摘要：?據(jù)預(yù)測，到2020年底我國IPv6終端設(shè)備將達(dá)到5億，正在快速取代IPv4。阿里巴巴網(wǎng)絡(luò)架構(gòu)師張先國先生在2018 年GNTC 大會(huì)IPv6 專場上分享IPv6應(yīng)用集團(tuán)業(yè)務(wù)（支付寶、淘寶、天貓等）的改造經(jīng)驗(yàn)，及賦能企業(yè)（政企門戶、廣電傳媒、視頻網(wǎng)站）快速升級(jí)IPv6 基礎(chǔ)設(shè)施的演進(jìn)步驟。

在11月15日的GNTC IPv6專場峰會(huì)上，阿里巴巴網(wǎng)絡(luò)架構(gòu)師張先國先生首先分享了“阿里巴巴IPv6應(yīng)用平臺(tái)引領(lǐng)下一代互聯(lián)網(wǎng)”主題演講。演講中講述了阿里巴巴為何盡早啟動(dòng)IPv6項(xiàng)目、阿里巴巴PV6應(yīng)用平臺(tái)實(shí)踐、以及阿里巴巴五大應(yīng)用及集團(tuán)各種平臺(tái)如何構(gòu)建在阿里云平臺(tái)之上。

• GNTC大會(huì)背景
  GNTC 作為全球規(guī)模最大的網(wǎng)絡(luò)技術(shù)盛會(huì)之一，是由下一代互聯(lián)網(wǎng)國家工程中心主辦，南京市江北新區(qū)等單位支持，2018年11月14日-16日在南京火熱開幕。本屆GNTC通過2場全體大會(huì)、7場技術(shù)峰會(huì)、1場測試活動(dòng)及GNTC Awards頒獎(jiǎng)典禮等特別活動(dòng)，匯集來自20個(gè)國家、50余個(gè)國際組織、150多位技術(shù)專家，2000+位現(xiàn)場觀眾。

阿里巴巴網(wǎng)絡(luò)架構(gòu)高級(jí)專家 張先國

以下為大家收錄張先國演講摘要：

阿里巴巴在2017年6月份就開始啟動(dòng)IPv6項(xiàng)目，主要原因：1）當(dāng)時(shí)全球有5億以上的IPv6活躍用戶，分布在印度、美國、日本、歐洲這些國家，甚至東南亞也開始了增長。截至現(xiàn)在中國，移動(dòng)端的IPv6終端已經(jīng)達(dá)到了5億。2）未來五年以內(nèi)將有500億的物聯(lián)網(wǎng)終端進(jìn)入互聯(lián)網(wǎng)，如此大體量是IPv4無法支撐的。3）5G正在快速普及，其高帶寬、低時(shí)延、海量接入的特點(diǎn)，無法繼續(xù)使用地址轉(zhuǎn)換、會(huì)話保持、單向訪問的技術(shù)。

• 目前IPv6 項(xiàng)目改造進(jìn)展和成果：

1. 2018年雙十一：阿里巴巴的當(dāng)天交易額總數(shù)是2135億，交易峰值每秒49萬筆，淘寶背后有IPv6支撐全棧業(yè)務(wù)。IPv6的好處是，過去從服務(wù)端只能看到用戶的家庭網(wǎng)關(guān)或者4G網(wǎng)關(guān)，也缺少很多大數(shù)據(jù)。采用IPv6繞過NAT，可以直接看到終端用戶，進(jìn)行精準(zhǔn)分析和服務(wù)。

2. 高德：導(dǎo)航能力非常專業(yè)準(zhǔn)確，是DAU過億的應(yīng)用，雙十一之前抓IPv6 用戶訪問圖，一周數(shù)據(jù)每天早晚高峰服務(wù)非常平順，IPv6在4G或者3G信號(hào)比漫游強(qiáng)，體驗(yàn)非常流暢。

3. 優(yōu)酷：日活過億的應(yīng)用，世界杯期間就開始了IPv6直播，阿里巴巴采用了IPv6的應(yīng)用加速技術(shù)，讓用戶的觀看更加流暢，因?yàn)槭∪チ薔AT轉(zhuǎn)換流程，并且全國IPv6的網(wǎng)絡(luò)是非常通暢的。

• 總體業(yè)務(wù)架構(gòu)與面臨挑戰(zhàn)：

阿里巴巴總體的IPv6總體業(yè)務(wù)架構(gòu)分為接入層互聯(lián)網(wǎng)和應(yīng)用。接入層大多知名品牌終端支持了IPv6。移動(dòng)端訪問運(yùn)營商的互聯(lián)網(wǎng)，然后進(jìn)入阿里巴巴的數(shù)據(jù)中心。應(yīng)用側(cè)包括三層，網(wǎng)絡(luò)、云、應(yīng)用。基礎(chǔ)網(wǎng)絡(luò)包括接入網(wǎng)、骨干網(wǎng)、IDC網(wǎng)絡(luò)、網(wǎng)關(guān)、服務(wù)器；另外就是云平臺(tái)、云網(wǎng)絡(luò)包括阿里巴巴的一些安全系統(tǒng)，CDN、DNS、SLB等，這兩層之上是阿里巴巴改造的五大應(yīng)用，運(yùn)行在云平臺(tái)之上。

