將會介紹通過云速搭快速創建和驗證。l 預置部署模版,新建具有IPv6環境的VPC和交換機 l 自動分配IPv6的地址,開通IPv6網關實例 l 創建業務需要的ECS和EIP,需要訪問公網,實現自動綁定 l 開通IPv6公網帶寬,并綁定到ECS,提供IPV6訪問能力 l 添加安全組規則:要設置授權對象為IPv6
54、地址段 方案優勢方案優勢 l 可視化完成整體方案設計交付,快速環境搭建 l 相關配置進行了初始化設置,形成模版化 l 一鍵計算成本,一鍵部署 基于云速搭 CADT 的 IPv6 最佳實踐 25 操作步驟操作步驟 基于模版創建 POC 環境 檢查環境依賴的基礎資源配置信息 測試 IPv6 連結 前置條件前置條件 在進行本文操作之前,您需要完成以下準備工作:l 注冊阿里云賬號,并完成實名認證。您可以登錄阿里云控制臺,并前往實名認證頁面(https:/ 購買按量付費資源,阿里云賬戶余額需要大于 100 元。您可以登錄阿里云控制臺,前往賬戶總覽頁面(https:/ 已開通以下阿里云服務:云速搭 CAD
55、T 專有網絡 VPC 云服務器 ECS 彈性公網 IP NAT 網關 3.1.2.部署基礎環境部署基礎環境 3.1.2.1 3.1.2.1 云資源規劃清單云資源規劃清單 部署資源清單如下,為了保證測試效果,請參考模版和如下步驟進行操作。產品 配置 備注說明 云速搭(CADT)預置模板 可根據預置模板按需進行相關參數的修改 VPC 與交換機 地域:上海 VPC 名稱:vpc-qa-ipv6 VPCIPv4 網段:192.168.0.0/16 選擇分配公網 IPv6 地址 2408:4002:1039:b00:/56 交換機名稱:vswitch-01 可用區 M 本次示例通過 CADT 新建 VP
56、C 和交換機建議不需要修改。也支持導入已有資源,調整后,需要進行存量資源導入?;谠扑俅?CADT 的 IPv6 最佳實踐 26 IPv4 網段:192.168.0.0/24 勾選:分配公網 IPv6 地址 公網 IPv6:2408:4002:1039:b00 0:/56 云服務器 ECS 分別創建 2 臺服務器 規格均為 c7.xlarge(4C 8G)alibaba cloud linux 3.2104 鏡像 系統盤:ESSD 云盤,40G,PL0 自定義實例名稱、主機名稱 登錄密碼:Test1234(可以自行修改)自定義數據:自定義一鍵配置 IPv6 地址的命令 本次示例通過 CADT
57、新建 其他參數參考模版 彈性 EIP 數量:1 商品類型:按量付費 名稱:nat-eip 帶寬峰值:50 Mbps 流量:按使用流量計費 綁定 NAT,用于 VPC 的公網訪問出口IP 本次示例通過 CADT 新建 NAT 網關 名稱:vpc-nat 支付方式:按量付費 勾選 VPC 全通模式 通過連線自動綁定了 nat-eip 所屬 vswitchvswitchws-01 本次示例通過 CADT 新建 IPv6 網關 名稱:ipv6gateway 不需要配置默認 IPV6 網段 本次示例通過 CADT 新建 IPv6 公網帶寬 數量:2 個,分別連線對應 ECS 名稱:自定義 IPV6 網關
58、-地址實例:不需要填寫 ECS:只顯示,通過連線自動填充 流量:按使用流量計費 帶寬:2Mbps 支付方式:按量付費 本次示例通過 CADT 新建 基于云速搭 CADT 的 IPv6 最佳實踐 27 3.1.2.2 3.1.2.2 創建架構應用創建架構應用 步驟1 訪問 https:/ CADT 控制臺。說明:如果提示需要開通服務,請根據提示進行開通。步驟2 在菜單欄單擊新建新建 官方解決方案中心官方解決方案中心 步驟3 在搜索中輸入“IPvIPv6 6”,找到ECSECS-IPv6IPv6 部署方案部署方案模板,單擊基于應用新建基于應用新建 步驟4 點擊右上角的保存保存按鈕,將本架構保存為應
