一、 大势所趋:推进IPv6规模部署应用
IPv6技术本身是互联网演进的必然趋势,也是网络创新的重要方向,同时也是网络强国建设的基础支撑。今天对于技术本身不会展开更多的讨论,更多的是在业务上进行分享。云计算场景现在是数字经济的新的底座,也对IPv6的规模部署和应用创新起到至关重要的作用。在云计算的场景,IPv6对云计算有哪些要求?首先是推进云计算整体基础设施改造的能力,加强云上网络互通的能力,云上云产品对于IPv6提供更好的服务能力,并对企业用户上云提供更好的技术层面支撑。
二、 企业上云部署IPv6的思考
对于上云,客户首先会问到云平台的整体架构是怎么样的?一般云平台的整体架构分为基础设施层、平台基础服务层、融合管控层、云产品、构建的统一运维管理和运营平台等。整体上云平台的服务架构比较复杂,层与层之间、服务与服务之间有很多相互依赖的关系。对于企业IPv6上云的视角,客户不太关心云平台内部组件的依赖关系,更关心的是阿里云对上云尤其是IPv6能够提供哪些技术能力。
针对这一类问题,对于企业上云以用户视角,从业务着手给客户提供服务,除了基础设施侧能力之外,更多的是要构建云上支持IPv6的网络底座,同时增强云上和V4一致性的IPv6安全防护能力,提供整体的IPv6全站改造方案,构建端到端的网络服务能力,包括运维监控能力、安全合规能力、业务连续性能力等等。
三、 云上的IPv6的网络底座
云上的IPv6的网络底座是对于云平台提供的IPv6改造的最重要的能力的一环。云上的网络组件核心是SRB、VPC、AVS、CN等,这些组件本身提供了一些丰富的IPv6的产品特性能力,提供了高速稳定的IPv6底层的网络底座转发能力。云上支持IPv6能力之后,对于IPv6整体的会话数,资源的消耗都产生了额外的影响。所以阿里云需要构建自身的双栈智能的虚拟交换机,通过快慢线层分离、多级缓存和硬件卸载技术提升路由整体的下发效率和速度。
从路由协议层面,通过阿里BGP的协议,构建高性能的路由控制协议算法对整体的路由状态分组和快速的流量切换在平台层面做出更高的优化,为用户提供基础切换的更高的保障。在云上的安全能力方面,客户IPv6上云一般会要求和V4具有等同的安全防护能力。这方面对于IPv6安全有一定的挑战。首先,对于整体的IPv6地址需要的地址空间更密度,阿里云需要构建一套高精度的IPv6地理的信息系统。
通过对于用户行为特征的聚类作为原始数据,用地址智能加工系统对安全提供基础的数据支撑能力。另外,对于应用层次遇到的攻击场景,通过人工智能的深度学习框架和IPv6的威胁特征识别的能力构建应用层恶意清洗的产品系统,做出和V4一致的防护能力。对于常见的DDOX防攻击场景,IPv6有相同产品能力的提升。基于IPv6 prefix聚合防御的算法和IPv6的协同防御形成自己的IPv6 DDOX分布式高性能的安全网关,可以提供一些高性能的安全防护能力,构建云上的IPv6安全可靠的平台。
四、 云上IPv6&IPv4双栈方案全景图
下面的图展示的是云上IPv6和IPv4双栈方案全景图。从用户视角是从客户端访问有很多安全问题,实践过程中依赖客户端发起对于云上的访问,可能客户端发起的流量经过云上的安全设备,进入云平台部署在ECS上的系统,从客户看到的是访问链路。但是云产品侧需要提供各种能力,比如VPC和face Switch需要具备支持双栈能力。VPC开通了IPv6地址之后会自动给下发野马地址,对应的云服务器ECS会获取对应的地址,可以实现平台内部ECS东西向IPv6互访能力。
如果ECS想和云外的面向互联网侧的IPv6客户端或者网站直接互访,需要通过IPv6网关打开公网带宽实现双向互访。如果对于ECS只想主动出现互访,可以在IPv6网关设置一个出现互访的规则,同样能够达到相关目的。对于部署在云上的应用系统,如果面向的客户端是互联网上的客户端,可以借助云上的SRP的TRP产品对外暴露服务。如果应用系统面向的客户端是云内VPC内的客户端,可以借助应用层的负载分担或者网络层的负载分担对服务暴露。ARB和NRB产品自己支持IPv6的转发能力,会把 以v6的形式向后端服务器转发。现在遇到了更多客户希望通过专线方式和云上的业务打通,这种场景会使用云结网CEN的产品能力构建IPv6的高速通道形成云上云下统一的IPv6能力,实现和线上打通的能力。
五、 专有云IPv6&v4双栈-原地升级
