概述
国家已经将支持IPv6的关键信息基础设施列入战略重点。本最佳实践依托天翼云边缘安全加速平台的云安全节点形成云安全网络,实现在不改变用户源站网络架构的基础上,快速、高效地完成从IPv4到IPv6的平滑升级,畅享IPv6与IPv4同等的安全防护效果,满足合规要求。
应用场景
- 企业网络改造:企业需要对网络进行IPv6改造,以支持更多的设备接入、更高的网络速度和更全面的服务提供能力。
- 移动互联网服务:IPv6改造服务可以为移动互联网应用提供更强大的支持能力,支持更多的移动设备接入和更快的网络速度。
- 公共服务场所:公共服务场所需要支持IPv6协议,以满足更多用户的需求,提供更好的服务质量。
- 物联网应用:物联网应用需要支持IPv6协议,以支持更多的物联设备接入和更多的数据传输。
- 合规检测:帮助政企网站满足上级单位、测评机构的安全检测需要。
方案优势
- 支持一键式网页外链转化,智能解析IPv6,提供客户无感知网页切换。
- 网站页面高度一致,IPv4/IPv6访问场景下,网页展示效果无明显变化。
- 提供网页深度解析,多级链接请求均提供网页IPv6访问。
- 安全防护能力全面,集成Web防护、CC防护、爬虫防护等多项能力。
- 同时支持IPv4/IPv6双栈协议,系统零改动,实现IPv4/IPv6无障碍通信。
- DNS解析同时支持IPv4及IPv6解析,根据客户端的IP协议,指定以何种协议回源。支持IPv4回IPv4源站及IPv6回IPv6源站。
- 支持IPv6标识,对HTML页面进行改写,在网站指定位置增加一个悬浮窗提示信息: “当前正在使用IPv6网络访问此网站”等信息。
前置条件
执行本文操作之前, 请完成以下准备工作:
- 注册天翼云账号,并完成实名认证。您可以登录天翼云控制中心,并前往实名认证查看是否完成实名认证。
- 天翼云账户余额需要大于100元。您可以登录天翼云管理中心,并前往账户总览页面查看账户余额。
开通以下产品或服务:
| 产品或服务 | 本文示例 | 备注 |
|---|---|---|
| 边缘安全加速平台-->安全与加速服务 | 开通服务:免费版至旗舰版 | 支持IPv6访问功能 支持IPv6支持度检测功能 |
| 边缘安全加速平台-->安全与加速服务 | 开通服务:基础版至旗舰版 | 支持IPv6访问功能 支持IPv6支持度检测功能 支持IPv6外链改造功能 |
注意: 本方案仅作为实践演示,具体环境以用户实际需求为准。
开通边缘安全加速平台-安全与加速服务
步骤1 注册并登录天翼云官网。
步骤2 未实名认证的用户请按提示完成实名认证才能开通服务。
步骤3 实名认证后从产品—网络与CDN—CDN与边缘,找到边缘安全加速平台,点击进入产品详情页快速了解产品,并单击【立即开通】,进入产品开通页面。
步骤4 在订购/升级页面选择安全与加速-基础版及以上版本,支持IPv6访问、IPv6外链改造、IPv6检测等功能,勾选并阅读服务协议,确认无误后点击“立即开通”,边缘安全加速平台—安全与加速服务(边缘云版)服务即开通。
步骤5 边缘安全加速平台—安全与加速服务(边缘云版)服务开通后,便可以边缘安全加速平台控制台进行新增域名的操作。
新增域名
域名归属校验
本文介绍在新增域名操作前,需要域名归属权验证。可根据如下方法一、方法二,任意选择一种方式进行操作验证即可。
方法一 DNS解析验证
步骤1 示例为ctcdn.cn的解析配置。
需在自己的域名解析服务商,添加天翼云控制台返回的TXT记录值(如下记录值仅为示例)。
| 记录类型 | 主机记录 | 记录值 |
|---|---|---|
