Nasazení virtuálního počítače F5 BIG-IP Virtual Edition v Azure

V tomto kurzu se naučíte nasadit BIG-IP Vitural Edition (VE) v infrastruktuře Azure jako službu (IaaS). Na konci kurzu budete mít:

• Připravený virtuální počítač BIG-IP pro modelování zabezpečeného hybridního přístupu (SHA) pro testování konceptu
• Přípravná instance pro testování nových aktualizací systému BIG-IP a oprav hotfix

Další informace: SHA: Zabezpečení starších aplikací pomocí Microsoft Entra ID

Požadavky

Předchozí zkušenosti nebo znalosti F5 BIG-IP nejsou nezbytné. Doporučujeme ale zkontrolovat standardní terminologii oboru v glosáři F5.

Nasazení VELKÉ IP adresy v Azure pro SHA vyžaduje:

• Placené předplatné Azure
  • Pokud ho nemáte, můžete získat bezplatnou zkušební verzi Azure.
• Některé z následujících skladových položek licencí F5 BIG-IP:
  • F5 BIG-IP® Best bundle
  • Samostatná licence F5 BIG-IP Access Policy Manager™ (APM)
  • Doplněk F5 BIG-IP Access Policy Manager (APM) na místním Traffic Manageru™™ (LTM) s velkými IP adresami F5 BIG-IP®
  • 90denní úplná zkušební licence na big-IP adresu
• Zástupný znak nebo certifikát alternativního názvu subjektu (SAN) pro publikování webových aplikací přes protokol SSL (Secure Socket Layer)
  • Pokud chcete zobrazit nabídky, přejděte na letsencrypt.org. Vyberte Začínáme.
• Certifikát SSL pro zabezpečení rozhraní pro správu BIG-IP. Certifikát můžete použít k publikování webových aplikací, pokud jeho předmět odpovídá plně kvalifikovanému názvu domény (FQDN) BIG-IP. Můžete například použít zástupný certifikát s předmětem *.contoso.com pro https://big-ip-vm.contoso.com:8443.

Nasazení virtuálního počítače a základní konfigurace systému trází přibližně 30 minut, pak big-IP adresa implementuje scénáře SHA v integraci F5 BIG-IP s Microsoft Entra ID.

Testovací scénáře

Při testování scénářů předpokládá tento kurz:

• BIG-IP adresa se nasadí do skupiny prostředků Azure s prostředím Active Directory (AD).
• Prostředí se skládá z virtuálních počítačů webového hostitele řadiče domény (DC) a Internetová informační služba (IIS).
• Servery, které nejsou ve stejných umístěních jako virtuální počítač BIG-IP, je přijatelné, pokud big-IP adresa uvidí role potřebné pro podporu scénáře.
• Podporuje se virtuální počítač BIG-IP připojený k jinému prostředí přes připojení VPN.

Pokud nemáte předchozí položky pro testování, můžete do Azure nasadit doménové prostředí AD pomocí skriptu v Cloud Identity Labu. Ukázkové testovací aplikace můžete programově nasadit na webového hostitele služby IIS pomocí skriptované automatizace v demo sadě.

Poznámka:

Některé kroky v tomto kurzu se můžou lišit od rozložení v Centru pro správu Microsoft Entra.

Nasazení Azure

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Big-IP adresu můžete nasadit v různých topologiích. Tato příručka se zaměřuje na nasazení síťové karty (NIC). Pokud ale vaše nasazení BIG-IP vyžaduje více síťových rozhraní pro vysokou dostupnost, oddělení sítě nebo více než 1 GB propustnosti, zvažte použití předem zkompilovaných šablon Azure Resource Manageru (ARM) F5.

Nasazení BIG-IP VE z Azure Marketplace

1. Přihlaste se k Centru pro správu Microsoft Entra pomocí účtu s oprávněními k vytváření virtuálních počítačů, jako je Správa istrator aplikace.

