Menyebarkan Mesin Virtual Edisi Virtual F5 BIG-IP di Azure

Tutorial ini memandu Anda melalui proses ujung ke ujung penerapan BIG-IP Vitural Edition (VE) di Azure IaaS. Di akhir tutorial ini, Anda harus memiliki:

  • komputer virtual (VM) BIG-IP yang sepenuhnya disiapkan untuk membuat model bukti konsep Secure Hybrid Access (SHA)

  • Contoh pementasan yang akan digunakan untuk menguji pembaruan dan perbaikan terbaru sistem BIG-IP

Prasyarat

Pengalaman atau pengetahuan F5 BIG-IP sebelumnya tidak diperlukan, namun, sebaiknya Anda membiasakan diri dengan terminologi F5 BIG-IP . Menerapkan BIG-IP di Azure untuk SHA membutuhkan:

  • Langganan Azure berbayar atau langganan uji coba 12 bulan gratis.

  • Salah satu SKU lisensi F5 BIG-IP berikut

    • F5 BIG-IP® Bundel terbaik

    • Lisensi mandiri F5 BIG-IP Access Policy Manager ™ (APM)

    • Lisensi tambahan F5 BIG-IP Access Policy Manager ™ (APM) pada BIG-IP F5 BIG-IP® Local Traffic Manager ™ (LTM)

    • Fitur lengkap 90 hari BIG-IP lisensi uji coba.

  • Sertifikat wildcard atau Subject Alternative Name (SAN), untuk menerbitkan aplikasi web melalui Secure Socket Layer (SSL). Mari kita enkripsi menawarkan sertifikat 90 hari gratis untuk pengujian.

  • Sertifikat SSL untuk mengamankan antarmuka manajemen BIG-IP. Sertifikat yang digunakan untuk mempublikasikan aplikasi web dapat digunakan, jika subjeknya sesuai dengan nama domain Sepenuhnya memenuhi syarat (FQDN) BIG-IP. Misalnya, sertifikat kartu bebas yang ditentukan dengan subjek *.contoso.com akan sesuai untuk https://big-ip-vm.contoso.com:8443

Penyebaran VM dan konfigurasi sistem dasar membutuhkan waktu sekitar 30 menit, di mana platform BIG-IP Anda akan siap untuk menerapkan skenario SHA apa pun yang tercantum Integrasi F5 BIG-IP dengan Azure Active Directory.

Untuk menguji skenario, tutorial ini mengasumsikan BIG-IP akan disebarkan ke grup sumber daya Azure yang berisi lingkungan Active Directory (AD). Lingkungan harus terdiri dari VM Pengontrol Domain (DC) dan host web (IIS). Memiliki server ini di lokasi lain ke BIG-IP VM juga tidak masalah, asalkan BIG-IP memiliki garis pandang untuk setiap peran yang diperlukan untuk mendukung skenario tertentu. Skenario di mana BIG-IP VM terhubung ke lingkungan lain melalui koneksi VPN juga didukung.

Jika Anda tidak memiliki item yang disebutkan di sini untuk pengujian, Anda dapat menerapkan seluruh lingkungan domain AD ke Azure, menggunakan skrip ini. Kumpulan aplikasi uji sampel juga dapat diterapkan secara terprogram ke host web IIS menggunakan otomatisasi skrip ini.

Catatan

Portal Microsoft Azure terus berkembang, jadi beberapa langkah dalam tutorial ini mungkin berbeda dari tata letak sebenarnya yang diamati di portal Microsoft Azure.

Penyebaran Azure

BIG-IP dapat digunakan di berbagai topologi. Panduan ini berfokus pada penyebaran antarmuka jaringan (NIC) tunggal. Namun, jika penyebaran BIG-IP Anda memerlukan beberapa antarmuka jaringan untuk ketersediaan tinggi, pemisahan jaringan, atau throughput lebih dari 1 GB, pertimbangkan untuk menggunakan template Azure Resource Manager (ARM) yang telah dikompilasi sebelumnya dari F5.

Selesaikan tugas berikut untuk menerapkan BIG-IP VE dari Azure Marketplace.