| TXT | dnsverify | 202207060000002jar4fb2hc79iwjq5cdid87t7rci1sgp33exuyvez4kwonobxt |
步骤2 域名解析操作完成后,等待(建议10分钟)DNS解析生效后即可进行解析验证。
解析命令:dig dnsverify.ctcdn.cn txt
步骤3 如解析出来的txt值和天翼云控制台返回的TXT记录值一致,则表示配置正确。
确认配置正确后,可前往天翼云控制台( https://cdn.ctyun.cn/h5/ctaccessone/),在新增域名界面验证通过就可以正常操作新增域名。
方法二 文件验证
步骤1 示例为ctcdn.cn的解析配置。
在您的源站根目录下,创建文件名为:dnsverify.txt的文件,文件内容为天翼云控制台返回的TXT记录值(如下记录值仅为示例)。
步骤2 文件在源站根目录下创建完成后,即可进行访问验证。(示例为访问http://ctcdn.cn/dnsverify.txt)
windows验证:
linux验证:
步骤3 如访问展示的文件内容和天翼云控制台返回的TXT记录值一致,则表示配置正确。
确认配置正确后,可前往天翼云控制台,在新增域名界面验证通过就可以正常操作新增域名。
新增域名并开启IPv6开关
使用安全与加速服务提供的IPv6服务前,需要先将网站接入到安全与加速服务。未完成接入前,您的加速和安全防护功能将无法生效。本文介绍将指导您如何在控制台中接入域名。
步骤1 进入边缘安全加速平台控制台
1、登录天翼云官网。
2、从产品—网络与CDN—CDN与边缘,找到边缘安全加速平台,点击进入产品详情页,并单击【管理控制台】,进入边缘安全加速平台控制台。
步骤2 新增域名并开启IPv6开关。
- 选择接入管理--域名接入--域名管理,点击【新增域名】。
- 填写网站信息,根据页面的引导填写域名的基本信息和源站设置。
- IPv6开关:新增域名时可以先评估您的域名是否有IPv6需求,若有可以开启IPv6开关,开启后将为域名提供IPv6解析服务。如果要解决IPv6天窗问题(提升二、三级链接IPv6支持度),后续需要在【域名详情】中配置外链改造。
其余配置项:
- 加速域名:填写需要加速和安全防护的域名;需要先通过域名的归属权限校验;
- IPv6开关:开启IPv6,开启后完成IPV6改造,如果要解决ipv6天窗问题(提升二、三级链接IPv6支持度),需要在【站点配置】中配置外链改造;
- 源站:支持IP或域名,最多可添加60个;
- 回源协议:目前仅HTTP协议回源支持自定义端口,HTTPS协议回源使用443端口,跟随请求协议回源将根据请求指定的协议回源到您源站的80或443端口;
- 源站端口:HTTP默认端口为80端口,HTTPS默认端口为443端口,也可以自定义端口;
- 回源HOST:回源host决定了回源请求访问到源站的哪个站点,自定义配置时,请确保您的源站有配置相应的HOST。如果源站是IP类型,回源host默认加速域名;如果源站是域名类型,回源host默认是源站域名。
步骤3 填写网站安全配置。完成网站配置后,单击右下角【填写安全配置】,根据配置指引,完成安全防护配置。
步骤4 在填写完安全配置后,单击右下角【添加完成】,出现添加完成页面,单击【完成】,回到【域名管理】页面。
步骤5 完成新增域名操作后,可通过【域名列表】查看该域名配置是否完成,通过域名的状态字段判断。
当域名状态为“配置中”时,表示域名配置没有完成,正在配置流转中;
当域名状态为“已启用”时,表示域名配置已经完成,您可以通过域名列表中提供的CNAME进行域名解析,接入安全与加速服务。
配置CNAME
