• 首页 >  信息科技 >  信息技术
  • 阿里云:企业上云IPv6解决方案与应用白皮书(2024)(81页).pdf

    定制报告-个性化定制-按需专项定制研究报告

    行业报告、薪酬报告

    联系:400-6363-638

  • 《阿里云:企业上云IPv6解决方案与应用白皮书(2024)(81页).pdf》由会员分享,可在线阅读,更多相关《阿里云:企业上云IPv6解决方案与应用白皮书(2024)(81页).pdf(81页珍藏版)》请在本站上搜索。 1、 企业上云企业上云 IPv6IPv6 解决方案和应用白皮书解决方案和应用白皮书 II 注:白皮书编写团队由来自阿里云网络研发团队,云原生应用平台团队,云网络团队,云安全团队以及新华三集团的技术和产品专家组成。宋林健宋林健 梁卓梁卓 孟方孟方 刘警刘警 王远辉王远辉 徐东徐东 赵飞赵飞 闻博闻博 杨永杨永 王忠雨王忠雨 徐孟徐孟 潘显奇潘显奇 秦超秦超 彭昔敏彭昔敏 企业上云企业上云 IPv6IPv6 解决方案和应用白皮书解决方案和应用白皮书 III 前言前言 IPv6 是互联网基础协议发展的必然方向,是企业数字化转型必经之路。根据中国 IPv6 发展状况白皮书(2024)1,截至 2024 年2、 5 月,我国 IPv6 活跃用户这一数字已增长至 72.70%,我国 IPv6 活跃 用户达到 7.94亿。从网络流量看,移动网 IPv6 总流量占全网移动网总流量的 64.56%。基础通信运营商、云计算平台和大型移动互联网企业应用对拉动 IPv6 用户和流量起到了关键作用。为了加速 IPv6 规模部署和应用,让更多的企业和用户更容易获取 IPv6 能力,更快实现业务系统和应用的IPv6 过渡,在 2024 年上半年 推进 IPv6 规模部署和应用专家委组织编撰了数据中心及应用系统 IPv6 改造指南2。该指南主要整理和提出了数据中心和应用 IPv6 改造过程中,数据中心网络、云平台和应用应3、该具备的 IPv6 技术要求,对数据中心,云平台和应用运营者有借鉴作用。对云上企业和应用开发部署人员,他们面对的是自身 IT 基础设施、应用部署上云过程中 IPv6 产品使用、IPv6 解决方案应用,以及 IPv6 运维体系落地等实际问题,急需对这些问题有针对性,实操性的技术手册和指南。浙江省 IPv6 规模部署和下一代互联网创新实验室组织阿里云、新华三等相关企业专家针对企业上云、用云的特定场景,整理和编撰了企业上云 IPv6 解决方案和应用白皮书(2024),基于阿里云的 IPv6 部署和应用实践,从云产品 IPv6 能力,云上 IPv6 解决方案应用、IPv6 运维和安全、专有云/公有云的4、部署案例和实践等多个方面试图给云上企业和用户提供 IPv6 指南和参考。1 中国 IPv6 发展状况白皮书(2024):https:/ 2 数据中心及应用系统 IPv6 改造指南:https:/ 企业上云企业上云 IPv6IPv6 解决方案和应用白皮书解决方案和应用白皮书 目录 IV 目录目录 前言前言.III 目录目录.IV 1.企业上云企业上云 IPv6IPv6 支持概述支持概述.5 1.1.什么是 IPv6?.5 1.1.1.IPv6 向 IPv4 过渡.8 1.2.业务 IPv6 改造要求和痛点.10 1.2.1.IPv6 改造技术要求.10 1.2.2.企业 IPv6 改造的痛点.15、0 1.3.云上 IPv6 解决方案优势.11 2.云平台云平台 IPv6IPv6 解决方案解决方案.14 2.1.IPv6 公有云解决方案.14 2.1.1.云上 IPv6&IPv4 双栈场景.14 2.1.2.IPv6 to IPv4 转换场景.16 2.2.IPv6 专有云解决方案.19 2.3.IPv6 云安全解决方案.21 3.基于云速搭基于云速搭 CADTCADT 的的 IPv6IPv6 最佳实践最佳实践.23 3.1.创建具有 IPv6 地址的 ECS.23 3.1.1.最佳实践概述.23 3.1.2.部署基础环境.25 3.1.3.测试 IPv6 的连通性.36 3.1.4.一6、键释放资源.39 3.2.应用应用 IPv6IPv6 改造最佳实践改造最佳实践.43 3.2.1.最佳实践概述.43 3.2.2.构建演示环境.45 3.2.3.方案一:增加支持 IPv6 的公网 SLB.60 3.2.4.方案二:迁移 CLB 到 NLB 支持 IPv6.63 3.2.5.方案三:全球加速 GA.67 3.3.应用应用 IPv6 IPv6 安全防护最佳实践安全防护最佳实践.70 3.3.1.最佳实践概述.70 3.3.2.构建演示环境.70 3.3.3.方案架构说明.70 3.3.4.验证步骤.72 企业上云 IPv6 支持概述 5 1.企业上云企业上云IPv6支持概述支持概7、述 1.1.什么是什么是IPv6?IPv6(Internet Protocol Version 6,互联网协议版本 6)是网络层协议的第二代标准协议,也被称为 IPng(IP Next Generation,下一代互联网协议)。IPv6 不仅解决 IPv4 地址空间不足的问题,还在 IPv4 协议的基础上进行了一些改进,例如,通过扩展头提高 IPv6 协议的可扩展性、内置安全性解决网络安全问题。IPv6 可以为互联网和物联网提供更加广泛的连接,实现万物互联,打造数字化基础设施,促进物联网、工业互联网、人工智能等新应用、新领域的创新。在 5G、物联网等新兴领域飞速发展的今天,IPv6 协议的魅力8、不断展现,IPv6 协议获得了更加广阔的发展空间。充足的地址空间充足的地址空间 IPv6 地址的长度是 128 比特(16 字节),可以提供超过 3.41038 个地址。在万物互联的需求下,IPv6具有足够大的地址空间,可以为每一个具有联网需求的终端提供 IPv6 地址,而不用担心地址耗尽,极大地增强了互联网的服务能力。企业上云 IPv6 支持概述 6 层次化的地址结构层次化的地址结构 IPv6 的地址空间采用了层次化的地址结构,地址管理更加便捷,且有利于路由快速查找,借助路由聚合,还可以有效减少 IPv6 路由表占用的系统资源。IPv6 地址使用多层等级结构。地址注册机构分配 IPv6 地址9、范围后,服务提供商、组织机构可以根据各自的需要在该 IPv6 地址范围内分层级、更加精细地划分地址范围,以管理所辖范围内的地址分布。如图 1 所示,IPv6 地址由以下几部分组成:网络前缀:由 CNNIC(China Internet Network Information Center,中国互联网络信息中心)和 ISP 分配。子网 ID(企业可管理地址空间):企业和组织机构根据需要分层级划分地址范围。例如,先根据地域分别为省、市分配地址范围,再按照业务类型分配地址范围。接口 ID:网络中主机的标识。IPv6IPv6 地址结构地址结构 IPv6IPv6 前缀分配用户和使用场景前缀分配用户和使用10、场景 前缀长度 用途和使用场景 /12/12 IANA 分配给区域网络中心 RIRs/32/32 RIR/LIR 分配给有 ASN 的运营商、互联网公司、大型企业/40,44,48/40,44,48 运营商站点和数据中心的大型企业分配的前缀,48 运营商向中小客户分配的常见前缀长度。/56/56 宽带运营商给家庭用户和小微企业分配的最小前缀长度/64/64 末端设备子网,/127/127 路由器点对点链路 企业上云 IPv6 支持概述 7 简化报文头简化报文头 通过将 IPv4 报文头中的某些字段裁减或移入到扩展报文头,减小了 IPv6 基本报文头的长度。IPv6 使用固定长度的基本报文头,从11、而简化了转发设备对 IPv6 报文的处理,提高了转发效率。尽管 IPv6 地址长度是IPv4 地址长度的四倍,但 IPv6 基本报文头的长度只有 40 字节,为 IPv4 报文头长度(不包括选项字段)的两倍。灵活的扩展头灵活的扩展头 IPv6 取消了 IPv4 报文头中的选项字段,并引入了多种扩展报文头,在提高处理效率的同时还大大增强了IPv6 的灵活性,为 IP 协议提供了良好的扩展能力。IPv4 报文头中的选项字段最多只有 40 字节,而 IPv6 扩展报文头的大小只受到 IPv6 报文大小的限制。IPv6IPv6 扩展头类型扩展头类型 IPv6 支持的扩展头如表 1 所示。扩展头使得 I12、Pv6 协议具有良好的扩展性。