  1. Masuk ke portal Microsoft Azure dengan akun, yang memiliki izin untuk membuat VM. Misalnya, Kontributor

  2. Di pita atas, ketik pasar, diikuti dengan Enter

  3. Ketik F5 ke filter Marketplace, diikuti dengan masukan

  4. Pilih + Tambahkan dari pita atas dan ketik F5 ke dalam filter marketplace, diikuti dengan Enter

  5. Pilih F5 BIG-IP Virtual Edition (BYOL)>Pilih paket perangkat lunak>F5 BIG-IP VE - ALL (BYOL, 2 Lokasi Booting)

  6. Pilih Buat.

Gambar menunjukkan langkah-langkah untuk memilih paket perangkat lunak

  1. Telusuri menu Dasar-dasar dan gunakan setelan berikut
Detail proyek Nilai
Langganan Target langganan untuk penyebaran BIG-IP VM
Grup sumber daya Grup Sumber Daya Azure yang sudah ada, VM BIG-IP akan digunakan atau dibuat. Harus merupakan grup sumber daya yang sama dari VM DC dan IIS Anda
Detail instans
Nama VM Contoh BIG-IP-VM
Wilayah Targetkan geo Azure untuk BIG-IP-VM
Opsi ketersediaan Hanya aktifkan jika menggunakan VM dalam produksi
Gambar F5 BIG-IP VE - ALL (BYOL, 2 Lokasi Booting)
Instans Azure Spot Tidak, tetapi silakan aktifkan jika sesuai
Ukuran Spesifikasi minimum harus 2 vCPU dan memori 8 Gb
Akun Administrator
Jenis autentikasi Pilih kata sandi untuk saat ini. Anda dapat beralih ke pasangan kunci nanti
Nama pengguna Identitas yang akan dibuat sebagai akun lokal BIG-IP untuk mengakses antarmuka manajemennya. Nama pengguna peka terhadap KASUS.
Kata Sandi Amankan akses admin dengan kata sandi yang kuat
Aturan port inbound
Port inbound publik Tidak ada
  1. Pilih Berikutnya: Disk meninggalkan semua default dan pilih Berikutnya: Jaringan.

  2. Di menu Jaringan, selesaikan setelan ini.

Antarmuka jaringan Nilai
Jaringan virtual Azure VNet yang sama yang digunakan oleh VM DC dan IIS Anda, atau buat satu
Subnet Subnet internal Azure yang sama dengan VM DC dan IIS Anda, atau buat satu
IP Publik Tidak ada
Grup Keamanan Jaringan NIC Pilih Tidak Ada jika subnet Azure yang Anda pilih di langkah sebelumnya sudah dikaitkan dengan kelompok keamanan jaringan (NSG); jika tidak, pilih Dasar
Percepat Jaringan Nonaktif
Penyeimbangan Muatan
VM keseimbangan beban Tidak
  1. Pilih Berikutnya: Manajemen dan selesaikan setelan ini.
Pemantauan Nilai
Pemantauan terperinci Nonaktif
Diagnostik Boot Aktifkan dengan akun penyimpanan khusus. Memungkinkan menghubungkan ke antarmuka BIG-IP Secure Shell (SSH) melalui opsi Konsol Serial di portal Microsoft Azure. Pilih akun penyimpanan Azure yang tersedia
Identitas
Sistem menetapkan identitas terkelola Nonaktif
Azure Active Directory BIG-IP saat ini tidak mendukung opsi ini
Autoshutdown
Aktifkan Matikan Otomatis Jika melakukan pengujian, pertimbangkan untuk mengatur BIG-IP-VM untuk dimatikan setiap hari
  1. Pilih Berikutnya: Lanjutan meninggalkan semua default dan pilih Berikutnya: Tag.

  2. Pilih Berikutnya: Tinjau + buat untuk meninjau konfigurasi BIG-IP-VM Anda, sebelum memilih Buat untuk memulai penyebaran.

  3. Waktu untuk menerapkan VM BIG-IP sepenuhnya biasanya 5 menit. Jika sudah selesai, jangan pilih Buka sumber daya, lebih baik perluas menu sebelah kiri portal Microsoft Azure dan pilih Grup sumber daya untuk menavigasi ke BIG-IP-VM baru Anda. Jika pembuatan VM gagal, pilih Kembali dan Berikutnya.

