Tutoriel : Migrer un cluster WebLogic Server vers Azure avec Azure Application Gateway en tant qu’équilibreur de charge

Ce tutoriel vous guide tout au long du processus de déploiement de WebLogic Server (WLS) avec Azure Application Gateway. Il couvre les étapes à suivre pour créer un coffre de clés Key Vault, stocker un certificat TLS/SSL dans ce coffre de clés et utiliser ce certificat pour la terminaison TLS/SSL. Bien que tous ces éléments soient documentés, ce tutoriel montre la façon dont tous ces éléments sont réunis pour créer une solution d’équilibrage de charge simple mais performante pour WLS sur Azure.

L’équilibrage de charge est un élément essentiel du processus de migration de votre cluster Oracle WebLogic Server vers Azure. La solution la plus simple consiste à utiliser la prise en charge intégrée pour Azure Application Gateway. App Gateway est inclus dans le cadre de la prise en charge du cluster WebLogic sur Azure. Pour une vue d’ensemble de la prise en charge du cluster WebLogic sur Azure, consultez Qu’est-ce qu’Oracle WebLogic Server sur Azure ?.

Dans ce tutoriel, vous allez apprendre à :

• Choisir comment fournir le certificat TLS/SSL à App Gateway
• Déployer WebLogic Server avec Azure Application Gateway vers Azure
• Vérifier le déploiement réussi de WLS et d’App Gateway

Prérequis

• OpenSSL sur un ordinateur exécutant un environnement de ligne de commande de type UNIX.

  Bien qu’il existe d’autres outils disponibles pour la gestion des certificats, ce tutoriel utilise OpenSSL. OpenSSL est fourni avec de nombreuses distributions GNU/Linux parmi lesquelles Ubuntu.

• Un abonnement Azure actif.

  • Si vous n’avez pas d’abonnement Azure, créez un compte gratuit.

• La possibilité de déployer une des applications Azure WLS listées dans Applications Azure Oracle WebLogic Server Azure.

Contexte de migration

Voici quelques points à prendre en compte concernant la migration d’installations WLS locales et Azure Application Gateway. Bien que les étapes de ce tutoriel constituent le moyen le plus simple de mettre en place un équilibreur de charge devant votre cluster WebLogic Server sur Azure, il existe bien d’autres façons de procéder. Cette liste répertorie quelques autres points importants à prendre en compte.

• Si vous disposez d’une solution d’équilibrage de charge existante, assurez-vous que ses fonctionnalités sont satisfaites ou dépassées par Azure Application Gateway. Pour un résumé des fonctionnalités Azure Application Gateway par rapport aux autres solutions d’équilibrage de charge Azure, consultez Présentation des options d’équilibrage de charge Azure.
• Si votre solution d’équilibrage de charge existante offre une protection contre les vulnérabilités et failles courantes, Application Gateway vous couvre. Le pare-feu d’applications web (WAF) intégré d’Application Gateway implémente les ensembles de règles de base OWASP (Open Web Application Security Project). Pour plus d’informations sur la prise en charge de WAF dans Application Gateway, consultez la section Pare-feu d’applications web dans Fonctionnalités d’Azure Application Gateway.
• Si votre solution d’équilibrage de charge existante requiert un chiffrement TLS/SSL de bout en bout, vous devez procéder à une configuration supplémentaire après avoir suivi la procédure décrite dans ce guide. Consultez la section Chiffrement TLS de bout en bout de Présentation de la terminaison TLS et du chiffrement TLS de bout en bout avec Application Gateway et la documentation Oracle relative à la configuration de SSL dans Oracle Fusion Middleware.
• Si vous optimisez le cloud, ce guide vous montre comment commencer à partir de zéro avec App Gateway et WLS.
• Pour des informations complètes sur la migration de WebLogic Server vers des machines virtuelles Azure, consultez Migrer des applications WebLogic Server vers des machines virtuelles Azure.