根据业务需要,IPv6 不仅可以定义新的扩展头,还可以在已有扩展头中定义新的子扩展头。IPv6IPv6 扩展头的报文格式扩展头的报文格式 一个 IPv6 报文可以携带 0 个、1 个或多个扩展头。如图 3 所示,IPv6 通过 Next header 字段标明下一个扩展头的类型。例如,IPv6 基本报文头中的 Next header 字段取值为 43 时,表示紧跟在 IPv6 基本报文头后的扩展头为路由头;路由头中的 Next header 字段取值为 44 时,表示路由头后的扩展头为分段头。强大的邻居发现协议强大的邻居发现协议 IPv6 的邻居发现协议是通过一组13、 ICMPv6(Internet Control Message Protocol for IPv6,IPv6 互联网控制消息协议)消息实现的,管理着邻居节点间(即同一链路上的节点)信息的交互。它代替了 ARP(Address Resolution Protocol,地址解析协议)、ICMPv4 路由器发现和 ICMPv4 重定向消息,并提供了一系列其他功能:-地址解析:获取同一链路上邻居节点的链路层地址,功能与 IPv4 的 ARP 相同。-邻居可达性检测:在获取到邻居节点的链路层地址后,检测邻居节点的状态,验证邻居节点是否可达。-重复地址检测:当节点获取到一个 IPv6 地址后,验证该地址14、是否已被其他节点使用,与 IPv4 的免费 ARP 功能相似。企业上云 IPv6 支持概述 8 -路由器发现/前缀发现:节点获取邻居路由器的信息、所在网络的前缀、以及其他配置参数。节点获取到所在网络前缀后,可以根据该前缀自动生成 IPv6 地址,该过程称为 IPv6 地址无状态自动配置。-重定向功能:当网络中存在更优的路径时,路由器向主机发送 ICMPv6 重定向报文,通知主机选择更好的下一跳进行后续报文的发送。该功能与 IPv4 的 ICMP 重定向消息的功能相同。内置安全性内置安全性 IPv4 协议本身未提供加密、认证等安全功能,需要与其他安全协议(如 IPsec)配合使用,或由应用协议来15、提供安全性,增加了应用协议设计的复杂度。IPv6 协议在设计时便充分考虑了安全问题,在 IPv6 协议中定义了 ESP 头和认证头,通过 ESP 头和认证头为报文传输提供端到端的安全性。基于 IPv6 协议的应用可以直接继承 IPv6 协议的安全功能,为解决网络安全问题提供了标准,并提高了不同 IPv6 应用之间的互操作性。1.1.1.IPV6向向IPV4过渡过渡 很多人有疑问,从 IPv6 协议发明到现在已经过去了超过三十年,IPv6 过渡还未完成。因为 IPv6 向 IPv4过渡涉及到网络、数据中心、云平台、应用系统等多个层面的改造,就好比在高空飞机上更换引擎,很难一步到位。另外由于互联网16、的特性,IPv6 应用和规模部署需要互联网整个生态逐步升级到 IPv6 才能达到效果。业内的一个共识是 IPv4 向 IPv6 演进需要三个阶段:IPv6IPv6 发展初期:发展初期:在 IPv6 发展初期,互联网应用和网络以 IPv4 占主导地位,部分 IPv6 示范网络以“孤岛“的方式存在。IPv6 的孤岛往往通过 IPv6 in IPv4 的隧道来进行通信。IPv6IPv6 与与 IPv4IPv4 共存:共存:当 IPv6 规模持续扩大,大范围的网络和应用已经支持 IPv6,这个时候 IPv4 业务和用企业上云 IPv6 支持概述 9 户仍然大量存在。这个时期是 IPv6 与 IPv4 17、共存时期,支持 IPv6 的网络和应用通常以双栈形式存在,也出现了部分纯 IPv6 的网络和应用,而纯 IPv6 到纯 IPv4 的通信通过翻译网关设备来进行转换。IPv6IPv6 占主导地位阶段:占主导地位阶段:当 IPv6 规模继续持续扩大,逐步进入 IPv6-only 阶段。这个阶段大部分网络和业务应用都支持 IPv6(双栈或单栈方式),只剩下部分 IPv4 网络,需要考虑 IPv4 访问 IPv6 单栈业务或 IPv4 的孤岛互联。2017 年,中共中央办公厅、国务院办公厅印发了推进互联网协议第六版(IPv6)规模部署行动计划(以下简称“行动计划”),整个行动计划分为三个阶段,第一阶段18、到 2018 年末,我国 IPv6 活跃用户数将达到 2 亿,在互联网用户中的占比不低于 20%,国内用户量排名前 50 位的商业网站全面支持 IPv6;第二阶段到 2020 年末,IPv6 活跃用户数超过 5 亿;第三阶段到 2025 年末,网络、应用、终端全面支持 IPv6。每个阶段都明确规定了各个阶段标准要求。根据国家 IPv6 发展监测平台的数据,截至 2024 年 5 月,我国 IPv6 活跃用户这一数字已增长至 72.70%,我国 IPv6 活跃 用户达到 7.94 亿。从网络流量看,移动网 IPv6 总流量占全网移动网总流量的 64.56%。仅从这两项指标看,移动互联网 IPv619、 已经超过了 IPv4,向着 IPv6 主导阶段迈进。然而从阿里巴巴视角,IPv6 固网覆盖率、IDC IPv6 流量占比、云平台 IPv6 开启占比几项指标看,IPv6 过渡还处于爬坡阶段。头部企业头部企业 IPv6IPv6改造效果显著,但是大量长尾中小企业还未真正用上改造效果显著,但是大量长尾中小企业还未真正用上 IPv6IPv6。企业上云 IPv6 支持概述 10 1.2.业务业务IPv6改造要求和痛点改造要求和痛点 1.2.1.IPV6改造技术要求改造技术要求 IPv6 改造是一个复杂的系统工程,涉及整个技术链的协议栈升级。在进行改造时,需要从业务的角度重点考虑“端”、“管”、“云”这20、三个关键部分,端(客户端与服务器端):端(客户端与服务器端):这一部分包含了移动应用、Web 客户端和服务器端的改造工作,主要涉及终端对 IPv4/IPv6 双栈网络适配,以及网络接入架构,是应用开发者需要密切关注的核心内容。管(网络传输部分):管(网络传输部分):主要涉及公网和内网的传输,特别是运营商提供的网络服务。这里的挑战在于,内网和公网的接入方式都需要外部公网运营商和内部接入网元的支持和配合来完成 IPv6 的转型。云(云端基础设施):云(云端基础设施):包括 IDC、CDN、DNS 等应用部署环境以及云服务和中间件。此部分是应用运行环境的核心,涉及应用基础设施的 IPv6 升级改造。21、数据中心和应用改造的具体技术要求请参考由推进 IPv6 规模部署和应用专家委组织编撰的数据中心及应用系统 IPv6 改造指南。1.2.2.企业企业IPV6改造的痛点改造的痛点 如今越来越多的企业依托云平台来实现自身业务的数字化转型,IPv6 的部署和应用也融入了这些企业数字化转型过程中。对云上的企业在 IPv6 改造主要有一下几个痛点:业务连续性业务连续性保障:保障:IPv6 改造涉及运营商线路和地址申请、网络/计算/存储等 IT 基础设施新建或升级、企业上云 IPv6 支持概述 11 应用程序代码逻辑更改等事项,升级难度大、复杂度高,如何保障业务连续性?改造周期提速:改造周期提速:国家推进 22、IPv6 规模部署行动提速,企业网站系统、互联网 APP 等难以在较短时间内支持 IPv6 访问,如何压缩改造周期?投资成本受控投资成本受控:运营商线路费用、IT 基础设施软/硬件新购或升级费用、集成服务费用等综合成本高昂,原有投资难以得到保护,如何降本增效?基于云平台的应用系统IPv6部署可以显著降低云上企业IPv6的使用成本,更快更容易的获取IPv6能力。企业 IPv6 升级改造场景,可根据应用系统的所在位置分为云上和云下两类部署环境,根据改造方式分为转换过渡和双栈共存两条技术路线。IPv6 解决方案可适用于如下 3 类典型场景:场景一:云上应用系统进行 IPv6/v4 双栈改造。场景二:23、云上面向公众服务的互联网应用系统具备 IPv6 访问能力。场景三:自建数据中心内面向公众服务的互联网应用系统具备 IPv6 访问能力。1.3.云平台云平台IPv6能力能力 作为重要的应用基础设施,大型云计算平台作为对 IPv6 的支持对 IPv6 规模部署和应用至关重要,能够帮助用户使用 IPv6 简化网络架构,不受 IPv4 空间的限制。并且能够显著地降低 IPv6 技术部署和使用的门槛,快速部署 IPv6 满足合规要求,同时降低 IPv6 应用风险。以阿里云举例,阿里云网络、计算、存储、数据库、CDN、DNS、安全、大数据、中间件&应用服务等重要的产品线核心产品已经支持 IPv6。