這其中面臨的挑戰(zhàn)包含：1）阿里巴巴對(duì)接運(yùn)營商比較復(fù)雜，因?yàn)樵谌珖鄠€(gè)地域要開通IPv6，而早期網(wǎng)絡(luò)對(duì)接是不成熟的，到目前為止還有一些問題正在排查解決優(yōu)化。2）投資量大，因?yàn)榇罅康木W(wǎng)絡(luò)設(shè)備是過去的積累，阿里基礎(chǔ)設(shè)施有上百萬臺(tái)服務(wù)器，涉及到總的硬件投資大概有幾百億以上。3）工作量大，因?yàn)樯婕暗阶兏⑻鎿Q、升級(jí)，數(shù)百臺(tái)的設(shè)備，數(shù)千條鏈路割接，還有大量的運(yùn)營工作。

• 在網(wǎng)絡(luò)架構(gòu)方面，從外向內(nèi)有五層網(wǎng)絡(luò)，接入-廣域-城域-應(yīng)用網(wǎng)絡(luò)-DCN網(wǎng)絡(luò)，內(nèi)網(wǎng)從雙棧向IPv6 only演進(jìn)，在這演進(jìn)過程中，阿里巴巴在這個(gè)網(wǎng)絡(luò)的升級(jí)演進(jìn)過程相當(dāng)于開著飛機(jī)換引擎，成本及穩(wěn)定性成為兩大挑戰(zhàn)。另外就是技術(shù)方面的挑戰(zhàn)，包含路由爆表、安全規(guī)則資源不足、管控適配等等。
  

• 在電商業(yè)務(wù)架構(gòu)方面，首先移動(dòng)端PC端都是采用統(tǒng)一接入，可以讓用戶體驗(yàn)更好，一次連接可以訪問所有的模塊，包括天貓超市、餓了么這些業(yè)務(wù)。但是IPv6演進(jìn)也帶來一些業(yè)務(wù)風(fēng)險(xiǎn)，包含600個(gè)以上的應(yīng)用及5億以上用戶逐步切換到IPv6的過程以及面臨DDoS攻擊等風(fēng)險(xiǎn)。

• 在應(yīng)用體驗(yàn)方面，因?yàn)榘⒗锇桶虸Pv6網(wǎng)絡(luò)今年開始大規(guī)模的建設(shè)改造，包括運(yùn)營商網(wǎng)絡(luò)和企業(yè)的網(wǎng)絡(luò)都是這樣，這個(gè)網(wǎng)絡(luò)是不成熟的，也有大量的連接失敗率，及較高的網(wǎng)絡(luò)延時(shí)。另外回落時(shí)間過長，還有大量的MTU導(dǎo)致的丟包問題，對(duì)網(wǎng)絡(luò)應(yīng)用都是一個(gè)挑戰(zhàn)。

基于以上問題及挑戰(zhàn)，阿里巴巴也逐漸發(fā)展了解決方案。阿里巴巴的網(wǎng)絡(luò)優(yōu)化方案分成三個(gè)層面：1）物理網(wǎng)絡(luò)的覆蓋 2）自研虛擬網(wǎng)絡(luò)平臺(tái) 3）應(yīng)用調(diào)度三個(gè)領(lǐng)域。

• 在物理網(wǎng)絡(luò)方面，阿里在全國超過20個(gè)IDC已經(jīng)支持了IPv6，帶寬每個(gè)區(qū)域出口達(dá)到了2T以上的帶寬，北京、上海、深圳等等出口都超過了2個(gè)T。另外CDN在全國各地實(shí)現(xiàn)了IPv6的應(yīng)用加速，可以保證更優(yōu)質(zhì)的業(yè)務(wù)體驗(yàn)。此外，阿里巴巴透過全國各地的探測系統(tǒng)、移動(dòng)端APP實(shí)時(shí)發(fā)現(xiàn)用戶質(zhì)量問題，把這些質(zhì)量數(shù)據(jù)問題送給網(wǎng)絡(luò)大腦--活水，活水系統(tǒng)會(huì)把這些信息進(jìn)行大數(shù)據(jù)分析，分析之后傳送給控制器，再進(jìn)行網(wǎng)絡(luò)層調(diào)度和應(yīng)用層的調(diào)度，包括SRTE網(wǎng)絡(luò)調(diào)度、BGP路由調(diào)度，以及應(yīng)用層DNS方案調(diào)度，加上有多個(gè)運(yùn)營商出口，進(jìn)行同城多出口的調(diào)度，也可以進(jìn)行異地的調(diào)度。