59、用,并設置應用名稱,例如“ECS-IPv6-部署”,點擊確認?;谠扑俅?CADT 的 IPv6 最佳實踐 28 等待右上角會出現保存成功提示,完成應用保存。3.1.2.3 3.1.2.3 部署架構應用部署架構應用 部署前,參考資源清單,核對產品參數。為了保證測試效果,請不要修改 ECS 規格、磁盤類型、磁盤大小等信息。請勿修改模版中的交換機網段,如果需要替換為已有的 VPC 和交換,注意資源規格的變化,已經需要完成存量資源導入。模版中ECS密碼默認配置為“Test1234”,可以雙擊ECS輸入新的登錄密碼。核對完成后,保存為應用。并進行校驗、報價和批量部署。校驗環節有錯誤提示,參考提示操作即
60、可。步驟1 核對地域,本示例選擇“上?!辈襟E2 核對 VPC 和交換機,分別點擊圖中的 VPC 和交換機名稱 VPC 購買方式:新購 自定義 VPC 名稱、網段 分配公網 IPv6 地址:選擇“分配(默認)”基于云速搭 CADT 的 IPv6 最佳實踐 29 虛擬交換機購買方式:新購 自定名稱 vswitch 名稱 默認可用區 M 勾選 IPv6:分配公網 IPv6 地址 基于云速搭 CADT 的 IPv6 最佳實踐 30 步驟3 核對 IPv6 網關的參數,購買方式為新購,自定義網關名稱 步驟4 核對 ECS 產品相關參數,點擊 ECS 圖標 核對支付方式、實例規格、鏡像、系統盤類型和大小、
61、實例名稱、密碼等 基于云速搭 CADT 的 IPv6 最佳實踐 31 密碼初始化為:Test1234,可以修改 勾選:分配公網 IPv6 地址 安全組,在入方向添加了 ICMP(IP v6)協議,并授權對象 IPv6 地址段:/0 步驟5 核對 IPv6 公網帶寬,通過連線連接 ECS 自定義帶寬名稱,使用流量計費 帶寬模版默認為 2M 支付方式選擇:按量付費 基于云速搭 CADT 的 IPv6 最佳實踐 32 重復步驟 4、5,完成另外一組的產品參數核對和確認。步驟6 核對 EIP 產品參數 雙擊 EIP 圖標,核對預設的參數。實例名稱、帶寬峰值、按使用流量計費等?;谠扑俅?CADT 的
62、IPv6 最佳實踐 33 步驟7 核對 NAT 產品參數 雙擊 NAT 網關圖標,核對預設的參數。支付方式為按量付費 勾選 VPC 全通模式 EIP:會通過與 EIP 的連線,自動填充 選擇所屬 vswitch 基于云速搭 CADT 的 IPv6 最佳實踐 34 步驟8 核對完成,點擊右上角的保存和部署應用 步驟9 進入資源驗證階段,這個階段會對架構中的實例信息進行校驗。包括產品首次使用授權、命名規范、庫存驗證、產品配額限制等。如有錯誤提示,根據提示進行修改即可。當出現校驗成功時,可以查看一下待創建的產品相關的信息,如果相符單擊下一步:價格清單。步驟10 進入價格清單階段,這里將應用中的云產品
63、按照免費、按量付費和包年包月進行分類顯示(本方案云產品均采用按量付費),如果產品享受折扣這里會自動將賬號對應的優惠顯示出來。價格清單中的價格信息為當時的實時價格,具體產品價格信息請以頁面顯示為準?;谠扑俅?CADT 的 IPv6 最佳實踐 35 應用計價成功后,CADT 實時生成一個應用架構成本分析報告,可以單擊查看報告。步驟11 如果確認價格符合預期,可以單擊下一步:確認訂單。確認訂單階段會列出架構中所有的產品及其價格,需要用戶確認無誤后勾選接受云速搭服務條款。是否開啟云監控,指的是按應用進行云監控應用分組,架構資源自動歸屬到一個云監控應用分組中。點擊下一步:支付并創建,進行云資源批量購買