下面是一24、些核心云产品对 IPv6 能力介绍。云解析云解析 DNSDNS 支持支持 IPv6IPv6 企业上云 IPv6 支持概述 12 要使用 IPv6 服务,首先需要 DNS 支持 IPv6 解析。当用户访问互联网时,访问的请求会最先到达 DNS,DNS 会根据访问域名查询并返回正确的 IP 地址。IPv6 时代,阿里云解析 DNS 依然作为云计算服务的入口,同时支持 IPv4 和 IPv6 双栈,用户在解析设置中通过设置 AAAA 记录,可以实现访问者通过 IPv6 地址访问网站。注:云解析 DNS 服务器集群中的 DNS 服务器也已全面支持 IPv6。ECSECS 云服务器支持云服务器支持 IP25、v6IPv6 ECS 云服务器是企业上云用的最多的云基础产品。在 IPv6 改造过程中,用户急需为期其购买部署的 ECS开通 IPv6 服务,分配 IPv6 地址。阿里云 ECS 支持用户在开通了 IPv6 网段的 VPC 和交换机下创建带有 IPv6 地址的 ECS 实例。并支持 ECS 通过 IPv6 地址通信、为 ECS 实例分配 IPv6 地址、配置 IPv6 地址等。VPCVPC 和和 IPv6IPv6 网关支持网关支持 IPv6IPv6 专有网络 VPC(Virtual Private Cloud)是用户基于阿里云创建的自定义私有网络,不同的专有网络之间二层逻辑隔离,用户可以在自己26、创建的专有网络内创建和管理云产品实例,比如 ECS、SLB、RDS 等。如果需要在 VPC 中进行 IPv6 私网通信,您可以在开通了 IPv6 网段的 VPC 和交换机下创建带有 IPv6 地址的 ECS 实例,同一个 VPC 下的 ECS 实例能够通过 IPv6 地址相互通信。如果 VPC 需要 IPv6 公网访问,需要借助 IPv6 网关(IPv6 Gateway)。IPv6 网关是 VPC 的一个 IPv6 流量网关。默认申请的 IPv6 地址只具备 IPv6 私网通信能力,您可以通过在 IPv6 网关中为 IPv6 地址开通 IPv6 公网带宽,使其具备公网通信能力,并且可以设置仅主27、动出规则,使 IPv6 地址仅可主动访问公网。负载均衡负载均衡 SLBSLB 支持支持 IPv6IPv6 公网入口会优先支持 IPv6,快速提升公网流量占比,负载均衡 SLB 长期以来都是关键业务系统的公网入口,它可以对多台 ECS 进行流量分发,提高业务系统的可用性和处理能力。负载均衡 SLB 支持 IPv6 从产品上看主要有两点:首先,采用了独立的 IPv6 类型 SLB。独立的 IPv6 类型的 SLB 实例和 IPv4 的 SLB 实例性能和功能没有差异。用户只需要在购买 SLB 时选择 IPv6 类型,就可以快速创建一个 IPv6 的 SLB 实例。其次,IPv6 类型的 SLB 和28、后端的 ECS 通信还采用 IPv4 私网地址。CDNCDN 服务服务支持支持 IPv6IPv6 CDN 内容分发网络(Content Delivery Network),解决跨地域跨运营商网络性能问题,提供稳定快速的加速服务。CDN 是互联网的流量入口,阿里云 CDN 团队从 2017 年起就启动了 IPv6 的改造,积极持续地在IPv6 改造中投入相关资源,从节点部署、节点网络架构改造、IPv6 功能支持、IPv6 调度能力完善、IPv6 全链路监控方案、IPv6 质量评测体系建设等方面持续打磨,投入物理资源、人力资源,推动 IPv6 整体能力不断向企业上云 IPv6 支持概述 13 IP29、v4 靠近。截止到目前累计完成了近千个节点的 IPv6 改造升级,IPv6 合规率超过 90%,超过工信部的验收标准,在产品化上,基础的 CDN 产品和全站加速产品率先通过由全球 IPv6 Forum 论坛发布的 IPv6 Enabled CDN。WAFWAF 服务服务支持支持 IPv6IPv6 当用户以 IPv6 进行通信时,还有一个关键的云服务即 Web 应用防火墙,它负责对网站或者 APP 的业务流量进行恶意特征识别及防护,将正常、安全的流量回源到服务器。当我们运行 IPv6 协议时,必须升级到对IPv6/IPv4 双栈的防护能力,避免网站服务器被恶意入侵,保障业务的核心数据安全,解决因30、恶意攻击导致的服务器性能异常问题。阿里云 WAF 已经支持一键升级 IPv6 功能,在 WAF 控制台的被防护域名下,直接打开IPv6 状态开关即可。DDoSDDoS 服务服务支持支持 IPv6IPv6 同样重要的还有阿里云 DDoS 防护服务,它是以阿里云覆盖全球的 DDoS 防护网络为基础,结合阿里巴巴自研的 DDoS 攻击检测和智能防护体系,向用户提供可管理的 DDoS 防护服务。同样需要增加 IPv6 的防护能力,自动快速地缓解网络攻击对业务造成的延迟增加、访问受限、业务中断等影响,从而减少业务损失,降低潜在 DDoS 攻击风险。如需对 IPv6 地址进行 DDoS 防护,可以开通 D31、DoS 防护包中的 IPv6 协议,防护对象设置为 IPv6 转换服务的地址。ACLACL 黑白名单及安全策略黑白名单及安全策略支持支持 IPv6IPv6 确保 IPv6 安全体系防护的完整性与高效性,对防火墙、入侵检测、行为审计、流量清洗等网络安全设备,进行统一升级以支持 IPv6 环境下的正常工作。随着 IPv6 的发展,IPv6 的地址数量将远远超过 IPv4,现有的ACL 黑白名单容量将无法满足,需要提前进行扩容改造。对于 IPv6 安全防护能力存在风险的节点,应进行网络安全设备升级或替换。从应用业务层面以及安全管理层面进行 IPv6 安全策略制定与配置,保证 IPv6 的安全策略包含32、了所有的 IPv4 策略。其他云产品支持其他云产品支持 IPv6IPv6 除了上面提到产品外,还有很多其它产品也已经完成了支持,如对象存储 OSS、数据库 RDS 等。云平台 IPv6 解决方案 14 2.云平台云平台IPv6解决方案解决方案 2.1.IPv6公有云解决方案公有云解决方案 现阶段,企业上云后的 IPv6 升级改造场景,可总结为如下 2 类:6&46&4 双栈:双栈:云上应用系统进行 IPv6/v4 双栈改造,从而实现“客户端到服务端”的全链路 IPv6 交互。对于 6&4 双栈场景,需全链路涉及的各组件均支持并启用 IPv6 协议栈。6to46to4 转换:转换:云上应用系统保33、持 IPv4 协议栈不变,但需具备公网可达的 IPv6 地址,使 IPv6 客户端访问可达。对于 6to4 转换场景,通常是在公网访问入口处进行协议转换。即如果云上应用系统使用负载均衡 SLB 作为公网入口,可基于 SLB 实现转换。2.1.1.云上云上IPv6&IPv4双栈双栈场景场景 云上 IPv6&IPv4 双栈网络架构的示意图如下:如图所示,该方案涉及负载均衡 SLB、专有网络 VPC、转发路由器 TR(企业版)、高速通道等多款网络产品服务。VPCVPC 及交换机开通及交换机开通 IPIPv6v6 阿里云 VPC 支持 IPv4 和 IPv6 协议。默认情况下,VPC 使用 IPv4 34、寻址协议。对于双栈场景,用户需开通IPv6 寻址协议。开通 IPv6 后,系统将为 VPC 分配掩码为/56 的 IPv6 GUA 网段,VPC 中每台交换机的 IPv6 网段掩码默认云平台 IPv6 解决方案 15 为 64/。VPC 和交换机开通 IPv6 的方法请参考帮助文档3,4。ECSECS 开通开通 IPIPv6v6 用户可在开通了 IPv6 网段的 VPC 和交换机下创建带有 IPv6 地址的 ECS 实例,并为实例配置 IPv6 地址5。公网开通公网开通 公网开通场景公网开通场景 1 1:ECSECS 直接与互联网进行双向交互直接与互联网进行双向交互 ECS 配置 IPv6 地35、址后,VPC 中的 IPv6 地址只具备私网通信能力。如果 ECS 需要主动访问互联网或直接被互联网访问,则需为 IPv6 地址开通公网带宽,使其具备 IPv6 公网通信能力。当 VPC 开通 IPv6 后,系统将为 VPC 自动创建 1 个 IPv6 网关。IPv6 网关是该 VPC 的 IPv6 互联网流量网关。用户可以在 IPv6 网关上,开通并管理本 VPC 内 IPv6 地址的公网带宽6。开通公网带宽后,IPv6 地址可以与公网连通,用户可以为 IPv6 地址创建仅主动出规则。