Freigeben über

Bereitstellen von F5 in zwei Azure Stack Hub-Instanzen

  • Artikel

Dieser Artikel führt Sie durch die Einrichtung eines externen Lastenausgleichs in zwei Azure Stack Hub-Umgebungen. Mit dieser Konfiguration können Sie unterschiedliche Workloads verwalten. In diesem Artikel stellen Sie F5 als globale Lastenausgleichslösung in zwei unabhängigen Azure Stack Hub-Instanzen bereit. Außerdem stellen Sie eine Web-App mit Lastenausgleich, die auf einem NGINX-Server ausgeführt wird, in den beiden Instanzen bereit. Sie werden hinter einem Failover-Hochverfügbarkeitspaar von virtuellen F5-Geräten ausgeführt.

Die Azure Resource Manager-Vorlagen finden Sie im GitHub-Repository f5-azurestack-gslb.

Übersicht über den Lastenausgleich mit F5

Die F5-Hardware (der Lastenausgleich) kann sich außerhalb von Azure Stack Hub und innerhalb des Rechenzentrums befinden, das Azure Stack Hub hostet. Azure Stack Hub verfügt nicht über eine native Funktion für den Lastenausgleich von Workloads in zwei separaten Azure Stack Hub-Bereitstellungen. Die BIG-IP Virtual Edition (VE) von F5 wird auf beiden Plattformen ausgeführt. Diese Konfiguration unterstützt die Parität zwischen Azure- und Azure Stack Hub-Architekturen durch Replikation der unterstützenden Anwendungsdienste. Sie können eine App in einer Umgebung entwickeln und in eine andere verschieben. Sie können auch die gesamte produktionsreife Azure Stack Hub-Umgebung spiegeln, einschließlich der BIG-IP-Konfigurationen, Richtlinien und Anwendungsdienste. Bei diesem Ansatz ist es nicht notwendig, die Anwendung zeitaufwändig umzugestalten und zu testen, sodass Sie sich ganz dem Schreiben von Code widmen können.

Das Schützen von Anwendungen und der zugehörigen Daten ist häufig ein Problem für Entwickler, die Apps in die Public Cloud verschieben. Das muss nicht so sein. Sie können eine App in Ihrer Azure Stack Hub-Umgebung erstellen, während ein Sicherheitsarchitekt die erforderlichen Einstellungen für die Web Application Firewall (WAF) von F5 konfiguriert. Der gesamte Stapel kann dann mit dem sicheren Wissen, dass die Anwendung durch die gleiche branchenführende WAF geschützt wird, in Azure Stack Hub repliziert werden. Bei identischen Richtlinien und Regelsätzen gibt es keine Sicherheitslücken oder -risiken, die andernfalls bei der Verwendung unterschiedlicher WAFs entstehen könnten.

Azure Stack Hub verfügt über einen eigenen Marketplace, der vom Azure Marketplace getrennt ist. Dort werden nur bestimmte Elemente hinzugefügt. In diesem Fall möchten Sie eine neue Ressourcengruppe in jeder Azure Stack Hub-Instanz erstellen und die bereits verfügbaren virtuellen F5-Geräte bereitstellen. Wie Sie feststellen werden, ist eine öffentliche IP-Adresse erforderlich, um Netzwerkverbindungen zwischen den beiden Azure Stack Hub-Instanzen zuzulassen. Im Grunde sind beide Instanzen „Inseln“, denen die öffentliche IP-Adresse die standortübergreifende Kommunikation ermöglicht.

Voraussetzungen für BIG-IP VE

  • Laden Sie F5 BIG-IP VE – ALL (BYOL, 2 Boot Locations) in jeden Azure Stack Hub-Marketplace herunter. Wenden Sie sich an Ihren Cloudbetreiber, falls sie nicht in Ihrem Portal verfügbar sind.

  • Die Azure Resource Manager-Vorlage finden Sie im folgenden GitHub-Repository: https://github.com/Mikej81/f5-azurestack-gslb.

Bereitstellen von F5 BIG-IP VE in jeder Instanz

Nehmen Sie die Bereitstellung in Azure Stack Hub-Instanz A und B vor.