2. Do vyhledávacího pole horního pásu karet zadejte marketplace.

3. Stiskněte klávesu Enter.

4. Do filtru Marketplace zadejte F5 .

5. Stiskněte klávesu Enter.

6. Na horním pásu karet vyberte + Přidat.

7. Jako filtr marketplace zadejte F5.

8. Stiskněte klávesu Enter.

9. Vyberte F5 BIG-IP Virtual Edition (BYOL)>Vyberte plán>softwaru F5 BIG-IP VE - ALL (BYOL, 2 spouštěcí umístění).

10. Vyberte Vytvořit.

    

11. Základy:

• Předplatné: Cílové předplatné pro nasazení virtuálního počítače BIG-IP
• Skupina prostředků: Virtuální počítač s VELKOU IP adresou Azure se nasadí nebo vytvoří. Jedná se o vaši skupinu prostředků DC a IIS.

12. Podrobnosti o instanci:

• Příklad názvu virtuálního počítače BIG-IP-VM
• Oblast: Cílení na geografickou oblast Azure pro virtuální počítač BIG-IP
• Možnosti dostupnosti Povolení, pokud používáte virtuální počítač v produkčním prostředí
• Obrázek: F5 BIG-IP VE – ALL (BYOL, 2 spouštěcí umístění)
• Instance Azure Spot: Ne, ale v případě potřeby ji povolte.
• Velikost: Minimální specifikace jsou 2 virtuální procesory a 8 GB paměti

13. Pro účet Správa istrator:

• Typ ověřování: Prozatím vyberte heslo a později přepněte na pár klíčů.
• Uživatelské jméno: Identita, která se má vytvořit jako místní účet BIG-IP pro přístup k jeho rozhraním pro správu. V uživatelském jménu se rozlišují malá a velká písmena.
• Heslo: Zabezpečení přístupu správce pomocí silného hesla

14. Pravidla portů pro příchozí spojení: Veřejné příchozí porty, Žádné.
15. Vyberte Další: Disky. Ponechte výchozí hodnoty.
16. Vyberte Další: Sítě.
17. Pro sítě:

• Virtuální síť: Virtuální síť Azure používaná virtuálními počítači DC a IIS nebo vytvořit
• Podsíť: Stejná interní podsíť Azure jako virtuální počítače DC a IIS nebo vytvořte jednu z nich.
• Veřejná IP adresa: Žádná
• Skupina zabezpečení sítě síťových adaptérů: Vyberte Žádné, pokud je vybraná podsíť Azure přidružená ke skupině zabezpečení sítě (NSG), jinak vyberte Základní.
• Zrychlení sítí: Vypnuto

18. Pro vyrovnávání zatížení: Vyrovnávání zatížení virtuálního počítače, ne.
19. Vyberte Další: Správa a dokončete nastavení:

• Podrobné monitorování: Vypnuto
• Povolení diagnostiky spouštění s využitím vlastního účtu úložiště Tato funkce umožňuje připojení k rozhraní SSH (Big-IP Secure Shell) prostřednictvím možnosti Sériové konzoly v Centru pro správu Microsoft Entra. Vyberte dostupný účet úložiště Azure.

20. Pro identitu:

• Spravovaná identita přiřazená systémem: Vypnuto
• Microsoft Entra ID: BIG-IP nepodporuje tuto možnost.

21. U funkce Autoshutdown: Povolení nebo testování můžete virtuální počítač BIG-IP-Vm nastavit tak, aby se vypnul každý den.
22. Vyberte Další: Upřesnit. Ponechte výchozí hodnoty.
23. Vyberte Další: Značky.
24. Pokud chcete zkontrolovat konfiguraci virtuálního počítače BIG-IP, vyberte Další: Zkontrolovat a vytvořit.
25. Vyberte Vytvořit. Doba nasazení virtuálního počítače BIG-IP je obvykle 5 minut.
26. Po dokončení rozbalte levou nabídku Centra pro správu Microsoft Entra.
27. Vyberte skupiny prostředků a přejděte na virtuální počítač BIG-IP.

Poznámka:

Pokud se vytvoření virtuálního počítače nezdaří, vyberte Zpět a Další.