使该 ECS 可以主动发起 IPv6 访问,但不允许客户端通过互联网访问 ECS 的 IPv6 地址7。公网36、开通场景公网开通场景 2 2:ECSECS 借助负载均衡借助负载均衡 SLBSLB,向互联网发布服务,向互联网发布服务 如果应用系统借助负载均衡 SLB 面向互联网发布服务,供 IPv6 客户端访问,则需使用应用型负载均衡ALB(七层负载均衡)或网络型负载均衡 NLB(四层负载均衡)。ALB 和 NLB,支持双栈协议版本89。可接收客户端的 IPv6 访问请求并将请求以 IPv6 协议转发至后端服务器。私网互通私网互通 转发路由器 TR(企业版)已支持 IPv6 协议,可实现云上不同 VPC 之间,以及云上 VPC 与云下数据中心之间的 IPv6 私网互通。注意:如需实现云上VPC与云下数据中37、心之间的IPv6私网互通,需确保高速通道-物理专线端口支持IPv6,3VPC 开通 IPv6 的方法:https:/ 4交换机开通 IPv6 的方法:https:/ 5ECS 分配和配置 IPv6 地址的方法:https:/ 6开通和管理 IPv6 公网带宽的方法:https:/ 7 创建和管理仅主动出规则的方法:https:/ 8开通双栈版本 ALB 实例的方法:https:/ 9开通双栈版本 NLB 实例的方法:https:/ 云平台 IPv6 解决方案 16 建议用户在开通高速通道-物理专线端口时,至少勾选【高级配置】中的 IPv6 和 MPBGP-v6 选项。如下图所示:2.1.2.I38、PV6 TO IPV4转换场景转换场景 实现 IPv6 to IPv4 的转换,需在“最靠近客户端侧的流量入口位置”进行转换。如果待支持 IPv6 的应用系统使用了 CDN、DDoS、WAF 等产品服务,则需选择其中最靠近客户端侧的产品开启 IPv6 转换。部署于阿里云的应用系统进行部署于阿里云的应用系统进行 6to46to4 转换转换 如果待支持 IPv6 的应用系统部署于阿里云,且未使用上述 CDN、DDoS、WAF 等产品服务,则可通过 IPv6 SLB 实现 IPv6 转换。应用型负载均衡 ALB、网络型负载均衡 NLB 以及传统型负载均衡 CLB,均具备 IPv6 to IPv4 的39、协议转换云平台 IPv6 解决方案 17 能力,可为云上业务系统提供 IPv6 地址,承接 IPv6 客户端访问,并将访问请求转换为 IPv4 协议转发至后端的 IPv4 ECS。CLB 不支持双栈协议版本,IPv6 实例和 IPv4 实例相互独立,因此需同时部署 IPv6 实例和 IPv4 实例,从而分别承载 IPv6 流量和 IPv4 流量。ALB 和 NLB 支持双栈协议版本10,11,可同时接收客户端的 IPv6 及 IPv4 访问请求,相较使用 CLB12进行转换,架构更为精简。部署于本地数据中心的应用系统进行部署于本地数据中心的应用系统进行 6to46to4 转换转换 如果待支持 40、IPv6 的应用系统部署于本地数据中心,可根据具体场景,按需使用 ALB/NLB 或全球加速 GA,进行 IPv6 to IPv4 的转换。10 开通双栈版本 ALB 实例的方法:https:/ 11 开通双栈版本 NLB 实例的方法:https:/ 12 开通 IPv6 CLB 实例方法:https:/ 云平台 IPv6 解决方案 18 场景场景 1 1:本地数据中心与阿里云具备互联专线:本地数据中心与阿里云具备互联专线 此场景,可使用双栈版本的 ALB13,14或 NLB15,16,借助 ALB 或 NLB 的“添加 IP 类型后端服务器”功能,将本地数据中心内应用系统的 IPv4 私网地41、址,添加为 ALB 或 NLB 的后端服务器。同时依托转发路由器 TR 及高速通道等产品,实现 ALB 或 NLB 与本地数据中心应用系统的私网互通后,便可实现 6to4 转换,即由 ALB或 NLB 接收客户端的 IPv6 访问请求,并将请求以 IPv4 协议转发至本地数据中心内的服务器。场景场景 2 2:本地数据中心与阿里云无互联专线:本地数据中心与阿里云无互联专线 此场景,需使用全球加速 GA17实现 6to4 转换。即选择与应用系统相同省份或就近省份的 GA 加速区域,并将加速 IP 配置为 IPv6 协议类型,而后根据应用系统的工作协议及端口号完成监听配置,并将应用系统的IPv4 公42、网地址添加为 GA 的后端服务,便可实现 6to4 转换,即由 GA 接收客户端的 IPv6 访问请求,并将请求 13 开通双栈版本 ALB 实例的方法:https:/ 14 ALB 挂载本地数据中心服务器的方法:https:/ 15 开通双栈版本 NLB 实例的方法:https:/ 16 NLB 挂载本地数据中心服务器的方法:https:/ 17 开通全球加速 GA 实现 6to4 转换的方法:https:/ 云平台 IPv6 解决方案 19 以 IPv4 协议转发至本地数据中心内的服务器。2.2.IPv6专有云解决方案专有云解决方案 专有云是云计算技术的一种部署形态,目的是在客户的自有环境43、一个全栈云平台。专有云服务的政企客户不仅要求云平台的功能,还要安全可靠,满足业务连续性、金融监管、等保 2.0 等对业务无中断、数据无丢失的要求。专有云平台上承载着大量重要信息系统,政企业务逐步向着平台化、服务化、数据化、智能化、自动化的方向发展,并以安全构建起政企对于专有云技术实力的信心。专有云部署形态满足了客户核心数据自持,并符合“数据不出省”、“数据不出机房”等管理要求。专有云服务的客户需要满足相关部委、行业监管的战略要求,IPv6 就是一项重要的国家战略。专有云是独立部署在客户数据中心的云平台,随着数字化时代的快速发展,数据中心作为信息处理和存储的核心,扮演着至关重要的角色。然而,传统44、的 IPv4 网络面临着日益严峻的挑战,主要表现在地址资源枯竭、网络拓扑复杂等方面。这些问题严重制约了数据中心网络的发展和扩展,因此迫切需要采取行动来解决。在这一背景下,数据中心 IPv6 改造成为了必然选择。改造主要涉及两个关键方面:网络基础设施和应用系统。专有云平云平台 IPv6 解决方案 20 台作为客户数据的云平台基础设施,需要对 IAAS 层网络进行升级和优化,以确保其完全支持 IPv6 功能,并且对网络拓扑结构进行调整,以适应 IPv6 的部署需求。在应用系统方面,需要对云平台上部署的各种应用程序和服务进行调整和优化,以确保其能够顺利运行在 IPv6 环境中。通过综合考虑和全面规划45、,专有云平台可以顺利实施 IPv6 改造,为未来的网络发展奠定坚实基础。专有云平台 IPv6 解决方案改造是一项复杂而关键的工程,通过对 IAAS 层基础设施的升级和优化,以及对应用系统的调整和优化,专有云平台可以更好地适应 IPv6 的发展趋势,提升网络性能和可用性,为未来的网络发展奠定坚实基础。专有云平台的 IPv6 解决方案是基于 IPv6&IPv4 双栈的方案,从用户视角通过 IPv6&IPv4 双栈的方式访问云平台业务的链路图,当然这里的前提是基础设施层已经完成了相应的能力支持。当用户从外网访问时用户可以选择 v6/v4 不同的访问路径,经过 DDoS、WAF、防火墙等一些列的安全防46、护措施到达云平台。云平台边界分别通过 SLB 和 VPC GW 对外提供了 IPv4 和 IPv6 的外网访问能力。云平台内部云主机也都支持 IPv6 和 IPv4 双栈。可以满足云下用户到云上服务全链路实现 IPv6&IPv4 双栈。用户的业务是部署在云上 ECS,实际上用户直接访问相应的云服务,比如数据库、存储等也是类似,这意味着对应的云服务也都提供 IPv6&IPv4 的双栈能力。上图中右侧部分用户从云下 IDC 通过专线方式访问到云上也是类似。IPv6 演进改造是一个长期、分阶段、分系统逐步升级的过程,结合上面专有云 IPv6/IPv4 双栈方案的介绍,在实践中我们将 IPv6 改造分47、为三个阶段:云平台 IPv6 解决方案 21 第一阶段,通过云平台 SLB 负载均衡完成 6to4 的能力改造,实现互联网用户的 IPv6 接入云内服务的能力,同时为支持互联网侧的 Ipv6 的安全防护能力,平台侧对 DDOS、WAF、CFW 产品进行 IPV6 防护能力升级改造。第二阶段,是在第一阶段的基础上,继续对云平台的 ECS、VPC 以及 SLB 进行 Ipv6 能力改升级造,配合客户应用系统的 Ipv6 改造,实现互联网用户通过 Ipv6 访问平台内的 Ipv6 服务,即 6to6,同时云平台内的资源可以基于 Ipv6 网关主动访问互联网。