64、和初始化部署。本應用費用預估:2.124 元/時,參考 2023 年 12 月 28 日官網價格?;谠扑俅?CADT 的 IPv6 最佳實踐 36 步驟12 CADT 應用部署完成后,會自動關聯 EIP 與 NAT,公網帶寬與 ECS 的綁定關系,可登錄到云產品控制臺查看部署狀態。3.1.3.測試測試IPV6的連通性的連通性 通過可視化一鍵部署后,完成基礎環境的搭建,接下來通過簡單的命令檢查 IPv6 地址是否生效,以及連通性驗證。3.1.3.1 3.1.3.1 檢查檢查 IPv6IPv6 地址是否生效地址是否生效 步驟 1 通過“遠程登錄”訪問 ECS 基于云速搭 CADT 的 IPv6
65、最佳實踐 37 步驟 2 在對話框中輸入模版中設置的登錄密碼,本示例為 Test1234 步驟 3 查看 ECS 的 ip 地址,linux 使用(ip addr 或 ifconfig 命令):基于云速搭 CADT 的 IPv6 最佳實踐 38 顯示的 Ipv6 地址與控制臺一致,并顯示為“scope global noprefixroute”,此時表示網卡路由策略已經生效。如果不是這個狀態,比下圖顯示的“scope link”,表示未配置 IPv6 地址。需要需要進行 2.2 步驟操作。否則直接進入步驟 2.3。3.1.3.2 3.1.3.2 保有保有 ECSECS 配置配置 IPv6IPv
66、6 地址地址 通過 ecs-util-ipv6 工具進行一鍵配置 IPv6 地址。本實踐 ECS 選擇的是 CentOS 系統,所以按照對應操作系統的命令進行配置 IPv6 地址。步驟 1 在 ECS 服務器上,下載 ecs-util-ipv6 工具 wget https:/ecs-image-utils.oss-cn- 步驟 2 使用管理員權限執行以下命令,運行 ecs-util-ipv6 工具 chmod+x./ecs-utils-ipv6./ecs-utils-ipv6 基于云速搭 CADT 的 IPv6 最佳實踐 39 3.1.3.33.1.3.3 測試測試 IPv6IPv6 連通性連
67、通性 完成以上部署,測試 IPv6 的連通性 步驟 1 ping-6 命令測試 ECS 實例與 的網絡連通性 表示已經完成連通性驗證。3.1.4.一鍵釋放資源一鍵釋放資源 如果不再使用該架構,也可以通過 CADT 釋放全部按量付費資源,CADT 無法對包年包月資源進行提前釋放。這里需要注意,如果通過 CADT 創建的 VPC、VSwitch 中人工通過其他方式添加了資源,如通過控制臺或者基于云速搭 CADT 的 IPv6 最佳實踐 40 API 等購買了 ECS,釋放時因為這些非 CADT 部署的資源會依賴 VSW 和 VPC,會出現釋放失敗。遇到這類問題請先去控制臺人工進行資源清理后,在 C
68、ADT 中再次釋放資源即可。步驟1 登錄 CADT 控制臺,在應用 我的應用頁面,找到這個部署 1.2 創建的應用,單擊查看架構圖。步驟2 打開底部的資源清單,單擊釋放全部資源。步驟3 確認后,需要點擊確定按鈕。步驟4 需要用戶再次確認,點擊確定后,如果是主賬號會觸發風控(手機校驗等),請按照提示進行操作?;谠扑俅?CADT 的 IPv6 最佳實踐 41 步驟5 釋放中請勿操作該架構圖。釋放執行耗時依賴云產品自身釋放時長及架構圖中資源量多少,請耐心等待:基于云速搭 CADT 的 IPv6 最佳實踐 42 如果遇到釋放時出現異常出現部分釋放成功的場景,可以再次執行釋放。如:VPC、VSW 中包