Konfigurace sítě

Když se virtuální počítač BIG-IP spustí, zřídí se jeho síťová karta s primární privátní IP adresou vystavenou službou DHCP (Dynamic Host Configuration Protocol) podsítě Azure, ke které je připojená. Operační systém TMOS (BIG-IP Traffic Management) používá IP adresu ke komunikaci s:

• Hostitelé a služby
• Odchozí přístup k veřejnému internetu
• Příchozí přístup k webové konfiguraci BIG-IP a rozhraní pro správu SSH

Zveřejnění rozhraní pro správu na internetu zvyšuje prostor pro útoky BIG-IP. Toto riziko je důvod, proč se primární IP adresa BIG-IP nezřídila s veřejnou IP adresou během nasazování. Místo toho se pro publikování zřizuje sekundární interní IP adresa a přidružená veřejná IP adresa. Toto mapování 1:1 mezi veřejnou IP adresou virtuálního počítače a privátní IP adresou umožňuje externí provoz do virtuálního počítače. K povolení provozu se ale vyžaduje pravidlo skupiny zabezpečení sítě Azure, podobně jako u brány firewall.

Následující diagram znázorňuje nasazení síťové karty BIG-IP VE v Azure nakonfigurované s primární IP adresou pro obecné operace a správu. Pro služby publikování existuje samostatná IP adresa virtuálního serveru. Pravidlo NSG umožňuje vzdálený provoz určený pro intranet.contoso.com směrování na veřejnou IP adresu publikované služby před předáním virtuálnímu serveru BIG-IP.

Privátní a veřejné IP adresy vydané pro virtuální počítače Azure jsou ve výchozím nastavení dynamické, takže se můžou změnit při restartování virtuálního počítače. Vyhněte se problémům s připojením změnou IP adresy pro správu BIG-IP na statickou. Stejnou akci proveďte u sekundárních IP adres pro služby publikování.

1. V nabídce virtuálního počítače BIG-IP přejděte na Nastavení> Networking.

2. V zobrazení sítě vyberte odkaz napravo od síťového rozhraní.

   

Poznámka:

Názvy virtuálních počítačů se generují náhodně během nasazování.

3. V levém podokně vyberte konfigurace IP adres.
4. Vyberte řádek ipconfig1.
5. Nastavte možnost Přiřazení IP adresy na Static. V případě potřeby změňte primární IP adresu virtuálního počítače BIG-IP.
6. Zvolte Uložit.
7. Zavřete nabídku ipconfig1.

Poznámka:

K připojení a správě virtuálního počítače BIG-IP-V použijte primární IP adresu.

8. Na horním pásu karet vyberte + Přidat.
9. Zadejte název sekundární privátní IP adresy, například ipconfig2.
10. Pro nastavení privátní IP adresy nastavte možnost Přidělení na Static. Poskytnutí další nebo nižší IP adresy pomáhá zachovat pořadí.
11. Nastavte veřejnou IP adresu na Přidružit.
12. Vyberte Vytvořit.
13. Pro novou veřejnou IP adresu zadejte název, například BIG-IP-VM_ipconfig2_Public.
14. Pokud se zobrazí výzva, nastavte skladovou položku na Standard.
15. Pokud se zobrazí výzva, nastavte úroveň na Globální.
16. Nastavte možnost Přiřazení na statickou.
17. Dvakrát vyberte OK .

Váš virtuální počítač BIG-IP-V je připravený pro:

• Primární privátní IP adresa: Vyhrazená pro správu virtuálního počítače BIG-IP-V prostřednictvím nástroje pro konfiguraci webu a SSH. Systém BIG-IP používá jako svou samoobslužnou IP adresu k připojení k publikovaným back-endovým službám. Připojuje se k externím službám:
  • Protokol NTP (Network Time Protocol)
  • Active Directory (AD)
  • Protokol LDAP (Lightweight Directory Access Protocol)
• Sekundární privátní IP adresa: Slouží k vytvoření virtuálního serveru BIG-IP APM pro naslouchání příchozím požadavkům publikovaným službám.
• Veřejná IP adresa: Je přidružená k sekundární privátní IP adrese; umožňuje klientskému provozu z veřejného internetu přístup k virtuálnímu serveru BIG-IP pro publikované služby.

Příklad znázorňuje vztah 1:1 mezi veřejnými a privátními IP adresami virtuálního počítače. Síťová karta virtuálního počítače Azure má jednu primární IP adresu a další IP adresy jsou sekundární.