第三阶段,主要是将 Ipv6 能力范围进一48、步扩大,实现云内资源之间以及与云下 IDC 之间实现 IPv6 互访能力,平台侧主要还是对平台内的相关云产品以及 IDC 并网专线进行一个 Ipv6 能力的改造升级实现。基于上述三个阶段的改造实施,整个云平台已经具备了互联网侧、云内、云下 IDC 等多场景下的 IPv4/IPv6的双栈能力。2.3.IPv6云安全解决方案云安全解决方案 随着 IPv6 协议的迅速普及,新的网络环境以及新兴领域均面临着新的安全挑战。企业业务 IPv6 改造不仅仅是域名和网站支持 IPv6,还需要有效的防范 IPv6 安全风险,尤其是对关系国计民生的单位如金融、交通、能源、政务等行业。IPv6 线路需要提供不低于 49、IPv4 线路现有的安全防护能力,如访问控制功能、入侵检测防访问控制功能、入侵检测防御功能、流量分析清洗功能、御功能、流量分析清洗功能、WEBWEB 应用防护功能等。应用防护功能等。对于上云的客户,可以按照其上云的不同阶段来部署 WAF 集群和高防防护包来支持 IPv6 安全防护功能。基本方案是通过接入接入 WAFWAF 企业版企业版&高防防护包,高防防护包,通过通过 7 7 层反向代理同时支持层反向代理同时支持 IPv4IPv4 和和 IPv6IPv6 协议协议。云平台 IPv6 解决方案 22 业务逻辑描述:业务逻辑描述:IPv6 用户在浏览器中输入要访问的域名。浏览器向 DNS 云解析服50、务器请求对应域名的解析。E DNS 云解析将域名的解析权交给 CNAME 指向的 WAF DNS 服务器。E WAF DNS 服务器把 WAF 的 IPv6 地址返回给用户。E IPv6:2408:8719:64:8:3 IPv6 终端用户向 WAF 的 IPv6 集群发起请求 WAF 的 IPv6 集群对流量进行识别,将安全的流量以 IPv4 协议传递给源站。基于云速搭 CADT 的 IPv6 最佳实践 23 3.基于云速搭基于云速搭CADT的的IPv6最佳实践最佳实践 现在主流的云平台提供了各种 IPv6 网络解决方案和产品能力,但是广大中小客户使用云服务,尤其是在上云过程中开通和部署 I51、Pv6 服务通常会遇到一些挑战,需要一定的专业知识。客户云资源分散在不用的云服务中,不便于从应用架构的角度来开通、运维、管理资源,云速搭 CADT(Cloud Architect Design Tools)18是阿里云推出的一款为云上应用提供自助式云架构管理的产品。通过 CADT 可以快速创建云上 IPv6 应用架构,自动化部署资源,轻松实现对云上应用的全生命周期管理,可以显著降低 IPv6 云资源管理的难度和时间成本,助力客户高效便捷上云支持 IPv6。本章将通过典型的三个需求场景来演示如何通过阿里云运速搭 CADT 来创建具有 IPv6 地址的 ECS,为应用开通 IPv6 WAF 安全能52、力,以及应用 IPv6 改造实践。3.1.创建具有创建具有IPv6地址的地址的ECS 3.1.1.最佳实践概述最佳实践概述 方案概述方案概述 随着国家推进 IPv6 规模部署行动计划的贯彻落实,以及工业互联网、物联网、5G 等前沿技术的快速发展,各行业用户 IPv6 改造诉求愈发强烈。阿里云 IPv6 在互联网、金融、政企、传媒等各行业,提供了丰富的产品选择和可靠安全的服务体验。本文针对希望部署具有 IPv6 地址的 ECS 场景,提供一键部署模版,进行部署和效果验证。应用应用场景场景 l 针对具备 IPv6 地址的 ECS 提供可视化架构 l 支持方案的批量部署和效果验证 18 云速搭 CA53、DT 产品介绍:https:/ 基于云速搭 CADT 的 IPv6 最佳实践 24 部署架构部署架构 架构说明架构说明 我们在新建 ECS 实例时只分配 IPv4 地址,不分配 IPv6 地址。如果业务上需要使用 IPv6 地址并通过 IPv6地址进行通信时,需要配置 IPv6 地址。本文将会介绍通过云速搭快速创建和验证。l 预置部署模版,新建具有IPv6环境的VPC和交换机 l 自动分配IPv6的地址,开通IPv6网关实例 l 创建业务需要的ECS和EIP,需要访问公网,实现自动绑定 l 开通IPv6公网带宽,并绑定到ECS,提供IPV6访问能力 l 添加安全组规则:要设置授权对象为IPv654、地址段 方案优势方案优势 l 可视化完成整体方案设计交付,快速环境搭建 l 相关配置进行了初始化设置,形成模版化 l 一键计算成本,一键部署 基于云速搭 CADT 的 IPv6 最佳实践 25 操作步骤操作步骤 基于模版创建 POC 环境 检查环境依赖的基础资源配置信息 测试 IPv6 连结 前置条件前置条件 在进行本文操作之前,您需要完成以下准备工作:l 注册阿里云账号,并完成实名认证。您可以登录阿里云控制台,并前往实名认证页面(https:/ 购买按量付费资源,阿里云账户余额需要大于 100 元。您可以登录阿里云控制台,前往账户总览页面(https:/ 已开通以下阿里云服务:云速搭 CAD55、T 专有网络 VPC 云服务器 ECS 弹性公网 IP NAT 网关 3.1.2.部署基础环境部署基础环境 3.1.2.1 3.1.2.1 云资源规划清单云资源规划清单 部署资源清单如下,为了保证测试效果,请参考模版和如下步骤进行操作。产品 配置 备注说明 云速搭(CADT)预置模板 可根据预置模板按需进行相关参数的修改 VPC 与交换机 地域:上海 VPC 名称:vpc-qa-ipv6 VPCIPv4 网段:192.168.0.0/16 选择分配公网 IPv6 地址 2408:4002:1039:b00:/56 交换机名称:vswitch-01 可用区 M 本次示例通过 CADT 新建 VP56、C 和交换机建议不需要修改。也支持导入已有资源,调整后,需要进行存量资源导入。基于云速搭 CADT 的 IPv6 最佳实践 26 IPv4 网段:192.168.0.0/24 勾选:分配公网 IPv6 地址 公网 IPv6:2408:4002:1039:b00 0:/56 云服务器 ECS 分别创建 2 台服务器 规格均为 c7.xlarge(4C 8G)alibaba cloud linux 3.2104 镜像 系统盘:ESSD 云盘,40G,PL0 自定义实例名称、主机名称 登录密码:Test1234(可以自行修改)自定义数据:自定义一键配置 IPv6 地址的命令 本次示例通过 CADT 57、新建 其他参数参考模版 弹性 EIP 数量:1 商品类型:按量付费 名称:nat-eip 带宽峰值:50 Mbps 流量:按使用流量计费 绑定 NAT,用于 VPC 的公网访问出口IP 本次示例通过 CADT 新建 NAT 网关 名称:vpc-nat 支付方式:按量付费 勾选 VPC 全通模式 通过连线自动绑定了 nat-eip 所属 vswitchvswitchws-01 本次示例通过 CADT 新建 IPv6 网关 名称:ipv6gateway 不需要配置默认 IPV6 网段 本次示例通过 CADT 新建 IPv6 公网带宽 数量:2 个,分别连线对应 ECS 名称:自定义 IPV6 网关58、-地址实例:不需要填写 ECS:只显示,通过连线自动填充 流量:按使用流量计费 带宽:2Mbps 支付方式:按量付费 本次示例通过 CADT 新建 基于云速搭 CADT 的 IPv6 最佳实践 27 3.1.2.2 3.1.2.2 创建架构应用创建架构应用 步骤1 访问 https:/ CADT 控制台。说明:如果提示需要开通服务,请根据提示进行开通。步骤2 在菜单栏单击新建新建 官方解决方案中心官方解决方案中心 步骤3 在搜索中输入“IPvIPv6 6”,找到ECSECS-IPv6IPv6 部署方案部署方案模板,单击基于应用新建基于应用新建 步骤4 点击右上角的保存保存按钮,将本架构保存为应59、用,并设置应用名称,例如“ECS-IPv6-部署”,点击确认。基于云速搭 CADT 的 IPv6 最佳实践 28 等待右上角会出现保存成功提示,完成应用保存。3.1.2.3 3.1.2.3 部署架构应用部署架构应用 部署前,参考资源清单,核对产品参数。为了保证测试效果,请不要修改 ECS 规格、磁盘类型、磁盘大小等信息。