Kurz: Migrace clusteru Serveru WebLogic do Azure s využitím služby Aplikace Azure Gateway jako nástroje pro vyrovnávání zatížení

Tento kurz vás provede procesem nasazení serveru WebLogic (WLS) se službou Aplikace Azure Gateway. Popisuje konkrétní kroky pro vytvoření služby Key Vault, uložení certifikátu TLS/SSL ve službě Key Vault a použití daného certifikátu pro ukončení protokolu TLS/SSL. I když jsou všechny tyto prvky dobře zdokumentované svým vlastním právem, tento kurz ukazuje konkrétní způsob, jak všechny tyto prvky dohromady vytvářejí jednoduché, ale výkonné řešení vyrovnávání zatížení pro WLS v Azure.

Vyrovnávání zatížení je základní součástí migrace clusteru Oracle WebLogic Serveru do Azure. Nejjednodušším řešením je použít integrovanou podporu pro Aplikace Azure Gateway. Služba App Gateway je součástí podpory clusteru WebLogic v Azure. Přehled podpory clusteru WebLogic v Azure najdete v tématu Co je Oracle WebLogic Server v Azure?.

V tomto kurzu se naučíte:

• Volba způsobu poskytnutí certifikátu TLS/SSL službě App Gateway
• Nasazení serveru WebLogic s Aplikace Azure Gateway do Azure
• Ověření úspěšného nasazení služby WLS a služby App Gateway

Požadavky

• OpenSSL na počítači, na kterém běží prostředí příkazového řádku podobné systém UNIX.

  I když pro správu certifikátů můžou být k dispozici další nástroje, v tomto kurzu se používá OpenSSL. OpenSSL, který je součástí mnoha distribucí GNU/Linuxu, jako je Ubuntu, najdete.

• Aktivní předplatné Azure.

  • Pokud ještě nemáte předplatné Azure, vytvořte si bezplatný účet.

• Možnost nasadit jeden z Aplikace Azure WLS uvedených na Aplikace Azure serveru Oracle WebLogic.

Kontext migrace

Tady je několik věcí, které byste měli zvážit při migraci místních instalací služby WLS a služby Aplikace Azure Gateway. I když kroky tohoto kurzu představují nejjednodušší způsob, jak před clusterem Serveru WebLogic v Azure vystát nástroj pro vyrovnávání zatížení, existuje mnoho dalších způsobů, jak to udělat. V tomto seznamu jsou uvedeny některé další věci, které je potřeba vzít v úvahu.

• Pokud máte existující řešení vyrovnávání zatížení, ujistěte se, že jsou jeho možnosti splněné nebo překročené službou Aplikace Azure Gateway. Souhrn možností služby Aplikace Azure Gateway v porovnání s jinými řešeními pro vyrovnávání zatížení Azure najdete v tématu Přehled možností vyrovnávání zatížení v Azure.
• Pokud vaše stávající řešení vyrovnávání zatížení poskytuje ochranu zabezpečení před běžným zneužitím a ohrožením zabezpečení, služba Application Gateway vás probrala. Integrovaná firewall webových aplikací (WAF) služby Application Gateway implementuje základní sady pravidel OWASP (Open Web Application Security Project). Další informace o podpoře WAF ve službě Application Gateway najdete v části Firewall webových aplikací funkcí služby Aplikace Azure Gateway.
• Pokud vaše stávající řešení vyrovnávání zatížení vyžaduje kompletní šifrování TLS/SSL, budete muset po provedení kroků v této příručce provést další konfiguraci. Přečtěte si část Kompletní šifrování TLS v části Přehled ukončení protokolu TLS a koncového šifrování TLS se službou Application Gateway a dokumentaci Oracle ke konfiguraci SSL v middlewaru Oracle Fusion.
• Pokud optimalizujete cloud, v této příručce se dozvíte, jak začít od začátku s bránou Aplikace Azure a službou WLS.
• Komplexní průzkum migrace Serveru WebLogic do služby Azure Virtual Machines najdete v tématu Migrace aplikací serveru WebLogic do služby Azure Virtual Machines.