Poznámka:

Pro publikování služeb BIG-IP potřebujete sekundární mapování IP adres.

Pokud chcete implementovat SHA pomocí konfigurace s asistencí pro přístup BIG-IP, opakujte kroky pro vytvoření více privátních a veřejných párů IP adres pro služby, které publikujete prostřednictvím APM BIG-IP. Stejný přístup použijte pro publikování služeb pomocí rozšířené konfigurace BIG-IP. Vyhněte se ale režijním nákladům na veřejné IP adresy pomocí konfigurace SNI (Server Name Indicator): Virtuální server BIG-IP přijímá klientský provoz, který přijímá, a odesílá ho do cíle.

Konfigurace DNS

Pokud chcete přeložit publikované služby SHA na veřejné IP adresy virtuálních počítačů BIG-IP, nakonfigurujte DNS pro klienty. Následující postup předpokládá, že zóna DNS veřejné domény pro vaše služby SHA je spravovaná v Azure. Použijte zásady DNS pro vytváření lokátoru bez ohledu na to, kde je vaše zóna DNS spravovaná.

1. Rozbalte levou nabídku portálu.

2. Pomocí možnosti Skupiny prostředků přejděte na virtuální počítač BIG-IP-V.

3. V nabídce virtuálního počítače BIG-IP přejděte na Nastavení> Networking.

4. V zobrazení sítě BIG-IP-VMs v rozevíracím seznamu konfigurace IP vyberte první sekundární IP adresu.

5. Vyberte odkaz veřejné IP adresy síťové karty.

   

6. V levém podokně pod oddílem Nastavení vyberte Konfigurace.

7. Zobrazí se nabídka vlastností veřejné IP adresy a DNS.

8. Vyberte a vytvořte záznam aliasu.

9. V rozevírací nabídce vyberte svoji zónu DNS. Pokud neexistuje žádná zóna DNS, můžete ji spravovat mimo Azure nebo ji vytvořit pro příponu domény a ověřit ji v MICROSOFT Entra ID.

10. Vytvoření prvního záznamu aliasu DNS:

    • Předplatné: Stejné předplatné jako virtuální počítač BIG-IP-V
    • Zóna DNS: Autoritativní zóna DNS pro ověřenou příponu domény, kterou publikované weby používají, například www.contoso.com
    • Název: Zadaný název hostitele se přeloží na veřejnou IP adresu přidruženou k vybrané sekundární IP adrese. Definujte mapování DNS na IP adresy. Například intranet.contoso.com na 13.77.148.215
    • TTL: 1
    • Jednotky TTL: Hodiny

11. Vyberte Vytvořit.

12. Ponechte popisek názvu DNS (volitelný).

13. Zvolte Uložit.

14. Zavřete nabídku Veřejné IP adresy.

Poznámka:

Pokud chcete vytvořit další záznamy DNS pro služby, které budete publikovat pomocí konfigurace s asistencí BIG-IP, opakujte kroky 1 až 6.

Pomocí místních záznamů DNS můžete pomocí nástrojů, jako je kontrola DNS, ověřit vytvořený záznam šířený mezi globální veřejné servery DNS. Pokud spravujete obor názvů domény DNS pomocí externího poskytovatele, jako je GoDaddy, vytvořte záznamy pomocí svého zařízení pro správu DNS.

Poznámka:

Pokud testujete a často přepínáte záznamy DNS, můžete použít soubor místních hostitelů počítače: Vyberte Win + R.Do pole Spustit zadejte ovladače. Záznam místního hostitele poskytuje překlad DNS pro místní počítač, ne pro ostatní klienty.

Provoz klienta

Ve výchozím nastavení virtuální sítě Azure a přidružené podsítě nejsou privátní sítě schopny přijímat internetový provoz. Připojte síťovou kartu virtuálního počítače BIG-IP k NSG zadanému během nasazování. Aby se externí webový provoz dostal k virtuálnímu počítači BIG-IP-V, definujte příchozí pravidlo NSG pro povolení portů 443 (HTTPS) a 80 (HTTP) z veřejného internetu.