Déployer WebLogic Server avec Application Gateway vers Azure

Cette section vous explique comment approvisionner un cluster WLS avec Azure Application Gateway créé automatiquement en tant qu’équilibreur de charge pour les nœuds de cluster. Application Gateway utilisera le certificat TLS/SSL fourni pour la terminaison TLS/SSL. Pour plus d’informations sur la terminaison TLS/SSL avec Application Gateway, consultez Présentation de la terminaison TLS et du chiffrement TLS de bout en bout avec Application Gateway.

Pour créer le cluster WLS et Application Gateway, procédez comme suit :

Tout d’abord, commencez le processus de déploiement d’un cluster WebLogic Server ou configuré comme décrit dans la documentation Oracle, mais revenez à cette page quand vous atteignez Azure Application Gateway, comme illustré ici.

Choisir comment fournir le certificat TLS/SSL à App Gateway

Vous avez plusieurs options pour fournir le certificat TLS/SSL à la passerelle d’application, mais vous ne pouvez en choisir qu’une seule. Cette section explique chaque option pour vous permettre de choisir celle qui est le mieux adaptée à votre déploiement.

Option 1 : charger un certificat TLS/SSL

Cette option est adaptée aux charges de travail de production dans lesquelles App Gateway est face à l’Internet public ou aux charges de travail intranet qui nécessitent TLS/SSL. Le choix de cette option entraîne la configuration automatique d’Azure Key Vault afin de contenir le certificat TLS/SSL utilisé par App Gateway.

Pour charger un certificat TLS/SSL existant et signé, procédez comme suit :

1. Suivez les étapes de votre émetteur de certificat pour créer un certificat TLS/SSL protégé par mot de passe et spécifiez le nom DNS du certificat. Le choix entre certificat avec caractères génériques et certificat à nom unique n’entre pas dans le cadre de ce document. Les deux fonctionneront ici.
2. Exportez le certificat de votre émetteur à l’aide du format de fichier PFX et téléchargez-le sur votre ordinateur local. Si votre émetteur ne prend pas en charge l’exportation sous PFX, il existe des outils permettant de convertir de nombreux formats de certificat au format PFX.
3. Sélectionnez la section Azure Application Gateway.
4. En regard de Se connecter à Azure Application Gateway, sélectionnez Oui.
5. Sélectionnez Charger un certificat SSL.
6. Sélectionnez l’icône du navigateur de fichiers pour le champ Certificat SSL. Accédez au certificat au format PFX téléchargé, puis sélectionnez Ouvrir.
7. Entrez le mot de passe du certificat dans les zones Mot de passe et Confirmer le mot de passe.
8. Indiquez si vous souhaitez refuser le trafic public directement aux nœuds des serveurs gérés. Si vous sélectionnez Oui, les serveurs gérés sont accessibles uniquement par le biais d’App Gateway.

Sélectionner la configuration DNS

Les certificats TLS/SSL sont associés à un nom de domaine DNS au moment où ils sont émis par l’émetteur du certificat. Suivez les étapes de cette section pour configurer le déploiement avec le nom DNS du certificat. Vous pouvez utiliser une zone DNS que vous avez déjà créée ou autoriser le déploiement à en créer une pour vous. Sélectionnez la section Configuration DNS pour continuer.

Utiliser une zone Azure DNS existante

Pour utiliser une zone Azure DNS existante avec App Gateway, procédez comme suit :

1. En regard de Configurer un alias DNS personnalisé, sélectionnez Oui.
2. En regard de Utiliser une zone Azure DNS existante, sélectionnez Oui.
3. Entrez le nom de la zone Azure DNS en regard du Nom de la zone DNS.
4. Entrez le groupe de ressources qui contient la zone Azure DNS de l’étape précédente.

Autoriser le déploiement à créer une zone Azure DNS

Pour créer une zone Azure DNS à utiliser avec App Gateway, procédez comme suit :

1. En regard de Configurer un alias DNS personnalisé, sélectionnez Oui.
2. En regard de Utiliser une zone Azure DNS existante, sélectionnez Non.
3. Entrez le nom de la zone Azure DNS en regard du Nom de la zone DNS. Une nouvelle zone DNS sera créée dans le même groupe de ressources que WLS.

