阿里云IPv6实践,从云服务到云安全
本文最后更新于 1694 天前,其中的信息可能已经有所发展或是发生改变。

背景

中国是世界互联网大国,但是近年来,随着中国云计算、物联网、工业互联网和人工智能等产业的迅速布局,日益枯竭的 IPv4 地址资源已严重阻碍了中国互联网产业的蓬勃发展,但在早期中国一直没有普及 IPv6,而是继续让 IPv4 缝缝补补继续用了几年,因为 IPv6 的改造是一个涉及 “端、管、云” 三方面的系统性工程,但自2017年底,中办国办印发《推进互联网协议第六版(IPv6)规模部署行动计划》以来,IPv6 的普及开始进入了快车道。其中指出加快推进基于 IPv6 的下一代互联网规模部署,计划指出到 2018 年末国内 IPv6 活跃用户数要达到2亿,2020年末达到5亿,2025年末中国 IPv6 规模要达到世界第一。

又在近期,据工业和信息化部官网7月25日消息,2019年7月24日,工业和信息化部信息通信发展司组织召开部署推进IPv6网络就绪专项行动电视电话会议。如下是对广大互联网企业用户的要求:

各应用商店要对新上架APP开展IPv6支持度检测工作,支持度不好的APP要加快改造。

介绍

作为中国第一的云计算服务厂商阿里云对于IPv6的支持目前已经比较全面了。目前阿里云已经有如下产品支持 IPv6:

转换服务

转换类服务可以帮助纯 IPv4 服务无需做出大量的改造以最快的速度和效率获得 IPv6 的访问能力。

IPv6转换服务

业务部署在云下IDC机房,机房只具备IPv4网络。业务通过IPv6转换服务,可面向纯IPv6用户快速提供IPv6访问能力。主要解决了传统数据中心 IPv6 改造,代价大、成本高、周期长的问题。

产品特性:

1.周期短,IPv6转换服务实例实时开通,映射规则配置实时生效。

2.简单易用,控制台图形化界面2步操作即可实现地址转换功能。

3.高性能,实例超大转发能力和带宽峰值,提供性能SLA保障。

4.高可靠,服务本身就是跨可用去部署的,具备高可靠性。

负载均衡SLB

目前 SLB 在国内几个地域上线支持 IPV6 负载均衡服务,可以实现阿里云服务无痛支持 IPV6,因为一些历史性原因现有运行的 ECS 即便开启了 IPV6 网关也需要进行大量修改系统和Web程序才能提供双栈访问能力, 但是通过负载均衡 SLB 即可实现平滑兼容。

SLB IPv6 特点:

平滑迁移IPv6,业务无感知:

IPv6 SLB后端可以直接挂载使用IPv4地址的ECS,无需对原有系统做改造,就可以平滑地将业务迁移到IPv6。

通过新增IPv6入口,对原有IPv4业务无任何影响,仅需要在业务总量增加的情况下,适量对后端ECS进行横向扩容即可。

IPv6访问控制让业务部署更加安全可靠:

阿里云负载均衡SLB支持IPv6访问控制,您可以根据业务需要灵活地配置访问控制策略。

  • 访问控制黑名单可有效阻断恶意地址对负载均衡业务的访问。
  • 访问控制白名单仅允许白名单中授权的地址访问负载均衡业务。

值得一提的是,SLB IPv6 实例是需要新开一个 IPv6 实例的,而不是原 IPv4 实例升级支持 IPv6 实例。

如果这时候大家可能已经看不懂 SLB IPv6实例 和 IPv6 转换服务 的区别,可以看一下这篇文章:《一张图看懂阿里云网络产品【十四】》。 其实主要的就是 SLB IPv6 实例用于内网转发ECS流量并拥有更好的负载均衡能力,IPv6 转换服务主要转发公网服务器流量。

v6/v4双栈

阿里云上也有很多产品已经升级成为 IPv6/IPv4 双栈协议,双栈模式下无需多余的协议转换,IPv4和IPv6分别走各自的双栈网络,且在未来可以平滑的过渡到纯IPv6的网络环境。在双栈网络下,双向支持IPv6则优先走IPv6协议,如果不支持双向则走IPv4协议。