Nasazení serveru WebLogic se službou Application Gateway do Azure

V této části se dozvíte, jak zřídit cluster WLS s Aplikace Azure Gateway automaticky vytvořený jako nástroj pro vyrovnávání zatížení pro uzly clusteru. Služba Application Gateway použije zadaný certifikát TLS/SSL pro ukončení protokolu TLS/SSL. Podrobné informace o ukončení protokolu TLS/SSL se službou Application Gateway najdete v tématu Přehled ukončení protokolu TLS a koncového šifrování TLS se službou Application Gateway.

K vytvoření clusteru WLS a služby Application Gateway použijte následující postup.

Nejprve zahajte proces nasazení serveru WebLogic nakonfigurovaného nebo dynamického clusteru, jak je popsáno v dokumentaci Oracle, ale po dosažení Aplikace Azure Brány se vraťte na tuto stránku, jak je znázorněno zde.

Volba způsobu poskytnutí certifikátu TLS/SSL službě App Gateway

Pro aplikační bránu máte několik možností, jak poskytnout certifikát TLS/SSL, ale můžete zvolit jenom jeden. Tato část vysvětluje jednotlivé možnosti, abyste si mohli vybrat tu nejlepší pro vaše nasazení.

Možnost jedna: Nahrání certifikátu TLS/SSL

Tato možnost je vhodná pro produkční úlohy, kde app Gateway čelí veřejnému internetu nebo pro intranetové úlohy, které vyžadují protokol TLS/SSL. Výběrem této možnosti se služba Azure Key Vault automaticky zřídí tak, aby obsahovala certifikát TLS/SSL používaný službou App Gateway.

Pokud chcete nahrát existující podepsaný certifikát TLS/SSL, postupujte následovně:

1. Postupujte podle kroků od vystavitele certifikátu a vytvořte certifikát TLS/SSL chráněný heslem a zadejte název DNS certifikátu. Jak zvolit zástupný znak vs. certifikát s jedním názvem je nad rámec tohoto dokumentu. Každý z nich tady bude fungovat.
2. Exportujte certifikát od vystavitele pomocí formátu souboru PFX a stáhněte ho do místního počítače. Pokud váš vystavitel nepodporuje export jako PFX, existují nástroje pro převod mnoha formátů certifikátů do formátu PFX.
3. Vyberte část Aplikace Azure Gateway.
4. Vedle Připojení bránu Aplikace Azure vyberte Ano.
5. Vyberte Nahrát certifikát SSL.
6. Vyberte ikonu prohlížeče souborů pro pole certifikát SSL. Přejděte na stažený certifikát formátu PFX a vyberte Otevřít.
7. Zadejte heslo certifikátu do polí Heslo a Potvrďte heslo .
8. Zvolte, jestli chcete zakázat veřejný provoz přímo na uzly spravovaných serverů. Když vyberete Ano , nastaví se to tak, aby spravované servery byly přístupné jenom prostřednictvím služby App Gateway.

Výběr konfigurace DNS

Certifikáty TLS/SSL jsou přidružené k názvu domény DNS v době, kdy je vystavitel certifikátu vydává. Podle kroků v této části nakonfigurujte nasazení s názvem DNS pro certifikát. Můžete použít zónu DNS, kterou jste už vytvořili, nebo povolit nasazení, aby ji vytvořilo za vás. Pokračujte výběrem oddílu Konfigurace DNS.

Použití existující zóny Azure DNS

Pokud chcete použít existující zónu Azure DNS se službou App Gateway, postupujte následovně:

1. Vedle možnosti Konfigurovat vlastní alias DNS vyberte Ano.
2. Vedle možnosti Použít existující zónu Azure DNS vyberte Ano.
3. Zadejte název zóny Azure DNS vedle názvu zóny DNS.
4. Zadejte skupinu prostředků, která obsahuje zónu Azure DNS z předchozího kroku.

Povolit nasazení vytvořit novou zónu Azure DNS

Pokud chcete vytvořit zónu Azure DNS pro použití se službou App Gateway, postupujte následovně:

1. Vedle možnosti Konfigurovat vlastní alias DNS vyberte Ano.
2. Vedle možnosti Použít existující zónu Azure DNS vyberte Ne.
3. Zadejte název zóny Azure DNS vedle názvu zóny DNS. Ve stejné skupině prostředků jako WLS se vytvoří nová zóna DNS.