69、含了手工在控制臺上創建的資源,請先手工釋放這些資源?;谠扑俅?CADT 的 IPv6 最佳實踐 43 3.2.應用應用IPv6改造最佳實踐改造最佳實踐 3.2.1.最佳實踐概述最佳實踐概述 整體架構整體架構 本例搭建簡單的 IPv4 web 服務,并提供四個改造方案對應用進行 IPv6 改造?;谠扑俅?CADT 的 IPv6 最佳實踐 44 方案一:增加支持方案一:增加支持 IPvIPv6 6 的公網的公網 CLBCLB 新創建一個 IPv6 協議的公網型 CLB 實例,后端掛載源 IPv4 的應用實例,并新增域名 ipv6-clb 解析到此實例。此方案對源 IPv4 業務系統無任何改造,
70、但整體業務需要兩個域名,分別對應 IPv4 和 IPv6 的客戶端訪問請求。方案二:存量方案二:存量 CLBCLB 遷移至遷移至 NLBNLB 采用支持雙棧的 NLB 實例,可以同時接受 IPv4/IPv6 客戶端請求,后端掛載源 IPv4 的應用實例。新增域名 nlb-dualstack 到 NLB 實例,亦可保留源 ipv4-clb 域名。本實踐以新增域名的方式進行演示。此方案需要源業務系統做一個業務流量的割接,其余沒有改造,對外整體提供一個域名,同時滿足 IPv4 和 IPv6 的客戶端訪問請求。方案三:通過標準版全球加速方案三:通過標準版全球加速 G GA A 轉發轉發 IPvIPv6
71、 6 請求請求 新增一個標準版 GA 實例,可以指定接受 IPv6 客戶端請求,后端掛載源 IPv4 的應用實例。源 ipv4-clb 域名保持不變,并新增域名 ipv6-ga 解析到 GA 實例。此方案對源 IPv4 業務系統無任何改造,整體業務需要兩個域名,分別對應 IPv4 和 IPv6 的客戶端訪問請求。方案四:通過企業版方案四:通過企業版 WAFWAF 轉發轉發 IPvIPv6 6 請求請求 (在(在 3.33.3 介紹)介紹)新增一個企業版 WAF 實例,可以同時接受 IPv4/IPv6 客戶端請求,后端掛載源 IPv4 的應用實例。源 ipv4-clb 域名保持不變。此方案對源業
72、務系統的流量入口做了七層防護,對外整體提供一個域名,同時滿足 IPv4 和IPv6 的客戶端訪問請求?;谠扑俅?CADT 的 IPv6 最佳實踐 45 3.2.2.構建演示環境構建演示環境 3.2.2.1 C3.2.2.1 CADTADT 創建基礎環境創建基礎環境 通過阿里云架構設計工具 CADT 快速創建 SLB+ECS 的 IPv4 Web 服務,作為 IPv6 應用的改造對象。同時將改造方案涉及的產品組合一次性開通和配置。步驟1 登錄阿里云架構設計工具 CADT 控制臺(https:/ 官方模板庫新建進入官方模板庫。步驟2 輸入“IPv6 應用改造”搜索對應官方模板,并單擊基于方案新建
73、。步驟3 首先保存到本地應用?;谠扑俅?CADT 的 IPv6 最佳實踐 46 3.2.2.2 3.2.2.2 部署架構說明部署架構說明 步驟1 更新架構圖中 VPC 和交換機的 IPv6 地址段?;谠扑俅?CADT 的 IPv6 最佳實踐 47 步驟2 源站 IPv4 的業務配置 CADT 模板已自動創建了 ECS+CLB 的基礎環境,并配置了 CLB 的監聽。具體配置細節可以通過雙擊架構圖中的圖標或者連線可以查看具體配置。例如 CLB 監聽的配置:基于云速搭 CADT 的 IPv6 最佳實踐 48 步驟3 GA 配置 此架構圖已包含了 GA 實例創建,GA 帶寬綁定,GA 加速地域(杭
