本文根據《中國人民銀行 中國銀保監會 中國證監會關於金融行業貫徹〈推進互聯網協議第六版( IPv6 )規模部署行動計劃〉的實施意見》銀髮〔 2018 〕 343 號文件的要求,在充分調研與交流的基礎上,結合中小銀行信息系統 IT 基礎架構情況,初步形成了中小銀行 IPv6 建設規劃與規模部署思路,即為了切實貫徹落實國家戰略部署及行業監管要求,同時更好的支撐與保障銀行業務發展,以“總體規劃,分步實施,穩步推進”為總體思路,以實現雙中心、雙協議棧應用雙活部署為總體目標,同時實現雙協議棧的自動化控制及可視化監控。
在初期規劃時選擇新建單獨 IPv6 接入區的方式實現業務發佈。IPv6 接入區中通過智能 DNS 實現 AAAA 記錄的發佈以及流量的智能調度。在滿足當前業務需求的前提下,為 2020 年實現更高的 IPv6 業務連續性提供架構保障。通過本地負載均衡 LTM 實現 IPv6 業務的發佈和改造初期的應用適配。整體建設上將 IPv6 區域以灰度發佈的思路進行部署, 對於業務最關鍵的價值是 IPv6 區域的故障完全不影響原 IPv4 區域業務的安全穩定運行。初期規劃 既保證了 成本的合理可控,又為後續漸進式改造部署提供了靈活性及可拓展性。
DNS 智能引導的必要性
IPv6 規模建設初期,全國範圍內實現運營商互通的骨幹交換節點數量有限。運營商之間通信可能通過較長的路徑到達數據中心,跨運營商通信的業務延遲將會對用戶體驗帶來影響。因此在 DNS 解析層面需要實現智能的流量引導。其中最基本的原則是根據 LDNS 所屬的運營商做智能的判斷,返回給 LDNS 相同運營商的業務地址。DNS 設備在選型時需要考慮設備自身 IPv6 地址庫的完整性、可自定義性和可更新性。在此基礎上,還需要對運營商線路進行實時有效的監控,並可通過 DNS 設備反應出線路的故障,實現線路故障時平滑切換到其他 IPv6 或 IPv4 線路。初期 IPv6 上線過程中,可能存在沒有申請全部運營商線路的情況,為了保證客戶體驗需 DNS 設備通過動態 RTT 監測,選擇 RTT 最優的線路返回業務地址。總之,智能 DNS 作為流量引導的“大腦”,通過合理的算法組合確保終端用戶能夠以最優的路徑訪問到數據中心。
改造初期應用層適配
初期 IPv6 改造中重點需要考慮的應用層問題是客戶端地址溯源和外鏈天窗的適配。IPv6 地址轉換成 IPv4 地址後,對於 C/S 架構的應用可以將客戶端真實地址插入到 TCP Option 中,後端程序需要開發相應的模塊對 TCP Option 中的真實地址進行提取。對於 B/S 架構的應用,可以將客戶端真實地址插入到 X-Forward-For 頭中,後端程序針對相應的插入位置進行提取即可。如果後端程序提取 IPv6 地址存在困難,也可通過應用交付設備將地址轉換前後的對應列表以日誌的方式輸出到外部日誌平臺。
IPv6 改造過程中的應用天窗問題關乎客戶體驗,也是不可忽視的一個環節。此問題可通過應用交付設備上的可編程功能功能來完美的實現適配,遵循的基本原則是將外鏈替換為數據中心自身的地址,通過應用交付設備代理客戶端訪問外鏈地址。在實際改造中會碰到一些負載的外鏈,例如多層 js 嵌套的外部鏈接,需要對 js 進行分析後進行相應的適配。通過外鏈天窗的適配,可以保證終端客戶無感知的切換到 IPv6 服務。
IPv6 是關乎國家戰略的一項任重而道遠的任務,在規模部署過程中我們要做到穩步前行逐漸推廣。在實現 IPv6 業務發佈的同時又不能夠影響到現有 IPv4 業務的穩定性,而且在雙協議棧運行的場景下要保證客戶訪問的體驗,更要保護業務的安全。雙中心雙協議棧運行場景下,自動化和可視化將變為不可或缺的兩個關鍵條件,在 IPv6 整體建設中也需要重點考慮。
本章部分素材來源: twt企業IT社區
閱讀更多 上海大數據股份 的文章