Nakonec zadejte názvy podřízených zón DNS. Nasazení vytvoří dvě podřízené zóny DNS pro použití se službou WLS: jednu pro konzolu pro správu a jednu pro službu App Gateway. Pokud je například název zóny DNS "contoso.net", můžete jako hodnoty zadat správce a aplikaci . Konzola pro správu by byla dostupná na adrese admin.contoso.net a služba App Gateway by byla dostupná na adrese app.contoso.net. Nezapomeňte nastavit delegování DNS, jak je popsáno v tématu Delegování zón DNS s Azure DNS.

Další možnosti poskytnutí certifikátu TLS/SSL službě App Gateway najdete v následujících částech. Pokud jste s vybranou možností spokojeni, můžete přejít do části Pokračovat v nasazení.

Možnost 2: Identifikace služby Azure Key Vault

Tato možnost je vhodná pro produkční nebo neprodukční úlohy v závislosti na poskytnutém certifikátu TLS/SSL. Pokud nechcete, aby nasazení vytvořilo Azure Key Vault, můžete ho identifikovat nebo si ho vytvořit sami. Tato možnost vyžaduje, abyste před pokračováním uložili certifikát a jeho heslo do služby Azure Key Vault. Pokud máte existující službu Key Vault, kterou chcete použít, přejděte do části Vytvoření certifikátu TLS/SSL. V opačném případě pokračujte k další části.

Vytvoření služby Azure Key Vault

V této části se dozvíte, jak pomocí webu Azure Portal vytvořit azure Key Vault.

1. V nabídce webu Azure Portal nebo na domovské stránce vyberte Vytvořit prostředek.
2. Do vyhledávacího pole zadejte Key Vault.
3. V seznamu výsledků zvolte Key Vault.
4. V části Key Vault zvolte Vytvořit.
5. V části Vytvořit trezor klíčů zadejte následující informace:
   • Předplatné: Zvolte předplatné.
   • V části Skupina prostředků zvolte Vytvořit nový a zadejte název skupiny prostředků. Poznamenejte si název trezoru klíčů. Budete ho potřebovat později při nasazování služby WLS.
   • Název služby Key Vault: Vyžaduje se jedinečný název. Poznamenejte si název trezoru klíčů. Budete ho potřebovat později při nasazování služby WLS.

   Poznámka:

   Stejný název můžete použít pro skupinu prostředků i název trezoru klíčů.

   • V rozevírací nabídce Umístění zvolte umístění.
   • U ostatních možností ponechte jejich výchozí hodnoty.
6. Vyberte Další: Zásady přístupu.
7. V části Povolit přístup vyberte Azure Resource Manager pro nasazení šablony.
8. Vyberte Zkontrolovat a vytvořit.
9. Vyberte Vytvořit.

Vytvoření trezoru klíčů je poměrně jednoduché, obvykle se provádí za méně než dvě minuty. Po dokončení nasazení vyberte Přejít k prostředku a pokračujte k další části.

Vytvoření certifikátu TLS/SSL

Tato část ukazuje, jak vytvořit certifikát TLS/SSL podepsaný svým držitelem ve formátu vhodném pro použití službou Application Gateway nasazeným se serverem WebLogic v Azure. Certifikát musí mít neprázdné heslo. Pokud už máte platný neprázdný certifikát TLS/SSL s heslem ve formátu .pfx , můžete tuto část přeskočit a přejít na další. Pokud váš stávající, platný, neprázdný certifikát TLS/SSL není ve formátu .pfx , před přeskočením na další část ho nejprve převeďte na soubor .pfx . V opačném případě otevřete příkazové prostředí a zadejte následující příkazy.

Poznámka:

V této části se dozvíte, jak zakódovat 64 certifikát před uložením jako tajného kódu ve službě Key Vault. To vyžaduje základní nasazení Azure, které vytvoří server WebLogic a službu Application Gateway.