74、州)配置,GA 監聽創建,GA 終端節點組的配置。具體配置細節可以通過雙擊架構圖中的圖標或者連線可以查看具體配置。例如 GA 加速地域的配置:基于云速搭 CADT 的 IPv6 最佳實踐 49 步驟4 NLB 配置 此架構圖已包含了 NLB 實例創建,NLB 監聽創建,NLB 虛擬服務器組的配置,IPV6 網關。具體配置細節可以通過雙擊架構圖中的圖標或者連線可以查看具體配置。例如 NLB 監聽的配置:步驟5 IPv6 CLB 配置 基于云速搭 CADT 的 IPv6 最佳實踐 50 此架構圖已包含了 IPv6 CLB 實例創建,CLB 監聽的配置,具體配置細節可以通過雙擊架構圖中的圖標或者連線
75、可以查看具體配置。例如 CLB 監聽的配置:步驟6 WAF 配置 此方案將創建一個按量付費版的 WAF,若當前賬號已開通過,可以點接右上角的“部署資源”開關,忽略部署?;谠扑俅?CADT 的 IPv6 最佳實踐 51 步驟7 IPv6/IPv4 客戶端環境的配置 本方案通過創建兩臺 windows 2019 服務器作為 IPv4 IPv6 的客戶端環境,用于后續的測試。ECS 默認登陸密碼 Test1234 3.2.2.3 3.2.2.3 一鍵部署一鍵部署 步驟1 保存上述應用,點擊“部署應用”,資源驗證通過后,單擊下一步:價格清單?;谠扑俅?CADT 的 IPv6 最佳實踐 52 步驟2
76、 了解資源成本,確認無誤后,單擊下一步:部署清單。步驟3 在打包購買對話框中,閱讀、同意并勾選云架構服務條款,單擊下一步:創建資源?;谠扑俅?CADT 的 IPv6 最佳實踐 53 步驟4 等待資源創建完成。這里云速搭會創建出 ecs 和 slb,并將 slb 和 ecs 的端口映射配置好?;谠扑俅?CADT 的 IPv6 最佳實踐 54 3.2.2.4 E3.2.2.4 ECSCS 部署部署 webweb 服務服務 步驟1 通過 workbench 遠程登錄源站的 ipv4 ECS?;谠扑俅?CADT 的 IPv6 最佳實踐 55 默認密碼默認密碼 Test1234 步驟2 下載安裝腳
77、本,執行安裝。yum install-y git git clone https:/best-practice:A cd 018 bash bp018-nginx-install.sh 3.2.2.5 DNS3.2.2.5 DNS 發布域名發布域名 ipipv4v4-clbclb 解析解析 A A 記錄記錄 步驟1 登錄云解析控制臺(https:/),選擇已有域名單擊進入?;谠扑俅?CADT 的 IPv6 最佳實踐 56 步驟2 添加 A 記錄,記錄值設置為 SLB 的公網 IP?;谠扑俅?CADT 的 IPv6 最佳實踐 57 3.2.2.6 3.2.2.6 通過域名地址訪問通過域名地址
78、訪問 步驟1 登陸 IPv4 客戶端的 windows,通過 IE 瀏覽器輸入 IPv4 域名?;谠扑俅?CADT 的 IPv6 最佳實踐 58 后端日志獲取到 IPv4 源地址 步驟2 登陸 IPv6 客戶端的 windows,通過 IE 瀏覽器輸入 IPv4 域名?;谠扑俅?CADT 的 IPv6 最佳實踐 59 可以看到后端接收到的依然是 IPv4 的請求?;谠扑俅?CADT 的 IPv6 最佳實踐 60 3.2.3.方案方案一:增加支持一:增加支持IPV6的公網的公網SLB 當您希望實現 IPv6 客戶端通過 CLB 訪問您的 IPv4 業務時,并不希望對源 IPv4 業務系統進
79、行改造的情況下,您可使用 CLB 的 IPv6 實例,直接掛載使用 IPv4 地址的后端服務器。同時在業務總量增加的情況下,通過新增 IPv6 入口并適量對后端服務器進行橫向擴容即可,對原有 IPv4 業務無任何影響,無需對原有系統做改造,就可以平滑地將業務遷移到 IPv6。CLB 的 IPv6 實例創建后,系統會為實例分配一個公網 IPv6 地址,轉發來自 IPv6 客戶端的請求。使用 IPv6 CLB 實例的特點:l 平滑遷移 IPv6,業務無感知-IPv6 CLB 后端可以直接掛載使用 IPv4 地址的后端服務器,無需對原有系統做改造,就可以平滑地將業務遷移到 IPv6。-業務總量增加的