Konfigurasi jaringan

Saat VM BIG-IP pertama kali melakukan booting, NIC-nya akan disediakan dengan IP pribadi Primer yang dikeluarkan oleh layanan Dynamic Host Configuration Protocol (DHCP) dari subnet Azure yang terhubung dengannya. IP ini akan digunakan oleh Sistem Operasi Manajemen Lalu Lintas (TMOS) BIG-IP untuk berkomunikasi dengan:

  • Berkomunikasi dengan tuan rumah dan layanan lain

  • Akses keluar ke internet publik

  • Akses masuk ke konfigurasi web BIG-IPs dan antarmuka manajemen SSH

Mengekspos salah satu dari antarmuka manajemen ini ke internet meningkatkan permukaan serangan BIG-IP, oleh karena itu mengapa IP primer BIG-IP tidak disediakan dengan IP publik selama penyebaran. Sebaliknya, IP internal sekunder dan IP publik terkait akan disediakan untuk layanan penerbitan. Pemetaan 1 ke 1 antara IP publik VM dan IP pribadi memungkinkan lalu lintas eksternal mencapai VM. Namun, aturan Azure NSG juga diperlukan untuk mengizinkan lalu lintas, dengan cara yang hampir sama seperti firewall.

Diagram menunjukkan penyebaran NIC tunggal dari BIG-IP VE di Azure, dikonfigurasi dengan IP utama untuk operasi dan manajemen umum, dan IP server virtual terpisah untuk layanan penerbitan. Dalam pengaturan ini, aturan NSG memungkinkan lalu lintas jarak jauh yang ditujukan untukintranet.contoso.com merutekan ke IP publik untuk layanan yang dipublikasikan, sebelum diteruskan ke server virtual BIG-IP.

Gambar menunjukkan penyebaran nic tunggal Secara default, IP pribadi dan publik yang diterbitkan untuk Mesin Virtual Azure selalu dinamis, sehingga kemungkinan akan berubah setiap kali Mesin Virtual dihidupkan ulang. Hindari masalah konektivitas yang tidak terduga dengan mengubah IP manajemen BIG-IP menjadi statis dan melakukan hal yang sama ke IP sekunder yang digunakan untuk layanan penerbitan.

  1. Dari menu BIG-IP VM Anda, buka Setelan>Jaringan

  2. Dalam tampilan jaringan, pilih tautan di sebelah kanan Antarmuka Jaringan

Gambar menunjukkan konfigurasi jaringan

Catatan

Nama VM dibuat secara acak selama penyebaran.

  1. Di panel kiri, pilih konfigurasi IP lalu pilih baris ipconfig1

  2. Setel opsi Penetapan IP ke statis dan jika perlu, ubah alamat IP primer VM BIG. Kemudian pilih Simpan dan tutup menu ipconfig1

Catatan

Anda akan menggunakan IP utama ini untuk menghubungkan dan mengelola BIG-IP-VM.

  1. Pilih + Tambahkan di pita atas dan berikan nama untuk IP pribadi sekunder, misalnya, ipconfig2

  2. Setel opsi Alokasi dari setelan alamat IP pribadi ke Statis. Memberikan IP berturut-turut yang lebih tinggi atau lebih rendah membantu menjaga semuanya tetap teratur.

  3. Setel alamat IP Publik ke Asosiasi dan pilih Buat

  4. Berikan nama untuk alamat IP publik baru, misalnya, BIG-IP-VM_ipconfig2_Public

  5. Jika diminta, setel ​​SKU ke Standar

  6. Jika diminta, setel ​​Tingkat ke Global dan

  7. Setel opsi Tugas ke Statis, lalu pilih OK dua kali

BIG-IP-VM Anda sekarang siap untuk disiapkan dengan:

  • IP pribadi primer: Didedikasikan untuk mengelola BIG-IP-VM melalui utilitas konfigurasi Web dan SSH. Ini akan digunakan oleh sistem BIG-IP sebagai Self-IP untuk terhubung ke layanan backend yang dipublikasikan. Juga terhubung ke layanan eksternal seperti NTP, AD, dan LDAP.

  • Secondary private IP: Digunakan saat membuat server virtual APM BIG-IP untuk mendengarkan permintaan masuk ke layanan yang dipublikasikan.