1. V hlavní nabídce Přehled virtuálního počítače BIG-IP vyberte Sítě.
2. Vyberte Přidat příchozí pravidlo.
3. Zadejte vlastnosti pravidla NSG:

• Zdroj: Libovolný
• Rozsahy zdrojových portů: *|
• Cílové IP adresy: Seznam sekundárních privátních IP adres virtuálních počítačů oddělených čárkami
• Cílové porty: 80, 443
• Protokol: TCP
• Akce: Povolit
• Priorita: Nejnižší dostupná hodnota mezi 100 a 4096
• Název: Popisný název, například: BIG-IP-VM_Web_Services_80_443

4. Vyberte Přidat.
5. Zavřete nabídku Sítě.

Provoz HTTP a HTTPS se může dostat do sekundárních rozhraní virtuálních počítačů BIG-IP. Povolení portu 80 umožňuje APM BIG-IP automaticky přesměrovat uživatele z HTTP na HTTPS. Upravte toto pravidlo a přidejte nebo odeberte cílové IP adresy.

Správa BIG-IP adres

Systém BIG-IP se spravuje pomocí uživatelského rozhraní pro webovou konfiguraci. Přístup k uživatelskému rozhraní z:

• Počítač v interní síti BIG-IP
• Klient VPN připojený k interní síti virtuálního počítače BIG-IP
• Publikováno prostřednictvím proxy aplikace Microsoft Entra

Poznámka:

Než budete pokračovat ve zbývajících konfiguracích, vyberte jednu ze tří předchozích metod. V případě potřeby se připojte přímo k konfiguraci webu z internetu tak, že nakonfigurujete primární IP adresu BIG-IP s veřejnou IP adresou. Pak přidejte pravidlo NSG, které povolí provoz 8443 do této primární IP adresy. Omezte zdroj na vaši vlastní důvěryhodnou IP adresu, jinak se může připojit kdokoli.

Potvrzení připojení

Ověřte, že se můžete připojit k webové konfiguraci virtuálního počítače BIG-IP a přihlásit se pomocí přihlašovacích údajů zadaných během nasazování virtuálního počítače:

• Pokud se připojujete z virtuálního počítače v interní síti nebo přes SÍŤ VPN, připojte se k primární IP adrese BIG-IP a portu konfigurace webu. Například https://<BIG-IP-VM_Primary_IP:8443. V prohlížeči se může zobrazit stav, že je připojení nezabezpečené. Tuto výzvu ignorujte, dokud se nenakonfiguruje big-IP adresa. Pokud prohlížeč zablokuje přístup, vymažte jeho mezipaměť a zkuste to znovu.
• Pokud jste webovou konfiguraci publikovali prostřednictvím proxy aplikací, použijte adresu URL definovanou pro externí přístup k konfiguraci webu. Nepřidávejte port, https://big-ip-vm.contoso.comnapříklad . Definujte interní adresu URL pomocí portu konfigurace webu, https://big-ip-vm.contoso.com:8443například .

Poznámka:

Systém BIG-IP můžete spravovat s jeho prostředím SSH, který se obvykle používá pro úlohy příkazového řádku (CLI) a přístup na úrovni kořenové úrovně.

Připojení k rozhraní příkazového řádku:

• Služba Azure Bastion: Připojení k virtuálním počítačům ve virtuální síti z libovolného umístění
• Klient SSH, jako je PowerShell s přístupem za běhu (JIT)
• Sériová konzola: Na portálu v nabídce virtuálního počítače v části Podpora a řešení potíží. Nepodporuje přenosy souborů.
• Z internetu: Nakonfigurujte primární IP adresu BIG-IP s veřejnou IP adresou. Přidejte pravidlo NSG, které povolí provoz SSH. Omezte důvěryhodný zdroj IP adres.

Licence BIG-IP

Než bude možné nakonfigurovat služby publikování a SHA, aktivujte a zřiďte pomocí modulu APM systém BIG-IP.