VPC IPv6 网关

IPv6网关(IPv6 Gateway)是专有网络(VPC)的一个 IPv6 互联网流量网关。可以通过配置 IPv6 互联网带宽和仅主动出规则,灵活定义 IPv6 互联网出流量和入流量。IPv6 网关可以帮助专有网络下的云产品(截至发稿仅有云服务器ECS)获得公网IPv6能力并进行流量管理的能力,相当于还集成了NAT网关的网络出网流量管理功能。

使用 IPv6 网关可以让云服务器 ECS 在默认公网 IPv4 下获得 v6/v4 双栈的能力。IPv6 网关继承了 IPv6 的优异特性可以为服务器提供更大带宽的公网访问能力,从最大 200Mbps 的 IPv4 公网带宽上升到了 1Gbps 的 IPv6 公网带宽峰值。

DNS 双栈解析

阿里云云解析 DNS 系统支持 IPv6、IPv4 双栈。例如用户如用IPV6网路访问,当本地 DNS 向云解析 DNS 发起请求查询时,云解析 DNS 会将 IPv6、IPv4 的地址全部返回给本地 DNS,由本地 DNS 进行优选将 IPV6 地址返回给用户端。

DNS 作为反馈域名解析结果的产品是 IPv6 环境中非常重要的一环,如果 DNS 不存在 IPv6 节点或不支持 AAAA

记录解析那么网站将无法提供 IPv6-Only 的能力。阿里云 DNS 的免费版支持 IPv6 节点以及提供 AAAA 记录解析。

OSS 双栈访问

对象存储OSS的 Bucket 域名支持 IPv6、IPv4 双栈,使用默认域名即可支持,无需做出额外的改变。截至发稿目前杭州地域的对象存储已经支持 IPv6、IPv4 双栈后续会开放至全部地域。

目前很多应用、业务进行 IPv6 的改造都仅仅只是让服务器获得 IPv6 能力,而没有对应用的对象存储这样的做出该改变,目前 OSS 就可以很好的解决问题。 如果短期内需要让应用获得完整的 IPv6-Only 访问能力,可以考虑将其他地域的 OSS 复制到杭州地域。 或者其他的对象存储厂商迁移至对象存储OSS。

一、阿里云内对象存储OSS跨地域迁移可以使用 基础设置 —— 跨区域复制 进行复制。

二、非阿里云对象存储迁移至对象存储,可以使用 OSSimport2 工具。

CDN 双栈访问

目前,CDN 部分节点已支持 IPv6 进行访问。CDN 的 IPv6 加速也可以帮助业务几乎零成本实现 IPv6-Only 的改造。工单申请 CDN 开通 IPv6 后,即可体验。

不过由于 CDN 的作用是业务加速,部分地域如果没有就近的 IPv6 PoP 节点将不会返回 IPv6,所以部分地域通过 ping -6 将不会反馈得到 IPv6 的解析结果。

CDN IPv6 作用和 IPv6转换服务 类似,基本上只要业务套了它们都可以直接改造成支持 IPv6-Only 访问能力的网站。但是 CDN 的可用性是 99.9% 没有 IPv6转换服务 跨可用区的高可靠性。

安全产品双栈

随着IPv6协议的迅速普及,新的网络环境以及新兴领域均面临着新的安全挑战。目前包括 Web 应用防火墙、DDOS防护包 已经支持 IPv6 安全防护。更多的安全产品是否支持 IPv6 可以关注此页面:IPv6云安全解决方案

针对WAF值得注意的是:目前,仅中国大陆地区的企业版或旗舰版WAF实例支持IPv6安全防护功能。并且 WAF 不支持回源防护 IPv6-Only IP。

针对DDOS防护包值得注意的是:一个防护包实例只能对一种访问流量类型提供防护,不支持同时防护IPv6和IPv4两种类型的访问流量。如果您需要防护不同类型访问流量,请购买两个防护包实例并选择不同的IP类型。 这个机制类似 SLB 支持 IPv6 的模式。

方案

了解了相关拥有 IPv6 能力的产后,我们可以基于不同的业务场景构建不同的 IPv6 实践方案。一般来说,只要用户访问的第一层是支持 IPv6 的那么整个业务都可以支持。 如果第一层的产品不支持那么即便后面的业务都部署了双栈依旧无法提供 IPv6-Only 的访问支持。