  • IP Publik: Terkait dengan IP pribadi sekunder, memungkinkan lalu lintas klien dari internet publik mencapai server virtual BIG-IP untuk layanan yang dipublikasikan

Contoh tersebut menggambarkan hubungan 1 ke 1 antara VM IP publik dan privat. Azure VM NIC hanya dapat memiliki satu IP primer, dan setiap IP tambahan yang dibuat selalu disebut sebagai sekunder.

Catatan

Anda memerlukan pemetaan IP sekunder untuk menerbitkan layanan BIG-IP.

Gambar ini menunjukkan semua IP sekunder

Untuk mengimplementasikan SHA menggunakan BIG-IP Access Guided Configuration, ulangi langkah 5-11 untuk membuat pasangan IP privat dan publik tambahan untuk setiap layanan tambahan yang Anda rencanakan untuk dipublikasikan melalui BIG-IP APM. Pendekatan yang sama juga dapat digunakan jika layanan penerbitan menggunakan Konfigurasi Lanjutan BIG-IP. Namun, dalam skenario itu Anda memiliki opsi untuk menghindari overhead IP publik dengan menggunakan konfigurasi Server Name Indicator (SNI). Dalam konfigurasi ini, server virtual BIG-IP akan menerima semua lalu lintas klien yang diterimanya, dan meneruskannya ke tujuannya.

Konfigurasi DNS

DNS harus dikonfigurasi untuk klien guna menyelesaikan layanan SHA yang Anda publikasikan ke IP publik BIG-IP-VM Anda.

Langkah-langkah berikut ini mengasumsikan zona DNS dari domain publik yang digunakan untuk layanan SHA Anda dikelola di Azure. Namun, prinsip DNS yang sama dalam membuat catatan pelacak tetap berlaku di mana pun zona DNS Anda dikelola.

  1. Jika belum terbuka, perluas menu kiri portal dan arahkan ke BIG-IP-VM Anda melalui opsi Grup Sumber Daya

  2. Dari menu BIG-IP VM Anda, buka Setelan>Jaringan

  3. Dalam tampilan jaringan BIG-IP-VMs, pilih IP sekunder pertama dari daftar konfigurasi IP drop-down dan pilih tautan untuk IP Publik NIC

Tangkapan layar untuk menampilkan IP publik NIC

  1. Di bawah bagian Pengaturan di panel kiri, pilih Konfigurasi untuk menampilkan menu properti IP dan DNS publik untuk IP sekunder yang dipilih

  2. Pilih dan Buat rekam alias dan pilih zona DNS Anda dari daftar tarik-turun. Jika zona DNS belum ada, maka zona tersebut dapat dikelola di luar Azure, atau Anda dapat membuatnya untuk sufiks domain yang akan Anda verifikasi di Microsoft Azure Active Directory.

  3. Gunakan detail berikut untuk membuat catatan alias DNS pertama:

Bidang Nilai
Langganan Langganan yang sama dengan BIG-IP-VM
Zona DNS Zona DNS yang berwenang untuk akhiran domain terverifikasi yang akan digunakan situs web Anda yang dipublikasikan, misalnya, www.contoso.com
Nama Nama host yang Anda tentukan akan menyelesaikan ke IP publik yang terkait dengan IP sekunder yang dipilih. Pastikan untuk menentukan pemetaan DNS ke IP yang benar. Lihat gambar terakhir di bagian Konfigurasi jaringan, misalnya intranet.contoso.com > 13.77.148.215
TTL 1
Unit TTL Jam
  1. Pilih Buat untuk Azure untuk menyimpan pengaturan itu ke DNS publik.

  2. Biarkan label nama DNS (opsional) dan pilih Simpan sebelum menutup menu IP Publik.

  3. Ulangi langkah 1 hingga 6 untuk membuat data DNS tambahan untuk setiap layanan yang Anda rencanakan untuk dipublikasikan menggunakan Konfigurasi Terpandu IP BIG.

Dengan data DNS di tempat, Anda dapat menggunakan salah satu alat online seperti pemeriksa DNS untuk memverifikasi bahwa catatan yang dibuat telah berhasil disebarkan ke semua server DNS publik global.

Jika Anda mengelola ruang nama domain DNS Anda menggunakan penyedia eksternal seperti GoDaddy, Anda harus membuat catatan menggunakan fasilitas manajemen DNS mereka sendiri.