要启用安全与加速服务,需要您将防护域名的DNS解析指向我们提供的CNAME,这样访问防护域名的请求才能转发到安全节点上,达到防护效果。
步骤1 复制CNAME
步骤2 添加CNAME记录。
前往您的域名解析(DNS)服务商(如阿里云解析(原万网)、腾讯云解析(原DNSPod)、新网等),添加该CNAME记录。
步骤3 验证服务是否生效。
- 配置CNAME后,不同的服务商CNAME生效的时间也不同,一般新增的CNAME记录会立即生效,修改的CNAME记录会需要较长时间生效;
- 您可以ping或dig您所添加的加速域名,如果被指向 .ctdns.cn,即表示CNAME配置已经生效,功能也已生效。
注意注意:CNAME配置生效时间:新增CNAME记录会实时生效,而修改CNAME记录需要最多72小时生效时间。
IPv6相关功能使用指南
开启IPv6访问
开启IPv6访问功能
步骤1 登录天翼云边缘安全加速平台管理控制台。
步骤2 进入接入管理--域名接入--域名管理,定位您需要配置IPv6的域名,然后打开IPv6访问开关(若您在新增域名时已经打开此开关,则能够直接使用IPv6访问功能)。
注意注意:免费版及以上套餐版本支持IPv6访问功能。
IPv6访问功能验证
可以通过边缘安全加速平台的IPv6检测功能,查看是否已支持IPv6解析以及首页访问。
IPv6检测
支持IPv6支持度检测功能,能够针对IPv6域名解析、网站首页IPv6访问、网站二级/三级链接IPv6支持度进行检测,并输出检测结果以及改进建议。
添加检测网址
- 检测网址:可以从域名列表选择需要IPv6检测的网址,也可以自定义输入已接入域名下的网址,支持输入域名或URL格式。
- 自定义Host:支持指定到一个v6节点来进行检测。
- 点击立即检测。
查看检测结果
- IPv6域名解析:支持检测域名是否支持IPv6解析,若不支持,则建议前往域名列表开启IPv6解析功能。
- 网站首页IPv6访问:支持检测网站首页是否支持IPv6访问,若不支持,则建议开通站点外链替换功能,实现IPv6 访问。
- 网站三级链接IPv6支持度:支持检测网站三级链接是否支持IPv6访问,若不支持,则建议开通站点外链替换功能,实现IPv6 访问。
- 网站二级链接IPv6支持度:支持检测网站二级链接是否支持IPv6访问,若不支持,则建议开通站点外链替换功能,实现IPv6 访问。
查看检测历史记录
若您已经离开检测页面,后续可以在右上角检测历史记录中查看历史检测任务的结果。
支持检测次数
不同套餐版本支持的检测次数有所不同。
- 免费版:支持一个月检测1次
- 基础版:支持一个月检测10次
- 高级版:支持一个月检测20次
- 企业版:支持一个月检测30次
- 旗舰版:支持一个月检测40次
如何解决“天窗”问题
配置步骤
若您通过IPv6检测后,发现网站没有通过IPv6支持度检测,可以通过以下步骤提升IPv6链接支持度。
网站首页IPv6标识。使用IPv6访问时,可以开启IPv6访问标记,则在网页右下角显示您配置的标识内容,如“您正在使用IPv6协议访问本网站”,关闭后不再显示该标记。
- IPv6标识内容:即IPv6访问的标记内容,支持自定义。默认值为“您正在使用IPv6协议访问本网站”。
- IPv6标识显示时长:即标识的显示时长,默认为10秒。
IPv6外链改写。支持对外链进行改写,使外链能够支持IPv6访问。关闭后不再支持外链。
- 网页外链改写层数:即可以配置外链的改写层数,支持选择0-5。默认选择0,即代表不限制外链嵌套层数;若选择3,则代表外链嵌套层数最多支持3层。
- 点击类外链:开启【点击类外链改造】的功能开关,将支持对点击类的外部链接进行改造。