整体的IPv6的剪切方案不仅对公有云而且对专有云是同样适用的。专有云是云计算的一种部署形态,在客户机房中部署的一朵全栈云平台,提供和公共云一致的架构体验和用云体验。和公共云不同的是,专有云满足客户的资产自持和数据管理的要求,比如数据不出机房、数据不出省的管理要求都需要专有云场景解决。对于IPv6场景,在公共云的场景客户改造的范围中,他们更关心云产品具备哪些能力。从专有云视角,因为专有云是在客户的机房部署的云,所以需要整体云、底层的基础设施和IPv6的底层资源都需要由客户侧感知,以上基础能力都具备后才能做产品组件、控台组件的能力升级,完成之后才能对IPv6资源的业务侧申请和开通,相关资源开通之后才能给客户上云提供基础能力的支持。
六、 云上IPv6&v4双栈改造阶段
结合整体的IPv6解决方案以及线上应用的实践,阿里云认为IPv6改造是分阶段和分应用的长期过程,不是一蹴而就的,而且各个客户的实际业务需求千差万别。IPv6改造大概分为三个阶段。
第一个阶段是只面向客户在互联网侧通过IPv6业务访问云上系统的业务需求。这种业务需求只需要部署SRB负载均衡以及云上的部分安全组件就可以满足访问需求。
第二个阶段是客户除了对外的应用系统通过对Pv6的访问需求外,还需要客户应用的部分组件需要通过IPv6的访问。针对这种业务需要开通双栈的VPC、双栈的ECS和IPv6的公网网关的产品能力,通过这些产品的叠加也能满足客户整体的业务需求。
第三个阶段是要求更高的阶段,对于云上应用系统和云产品之间以及客户的IDC和整体的云平台的云产品之间做一个整体的全链路的IPv6的打通。这个场景的产品能力在逐步推进过程中,还有一些不满足项,但是整体在解决方案层面已经有一些突破和进展。
这三个阶段完成后,从云的角度,无论是面向互联网侧、专线侧、云平台内部、云平台产品之间具备相应的改造能力为用户提供一个全栈的IPv6的用云环境。
七、 政务云IPv6双栈实践改造
下面结合日常工作中的实践,发现了用户侧IPv6上云的一部分特征,比如政务云类的客户的业务需求是首先满足相关部委电子公共平台的改造以及应用的改造,需要满足IPv6一定支持率的需求。从政策角度,客户本身对于技术细节不太关心,更多关心的是整体部署建设的流程符合相关规范。从解决方案角度,依托于整体的阿里云IPv6的双栈解决方案和客户侧做深度对接和融合。比如在改造初期,会和客户明确需求和明确阿里云需要的资源作为输入列到客户的改造计划中。
在以上基础资源具备的前提之下,启动整体的改造工作,整体的摸底评估和改造方的评审。因为涉及到政务系统,所以需要保证客户业务侧的连续性。做完之后才能升级产品能力、升级底层依赖和业务埋点的持续验证,能够保证基础能力是具备的。改造完成之后,阿里云和客户完成端到端的测试,测试完成后才能保证客户的应用系统。对于政务类客户,经过一些业务项目的输出沉淀了一些标准能力,比如平台IPv6标准改造方案和验收测试的标准化等等,这些都是很好的案例。
八、 金融客户IPv6双栈改造实践
金融客户和政务客户不一样,金融客户的监管单位是银监会,明确的要求是面对互联网侧的应用系统要支持IPv6。其中一个客户场景是要做IPv6的改造,同时要对一些核心数据从公共云搬迁到专有云。对于这种场景,首先客户对应用部署的专有云平台做整体的IPv6的改造,具备相关能力,改造完成后把公共云上的应用迁移到专有云平台上,整体上满足客户既完成应用搬迁的能力同时又支持IPv6改造的能力。
在改造过程中,客户使用了阿里云的双栈SRB、双栈巡检器、双栈VPC、ECS的产品能力,满足了客户从互联网侧的接入、负载均衡的能力以及云服务器部署的能力。总体上是在客户要求的时间点完成了客户应用系统APP的改造,满足了客户业务上的整体诉求。
九、 演进:智算上云IPv6方向
以上分享都是基于已经完成的工作。对于云计算的整体视角和IPv6如何结合,阿里云也有自己的思考。现在的阶段,整体的云计算已经充分拥抱了AI场景。很多展厅介绍AI、大模型、基础设施改造一些方案,整体在行业中为热点的技术研究方向。从阿里云视角看,IPv6结合云计算首先要基于IPv6+构建云底座形成支撑云数据和云空间,同时要增强数据流通和应用融合的能力,这样才是IPv6+云计算演进的方向。
基于ITMA技术构建算力平台网络,支撑一云多算力的业务场景和AI场景下的需要的智算、超算和高性能存储的接入能力。下一步,把IPv6作为基础协议构建整体下一代AI基础设施能力。基于IPv6构建新一代的IDMA网络,目标是做到AI的基础设施和IPv6的深度融合,在智算场景让IPv6发挥更大的作用。当然,现在讨论的技术方向有点前沿。IPv6技术本身很复杂,相信会有很多技术红利,希望和业内各位专家有更多的沟通,细化交流,为IPv6规模部署和创新应用做出自己更大的贡献。