Enfin, spécifiez les noms des zones DNS enfants. Le déploiement va créer deux zones DNS enfants à utiliser avec WLS : une pour la console d’administration et une pour App Gateway. Par exemple, si votre nom de zone DNS est « contoso.net », vous pouvez entrer admin et application comme valeurs. La console d’administration est disponible à l’adresse « admin.contoso.net » et la passerelle d’application est disponible sur « app.contoso.net ». N’oubliez pas de configurer la délégation DNS comme décrit dans Délégation de zones DNS avec Azure DNS.

Les autres options permettant de fournir un certificat TLS/SSL à App Gateway sont détaillées dans les sections suivantes. Si vous êtes satisfait de l’option que vous avez choisie, vous pouvez passer à la section Poursuivre le déploiement.

Option 2 : Identifier un coffre Azure Key Vault

Cette option est adaptée aux charges de travail de production ou de non-production, en fonction du certificat TLS/SSL fourni. Si vous ne souhaitez pas que le déploiement crée un coffre Azure Key Vault, vous pouvez en identifier un existant ou en créer un vous-même. Cette option vous oblige à stocker le certificat et son mot de passe dans le coffre Azure Key Vault avant de continuer. Si vous avez un coffre de clés existant que vous souhaitez utiliser, passez à la section Créer un certificat TLS/SSL. Sinon, passez à la section suivante.

Créer un Azure Key Vault

Cette section explique comment utiliser le portail Azure pour créer un coffre de clés Azure Key Vault.

1. Dans le menu du Portail Azure ou dans la page Accueil, sélectionnez Créer une ressource.
2. Dans la zone de recherche, entrez Key Vault.
3. Dans la liste des résultats, choisissez Key Vault.
4. Dans la section Key Vault, choisissez Créer.
5. Dans la section Créer un coffre de clés, fournissez les informations suivantes :
   • Abonnement : choisissez un abonnement.
   • Sous Groupe de ressources, sélectionnez Créer et entrez le nom du groupe de ressources. Notez le nom du coffre de clés. Vous en aurez besoin plus tard lors du déploiement de WLS.
   • Nom du coffre de clés : un nom unique est requis. Notez le nom du coffre de clés. Vous en aurez besoin plus tard lors du déploiement de WLS.

   Remarque

   Vous pouvez utiliser le même nom pour le groupe de ressources et le coffre de clés.

   • Dans le menu déroulant Emplacement, choisissez un emplacement.
   • Conservez les valeurs par défaut des autres options.
6. Sélectionnez Suivant : Stratégie d’accès.
7. Sous Activer l’accès à, sélectionnez Azure Resource Manager pour le déploiement de modèles.
8. Sélectionnez Vérifier + créer.
9. Sélectionnez Create (Créer).

La création d’un coffre de clés est relativement simple et se fait généralement en moins de deux minutes. Une fois le déploiement terminé, sélectionnez Accéder à la ressource et passez à la section suivante.

Créer un certificat TLS/SSL

Cette section montre comment créer un certificat TLS/SSL auto-signé dans un format adapté à une utilisation par Application Gateway déployée avec WebLogic Server sur Azure. Le certificat doit disposer d’un mot de passe non vide. Si vous disposez déjà d’un certificat TLS/SSL avec mot de passe non vide valide au format .pfx, vous pouvez ignorer cette section et passer à la suivante. Si votre certificat TLS/SSL avec mot de passe non vide existant n’est pas au format .pfx, convertissez-le d’abord en fichier .pfx avant de passer à la section suivante. Sinon, ouvrez une interface de commande et entrez les commandes suivantes.

Remarque

Cette section explique comment encoder le certificat en base 64 avant de le stocker en tant que secret dans le coffre de clés. Cette opération est requise par le déploiement Azure sous-jacent qui crée WebLogic Server et Application Gateway.

Pour créer et encoder le certificat en base 64, procédez comme suit :

1. Créer un RSA PRIVATE KEY

   openssl genrsa 2048 > private.pem
   

2. Créez une clé publique correspondante.

   openssl req -x509 -new -key private.pem -out public.pem
   

   Vous devrez répondre à plusieurs questions lorsque l’outil OpenSSL vous y invitera. Ces valeurs seront incluses dans le certificat. Ce tutoriel utilise un certificat auto-signé et dès lors, les valeurs ne sont pas pertinentes. Les valeurs littérales suivantes sont correctes.