  1. Melden Sie sich beim Azure Stack Hub-Benutzerportal an.

  2. Klicken Sie auf + Ressource erstellen.

  3. Geben Sie F5 ein, um den Marketplace zu durchsuchen.

  4. Wählen Sie F5 BIG-IP VE – ALL (BYOL, 2 Boot Locations) aus.

    Im Dialogfeld „Dashboard > Neu > Marketplace > Alles > F5 BIG-IP VE – ALL (BYOL, 2 Boot Locations)“ ist „f5“ im Suchfeld zu sehen. Das einzige Suchergebnis lautet „F5 BIG-IP VE – ALL (BYOL, 2 Boot Locations)“.

  5. Wählen Sie unten auf der nächsten Seite Erstellen aus.

    Das Dialogfeld „F5 BIG-IP VE – ALL (BYOL, 2 Boot Locations)“ enthält Informationen über BIG-IP VE und die Module, die Sie gemäß Ihrer Lizenz bereitstellen können. Es gibt eine Schaltfläche „Erstellen“.

  6. Erstellen Sie eine neue Ressourcengruppe namens F5-GSLB.

  7. Verwenden Sie die folgenden Werte als Beispiel, um die Bereitstellung abzuschließen:

    Die Seite „Eingaben“ des Dialogfelds „Microsoft.Template“ zeigt 15 Textfelder, z. B. VIRTUALMACHINENNAME und ADMINUSERNAME, die Werte für eine Beispielbereitstellung enthalten.

  8. Überprüfen Sie, ob die Bereitstellung erfolgreich abgeschlossen wurde.

    Die Übersichtsseite des Dialogfelds „Microsoft.Template“ meldet „Ihre Bereitstellung wurde abgeschlossen“ und enthält Details zur Bereitstellung.

    Hinweis

    Jede BIG-IP-Bereitstellung dauert etwa 20 Minuten.

Konfigurieren der BIG-IP-Appliances

Führen Sie die folgenden Schritte für Azure Stack Hub A und B aus.

  1. Melden Sie sich auf Azure Stack Hub-Instanz A beim Azure Stack Hub-Benutzerportal an, um die Ressourcen zu überprüfen, die bei der BIG-IP-Vorlagenbereitstellung erstellt wurden.

    Auf der Übersichtsseite des Dialogfelds „F5-GSLB“ werden die bereitgestellten Ressourcen und die zugehörigen Informationen aufgelistet.

  2. Folgen Sie den Anweisungen in der F5-Dokumentation zu den BIG-IP-Konfigurationselementen.

  3. Konfigurieren Sie die „Wide IP List“ von BIG-IP, um in den beiden in Azure Stack Hub-Instanz A und B bereitgestellten Appliances zu lauschen. Anweisungen finden Sie in der Dokumentation zur Big-IP-GTM-Konfiguration.

  4. Überprüfen Sie das Failover der BIG-IP-Appliances. Konfigurieren Sie Ihre DNS-Server auf einem Testsystem wie folgt:

    • Azure Stack Hub-Instanz A = öffentliche IP-Adresse f5stack1-ext
    • Azure Stack Hub-Instanz B = öffentliche IP-Adresse f5stack1-ext

  5. Navigieren Sie zu www.contoso.com. Der Browser lädt die NGINX-Standardseite.

Erstellen einer DNS-Synchronisierungsgruppe

  1. Aktivieren Sie das Stammkonto, um eine Vertrauensstellung einzurichten. Folgen Sie den Anweisungen in der Dokumentation zum Ändern der Kontokennwörter für die Systemwartung (11.x – 15.x). Nachdem Sie die Vertrauensstellung (Zertifikataustausch) eingerichtet haben, deaktivieren Sie das Stammkonto.

  2. Melden Sie sich bei BIG-IP an, und erstellen Sie eine DNS-Synchronisierungsgruppe. Anweisungen finden Sie in der Dokumentation zum Erstellen einer BIG-IP-DNS-Synchronisierungsgruppe.

    Hinweis

    Die lokale IP-Adresse der BIG-IP-Appliance finden Sie in der Ressourcengruppe F5-GSLB. Die Netzwerkschnittstelle ist „f5stack1-ext“, und Sie möchten eine Verbindung mit der öffentlichen oder privaten IP-Adresse (je nach Zugriff) herstellen.

    Im Dialogfeld „DNS >> GSLB: Rechenzentren: Liste der Rechenzentren“ sind die Rechenzentren und deren Status aufgelistet. Es gibt Schaltflächen zum Aktivieren, Deaktivieren und Löschen, die auf ausgewählte Rechenzentren angewendet werden können.