80、情況下,通過新增 IPv6 入口,適量對后端服務器進行橫向擴容即可,對原有 IPv4 業務無任何影響。l IPv6 訪問控制讓業務部署更加安全可靠-訪問控制黑名單可有效阻斷惡意地址對負載均衡業務的訪問。-訪問控制白名單僅允許白名單中授權的地址訪問負載均衡業務。3.2.3.13.2.3.1 方案方案架構說明架構說明 -原有的 IPv4 ECS 上不需要做任何的調整,網站應用照常運行,ECS 的安全組策略等均不需要改動。-原有的 IPv4 CLB 維持不變,新增加一個 IPv6 的公網型 CLB 實例。-原有的 ipv4 域名 ipv4-clb 維持不變,新增一個 ipv6 專屬域名:ipv6-c
81、lb,并通過 DNS 解析到 CLB提供的 IPv6 地址上?;谠扑俅?CADT 的 IPv6 最佳實踐 61 3.2.3.23.2.3.2 驗證步驟驗證步驟 步驟1 通過 CADT 部署后的架構圖進入 IPv6 CLB 實例中,獲取 IPv6 地址。步驟2 增加 DNS AAAA 解析?;谠扑俅?CADT 的 IPv6 最佳實踐 62 步驟3 通過 IPv6 windows 客戶端瀏覽器訪問該 IP v6 地址。查看后端 Nginx 日志,獲取到了來自 IPv6 客戶端的源 IP 地址?;谠扑俅?CADT 的 IPv6 最佳實踐 63 3.2.4.方案二:遷移方案二:遷移CLB到到NL
82、B支持支持IPV6 網絡型負載均衡 NLB(Network Load Balancer)支持轉發 IPv6 網絡請求,雙棧 NLB 實例開啟 IPv6 掛載后,即 NLB 實例同時支持掛載 IPv4 和 IPv6 的云服務器 ECS,使 IPv6 網絡的客戶端請求通過 NLB 可以訪問部署在后端的 IPv4 和 IPv6 服務。通過將原有的 IPv4 CLB 實力向雙棧 NLB 實例遷移,可以借助 NLB 豐富的 IPv6 能力,滿足雙棧、6to4/6to6等多場景的訴求。與此同時,網絡型負載均衡 NLB 具有超高性能的四層負載均衡處理能力,可以同時處理海量并發連接,提供 TCPSSL 卸載、
83、連接限速等能力。當您的業務在持續增長,同時對功能、性能、穩定性和彈性有更高要求時,您可以將 CLB 四層監聽流量手動遷移至 NLB 實例,來輕松應對高并發業務。前提條件:-需要 NLB 所在的 VPC 和虛擬交換機開通 IPv6。-NLB 實例和 CLB 實例的后端服務器屬于同一個 VPC,且后端服務器相同。-CLB 的計費方式為包年包月和按量付費,NLB 的計費方式為按量付費,CLB 和 NLB 的計費項、定等存在差異,CLB 實例的業務遷移 NLB 實例后,會產生計費變更。具體計費規則,具體遷移步驟請參考官方指導19,本文不再贅述。3.2.4.1 3.2.4.1 方案架構說明方案架構說明
84、-原有的 IPv4 ECS 上不需要做任何的調整,網站應用照常運行,ECS 的安全組策略等均不需要改動。-原有的 IPv4 CLB 維持不變,新增加一個雙棧的公網型 NLB 實例。-原有的 ipv4 域名 ipv4-clb,需要通過流量割接方式,逐步完成流量切換到 NLB 上。19 CLB 四層監聽手動遷移 NLB 最佳實踐:https:/ 基于云速搭 CADT 的 IPv6 最佳實踐 64 3.2.4.23.2.4.2 驗證步驟驗證步驟 步驟1 開啟 NLB 的 IPv6 公網,默認創建的雙棧 NLB 的 IPv6 是私網類型,需要在控制臺進行網絡類型變更?;谠扑俅?CADT 的 IPv6