例如云服务器ECS设置了 v6/v4 双栈,但是用户访问的第一层是一个仅支持 IPv4 的 SLB 那么还是无法提供 IPv6-Only 的访问支持。

现有业务 IPv6 改造方案

推荐使用产品: 负载均衡SLB IPv6实例云解析 DNS对象存储OSS

一、负载均衡SLB 的 IPv6 实例为现有 云服务器ECS 提供IPv6网络输出

二、云解析DNS提供解析支持,同解析名称在 A 记录解析到 IPv4 地址的基础上,添加 AAAA 记录解析到SLB的IPv6地址

三、如果用对象存储存放了非结构化数据,那么使用 OSS 的域名直接就获得了 IPv6 的能力

参考教程:[【云计算的1024种玩法】只要SLB+DNS,云上IPV6竟然如此简单

新建业务 IPv6 改造方案

推荐使用产品: 负载均衡SLB IPv6实例云服务器ECSIPv6网关云解析 DNS对象存储OSS

一、如果不会云服务器的IPv6双栈,可以直接使用负载均衡SLB 的 IPv6 实例为现有 云服务器ECS 提供IPv6网络输出。

二、使用云服务器设置 IPv6、IPv4 双栈,新建的云服务器可以通过 Cloud-init 初始化过程中运行脚本完成网络设置,这里涉及到的点会比较多,比如说比较老版本的Web软件默认是不开启 IPv6 支持的需要添加相关编译参数或者直接升级用新版。 同时一些防火墙的设置可能也需要额外熟悉一下。

三、云解析DNS提供解析支持,同解析名称在 A 记录解析到 IPv4 地址的基础上,添加 AAAA 记录解析到SLB的IPv6地址

四、如果用对象存储存放了非结构化数据,那么使用 OSS 的域名直接就获得了 IPv6 的能力。

参考教程:阿里云ECS部署 IPv4 IPv6 双栈实践 – 新建篇

线下物理机/多云 IPv6 解决方案

推荐使用产品:IPv6转换服务云解析 DNS

针对已有线下物理机房的业务,IPv6 改造的成本高、周期长、可用性差的情况,就可以考虑直接使用 IPv6转换服务 进行转换。

同时一些其他云服务厂商可能短期内还无法提供 IPv6 服务,同样也可以使用阿里云的 IPv6转换服务 帮助实现 IPv6 访问能力,通过相关检查要求。

不过使用 IPv6转换服务 需要将备案接入阿里云,这个需要一些提前量去进行筹备,以避免因为备案审核的时间延误了相关上线时间点安排的节奏。

参考教程:使用IPV6转换服务实现网站的双栈访问

双栈ECS搭建IPv6反向代理

部分用户如果觉得 IPv6转换服务 比较贵的话,其实可以使用拥有 IPv6 的云服务器ECS搭建反向代理来实现类似 IPv6转换服务 的模式,不过这样自建就没有转换服务来的省心,同时也不具备高可用性的特征。

推荐软件:https://github.com/snail007/goproxy

云安全 IPv6 解决方案

推荐使用产品:DDOS防护包 IPv6版WAF 企业版云解析 DNS

上面的云产品都是不提供安全防护能力的,当然我们也可以通过 IPv6 转换服务将WAF的IP进行转换,但是这样成本会上升,而且这个方法就无法应用于DDOS攻击的防护。

云安全 IPv6 服务提供了进一步的安全防护能力,既可以防护云上业务也可以防御非阿里云或者云下物理机上的业务。针对包年包月安全产品会有对应的安全钉钉支持团队,如果大家不会配置 IPv6 是可以让支撑的同学来帮忙处理。

相关推荐解决方案:

一张图看懂阿里云 IPv6 解决方案

一张图看懂阿里云 IPv6 转换服务

双十一中的IPv6大规模应用实践

SLB IPv6搞定苹果AppStore审核

阿里云应用IPv6改造解决方案最佳实践

欢迎大家针对 IPv6 云上业务解决方案和我一起做沟通。我的钉钉是:huicute

上一篇
下一篇