    Im Dialogfeld „DNS >> GSLB: Server: Serverliste“ sind Server und ihr Status aufgelistet. Es gibt Schaltflächen zum Aktivieren, Deaktivieren, Löschen und Wiederherstellen der Verbindung, die auf ausgewählte Server angewendet werden können.

  3. Wählen Sie die neue Ressourcengruppe F5-GSLB und dann die VM f5stack1 aus, und wählen Sie unter Settings (Einstellungen) die Option Networking (Netzwerk) aus.

Konfigurationen nach der Installation

Nach der Installation müssen Sie Ihre Azure Stack Hub-Netzwerksicherheitsgruppen (NSGs) konfigurieren und die Quell-IP-Adressen sperren.

  1. Deaktivieren Sie Port 22, nachdem die Vertrauensstellung eingerichtet wurde.

  2. Wenn Ihr System online ist, blockieren Sie die Quell-NSGs. Die Verwaltungs-NSG sollte an die Verwaltungsquelle gebunden werden und die externe NSG (4353/TCP) zur Synchronisierung an die andere Instanz. 443 sollte ebenfalls gesperrt werden, bis Anwendungen mit virtuellen Servern bereitgestellt werden.

  3. Die Regel „GTM_DNS“ ist so konfiguriert, dass eingehender Datenverkehr über Port 53 (DNS-Datenverkehr) zugelassen wird, und der BIG-IP-Konfliktlöser wird einmal gestartet. Listener werden erstellt.

    Die Seite „fStack1-ext“ des Dialogfelds „Netzwerkschnittstelle“ zeigt Informationen zur Schnittstelle „fstack1-ext“ und zu ihrer Netzwerksicherheitsgruppe „fstack1-ext-nsg“. Es gibt Registerkarten, über die Portregeln für eingehenden Datenverkehr oder Portregeln für ausgehenden Datenverkehr angezeigt werden können.

  4. Stellen Sie eine einfache Webanwendungsworkload in Ihrer Azure Stack Hub-Umgebung bereit, um einen Lastenausgleich hinter der BIG-IP-Instanz vorzunehmen. Ein Beispiel für die Verwendung des NGNIX-Servers finden Sie im Artikel zur Bereitstellung von NGINX und NGINX Plus unter Docker.

    Hinweis

    Stellen Sie eine Instanz von NGNIX auf Azure Stack Hub A und Azure Stack Hub B bereit.

  5. Nachdem NGNIX in einem Docker-Container auf einer Ubuntu-VM in jeder Azure Stack Hub-Instanz bereitgestellt wurde, überprüfen Sie, ob Sie die Standardwebseite auf den Servern erreichen können.

    Auf der Seite „Willkommen bei nginx!“ wird angezeigt, dass der nginx-Webserver erfolgreich installiert wurde und dass eine weitere Konfiguration erforderlich ist. Es gibt zwei Links, die zu unterstützenden Informationen führen.

  6. Melden Sie sich bei der Verwaltungsschnittstelle der BIG-IP-Appliance an. Verwenden Sie in diesem Beispiel die öffentliche IP-Adresse f5-stack1-ext.

    Der Anmeldebildschirm für das BIG-IP-Konfigurationsprogramm erfordert Benutzername und Kennwort.

  7. Veröffentlichen Sie den Zugriff auf NGINX über BIG-IP.

    • In dieser Aufgabe konfigurieren Sie BIG-IP mit einem virtuellen Server und Pool, um eingehenden Internetzugriff auf die WordPress-Anwendung zuzulassen. Zuerst müssen Sie die private IP-Adresse für die NGINX-Instanz ermitteln.

  8. Melden Sie sich beim Azure Stack Hub-Benutzerportal an.

  9. Wählen Sie Ihre NGINX-Netzwerkschnittstelle aus.

    Die Übersichtsseite des Dialogfensters „Dashboard > Ressourcengruppen > NGINX > ubuntu2673“ zeigt Informationen zur Netzwerkschnittstelle „ubuntu2673“ an.

  10. Wechseln Sie in der BIG-IP-Konsole zu Local traffic > Pools > Pool List (Lokaler Datenverkehr > Pools > Poolliste), und wählen Sie + aus. Konfigurieren Sie den Pool mit den Werten in der Tabelle. Übernehmen Sie bei allen anderen Feldern die Standardwerte.

    Im linken Bereich können Sie zum Erstellen eines neuen Pools navigieren. Der rechte Bereich trägt den Titel „Local Traffic >> Pools: Pool List >> New Pool“ (Lokaler Datenverkehr > Pools: Poolliste > Neuer Pool) und bietet die Möglichkeit, die Informationen zum neuen Pool anzugeben. Es gibt eine Schaltfläche „Finished“ (Abgeschlossen).

