spacenet ag joseph-dollinger-bogen 14 80807 münchen – wir haben die lokalisten ipv6-fähig...
TRANSCRIPT
SpaceNet AG • Joseph-Dollinger-Bogen 14 • 80807 München – http://www.space.net/
Wir haben die Lokalisten
IPv6-fähig gemacht
und es hat gar nicht weh getan
Warum IPv6 gar nicht so kompliziert ist
Gert Döring, SpaceNet AG, München
Heise IPv6-Konferenz, 20.5.2010, Frankfurt
SpaceNet AG • Joseph-Dollinger-Bogen 14 • 80807 München – http://www.space.net/
Langer Titel, kurzer Vortrag
• Wir haben es eingeschaltet
• Es hat funktioniert
• Keine Schmerzen
• Irgendwelche Fragen?
SpaceNet AG • Joseph-Dollinger-Bogen 14 • 80807 München – http://www.space.net/
Warum dann einen Vortrag…?
• Weil heise.de immer noch kein IPv6 hat!
• Die Idee:• Vorgehensweise zur IPv6-fizierung eines
komplexen Websetups zeigen
• Erfahrungsbericht
• Vorbehalte ausräumen
• Potentielle Probleme aufzeigen
SpaceNet AG • Joseph-Dollinger-Bogen 14 • 80807 München – http://www.space.net/
Ein Blick auf ein Hosting-Provider-Netz…
peeringrouter
upstreamrouter
accessrouter
databasefirewall
to customer
load-balancer
web server
access providers
transit providers
MailserverAnti-
Spam
DNS-Server IPv6 OK
IPv6 problematisch
SpaceNet AG • Joseph-Dollinger-Bogen 14 • 80807 München – http://www.space.net/
Wer sind die Lokalisten?
• Eines der grösseren (süd-)deutschen „social networks“: http://www.lokalisten.de
• #84 in Alexa‘s Top 100 für Deutschland• komplexes Setup, ca. 250 Server• Einige kritische Komponenten nicht IPv6-fähig:
• Load-Balancer können kein IPv6• Datenbank-Systeme können kein IPv6
• Interesse an IPv6 ist da, soll aber „nichts kosten“• Frage an uns: wie bringen wir den Kunden
mit vertretbarem Aufwand ins IPv6-Internet?
SpaceNet AG • Joseph-Dollinger-Bogen 14 • 80807 München – http://www.space.net/
Lokalisten.DE – die Technik (vereinfacht)
LoadBalancer
Access-Router
Web Server Database Server
Image Cache Image Server
Storage
IPv4 User
IPv6 User
???
IPv4 request
IPv6 request
SpaceNet AG • Joseph-Dollinger-Bogen 14 • 80807 München – http://www.space.net/
Lokalisten.DE – wie kommen wir zu IPv6?
• Ziel:• Enduser mit IPv6-Connectivity sollen
„lokalisten.de“ über IPv6 erreichen können
• Annahme: IPv6-Anteil erstmal deutlich unter 5%
• Nicht-Ziele:• gesamte Plattform auf „IPv6-only“ umstellen
• D.h.: interne IPv4-Verbindungen zu Daten-banken, Storage, usw. bleiben auf IPv4
• minimale Implementation für den Anfang
SpaceNet AG • Joseph-Dollinger-Bogen 14 • 80807 München – http://www.space.net/
Lokalisten.DE – minimal IPv6 implementation
LoadBalancer
Access-Router
Web Server Database Server
Image Cache Image Server
Storage
IPv4 User
IPv6 Proxy
IPv6 UserApache-basierter Proxyforwarded eingehendeIPv6-Connects über IPv4zum Loadbalancer, Restder Plattform unverändert
IPv4 request
IPv6 request
SpaceNet AG • Joseph-Dollinger-Bogen 14 • 80807 München – http://www.space.net/
Lokalisten.de – minimale Implementation
• IPv6 auf dem Access-Router einschalten• Stateless auto-configuration wird deaktiviert(!)