85、 最佳實踐 65 變更后 步驟2 以下步驟假設流量割接已完成,原 IPv4 DNS 域名指向了新的 NLB 實例。步驟3 獲取 NLB 的 DNS Cname。通過瀏覽器訪問?;谠扑俅?CADT 的 IPv6 最佳實踐 66 添加 DNS 解析。步驟4 通過 IPv6 客戶端的 Windows 訪問上述域名。查看后端獲取的源地址為 IPv6 地址。步驟5 使用 IPv4 的客戶端訪問上述域名?;谠扑俅?CADT 的 IPv6 最佳實踐 67 此時 Nginx 訪問自己記錄到的客戶端源地址是 IPv4 地址 3.2.5.方案三:全球加速方案三:全球加速GA 全球加速產品提供 IPv6 轉換服
86、務,在不改動企業現有 IT 系統的情況下,可快速實現 IPv6 轉換。企業 IPv6客戶端發起的訪問請求經過全球加速轉換后被直接發送至后端的 IPv4 服務器,快速實現服務訪問??蛻舻腎Pv4 服務可以是部署在阿里云上的,也可以是部署在線下 IDC 的。3.2.5.1 3.2.5.1 方案架構說明方案架構說明 -原有的 IPv4 ECS 上不需要做任何的調整,網站應用照常運行,ECS 的安全組策略等均不需要改動。-原有的 IPv4 CLB 維持不變。-新增 GA 實例,配置杭州地域加速,以 IPv6 協議加速域名 ipv4-clb。配置后 GA 實例會提供一個 IPv6地址以及 CNAME-將
87、原有的 ipv4-clb 域名解析保持不變,新增一個 ipv6-ga 域名解析到 GA 實例提供的 CNAME 上?;谠扑俅?CADT 的 IPv6 最佳實踐 68 3.2.5.23.2.5.2 驗證步驟驗證步驟 步驟1 獲取 GA 的 CNAME 步驟2 配置 DNS 解析域名 ipv6-ga 到 CNAME 基于云速搭 CADT 的 IPv6 最佳實踐 69 步驟3 通過 IPv6 客戶端訪問 ipv6-ga 域名 可以從后端 Nginx 日志看到請求來自 IPv6 客戶端地址。步驟4 通過 IPv4 客戶端訪問 ipv6-ga 域名,此時頁面無法訪問,因為 GA 上只配置了 IPv6
88、加速。是正?,F象?;谠扑俅?CADT 的 IPv6 最佳實踐 70 3.3.應用應用IPv6 安全防護最佳實踐安全防護最佳實踐 3.3.1.最佳實踐概述最佳實踐概述 本章節介紹應用 IPv6 改造過程中結合安全防護的角度如何利用阿里云的安全產品,在完成 IPv6 改造的同時,還增強了應用的安全防御能力。推薦接入方案:推薦接入方案:WAFWAF 企業版企業版+DDoS+DDoS 原生防護實例。原生防護實例。將網站接入 WAF,一鍵開啟 IPv6 防護功能。為網站防御 IPv6 環境下發起的攻擊,幫助源站實現對IPv6 協議請求的安全防護,開啟 IPv6 安全防護功能后,WAF 自動實現雙路解析
89、。同時購買 DDoS 防護原生防護實例,DDoS 原生防護直接提升阿里云 WAF 公網 IP 資源 DDoS 攻擊防御能力,相比 DDoS 高防,優勢是不需要更換 IP,沒有四層端口、七層域名數限制,部署簡易,只需要綁定防護 IP 地址即可使用,支持 IPv6。將 WAF 實例 IP 地址綁定到 DDoS 原生防護實例。當業務遭受 DDoS 攻擊時,自動觸發流量清洗,攻擊流量被丟棄,只有正常的業務流量被轉發到源站服務器。但是,局限性是 DDoS 原生防護主要提供三層和四層流量型攻擊的防御服務,全力防護能力受限于機房網絡的整體水位。當攻擊流量超過機房網絡整體防護水位或被 CC 攻擊情況下,DDo