Certifikát vytvoříte a zakódujete podle těchto kroků:

1. Vytvoření RSA PRIVATE KEY

   openssl genrsa 2048 > private.pem
   

2. Vytvořte odpovídající veřejný klíč.

   openssl req -x509 -new -key private.pem -out public.pem
   

   Po zobrazení výzvy nástrojem OpenSSL budete muset odpovědět na několik otázek. Tyto hodnoty budou zahrnuty v certifikátu. Tento kurz používá certifikát podepsaný svým držitelem, proto jsou hodnoty irelevantní. Následující hodnoty literálů jsou v pořádku.

   1. Jako název země zadejte dvoumísmenný kód.
   2. Jako název státu nebo provincie zadejte WA.
   3. Jako název organizace zadejte Contoso. Jako název organizační jednotky zadejte fakturaci.
   4. Jako běžný název zadejte Contoso.
   5. Do e-mailové adresy zadejte billing@contoso.com.

3. Export certifikátu jako souboru .pfx

   openssl pkcs12 -export -in public.pem -inkey private.pem -out mycert.pfx
   

   Dvakrát zadejte heslo. Poznamenejte si heslo. Budete ho potřebovat později při nasazování služby WLS.

4. Kódování souboru mycert.pfx v base 64

   base64 mycert.pfx > mycert.txt
   

Teď, když máte Key Vault a platný certifikát TLS/SSL s neprázdným heslem, můžete certifikát uložit do služby Key Vault.

Uložení certifikátu TLS/SSL ve službě Key Vault

Tato část ukazuje, jak uložit certifikát a jeho heslo ve službě Key Vault vytvořené v předchozích částech.

Certifikát uložíte takto:

1. Na webu Azure Portal umístěte kurzor do panelu hledání v horní části stránky a zadejte název služby Key Vault, který jste vytvořili dříve v kurzu.
2. Vaše služba Key Vault by se měla zobrazit pod nadpisem Prostředky . Vyberte ji.
3. V části Nastavení vyberte Tajné kódy.
4. Vyberte Generovat/importovat.
5. V části Možnosti nahrávání ponechte výchozí hodnotu.
6. V části Název zadejte myCertSecretDatanázev nebo jiný název, který se vám líbí.
7. V části Hodnota zadejte obsah souboru mycert.txt. Délka hodnoty a přítomnost novýchřádků není u textového pole problém.
8. Zbývající hodnoty ponechte ve výchozím nastavení a vyberte Vytvořit.

Heslo pro certifikát uložíte takto:

1. Vrátíte se na stránku Tajné kódy . Vyberte Generovat/importovat.
2. V části Možnosti nahrávání ponechte výchozí hodnotu.
3. V části Název zadejte myCertSecretPasswordnázev nebo jiný název, který se vám líbí.
4. V části Hodnota zadejte heslo pro certifikát.
5. Zbývající hodnoty ponechte ve výchozím nastavení a vyberte Vytvořit.
6. Vrátíte se na stránku Tajné kódy .

Identifikace služby Key Vault

Teď, když máte key Vault s podepsaným certifikátem TLS/SSL a jeho heslem uloženým jako tajné kódy, vraťte se do části Aplikace Azure Gateway a identifikujte službu Key Vault pro nasazení.

1. V části Název skupiny prostředků v aktuálním předplatném obsahujícím službu KeyVault zadejte název skupiny prostředků obsahující službu Key Vault, kterou jste vytvořili dříve.
2. V části Název služby Azure KeyVault obsahující tajné kódy pro certifikát pro ukončení protokolu SSL zadejte název služby Key Vault.
3. Pod názvem tajného kódu v zadané službě KeyVault, jehož hodnotou jsou data certifikátu SSL, zadejte myCertSecretDatanebo jiný název, který jste zadali dříve.
4. V části Název tajného klíče v zadané službě KeyVault, jehož hodnotou je heslo pro certifikát SSL, zadejte myCertSecretDatanebo jiný název, který jste zadali dříve.
5. Vyberte Zkontrolovat a vytvořit.
6. Vyberte Vytvořit. Tím se certifikát ověří, že se certifikát dá získat ze služby Key Vault a že jeho heslo odpovídá hodnotě uložené pro heslo ve službě Key Vault. Pokud tento krok ověření selže, zkontrolujte vlastnosti služby Key Vault, ujistěte se, že byl certifikát zadán správně, a ujistěte se, že heslo bylo zadáno správně.
7. Jakmile se zobrazí ověření, vyberte Vytvořit.