    Schlüssel Wert
    Name NGINX_Pool
    Health Monitors (Integritätsüberwachungen) HTTPS
    Node Name (Knotenname) NGINX
    Adresse <Ihre private NGINX-IP-Adresse>
    Service Port (Dienstport) 443

  11. Wählen Sie Finished (Fertig) aus. Wenn Sie die Einstellungen richtig konfiguriert haben, wird der Poolstatus grün angezeigt.

    Der rechte Bereich trägt den Titel „Local Traffic >> Pools : Pool List“ (Lokaler Datenverkehr > Pools: Poolliste), un der neu erstellte Pool ist der einzige Eintrag in der Liste.

    Jetzt müssen Sie den virtuellen Server konfigurieren. Dazu müssen Sie zunächst die private IP-Adresse Ihrer F5 BIG-IP-Instanz ermitteln.

  12. Wechseln Sie in der BIG-IP-Konsole zu Network > Self IPs (Netzwerk > Eigene IPs), und notieren Sie die IP-Adresse.

    Der linke Bereich bietet die Möglichkeit zum Anzeigen von „Self IPs“ (Eigene IPs) zu navigieren. Der rechte Bereich trägt den Titel „Network >> Self IPs“ (Netzwerk > Eigene IPs). Zwei eigene IPs sind aufgeführt, und die erste (self_2nic) ist hervorgehoben.

  13. Erstellen Sie einen virtuellen Server, indem Sie zu Local Traffic>Virtual Servers>Virtual Server List (Lokaler Datenverkehr > Virtuelle Server > Liste virtueller Server) navigieren und + auswählen. Konfigurieren Sie den Pool mit den Werten in der Tabelle. Übernehmen Sie bei allen anderen Feldern die Standardwerte.

    Schlüssel Wert
    Name NGINX
    Destination Address (Zieladresse) <Eigene IP-Adresse der BIG-IP-Instanz>
    Service Port (Dienstport) 443
    SSL Profile (Client) (SSL-Profil (Client)) clientssl
    Source Address Translation (Quelladressenübersetzung) Auto Map (Automatische Zuordnung)

    Der linke Bereich wird verwendet, um im rechten Bereich zu „Local Traffic >> Virtual Servers : Virtual Server List >> NGINX“ (Lokaler Datenverkehr > Virtuelle Server: Liste der virtuellen Server > NGINX) zu navigieren, wo die erforderlichen Informationen eingegeben werden.

    Diese Seite bietet die Möglichkeit, zusätzliche Informationen einzugeben. Es gibt Schaltflächen zum Aktualisieren und Löschen.

  14. Damit haben Sie die BIG-IP-Konfiguration für die NGINX-Anwendung abgeschlossen. Um sicherzustellen, dass sie einwandfrei funktioniert, navigieren Sie zur Website, und überprüfen Sie die F5-Statistik.

  15. Öffnen Sie in einem Browser https://<F5-public-VIP-IP>, und vergewissern Sie sich, dass Ihre NGINX-Standardseite angezeigt wird.

    Auf der Seite „Willkommen bei nginx!“ wird angezeigt, dass der nginx-Webserver erfolgreich installiert wurde und dass eine weitere Konfiguration erforderlich ist. Es gibt zwei Links, die zu unterstützenden Informationen führen.

  16. Zeigen Sie nun die Statistik Ihres virtuellen Servers an, um den Datenverkehrsfluss zu überprüfen, indem Sie zu Statistics > Module Statistics > Local Traffic (Statistik > Modulstatistiken > Lokaler Datenverkehr) navigieren.

  17. Wählen Sie unter Statistics Type (Statistiktyp) die Option Virtual Servers (Virtuelle Server) aus.

    Vom linken Bereich wurde zum rechten Bereich zu „Statistics >> Module Statistics : Local Traffic >> Virtual Servers“ (Statistik > Modulstatistiken: Lokaler Datenverkehr > Virtuelle Server) navigiert, und die Liste zeigt den virtuellen NGINX-Server und andere an. NGINX ist hervorgehoben.

Weitere Informationen finden Sie unter

Referenzartikel zur Verwendung von F5 finden Sie hier:

Nächste Schritte

Azure Stack Hub-Netzwerke: Unterschiede und Überlegungen