• 在虛擬網(wǎng)絡(luò)技術(shù)平臺(tái)方面，以下這張圖是阿里巴巴自研的一套網(wǎng)絡(luò)平臺(tái)，左邊是轉(zhuǎn)發(fā)層面業(yè)務(wù)，右邊是管控層面系統(tǒng)。主要核心技術(shù)包含右邊的Netframe轉(zhuǎn)發(fā)支撐平臺(tái)，擁有400G級(jí)IPv6的轉(zhuǎn)發(fā)能力，另外就是AliBGP，實(shí)現(xiàn)跨廠商路由協(xié)議對(duì)接，解決了多廠商兼容性的問題；最后是AliGuard可以提供一個(gè)T能力的抗攻擊能力，有效的防御黑產(chǎn)的攻擊。
  

• 在應(yīng)用鏈路和網(wǎng)絡(luò)方面，應(yīng)用層大概分三步，首先左側(cè)是APP移動(dòng)端：

1. 進(jìn)行DNS解析，包括PC端方案和移動(dòng)端的解析方案

2. 地址解析到靜態(tài)加速一個(gè)域名，可以進(jìn)行靜態(tài)頁面或者圖片視頻加載，這就指向CDN服務(wù)。

3. 動(dòng)態(tài)業(yè)務(wù)請(qǐng)求服務(wù)指向阿里巴巴的VIP，實(shí)現(xiàn)云上負(fù)載均衡。

當(dāng)后端的業(yè)務(wù)需要客戶的原始IP時(shí)，采用TOA攜帶用戶原始的IP，流轉(zhuǎn)到阿里巴巴的Proxy，把IP信息插入HttpHeader，攜帶原始IP傳遞給后端Nginx，可通過X-Forwarded-For方法獲取real-IP。

• 在應(yīng)用調(diào)度能力方面，因?yàn)榘⒗锇桶陀写罅繎?yīng)用都是日活超過一億的，所以必須漸進(jìn)式切換到IPv6，有兩個(gè)方案：

1. PC端或者瀏覽器端：
   域名請(qǐng)求先走到本地的運(yùn)營商一般是本省，再向阿里云權(quán)威DNS。阿里云DNS能提供高達(dá)1T抗攻擊能力的DNS服務(wù)，目前承載了全國1200萬域名服務(wù)系統(tǒng)，并在全球18個(gè)region部署了Anycast技術(shù)。標(biāo)準(zhǔn)DNS也有缺點(diǎn)，因?yàn)檎{(diào)度是按省份，一個(gè)省全切上去，風(fēng)險(xiǎn)較大，生效較慢。

2. 移動(dòng)端HttpDNS：
   需要在終端的APP嵌入SDK，需要域名解析的時(shí)候，終端通過Http協(xié)議請(qǐng)求，這樣就繞過了傳統(tǒng)Local DNS解析過程。有幾個(gè)好處：a）域名精準(zhǔn)調(diào)度，可以按照更細(xì)的百分比，而且還可以加灰度白名單，控制測試用戶先上一些IPv6。b）域名防劫持，以前的標(biāo)準(zhǔn)DNS走UDP協(xié)議很容易被劫持，HTTP DNS很難被劫持或者是攻擊。c）域名變更比以前快了很多，過去是五分鐘生效，現(xiàn)在是秒級(jí)生效。

總結(jié)整個(gè)阿里巴巴五大應(yīng)用和各種平臺(tái)，都是構(gòu)建在阿里的云這個(gè)平臺(tái)之上包括計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)、數(shù)據(jù)庫安全，阿里大體量的應(yīng)用在一年不到的時(shí)間內(nèi)就可以實(shí)現(xiàn)上線的程度，原因是依賴了已經(jīng)構(gòu)建好的阿里云平臺(tái)，云網(wǎng)絡(luò)。阿里云IPv6產(chǎn)品和方案已經(jīng)服務(wù)了200個(gè)行業(yè)的場景。

IPv6項(xiàng)目是一個(gè)冷啟動(dòng)的項(xiàng)目，今年在國家政策推動(dòng)下加速，各個(gè)領(lǐng)域都沒有準(zhǔn)備好，阿里之所以快了一點(diǎn)，早在去年就開始投入。人類智慧發(fā)展之所以這么快，是因?yàn)闃?gòu)建在別人的肩膀之上，應(yīng)用的演進(jìn)也是這樣的，希望大家可以把自己的應(yīng)用平臺(tái)，構(gòu)建在云計(jì)算的平臺(tái)之上，實(shí)現(xiàn)更快的升級(jí)迭代。