Tím se spustí proces vytvoření clusteru WLS a front-endové služby Application Gateway, což může trvat přibližně 15 minut. Po dokončení nasazení vyberte Přejít do skupiny prostředků. V seznamu prostředků ve skupině prostředků vyberte myAppGateway.

Poslední možnost poskytnutí certifikátu TLS/SSL službě App Gateway je podrobně popsána v další části. Pokud jste s vybranou možností spokojeni, můžete přejít do části Pokračovat v nasazení.

Možnost 3: Vygenerování certifikátu podepsaného svým držitelem

Tato možnost je vhodná pouze pro nasazení testů a vývoje. Díky této možnosti se automaticky vytvoří služba Azure Key Vault i certifikát podepsaný svým držitelem a certifikát se poskytne službě App Gateway.

Pokud chcete požádat o nasazení, aby provedlo tyto akce, postupujte následovně:

1. V části Aplikace Azure Brána vyberte Vygenerovat certifikát podepsaný svým držitelem.
2. Vyberte spravovanou identitu přiřazenou uživatelem. To je nezbytné k tomu, aby nasazení umožnilo vytvoření služby Azure Key Vault a certifikátu.
3. Pokud ještě nemáte spravovanou identitu přiřazenou uživatelem, vyberte Přidat a zahajte proces jeho vytvoření.
4. Pokud chcete vytvořit spravovanou identitu přiřazenou uživatelem, postupujte podle pokynů v části Vytvoření spravované identity přiřazené uživatelem v části Vytvoření, výpisu, odstranění nebo přiřazení role spravované identitě přiřazené uživatelem pomocí webu Azure Portal. Jakmile vyberete spravovanou identitu přiřazenou uživatelem, zaškrtněte políčko vedle spravované identity přiřazené uživatelem.

Pokračovat v nasazení

Teď můžete pokračovat v dalších aspektech nasazení služby WLS, jak je popsáno v dokumentaci Oracle.

Ověření úspěšného nasazení služby WLS a služby App Gateway

Tato část ukazuje techniku rychlého ověření úspěšného nasazení clusteru WLS a služby Application Gateway.

Pokud jste vybrali přejít do skupiny prostředků a pak myAppGateway na konci předchozí části, podíváte se na stránku přehledu služby Application Gateway. Pokud ne, můžete tuto stránku najít tak myAppGateway , že do textového pole v horní části webu Azure Portal zadáte a vyberete ten správný, který se zobrazí. Nezapomeňte vybrat skupinu prostředků, kterou jste vytvořili pro cluster WLS. Pak proveďte následující kroky.

1. V levém podokně stránky přehledu pro myAppGateway se posuňte dolů do části Monitorování a vyberte stav back-endu.
2. Po ukončení načítání zprávy by se měla zobrazit tabulka uprostřed obrazovky zobrazující uzly clusteru nakonfigurované jako uzly v back-endovém fondu.
3. Ověřte, že se u každého uzlu zobrazuje stav V pořádku .

Vyčištění prostředků

Pokud nebudete dál používat cluster WLS, odstraňte službu Key Vault a cluster služby WLS pomocí následujících kroků:

1. Navštivte stránku přehledu pro myAppGateway , jak je znázorněno v předchozí části.
2. V horní části stránky v textové skupině prostředků vyberte skupinu prostředků.
3. Vyberte Odstranit skupinu prostředků.
4. Vstupní fokus se nastaví na pole s popiskem ZADEJTE NÁZEV SKUPINY PROSTŘEDKŮ. Zadejte název skupiny prostředků, jak je požadováno.
5. To způsobí , že se aktivuje tlačítko Odstranit . Výběr tlačítko Odstranit. Tato operace bude nějakou dobu trvat, ale během zpracování odstranění můžete pokračovat k dalšímu kroku.
6. Vyhledejte službu Key Vault podle prvního kroku oddílu Uložení certifikátu TLS/SSL ve službě Key Vault.
7. Vyberte Odstranit.
8. V zobrazeném podokně vyberte Odstranit .

Další kroky

Pokračujte v prozkoumání možností spouštění služby WLS v Azure.

Další informace o Oracle WebLogic Serveru v Azure