请勿修改模版中的交换机网段,如果需要替换为已有的 VPC 和交换,注意资源规格的变化,已经需要完成存量资源导入。模版中ECS密码默认配置为“Test1234”,可以双击ECS输入新的登录密码。核对完成后,保存为应用。并进行校验、报价和批量部署。校验环节有错误提示,参考提示操作即60、可。步骤1 核对地域,本示例选择“上海”步骤2 核对 VPC 和交换机,分别点击图中的 VPC 和交换机名称 VPC 购买方式:新购 自定义 VPC 名称、网段 分配公网 IPv6 地址:选择“分配(默认)”基于云速搭 CADT 的 IPv6 最佳实践 29 虚拟交换机购买方式:新购 自定名称 vswitch 名称 默认可用区 M 勾选 IPv6:分配公网 IPv6 地址 基于云速搭 CADT 的 IPv6 最佳实践 30 步骤3 核对 IPv6 网关的参数,购买方式为新购,自定义网关名称 步骤4 核对 ECS 产品相关参数,点击 ECS 图标 核对支付方式、实例规格、镜像、系统盘类型和大小、61、实例名称、密码等 基于云速搭 CADT 的 IPv6 最佳实践 31 密码初始化为:Test1234,可以修改 勾选:分配公网 IPv6 地址 安全组,在入方向添加了 ICMP(IP v6)协议,并授权对象 IPv6 地址段:/0 步骤5 核对 IPv6 公网带宽,通过连线连接 ECS 自定义带宽名称,使用流量计费 带宽模版默认为 2M 支付方式选择:按量付费 基于云速搭 CADT 的 IPv6 最佳实践 32 重复步骤 4、5,完成另外一组的产品参数核对和确认。步骤6 核对 EIP 产品参数 双击 EIP 图标,核对预设的参数。实例名称、带宽峰值、按使用流量计费等。基于云速搭 CADT 的 62、IPv6 最佳实践 33 步骤7 核对 NAT 产品参数 双击 NAT 网关图标,核对预设的参数。支付方式为按量付费 勾选 VPC 全通模式 EIP:会通过与 EIP 的连线,自动填充 选择所属 vswitch 基于云速搭 CADT 的 IPv6 最佳实践 34 步骤8 核对完成,点击右上角的保存和部署应用 步骤9 进入资源验证阶段,这个阶段会对架构中的实例信息进行校验。包括产品首次使用授权、命名规范、库存验证、产品配额限制等。如有错误提示,根据提示进行修改即可。当出现校验成功时,可以查看一下待创建的产品相关的信息,如果相符单击下一步:价格清单。步骤10 进入价格清单阶段,这里将应用中的云产品63、按照免费、按量付费和包年包月进行分类显示(本方案云产品均采用按量付费),如果产品享受折扣这里会自动将账号对应的优惠显示出来。价格清单中的价格信息为当时的实时价格,具体产品价格信息请以页面显示为准。基于云速搭 CADT 的 IPv6 最佳实践 35 应用计价成功后,CADT 实时生成一个应用架构成本分析报告,可以单击查看报告。步骤11 如果确认价格符合预期,可以单击下一步:确认订单。确认订单阶段会列出架构中所有的产品及其价格,需要用户确认无误后勾选接受云速搭服务条款。是否开启云监控,指的是按应用进行云监控应用分组,架构资源自动归属到一个云监控应用分组中。点击下一步:支付并创建,进行云资源批量购买64、和初始化部署。本应用费用预估:2.124 元/时,参考 2023 年 12 月 28 日官网价格。基于云速搭 CADT 的 IPv6 最佳实践 36 步骤12 CADT 应用部署完成后,会自动关联 EIP 与 NAT,公网带宽与 ECS 的绑定关系,可登录到云产品控制台查看部署状态。3.1.3.测试测试IPV6的连通性的连通性 通过可视化一键部署后,完成基础环境的搭建,接下来通过简单的命令检查 IPv6 地址是否生效,以及连通性验证。3.1.3.1 3.1.3.1 检查检查 IPv6IPv6 地址是否生效地址是否生效 步骤 1 通过“远程登录”访问 ECS 基于云速搭 CADT 的 IPv6 65、最佳实践 37 步骤 2 在对话框中输入模版中设置的登录密码,本示例为 Test1234 步骤 3 查看 ECS 的 ip 地址,linux 使用(ip addr 或 ifconfig 命令):基于云速搭 CADT 的 IPv6 最佳实践 38 显示的 Ipv6 地址与控制台一致,并显示为“scope global noprefixroute”,此时表示网卡路由策略已经生效。如果不是这个状态,比下图显示的“scope link”,表示未配置 IPv6 地址。需要需要进行 2.2 步骤操作。否则直接进入步骤 2.3。3.1.3.2 3.1.3.2 保有保有 ECSECS 配置配置 IPv6IPv66、6 地址地址 通过 ecs-util-ipv6 工具进行一键配置 IPv6 地址。本实践 ECS 选择的是 CentOS 系统,所以按照对应操作系统的命令进行配置 IPv6 地址。步骤 1 在 ECS 服务器上,下载 ecs-util-ipv6 工具 wget https:/ecs-image-utils.oss-cn- 步骤 2 使用管理员权限执行以下命令,运行 ecs-util-ipv6 工具 chmod+x./ecs-utils-ipv6./ecs-utils-ipv6 基于云速搭 CADT 的 IPv6 最佳实践 39 3.1.3.33.1.3.3 测试测试 IPv6IPv6 连通性连67、通性 完成以上部署,测试 IPv6 的连通性 步骤 1 ping-6 命令测试 ECS 实例与 的网络连通性 表示已经完成连通性验证。3.1.4.一键释放资源一键释放资源 如果不再使用该架构,也可以通过 CADT 释放全部按量付费资源,CADT 无法对包年包月资源进行提前释放。这里需要注意,如果通过 CADT 创建的 VPC、VSwitch 中人工通过其他方式添加了资源,如通过控制台或者基于云速搭 CADT 的 IPv6 最佳实践 40 API 等购买了 ECS,释放时因为这些非 CADT 部署的资源会依赖 VSW 和 VPC,会出现释放失败。遇到这类问题请先去控制台人工进行资源清理后,在 C68、ADT 中再次释放资源即可。步骤1 登录 CADT 控制台,在应用 我的应用页面,找到这个部署 1.2 创建的应用,单击查看架构图。步骤2 打开底部的资源清单,单击释放全部资源。步骤3 确认后,需要点击确定按钮。步骤4 需要用户再次确认,点击确定后,如果是主账号会触发风控(手机校验等),请按照提示进行操作。基于云速搭 CADT 的 IPv6 最佳实践 41 步骤5 释放中请勿操作该架构图。释放执行耗时依赖云产品自身释放时长及架构图中资源量多少,请耐心等待:基于云速搭 CADT 的 IPv6 最佳实践 42 如果遇到释放时出现异常出现部分释放成功的场景,可以再次执行释放。如:VPC、VSW 中包69、含了手工在控制台上创建的资源,请先手工释放这些资源。基于云速搭 CADT 的 IPv6 最佳实践 43 3.2.应用应用IPv6改造最佳实践改造最佳实践 3.2.1.最佳实践概述最佳实践概述 整体架构整体架构 本例搭建简单的 IPv4 web 服务,并提供四个改造方案对应用进行 IPv6 改造。基于云速搭 CADT 的 IPv6 最佳实践 44 方案一:增加支持方案一:增加支持 IPvIPv6 6 的公网的公网 CLBCLB 新创建一个 IPv6 协议的公网型 CLB 实例,后端挂载源 IPv4 的应用实例,并新增域名 ipv6-clb 解析到此实例。此方案对源 IPv4 业务系统无任何改造,70、但整体业务需要两个域名,分别对应 IPv4 和 IPv6 的客户端访问请求。方案二:存量方案二:存量 CLBCLB 迁移至迁移至 NLBNLB 采用支持双栈的 NLB 实例,可以同时接受 IPv4/IPv6 客户端请求,后端挂载源 IPv4 的应用实例。新增域名 nlb-dualstack 到 NLB 实例,亦可保留源 ipv4-clb 域名。本实践以新增域名的方式进行演示。此方案需要源业务系统做一个业务流量的割接,其余没有改造,对外整体提供一个域名,同时满足 IPv4 和 IPv6 的客户端访问请求。方案三:通过标准版全球加速方案三:通过标准版全球加速 G GA A 转发转发 IPvIPv671、 6 请求请求 新增一个标准版 GA 实例,可以指定接受 IPv6 客户端请求,后端挂载源 IPv4 的应用实例。源 ipv4-clb 域名保持不变,并新增域名 ipv6-ga 解析到 GA 实例。此方案对源 IPv4 业务系统无任何改造,整体业务需要两个域名,分别对应 IPv4 和 IPv6 的客户端访问请求。