90、S 原生防護可能無法滿足安全防護需求,需要升級使用 DDoS 高防服務,提升安全防護能力。您也可以組合使用 DDoS 原生防護和 DDoS 高防,通過 DDoS 高防流量調度器聯動規則實現階梯防護,保證正常業務流暢體驗的前提下增強 DDoS 防護能力。當 DDoS 攻擊不超過 DDoS 原生防護的防御能力時,業務流量默認解析到云產品,不增加業務延遲,當攻擊過大觸發黑洞時,高防流量調度器將流量切換到 DDoS 高防,防御大流量的攻擊,此時存在約 20 ms 的業務延時,攻擊停止后,根據流量調度器設置的切換延遲時間,等待一段時間后業務流量回切到云產品。以下章節將以 WAF 為主要的介紹對象,闡述
91、WAF 在 IPv6 改造以及安全防護提升場景下的架構設計以及配置過程。3.3.2.構建演示環境構建演示環境 -參考 3.2.2 即可 3.3.3.方案架構說明方案架構說明 整體架構如下圖。以下架構適合于業務需要 Web 應用防護和 DDoS 防護,還要支持 IPv6。大致業務基于云速搭 CADT 的 IPv6 最佳實踐 71 邏輯描述 1.IPv6 用戶在瀏覽器中輸入要訪問的域名。瀏覽器向 DNS 云解析服務器請求對應域名的解析。E 2.DNS 云解析將域名的解析權交給 CNAME 指向的 WAF DNS 服務器。E 3.WAF DNS 服務器把 WAF 的 IPv6 地址返回給用戶。E I
92、Pv6:2408:8719:64:8:3 4.IPv6 終端用戶向 WAF 的 IPv6 集群發起請求 5.WAF 的 IPv6 集群對流量進行識別,將安全的流量以 IPv4 協議傳遞給源站。本實踐主要介紹 WAF 的配置,DDoS 防護配置將忽略。-原主站的 IPv4 ECS 上不需要做任何的調整,網站應用照常運行,ECS 的安全組策略等均不需要改動。-原有的 IPv4 CLB 配置維持不變。-新增 WAF 實例,添加域名防護,防護 ipv4-clb,并開啟 IPv6 防護,WAF 將生成一個 CNAME 地址。-將原有的 ipv4 域名解析 ipv4-clb,修改 DNS 解析到 WAF
93、的 CNAME 地址上?;谠扑俅?CADT 的 IPv6 最佳實踐 72 3.3.4.驗證步驟驗證步驟 步驟1 通過 CADT 跳轉到 WAF 控制臺。進入接入管理?;谠扑俅?CADT 的 IPv6 最佳實踐 73 步驟2 新增域名,輸入 ipv4-clb,并開啟 IPv6,獲取到一個 CNAME 地址?;谠扑俅?CADT 的 IPv6 最佳實踐 74 基于云速搭 CADT 的 IPv6 最佳實踐 75 修改 ipv4-clb 的域名解析 修改后 修改后,WAF 提示報錯?;谠扑俅?CADT 的 IPv6 最佳實踐 76 稍等幾分鐘,等待 DNS 解析生效。步驟3 通過 ipv4 客戶
94、端的瀏覽器訪問 ipv4-clb 域名 其中 47.110.182.127 地址是 WAF 的回源 IP 地址,8.140.18.221 是客戶端源 IP?;谠扑俅?CADT 的 IPv6 最佳實踐 77 步驟4 通過 IPv6 客戶端訪問 ipv4-clb,觀察后端日志。首先 清理 Windows IE DNS 緩存 基于云速搭 CADT 的 IPv6 最佳實踐 78 后端 Nginx 日志同樣獲取到了 WAF 的回源 IPv4 地址,以及 IPv6 客戶端地址?;谠扑俅?CADT 的 IPv6 最佳實踐 79 步驟5 通過 WAF 的訪問日志查看請求來源??梢钥吹?WAF 接收到了來自客戶端 IPv6 地址的請求?;谠扑俅?CADT 的 IPv6 最佳實踐 80 基于云速搭 CADT 的 IPv6 最佳實踐 81