1. Přihlaste se k konfiguraci webu.
2. Na stránce Obecné vlastnosti vyberte Aktivovat.
3. Do pole Základní registrační klíč zadejte klíč rozlišující velká a malá písmena poskytovaný klávesou F5.
4. Ponechte metodu aktivace nastavenou na Hodnotu Automatická.
5. Vyberte Další.
6. BIG-IP ověří licenci a zobrazí licenční smlouvu s koncovým uživatelem (EULA).
7. Vyberte Přijmout a počkejte na dokončení aktivace.
8. Zvolte Pokračovat.
9. V dolní části stránky souhrnu licencí se přihlaste.
10. Vyberte Další.
11. Zobrazí se seznam modulů požadovaných pro SHA.

Poznámka:

Pokud se seznam nezobrazí, přejděte na hlavní kartě na zřizování systémových>prostředků. Kontrola sloupce zřizování pro zásady přístupu (APM)

12. Vyberte položku Odeslat.
13. Přijměte upozornění.
14. Počkejte na dokončení inicializace.
15. Zvolte Pokračovat.
16. Na kartě O produktu vyberte Spustit instalační nástroj.

Důležité

Licence F5 je určená pro jednu instanci BIG-IP VE. Pokud chcete migrovat licenci z jedné instance do jiné, přečtěte si článek AskF5, K41458656: Opětovné využití licence BIG-IP VE v jiném systému BIG-IP VE. Před vyřazením z provozu odvolejte zkušební licenci na aktivní instanci, jinak se licence trvale ztratí.

Zřízení BIG-IP adresy

Je důležité zabezpečit provoz správy do a z konfigurace webu BIG-IP. Pokud chcete chránit kanál konfigurace webu před ohrožením zabezpečení, nakonfigurujte certifikát pro správu zařízení.

1. Na levém navigačním panelu přejděte na >Import seznamu>certifikátů SSL pro správu provozu správy>certifikátů správy>certifikátů systému.

2. V rozevíracím seznamu Typ importu vyberte PKCS 12(IIS) a zvolte Soubor.

3. Vyhledejte webový certifikát SSL s názvem subjektu nebo sítí SAN, která pokrývá plně kvalifikovaný název domény, který později přiřadíte virtuálnímu počítači BIG-IP-VM.

4. Zadejte heslo certifikátu.

5. Vyberte Importovat.

6. V levém navigačním panelu přejděte na Systémovou>platformu.

7. V části Obecné vlastnosti zadejte kvalifikovaný název hostitele a časové pásmo prostředí.

   

8. Vyberte Aktualizovat.

9. V levém navigačním panelu přejděte na protokol>NTP pro konfiguraci>systému.>

10. Zadejte zdroj NTP.

11. Vyberte Přidat.

12. Vyberte Aktualizovat. Například time.windows.com

K překladu plně kvalifikovaného názvu domény S VELKÝMI IP adresami na primární privátní IP adresu, kterou jste zadali v předchozích krocích, potřebujete záznam DNS. Přidejte záznam do interního DNS vašeho prostředí nebo do souboru místního hostitele POČÍTAČE pro připojení k konfiguraci webu BIG-IP. Když se připojíte k webové konfiguraci, upozornění prohlížeče se již nezobrazí, ne s proxy aplikací ani jiným reverzním proxy serverem.

Profil SSL

Jako reverzní proxy server je systém BIG-IP služba předávání, jinak označovaná jako transparentní proxy server nebo úplný proxy server, který se účastní výměn mezi klienty a servery. Úplný proxy server vytvoří dvě připojení: připojení klienta TCP front-endu a připojení back-endového serveru TCP s měkkým mezerou uprostřed. Klienti se připojují k naslouchacímu procesu proxy na jednom konci, virtuálnímu serveru a proxy serveru vytvoří samostatné nezávislé připojení k back-end serveru. Tato konfigurace je obousměrná na obou stranách. V tomto režimu úplného proxy serveru může systém F5 BIG-IP kontrolovat provoz a interagovat s požadavky a odpověďmi. Tyto funkce využívají funkce, jako je vyrovnávání zatížení a optimalizace výkonu webu a pokročilé služby pro správu provozu (zabezpečení aplikační vrstvy, akcelerace webu, směrování stránek a zabezpečený vzdálený přístup). Při publikování služeb založených na SSL profily SSL BIG-IP předávají dešifrování a šifrování provozu mezi klienty a back-endovými službami.

