[农业银行贷款条件]实战 农业银行门户网站 IPv6 改造经验分享
来源:金融电子化作者:中国农业银行?董杨林任红兵中国农业银行按照《金融行业关于贯彻的实施意见》的要求,积极履行作为国有大型商业银行的社会责任,稳步开展全行IPv6部署工作。2019年12月19日,域名正式对外提供IPv6服务,标志着中国农业银行圆满完成门户网站IPv6改造工作,门户网站包含的59个总分行域名全部对外提供IPv4和IPv6服务。截至目前,门户网站系统运行稳定
来源:金融电子化 作者:中国农业银行? 董杨林 任红兵
中国农业银行按照《金融行业关于贯彻<推进互联网协议第六版(IPv6)规模部署行动计划>的实施意见》的要求,积极履行作为国有大型商业银行的社会责任,稳步开展全行IPv6部署工作。2019年12月19日,域名正式对外提供IPv6服务,标志着中国农业银行圆满完成门户网站IPv6改造工作,门户网站包含的59个总分行域名全部对外提供IPv4和IPv6服务。截至目前,门户网站系统运行稳定,各项技术指标正常。2019年12月23日至29日监控数据显示,门户网站访问流量中,IPv4和IPv6流量分别为总流量的90%、10%。在人民银行金融行业IPv6发展监测平台改造情况排行榜中排名前列。
IPv6改造过程
中国农业银行在2018年互联网应用改造试点基础上,2019年1月启动门户网站IPv6改造,改造过程包括确定实施范围、制定技术方案、系统改造及测试、系统上线四个部分。
一是确定实施范围:按照“一行两会”的《实施意见》的要求,发布《中国农业银行IPv6部署工作方案》,明确全行部署工作按照四个阶段开展。2019年为初期部署阶段,工作内容是完成门户网站等系统的IPv6部署工作。
二是制定技术方案:IPv6虽然经过多年发展,但是由于IPv6协议在设计上不兼容IPv4协议,IPv4无法访问IPv6网络,因此要实现现有生产系统平滑升级到IPv6网络,包括系统、网络、安全等多个方面改造内容。通过对双栈技术、地址协议转换、隧道技术三种IPv4-IPv6过渡技术方案分析,结合全行应用部署情况,确定门户网站采用双栈技术完成IPv6改造。
三是业务系统改造及测试:改造初期,制定《中国农业银行IPv6改造技术指引》,为各相关改造系统提供技术指导。在改造工作中,测试是非常重要的环节,直接关系改造工作成功与否,具体包括业务功能,域名解析、单、双栈测试、安全防护、运维监控等方面。
四是投产上线:为确保在上线过程中确保不影响IPv4业务,采取并行方式部署IPv6应用,在系统内部验证后,分阶段逐步发布IPv6服务。
IPv6改造技术方案
中国农业银行门户网站IPv6改造技术方案包括总体架构、应用改造、配套设施建设三个方面内容。
1.总体架构
农业银行门户网站采用双栈技术方案,主要有以下三点考虑:一是IPv4-only演进到IPv6-only不会一蹴而就,可以预见,IPv4-only、IPv6-only和IPv4/IPv6三种网络环境的并存是一个必经且漫长的阶段。二是双栈模式下,所有节点均开启双栈,既可以以双栈模式对互联网(IPv4-only、IPv6-only和IPv4/IPv6)用户提供服务,又能够兼顾系统之间的关联访问场景,适用范围广。三是双栈模式可以在不调整原有IPv4内网网络,新增独立专属的负载均衡设备供IPv6接入,业务系统从IPv4逐步改造支持双栈模式,并独立部署支持IPv6客户访问,这样保证了对原有IPv4业务不产生任何影响,平滑实现系统的改造。
IPv6改造技术改进过程中经过了两阶段演进:
阶段一:新建IPv4/IPv6环境,与IPv4并行。新建IPv4/IPv6网络,从外联接入区设备、外联应用区设备、应用服务器、操作系统、中间件、全部采用双栈模式;同时初步完成应用双栈改造,与原IPv4网络形成并行运行状态,即IPv4业务承载于IPv4网络,IPv6业务承载于IPv4/IPv6网络。
阶段二:新环境接管IPv4流量,双栈运行。在保障IPv4业务的可用性和安全性前提下,待IPv4/IPv6网络运行平稳后,完成IPv4网络、IPv4/IPv6网络融合,实现全网全链路双栈,即IPv4业务和IPv6业务统一承载于IPv4/IPv6网络。此方案IPv4网络和IPv4/IPv6网络分别承载单栈业务,在风险可控的情况下,成功解决IPv4和IPv6兼容问题,平滑实现系统IPv6改造。最终演进的总体架构如图所示。