   1. Pour Nom du pays, entrez un code à deux lettres.
   2. For Nom de l’État ou de la province, entrez WA.
   3. Pour Nom de l’organisation, entrez Contoso. Pour Nom de l’unité d’organisation, entrez facturation.
   4. Pour Nom commun, entrez Contoso.
   5. Pour Adresse e-mail, entrez billing@contoso.com.

3. Exporter le certificat sous forme de fichier .pfx

   openssl pkcs12 -export -in public.pem -inkey private.pem -out mycert.pfx
   

   Entrez deux fois le mot de passe. Notez le mot de passe. Vous en aurez besoin plus tard lors du déploiement de WLS.

4. Encodez en base 64 le fichier mycert.pfx.

   base64 mycert.pfx > mycert.txt
   

Maintenant que vous avez créé un coffre de clés et disposez d’un certificat TLS/SSL valide avec un mot de passe non vide, vous pouvez stocker le certificat dans ce coffre de clés.

Stocker le certificat TLS/SSL dans le coffre de clés

Cette section explique comment stocker le certificat et son mot de passe dans le coffre de clés créé dans les sections précédentes.

Pour stocker le certificat, procédez comme suit :

1. À partir du portail Azure, placez le curseur dans la barre de recherche située en haut de la page et entrez le nom du coffre de clés créé précédemment dans le tutoriel.
2. Votre coffre de clés doit apparaître sous l’en-tête Ressources. Sélectionnez-le.
3. Dans la section Paramètres, sélectionnez Secrets.
4. Sélectionnez Générer/Importer.
5. Sous Options de chargement, conservez la valeur par défaut.
6. Sous Nom, entrez myCertSecretData ou le nom de votre choix.
7. Sous Valeur, entrez le contenu du fichier mycert.txt. La longueur de la valeur et la présence de nouvelles lignes ne sont pas un problème pour le champ de texte.
8. Conservez les valeurs par défaut restantes, puis sélectionnez Créer.

Pour stocker le mot de passe du certificat, procédez comme suit :

1. Vous serez redirigé vers la page Secrets. Sélectionnez Générer/Importer.
2. Sous Options de chargement, conservez la valeur par défaut.
3. Sous Nom, entrez myCertSecretPassword ou le nom de votre choix.
4. Sous Valeur, entrez le mot de passe du certificat.
5. Conservez les valeurs par défaut restantes, puis sélectionnez Créer.
6. Vous serez redirigé vers la page Secrets.

Identifier le coffre de clés

Maintenant que vous disposez d’un coffre de clés avec un certificat TLS/SSL signé et que son mot de passe est stocké en tant que secrets, revenez à la section Azure Application Gateway pour identifier le coffre de clés pour le déploiement.

1. Sous Nom du groupe de ressources dans l’abonnement actuel contenant le coffre de clés, entrez le nom du groupe de ressources contenant le coffre de clés créé précédemment.
2. Sous Nom du coffre de clés Azure Key Vault contenant des secrets pour le certificat de la terminaison SSL, entrez le nom du coffre de clés.
3. Sous Nom du secret dans le coffre de clés spécifié dont la valeur correspond à Données du certificat SSL, entrez myCertSecretDataou le nom entré précédemment.
4. Sous Nom du secret dans le coffre de clés spécifié dont la valeur correspond au mot de passe du certificat SSL, entrez myCertSecretData ou le nom entré précédemment.
5. Sélectionnez Vérifier + créer.
6. Sélectionnez Create (Créer). Cette opération vérifie que le certificat peut être obtenu à partir du coffre de clés et que son mot de passe correspond à la valeur que vous avez stockée pour le mot de passe dans le coffre de clés. Si cette étape de validation échoue, passez en revue les propriétés du coffre de clés et assurez-vous que le certificat et le mot de passe ont été correctement entrés.
7. Lorsque vous voyez Validation réussie, sélectionnez Créer.