Existují dva typy profilů:

• Ssl klienta: Vytvoření tohoto profilu je nejběžnější způsob, jak nastavit systém BIG-IP pro publikování interních služeb pomocí PROTOKOLU SSL. V profilu SSL klienta systém BIG-IP dešifruje příchozí požadavky klientů před jejich odesláním do služby down-stream. Zašifruje odchozí back-endové odpovědi a pak je pošle klientům.
• Protokol SSL serveru: Pro back-endové služby nakonfigurované pro PROTOKOL HTTPS můžete nakonfigurovat BIG-IP pro použití profilu SSL serveru. S tímto profilem big-IP znovu zašifruje požadavek klienta a pak ji odešle do cílové back-endové služby. Když server vrátí šifrovanou odpověď, systém BIG-IP tuto odpověď dešifruje a znovu zašifruje a pak ji odešle klientovi prostřednictvím nakonfigurovaného profilu SSL klienta.

Aby byla služba BIG-IP předem nakonfigurovaná a připravená pro scénáře SHA, zřiďte profily SSL klienta a serveru.

1. V levém navigačním panelu přejděte na> Import seznamu>certifikátů SSL pro správu provozu správy>certifikátů správy>certifikátů systému.

2. V rozevíracím seznamu Typ importu vyberte PKCS 12 (IIS).

3. Pro importovaný certifikát zadejte název, například ContosoWildcardCert.

4. Vyberte Vybrat soubor.

5. Přejděte na webový certifikát SSL s názvem subjektu, který odpovídá příponě domény pro publikované služby.

6. Pro importovaný certifikát zadejte heslo.

7. Vyberte Importovat.

8. V levém navigačním panelu přejděte do klienta SSL> místních profilů>provozu.>

9. Vyberte Vytvořit.

10. Na stránce Nový profil SSL klienta zadejte jedinečný popisný název.

11. Ujistěte se, že je nadřazený profil nastavený na klienty.

    

12. V řádku Řetěz klíčů certifikátu zaškrtněte políčko úplně vpravo.

13. Vyberte Přidat.

14. V rozevíracích seznamech Certifikát, Klíč a Chain vyberte certifikát se zástupným znakem, který jste naimportovali bez přístupového hesla.

15. Vyberte Přidat.

16. Vyberte Dokončeno.

    

17. Opakováním kroků vytvořte profil certifikátu serveru SSL.

18. Na horním pásu karet vyberte Vytvořit server>SSL.>

19. Na stránce Nový server profilu SSL zadejte jedinečný popisný název.

20. Ujistěte se, že je nadřazený profil nastavený na servery.

21. Zaškrtněte políčko úplně vpravo pro řádky certifikátu a klíče .

22. V rozevíracích seznamech Certifikát a klíč vyberte importovaný certifikát.

23. Vyberte Dokončeno.

    

Poznámka:

Pokud nemůžete získat certifikát SSL, použijte integrovaný server BIG-IP podepsaný svým držitelem a certifikáty SSL klienta. V prohlížeči se zobrazí chyba certifikátu.

Vyhledání prostředku

Pokud chcete připravit BIG-IP adresu pro SHA, vyhledejte prostředky, které publikuje, a adresářovou službu, na které se spoléhá pro jednotné přihlašování. BIG-IP má dva zdroje překladu ip adres, počínaje místním souborem/.../hosts. Pokud se záznam nenajde, systém BIG-IP používá službu DNS, se kterým byl nakonfigurovaný. Metoda souboru hosts se nevztahuje na uzly a fondy APM, které používají plně kvalifikovaný název domény.

1. Ve webové konfiguraci přejděte na DNS zařízení>konfigurace>systému.>
2. V seznamu vyhledávacích serverů DNS zadejte IP adresu vašeho serveru DNS prostředí.
3. Vyberte Přidat.
4. Vyberte Aktualizovat.

Volitelný krok je konfigurace PROTOKOLU LDAP pro ověřování správců systému BIG-IP ve službě Active Directory místo správy místních účtů BIG-IP.

Aktualizace BIG-IP adresy

Pokyny související s aktualizacemi najdete v následujícím seznamu. Postupujte podle pokynů k aktualizaci.