方案四:通过企业版方案四:通过企业版 WAFWAF 转发转发 IPvIPv6 6 请求请求 (在(在 3.33.3 介绍)介绍)新增一个企业版 WAF 实例,可以同时接受 IPv4/IPv6 客户端请求,后端挂载源 IPv4 的应用实例。源 ipv4-clb 域名保持不变。此方案对源业72、务系统的流量入口做了七层防护,对外整体提供一个域名,同时满足 IPv4 和IPv6 的客户端访问请求。基于云速搭 CADT 的 IPv6 最佳实践 45 3.2.2.构建演示环境构建演示环境 3.2.2.1 C3.2.2.1 CADTADT 创建基础环境创建基础环境 通过阿里云架构设计工具 CADT 快速创建 SLB+ECS 的 IPv4 Web 服务,作为 IPv6 应用的改造对象。同时将改造方案涉及的产品组合一次性开通和配置。步骤1 登录阿里云架构设计工具 CADT 控制台(https:/ 官方模板库新建进入官方模板库。步骤2 输入“IPv6 应用改造”搜索对应官方模板,并单击基于方案新建73、。步骤3 首先保存到本地应用。基于云速搭 CADT 的 IPv6 最佳实践 46 3.2.2.2 3.2.2.2 部署架构说明部署架构说明 步骤1 更新架构图中 VPC 和交换机的 IPv6 地址段。基于云速搭 CADT 的 IPv6 最佳实践 47 步骤2 源站 IPv4 的业务配置 CADT 模板已自动创建了 ECS+CLB 的基础环境,并配置了 CLB 的监听。具体配置细节可以通过双击架构图中的图标或者连线可以查看具体配置。例如 CLB 监听的配置:基于云速搭 CADT 的 IPv6 最佳实践 48 步骤3 GA 配置 此架构图已包含了 GA 实例创建,GA 带宽绑定,GA 加速地域(杭74、州)配置,GA 监听创建,GA 终端节点组的配置。具体配置细节可以通过双击架构图中的图标或者连线可以查看具体配置。例如 GA 加速地域的配置:基于云速搭 CADT 的 IPv6 最佳实践 49 步骤4 NLB 配置 此架构图已包含了 NLB 实例创建,NLB 监听创建,NLB 虚拟服务器组的配置,IPV6 网关。具体配置细节可以通过双击架构图中的图标或者连线可以查看具体配置。例如 NLB 监听的配置:步骤5 IPv6 CLB 配置 基于云速搭 CADT 的 IPv6 最佳实践 50 此架构图已包含了 IPv6 CLB 实例创建,CLB 监听的配置,具体配置细节可以通过双击架构图中的图标或者连线75、可以查看具体配置。例如 CLB 监听的配置:步骤6 WAF 配置 此方案将创建一个按量付费版的 WAF,若当前账号已开通过,可以点接右上角的“部署资源”开关,忽略部署。基于云速搭 CADT 的 IPv6 最佳实践 51 步骤7 IPv6/IPv4 客户端环境的配置 本方案通过创建两台 windows 2019 服务器作为 IPv4 IPv6 的客户端环境,用于后续的测试。ECS 默认登陆密码 Test1234 3.2.2.3 3.2.2.3 一键部署一键部署 步骤1 保存上述应用,点击“部署应用”,资源验证通过后,单击下一步:价格清单。基于云速搭 CADT 的 IPv6 最佳实践 52 步骤276、 了解资源成本,确认无误后,单击下一步:部署清单。步骤3 在打包购买对话框中,阅读、同意并勾选云架构服务条款,单击下一步:创建资源。基于云速搭 CADT 的 IPv6 最佳实践 53 步骤4 等待资源创建完成。这里云速搭会创建出 ecs 和 slb,并将 slb 和 ecs 的端口映射配置好。基于云速搭 CADT 的 IPv6 最佳实践 54 3.2.2.4 E3.2.2.4 ECSCS 部署部署 webweb 服务服务 步骤1 通过 workbench 远程登录源站的 ipv4 ECS。基于云速搭 CADT 的 IPv6 最佳实践 55 默认密码默认密码 Test1234 步骤2 下载安装脚77、本,执行安装。yum install-y git git clone https:/best-practice:A cd 018 bash bp018-nginx-install.sh 3.2.2.5 DNS3.2.2.5 DNS 发布域名发布域名 ipipv4v4-clbclb 解析解析 A A 记录记录 步骤1 登录云解析控制台(https:/),选择已有域名单击进入。基于云速搭 CADT 的 IPv6 最佳实践 56 步骤2 添加 A 记录,记录值设置为 SLB 的公网 IP。基于云速搭 CADT 的 IPv6 最佳实践 57 3.2.2.6 3.2.2.6 通过域名地址访问通过域名地址78、访问 步骤1 登陆 IPv4 客户端的 windows,通过 IE 浏览器输入 IPv4 域名。基于云速搭 CADT 的 IPv6 最佳实践 58 后端日志获取到 IPv4 源地址 步骤2 登陆 IPv6 客户端的 windows,通过 IE 浏览器输入 IPv4 域名。基于云速搭 CADT 的 IPv6 最佳实践 59 可以看到后端接收到的依然是 IPv4 的请求。基于云速搭 CADT 的 IPv6 最佳实践 60 3.2.3.方案方案一:增加支持一:增加支持IPV6的公网的公网SLB 当您希望实现 IPv6 客户端通过 CLB 访问您的 IPv4 业务时,并不希望对源 IPv4 业务系统进79、行改造的情况下,您可使用 CLB 的 IPv6 实例,直接挂载使用 IPv4 地址的后端服务器。同时在业务总量增加的情况下,通过新增 IPv6 入口并适量对后端服务器进行横向扩容即可,对原有 IPv4 业务无任何影响,无需对原有系统做改造,就可以平滑地将业务迁移到 IPv6。CLB 的 IPv6 实例创建后,系统会为实例分配一个公网 IPv6 地址,转发来自 IPv6 客户端的请求。使用 IPv6 CLB 实例的特点:l 平滑迁移 IPv6,业务无感知-IPv6 CLB 后端可以直接挂载使用 IPv4 地址的后端服务器,无需对原有系统做改造,就可以平滑地将业务迁移到 IPv6。-业务总量增加的80、情况下,通过新增 IPv6 入口,适量对后端服务器进行横向扩容即可,对原有 IPv4 业务无任何影响。l IPv6 访问控制让业务部署更加安全可靠-访问控制黑名单可有效阻断恶意地址对负载均衡业务的访问。-访问控制白名单仅允许白名单中授权的地址访问负载均衡业务。3.2.3.13.2.3.1 方案方案架构说明架构说明 -原有的 IPv4 ECS 上不需要做任何的调整,网站应用照常运行,ECS 的安全组策略等均不需要改动。-原有的 IPv4 CLB 维持不变,新增加一个 IPv6 的公网型 CLB 实例。-原有的 ipv4 域名 ipv4-clb 维持不变,新增一个 ipv6 专属域名:ipv6-c81、lb,并通过 DNS 解析到 CLB提供的 IPv6 地址上。基于云速搭 CADT 的 IPv6 最佳实践 61 3.2.3.23.2.3.2 验证步骤验证步骤 步骤1 通过 CADT 部署后的架构图进入 IPv6 CLB 实例中,获取 IPv6 地址。步骤2 增加 DNS AAAA 解析。基于云速搭 CADT 的 IPv6 最佳实践 62 步骤3 通过 IPv6 windows 客户端浏览器访问该 IP v6 地址。查看后端 Nginx 日志,获取到了来自 IPv6 客户端的源 IP 地址。基于云速搭 CADT 的 IPv6 最佳实践 63 3.2.4.方案二:迁移方案二:迁移CLB到到NL82、B支持支持IPV6 网络型负载均衡 NLB(Network Load Balancer)支持转发 IPv6 网络请求,双栈 NLB 实例开启 IPv6 挂载后,即 NLB 实例同时支持挂载 IPv4 和 IPv6 的云服务器 ECS,使 IPv6 网络的客户端请求通过 NLB 可以访问部署在后端的 IPv4 和 IPv6 服务。通过将原有的 IPv4 CLB 实力向双栈 NLB 实例迁移,可以借助 NLB 丰富的 IPv6 能力,满足双栈、6to4/6to6等多场景的诉求。与此同时,网络型负载均衡 NLB 具有超高性能的四层负载均衡处理能力,可以同时处理海量并发连接,提供 TCPSSL 卸载、83、连接限速等能力。当您的业务在持续增长,同时对功能、性能、稳定性和弹性有更高要求时,您可以将 CLB 四层监听流量手动迁移至 NLB 实例,来轻松应对高并发业务。前提条件:-需要 NLB 所在的 VPC 和虚拟交换机开通 IPv6。