Cette opération démarre le processus de création du cluster WLS et de son instance Application Gateway frontale, ce qui peut prendre environ 15 minutes. Une fois le déploiement terminé, sélectionnez Accéder au groupe de ressources. Dans la liste des ressources comprises dans le groupe de ressources, sélectionnez myAppGateway.

La dernière option consistant à fournir un certificat TLS/SSL à App Gateway est détaillée dans la section suivante. Si vous êtes satisfait de l’option que vous avez choisie, vous pouvez passer à la section Poursuivre le déploiement.

Option 3 : Générer un certificat auto-signé

Cette option convient uniquement aux déploiements de test et de développement. Avec cette option, un Azure Key Vault et un certificat auto-signé sont créés automatiquement, et le certificat est fourni à App Gateway.

Pour demander au déploiement d’effectuer ces actions, procédez comme suit :

1. Dans la section Azure Application Gateway, sélectionnez Générer un certificat auto-signé.
2. Sélectionnez une identité managée attribuée à l’utilisateur. Cette action est nécessaire pour permettre au déploiement de créer le coffre de clés Azure Key Vault et le certificat.
3. Si vous ne disposez pas déjà d’une identité managée attribuée à l’utilisateur, sélectionnez Ajouter pour commencer le processus d’en créer une.
4. Pour créer une identité managée attribuée à l’utilisateur, suivez les étapes de la section Créer une identité managée attribuée à l’utilisateur de Créer, répertorier, supprimer ou affecter un rôle à une identité managée attribuée à l’utilisateur à l’aide du portail Microsoft Azure. Une fois que vous avez sélectionné l’identité managée attribuée à l’utilisateur, assurez-vous que la case à cocher en regard de l’identité managée attribuée à l’utilisateur est cochée.

Poursuivez le déploiement

Vous pouvez maintenant continuer avec les autres aspects du déploiement de WLS, comme décrit dans la documentation Oracle.

Vérifier le déploiement réussi de WLS et d’App Gateway

Cette section présente une technique permettant de rapidement vérifier que le déploiement du cluster WLS et d’Application Gateway a abouti.

Si vous avez sélectionné Accéder au groupe de ressources, puis myAppGateway à la fin de la section précédente, vous accédez à la page de présentation d’Application Gateway. Si ce n’est pas le cas, accédez à cette page en entrant myAppGateway dans la zone de texte située en haut du portail Azure, puis en sélectionnant l’option qui convient. Veillez à sélectionner l’option correspondant au groupe de ressources que vous avez créé pour le cluster WLS. Effectuez ensuite les tâches suivantes :

1. Dans le volet gauche de la page de présentation de myAppGateway, faites défiler jusqu’à la section Surveillance, puis sélectionnez Intégrité du serveur principal.
2. Lorsque le message de chargement disparaît, vous devez voir un tableau au milieu de l’écran affichant les nœuds de votre cluster configurés en tant que nœuds dans le pool principal.
3. Vérifiez que l’état de chaque nœud indique Sain.

Nettoyer les ressources

Si vous n’envisagez plus d’utiliser le cluster WLS, procédez comme suit pour supprimer le coffre de clés et le cluster WLS :

1. Consultez la page de présentation de myAppGateway comme indiqué à la section précédente.
2. En haut de la page, sous le texte Groupe de ressources, sélectionnez le groupe de ressources.
3. Sélectionnez Supprimer le groupe de ressources.
4. Le focus d’entrée se trouve sur le champ nommé ENTRER LE NOM DU GROUPE DE RESSOURCES. Entrez le nom du groupe de ressources comme demandé.
5. Le bouton Supprimer est alors activé. Sélectionnez le bouton Supprimer. Cette opération peut prendre un certain temps, mais vous pouvez passer à l’étape suivante pendant la suppression.
6. Recherchez le coffre de clés en suivant la première étape de la section Stocker le certificat TLS/SSL dans le coffre de clés.
7. Sélectionnez Supprimer.
8. Sélectionnez Supprimer dans le volet qui s’affiche.

Étapes suivantes

Continuez à explorer les options permettant d’exécuter WLS sur Azure.

En savoir plus sur Oracle WebLogic Server sur Azure