2.应用改造
目前,农业银行互联网应用按照开发平台划分主要分为三类:.NET应用、Java应用、C语言应用。其中基于.NET、Java应用主要运行在Web容器(IIS、WAS)中对外提供HTTP服务。由于IP协议在七层网络模型中位于网络层,网络层协议的变化,通过操作系统、Web容器的双栈支持能实现应用系统对网络层协议变化的屏蔽,.NET和Java应用改造的重点主要集中在因IPv6地址格式的变化引起的地址处理规则、地址空间等方面的应用层改造。如果应用系统调用底层网络接口,则需要对应用系统做适应性改造以支持IPv4和IPv6。
应用系统改造工作具体包括:
首先是IP地址处理。IPv6地址使用冒号十六制表示:128位地址由冒号分割成8段,每段16位;由于IPv6地址支持压缩前导零和连续几段零压缩为双冒号的标识形式,地址标识与IPv4地址有较大差别。在存储层,需要注意内存空间、存储长度以满足IPv6地址的长度要求;在应用逻辑处理层,需要对通过IP地址获取地理位置信息规则进行更新;对利用IP地址当做集合类主键逻辑,如果缺乏地址表示格式调整,很容易就出现结果不正确的现象。需要高度重视因IP地址结构形式变化而带来的应用改造工作。
其次是网络编程。在使用底层网络接口socket编程时,要注意gethostbyname,gethostbyname2和inet_aton等API对IP地址调用方式,避免缺少对IPv6的支持。
三是关联系统访问。关联系统访问,用域名代替直接使用IP地址硬编码;同时后台关联系统要完成IPv6地址特性处理的相关改造,以适应消费方的变化。
3.配套设施建设
除应用和网络改造,对IPv6配套设施建设采用与IPv4一致的标准。运维监控措方面,完成星云平台监控,网络旁路监控对IPv6的支持;同步建立面向IPv6基础架构领域监控,包括网络流量、负载均衡会话、服务器负载等;安全设备启用对IPv6环境攻击流量的监控和防护。
门户网站IPv6改造经验
综上所述,农业银行门户网站IPv6改造经验如下。
一是加强负载均衡配置信息梳理及更新。实施过程中发现负载均衡配置信息中,存在部分应用系统信息不完善,无法找到系统联系人,后续需要加强信息登记工作;同时,对于负载均衡F5的子目录配置应用系统,需要及时做好下线应用子目录清除,防止对后续工作造成困扰。
二是同一个域名不宜加载过多业务系统。一个域名下的业务系统过多会使得IPv6系统改造工作改造难度加大,关联系统风险较难控制,需要在平常业务系统使用域名方面加强管控。
三是注意确认改造系统依赖的外购产品及组件对IPv6支持情况。对于外购系统以及密码键盘、中间件、安全控件等组件,需要联系厂家正式确认IPv6相关支持情况,并留有足够的时间搭建环境对IPv6支持以及影响情况进行验证测试。
四是将支持IPv6纳入非功能需求架构管控。做好架构宣贯工作,将支持IPv6纳入新建系统的非功能需求中,从制度上保障新系统满足IPv6部署工作相关要求,防止边改造边污染。
五是对多系统共用域名情况在正式发布前进行确认。在发布关联多个应用系统域名的IPv6服务时,确保所有关联系统均完成改造和内部验证,无新增不支持IPv6的系统,避免发布后发现问题造成全部关联系统回退。
六是充分开展内部验证以防范改造风险。在正式发布互联网服务前,通过配置本地hosts解析域名IPv6地址的方式,对应用进行充分的验证。满足内网使用条件的,建议在内网对相关互联网应用进行验证,通过内部员工使用发现解决问题。
七是客户端的验证场景注意涵盖单IPv4、单IPv6和双栈环境。为保证提供的服务能够最大限度的满足用户使用,在验证测试时,需要涵盖单IPv4、单IPv6和双栈环境等三种客户端场景。具体通过在客户端设备上禁用IPv4协议以验证单IPv6环境、禁用IPv6协议以验证单IPv4环境,缺省情况为双栈环境。
站长声明:本文《[农业银行贷款条件]实战 农业银行门户网站 IPv6 改造经验分享》源于网络采集,文章如涉及版权问题,请及时联系管理员删除-https://www.dkgfj.cn/18167.html