• Kontrola verze operačního systému řízení provozu (TMOS):
  • V levém horním rohu hlavní stránky najeďte myší na název hostitele BIG-IP.
• Spusťte v15.x a vyšší. Viz, F5 ke stažení. Vyžaduje se přihlášení.
• Pokud chcete aktualizovat hlavní systém TMOS, přečtěte si článek F5, K34745165: Správa imagí softwaru v systému BIG-IP
  • Pokud nemůžete aktualizovat hlavní systém TMOS, můžete upgradovat konfiguraci s asistencí. Použijte k tomu následující postup.
• Viz také pokyny založené na scénářích.

1. V konfiguraci webu BIG-IP přejděte na hlavní kartě do části Konfigurace s asistencí pro Access>.

2. Na stránce Konfigurace s asistencí vyberte Upgradovat konfiguraci s asistencí.

   

3. V dialogovém okně Konfigurace s asistencí upgradu vyberte Zvolit soubor.

4. Vyberte Nahrát a nainstalovat.

5. Počkejte na dokončení upgradu.

6. Zvolte Pokračovat.

Zálohování BIG-IP adresy

Při zřizování systému BIG-IP doporučujeme úplné zálohování konfigurace.

1. Přejděte do části Vytváření systémových>archivů>.
2. Zadejte jedinečný název souboru.
3. Povolte šifrování pomocí přístupového hesla.
4. Nastavte možnost Privátní klíče tak, aby se zálohovala zařízení a certifikáty SSL.
5. Vyberte Dokončeno.
6. Počkejte na dokončení procesu.
7. Zobrazí se zpráva s výsledky.
8. Vyberte OK.
9. Vyberte odkaz pro zálohování.
10. Uložte archiv konfigurační sady uživatelů (UCS) místně.
11. Vyberte položku Stáhnout.

Pomocí snímků Azure můžete vytvořit zálohu celého systémového disku. Tento nástroj poskytuje nepředvídané události pro testování mezi verzemi TMOS nebo vrácení zpět do nového systému.

# Install modules
Install-module Az
Install-module AzureVMSnapshots

# Authenticate to Azure
Connect-azAccount

# Set subscription by Id
Set-AzContext -SubscriptionId ‘<Azure_Subscription_ID>’

#Create Snapshot
New-AzVmSnapshot -ResourceGroupName '<E.g.contoso-RG>' -VmName '<E.g.BIG-IP-VM>'

#List Snapshots
#Get-AzVmSnapshot -ResourceGroupName ‘<E.g.contoso-RG>'

#Get-AzVmSnapshot -ResourceGroupName ‘<E.g.contoso-RG>' -VmName '<E.g.BIG-IP-VM>' | Restore-AzVmSnapshot -RemoveOriginalDisk 

Obnovení BIG-IP adresy

Obnovení VELKÉ IP adresy se podobá procesu zálohování a dá se použít k migraci konfigurací mezi virtuálními počítači BIG-IP. Před importem zálohy potvrďte podporované cesty upgradu.

1. Přejděte do systémového>archivu.

• Vyberte záložní odkaz nebo
• Vyberte Nahrát a přejděte do uloženého archivu UCS, který není v seznamu.

2. Zadejte heslo zálohování.
3. vyberte Obnovit.

# Authenticate to Azure
Connect-azAccount

# Set subscription by Id
Set-AzContext -SubscriptionId ‘<Azure_Subscription_ID>’

#Restore Snapshot
Get-AzVmSnapshot -ResourceGroupName '<E.g.contoso-RG>' -VmName '<E.g.BIG-IP-VM>' | Restore-AzVmSnapshot

Poznámka:

V současné době může rutina AzVmSnapshot obnovit nejnovější snímek podle data. Snímky se ukládají v kořenovém adresáři skupiny prostředků virtuálního počítače. Obnovení snímků restartuje virtuální počítač Azure, proto se ujistěte, že je optimální časování úlohy.

Zdroje informací

• Resetování hesla BIG-IP VE v Azure
• Resetování hesla bez použití portálu
• Změna síťové karty používané ke správě VELKÝCH IP ADRES VE
• O trasách v konfiguraci jedné síťové karty
• Microsoft Azure: Waagent

Další kroky

Vyberte scénář nasazení a spusťte implementaci.