-NLB 实例和 CLB 实例的后端服务器属于同一个 VPC,且后端服务器相同。-CLB 的计费方式为包年包月和按量付费,NLB 的计费方式为按量付费,CLB 和 NLB 的计费项、定等存在差异,CLB 实例的业务迁移 NLB 实例后,会产生计费变更。具体计费规则,具体迁移步骤请参考官方指导19,本文不再赘述。3.2.4.1 3.2.4.1 方案架构说明方案架构说明 84、-原有的 IPv4 ECS 上不需要做任何的调整,网站应用照常运行,ECS 的安全组策略等均不需要改动。-原有的 IPv4 CLB 维持不变,新增加一个双栈的公网型 NLB 实例。-原有的 ipv4 域名 ipv4-clb,需要通过流量割接方式,逐步完成流量切换到 NLB 上。19 CLB 四层监听手动迁移 NLB 最佳实践:https:/ 基于云速搭 CADT 的 IPv6 最佳实践 64 3.2.4.23.2.4.2 验证步骤验证步骤 步骤1 开启 NLB 的 IPv6 公网,默认创建的双栈 NLB 的 IPv6 是私网类型,需要在控制台进行网络类型变更。基于云速搭 CADT 的 IPv685、 最佳实践 65 变更后 步骤2 以下步骤假设流量割接已完成,原 IPv4 DNS 域名指向了新的 NLB 实例。步骤3 获取 NLB 的 DNS Cname。通过浏览器访问。基于云速搭 CADT 的 IPv6 最佳实践 66 添加 DNS 解析。步骤4 通过 IPv6 客户端的 Windows 访问上述域名。查看后端获取的源地址为 IPv6 地址。步骤5 使用 IPv4 的客户端访问上述域名。基于云速搭 CADT 的 IPv6 最佳实践 67 此时 Nginx 访问自己记录到的客户端源地址是 IPv4 地址 3.2.5.方案三:全球加速方案三:全球加速GA 全球加速产品提供 IPv6 转换服86、务,在不改动企业现有 IT 系统的情况下,可快速实现 IPv6 转换。企业 IPv6客户端发起的访问请求经过全球加速转换后被直接发送至后端的 IPv4 服务器,快速实现服务访问。客户的IPv4 服务可以是部署在阿里云上的,也可以是部署在线下 IDC 的。3.2.5.1 3.2.5.1 方案架构说明方案架构说明 -原有的 IPv4 ECS 上不需要做任何的调整,网站应用照常运行,ECS 的安全组策略等均不需要改动。-原有的 IPv4 CLB 维持不变。-新增 GA 实例,配置杭州地域加速,以 IPv6 协议加速域名 ipv4-clb。配置后 GA 实例会提供一个 IPv6地址以及 CNAME-将87、原有的 ipv4-clb 域名解析保持不变,新增一个 ipv6-ga 域名解析到 GA 实例提供的 CNAME 上。基于云速搭 CADT 的 IPv6 最佳实践 68 3.2.5.23.2.5.2 验证步骤验证步骤 步骤1 获取 GA 的 CNAME 步骤2 配置 DNS 解析域名 ipv6-ga 到 CNAME 基于云速搭 CADT 的 IPv6 最佳实践 69 步骤3 通过 IPv6 客户端访问 ipv6-ga 域名 可以从后端 Nginx 日志看到请求来自 IPv6 客户端地址。步骤4 通过 IPv4 客户端访问 ipv6-ga 域名,此时页面无法访问,因为 GA 上只配置了 IPv6 88、加速。是正常现象。基于云速搭 CADT 的 IPv6 最佳实践 70 3.3.应用应用IPv6 安全防护最佳实践安全防护最佳实践 3.3.1.最佳实践概述最佳实践概述 本章节介绍应用 IPv6 改造过程中结合安全防护的角度如何利用阿里云的安全产品,在完成 IPv6 改造的同时,还增强了应用的安全防御能力。推荐接入方案:推荐接入方案:WAFWAF 企业版企业版+DDoS+DDoS 原生防护实例。原生防护实例。将网站接入 WAF,一键开启 IPv6 防护功能。为网站防御 IPv6 环境下发起的攻击,帮助源站实现对IPv6 协议请求的安全防护,开启 IPv6 安全防护功能后,WAF 自动实现双路解析89、。同时购买 DDoS 防护原生防护实例,DDoS 原生防护直接提升阿里云 WAF 公网 IP 资源 DDoS 攻击防御能力,相比 DDoS 高防,优势是不需要更换 IP,没有四层端口、七层域名数限制,部署简易,只需要绑定防护 IP 地址即可使用,支持 IPv6。将 WAF 实例 IP 地址绑定到 DDoS 原生防护实例。当业务遭受 DDoS 攻击时,自动触发流量清洗,攻击流量被丢弃,只有正常的业务流量被转发到源站服务器。但是,局限性是 DDoS 原生防护主要提供三层和四层流量型攻击的防御服务,全力防护能力受限于机房网络的整体水位。当攻击流量超过机房网络整体防护水位或被 CC 攻击情况下,DDo90、S 原生防护可能无法满足安全防护需求,需要升级使用 DDoS 高防服务,提升安全防护能力。您也可以组合使用 DDoS 原生防护和 DDoS 高防,通过 DDoS 高防流量调度器联动规则实现阶梯防护,保证正常业务流畅体验的前提下增强 DDoS 防护能力。当 DDoS 攻击不超过 DDoS 原生防护的防御能力时,业务流量默认解析到云产品,不增加业务延迟,当攻击过大触发黑洞时,高防流量调度器将流量切换到 DDoS 高防,防御大流量的攻击,此时存在约 20 ms 的业务延时,攻击停止后,根据流量调度器设置的切换延迟时间,等待一段时间后业务流量回切到云产品。以下章节将以 WAF 为主要的介绍对象,阐述 91、WAF 在 IPv6 改造以及安全防护提升场景下的架构设计以及配置过程。3.3.2.构建演示环境构建演示环境 -参考 3.2.2 即可 3.3.3.方案架构说明方案架构说明 整体架构如下图。以下架构适合于业务需要 Web 应用防护和 DDoS 防护,还要支持 IPv6。大致业务基于云速搭 CADT 的 IPv6 最佳实践 71 逻辑描述 1.IPv6 用户在浏览器中输入要访问的域名。浏览器向 DNS 云解析服务器请求对应域名的解析。E 2.DNS 云解析将域名的解析权交给 CNAME 指向的 WAF DNS 服务器。E 3.WAF DNS 服务器把 WAF 的 IPv6 地址返回给用户。E I92、Pv6:2408:8719:64:8:3 4.IPv6 终端用户向 WAF 的 IPv6 集群发起请求 5.WAF 的 IPv6 集群对流量进行识别,将安全的流量以 IPv4 协议传递给源站。本实践主要介绍 WAF 的配置,DDoS 防护配置将忽略。-原主站的 IPv4 ECS 上不需要做任何的调整,网站应用照常运行,ECS 的安全组策略等均不需要改动。-原有的 IPv4 CLB 配置维持不变。-新增 WAF 实例,添加域名防护,防护 ipv4-clb,并开启 IPv6 防护,WAF 将生成一个 CNAME 地址。-将原有的 ipv4 域名解析 ipv4-clb,修改 DNS 解析到 WAF 93、的 CNAME 地址上。基于云速搭 CADT 的 IPv6 最佳实践 72 3.3.4.验证步骤验证步骤 步骤1 通过 CADT 跳转到 WAF 控制台。进入接入管理。基于云速搭 CADT 的 IPv6 最佳实践 73 步骤2 新增域名,输入 ipv4-clb,并开启 IPv6,获取到一个 CNAME 地址。基于云速搭 CADT 的 IPv6 最佳实践 74 基于云速搭 CADT 的 IPv6 最佳实践 75 修改 ipv4-clb 的域名解析 修改后 修改后,WAF 提示报错。基于云速搭 CADT 的 IPv6 最佳实践 76 稍等几分钟,等待 DNS 解析生效。步骤3 通过 ipv4 客户94、端的浏览器访问 ipv4-clb 域名 其中 47.110.182.127 地址是 WAF 的回源 IP 地址,8.140.18.221 是客户端源 IP。基于云速搭 CADT 的 IPv6 最佳实践 77 步骤4 通过 IPv6 客户端访问 ipv4-clb,观察后端日志。首先 清理 Windows IE DNS 缓存 基于云速搭 CADT 的 IPv6 最佳实践 78 后端 Nginx 日志同样获取到了 WAF 的回源 IPv4 地址,以及 IPv6 客户端地址。基于云速搭 CADT 的 IPv6 最佳实践 79 步骤5 通过 WAF 的访问日志查看请求来源。可以看到 WAF 接收到了来自客户端 IPv6 地址的请求。基于云速搭 CADT 的 IPv6 最佳实践 80 基于云速搭 CADT 的 IPv6 最佳实践 81

    下载