• Dedizierte Maschine mit IPv4- und IPv6-Connectivity: v4/v6 proxy server
• v4/v6 proxy nimmt IPv6-Verbindungen von Clients an, und forwarded sie über IPv4 zum Loadbalancer bzw. zu den Server-Clustern
• Request wird auf den normalen Servern bearbeitet und via v4/v6 proxy an IPv6 user ausgeliefert
• Nach erfolgreichen internen Tests: IPv6-Adresse im DNS eintragen (AAAA), global sichtbar
SpaceNet AG • Joseph-Dollinger-Bogen 14 • 80807 München – http://www.space.net/
Nächste Schritte: SMTP
• zum „Internet Face“ einer Plattform gehört auch Mail…
• In-Mail (MX smtp.lokalisten.de)• IPv6 in System und Postfix konfigurieren, greylister
aktualisieren, DNS-Eintrag, geht• Zeitaufwand: ca. 2h
• Out-Mail• Load-Sharing über 6 Systeme• sechs Wochen auf einem System getestet, dann alle• wesentlicher Punkt: reverse und forward DNS muß
stimmen, bevor die erste Mail über v6 ausgeliefert wird – sonst lehnt z.B. freenet.de die Mail gleich ab
• Zeitaufwand: insgesamt ca. ein Tag
SpaceNet AG • Joseph-Dollinger-Bogen 14 • 80807 München – http://www.space.net/
Nächste Schritte: „ordentliche“ Implementation
• IPv6 direkt auf dem Load-Balancer aktivieren• „alter“ Load-Balancer wurde inzwischen aus anderen
Gründen (Performance, Stabilität) ersetzt• neuer Loadbalancer (Zeus ZXTM) kann IPv6 „out of
the box“• damit kann v4/v6-Proxy wieder verschwinden• Umstellung bei Bedarf (d.h. wenn die Last auf dem
Proxy spürbar ist) – vorher kein Aufwand
• Irgendwann können dann auch interne Verbindungen auf IPv6 umgestellt werden• Wartungszugänge (OpenVPN), DB-Connects, …• vollkommen unabhängig von allem anderen
SpaceNet AG • Joseph-Dollinger-Bogen 14 • 80807 München – http://www.space.net/
Statistiken – Web-Traffic
SpaceNet AG • Joseph-Dollinger-Bogen 14 • 80807 München – http://www.space.net/
Statistiken II
• Ca 0.3% des Web-Traffics (IP-Volumen) für www.lokalisten.de ist heute IPv6• Viele Zugriffe aus dem Münchner Hochschul-Netz
(native) und von Cablesurf München (ISATAP)• Day-of-Week-Effekte sichtbar
• genau gar keine (0) Klagen von Usern bisher über Probleme durch die IPv6-Einführung
• normale User merken den Unterschied zwischen IPv4 und IPv6 auch nicht – gleiche Server, gleiche URLs, gleicher Dienst
• Bereits 3.5% (!) des Mail-Traffics ist IPv6
SpaceNet AG • Joseph-Dollinger-Bogen 14 • 80807 München – http://www.space.net/
Aber, aber, aber…
• Gängige Befürchtungen, warum „es“ nicht funktionieren wird…
• kaputte DNS-Resolver in Home-Routern• sind unzweifelhaft ein (geringes) Problem
• wirkt üblicherweise schon auf AAAA-Query
• also relativ egal ob Website IPv6-Record hat oder nicht, das Problem besteht, sobald ein Client IPv6-fähig ist
• muss separat betrachtet und gelöst werden
SpaceNet AG • Joseph-Dollinger-Bogen 14 • 80807 München – http://www.space.net/
Aber, aber, aber… (2)
• Schlechte Performance durch getunneltes IPv6?• Clients mit korrekter RFC 3484 policy table
verwenden getunneltes IPv6 nur im Notfall, d.h. bevorzugen IPv4 vor 6to4 oder Teredo
• Windows hat 6to4 und Teredo zwar default-on, aber korrekte Policy-Table
• Problem bei Opera 10 vor 10.50 (fixed!)
• MacOS X hat zwar problematische Policy-Table, aber im Default-Zustand keine 6to4/Teredo-Interfaces
• Statistiken bei http://fud.no/ipv6/
• Restprobleme betreffen ca. 0.04% der User
SpaceNet AG • Joseph-Dollinger-Bogen 14 • 80807 München – http://www.space.net/
Aber, aber, aber… (3)
• Mangelhafte IPv6-Unterstützung in Ad-Networks usw.• Anzeigenserver haben nur IPv4
• Zählpixel von IVW kommt nur über IPv4
• Clients kommen damit problemlos zurecht, einzelne Seitenbestandteile über v6 und andere über v4 zu holen
• Hier wieder Huhn-und-Ei zu spielen ist nicht zielführend – Druck auf Dienstleister machen!
SpaceNet AG • Joseph-Dollinger-Bogen 14 • 80807 München – http://www.space.net/
Und wo ist der Rest der Hühner…?
• Und die Access-Seite („Eyeballs“)…?
• „die Szene bewegt sich“
• Ankündigungen von Vodafone, Kabel Deutschland, M‘Net, DTAG
• Mit ersten „Massenmarkt“-Zugängen mit IPv6 ist Q3/Q4 2010 zu rechnen
• Bis dahin gibt‘s kleinere Anbieter wie tal.de, rh-tec.de, KGT, … SpaceNet
SpaceNet AG • Joseph-Dollinger-Bogen 14 • 80807 München – http://www.space.net/
Zusammenfassung
• Die Aktivierung von IPv6 in einer großen und komplexen Web-Plattform ist keine Hexerei(„not rocket science“ )
• IPv6 kann Schritt-für-Schritt eingeführt werden, mit wenig Aufwand in jedem Schritt und damit auch wenig Schadenspotential
• Komponenten ohne IPv6-Support kann man oft einfach erstmal ignorieren und bei den nächsten nötigen Upgrades mit erledigen
• IPv6-Einführung geht ohne Beeinträchtigung der „User Experience“ der IPv4-User
SpaceNet AG • Joseph-Dollinger-Bogen 14 • 80807 München – http://www.space.net/
Finis
• Noch Fragen? Jederzeit gerne an [email protected]
• die SpaceNet AG…• Internet Service Provider seit 1994• Ihr Partner für komplexe Hosting-Lösungen• IPv6-Erfahrung seit 1997• http://www.space.net (natürlich mit IPv6!)