Catatan

Anda juga dapat menggunakan file host lokal PC jika menguji dan sering berpindah data DNS. File host lokal pada PC Windows dapat diakses dengan menekan Win + R pada keyboard dan memasukkan kata driver ke kotak Run. Perlu diintat bahwa rekaman host lokal hanya akan memberikan resolusi DNS untuk PC lokal, bukan klien lain.

Lalu lintas klien

Secara default, Azure VNets dan subnet terkait adalah jaringan pribadi yang tidak dapat menerima lalu lintas Internet. NIC BIG-IP-VM Anda harus dilampirkan ke NSG yang Anda tentukan selama penyebaran. Agar lalu lintas web eksternal mencapai BIG-IP-VM, Anda harus menetapkan aturan NSG masuk untuk mengizinkan port 443 (HTTPS) dan 80 (HTTP) melalui dari internet publik.

  1. Dari menu utama Ikhtisar VM BIG-IP, pilih Jaringan

  2. Pilih Tambahkan aturan masuk untuk memasukkan properti aturan NSG berikut:

Bidang Nilai
Sumber Apa pun
Rentang port sumber *
Alamat IP tujuan Daftar semua IP pribadi sekunder BIG-IP-VM yang dipisahkan koma
Port tujuan 80,443
Protokol TCP
Tindakan Izinkan
Prioritas Nilai terendah yang tersedia antara 100 - 4096
Nama Nama deskriptif, misalnya: BIG-IP-VM_Web_Services_80_443
  1. Pilih Tambah untuk menjalankan perubahan, dan tutup menu Jaringan.

Lalu lintas HTTP dan HTTPS dari lokasi mana pun sekarang akan diizinkan untuk menjangkau semua antarmuka sekunder BIG-IP-VM Anda. Mengizinkan port 80 berguna untuk memungkinkan BIG-IP APM mengalihkan pengguna secara otomatis dari HTTP ke HTTPS. Aturan ini dapat diedit untuk menambah atau menghapus IP tujuan, kapan pun diperlukan.

Kelola BIG-IP

Sistem BIG-IP dikelola melalui UI konfigurasi webnya, yang dapat diakses menggunakan salah satu metode yang direkomendasikan berikut:

Anda harus memutuskan metode yang paling sesuai sebelum Anda dapat melanjutkan dengan konfigurasi yang tersisa. Jika perlu, Anda dapat terhubung langsung ke konfigurasi web dari internet dengan mengkonfigurasi IP primer BIG-IP dengan IP publik. Kemudian menambahkan aturan NSG untuk mengizinkan 8443 lalu lintas ke IP utama tersebut. Pastikan untuk membatasi sumber ke IP tepercaya Anda sendiri, jika tidak, siapa pun dapat terhubung.

Setelah siap, konfirmasikan bahwa Anda dapat terhubung ke konfigurasi web BIG-IP VM dan login dengan kredensial yang ditentukan selama penyebaran VM:

  • Jika Anda terhubung dari VM di jaringan internalnya atau melalui VPN, sambungkan langsung ke IP utama BIG-IP dan port konfigurasi web. Contohnya:https://<BIG-IP-VM_Primary_IP:8443 Browser Anda akan menanyakan tentang koneksi yang tidak aman, tetapi Anda dapat mengabaikan permintaan tersebut sampai BIG-IP dikonfigurasi. Jika browser bersikeras untuk memblokir akses, kosongkan cache-nya, dan coba lagi.

  • Jika Anda menerbitkan konfigurasi web melalui Proksi Aplikasi, gunakan URL yang ditentukan untuk mengakses konfigurasi web secara eksternal, tanpa menambahkan porta, misalnya, https://big-ip-vm.contoso.com. URL internal harus ditentukan menggunakan port konfigurasi web, misalnya, https://big-ip-vm.contoso.com:8443

Sistem BIG-IP juga dapat dikelola melalui lingkungan SSH yang mendasarinya, yang biasanya digunakan untuk tugas baris perintah (CLI) dan akses level root. Ada beberapa opsi untuk menghubungkan ke CLI, termasuk:

  • Layanan Azure Bastion: Memungkinkan koneksi yang cepat dan aman ke VM apa pun dalam vNET, dari lokasi mana pun

  • Sambungkan langsung melalui klien SSH seperti PowerShell melalui pendekatan JIT

  • Konsol Serial: Ditawarkan di bagian bawah bagian Dukungan dan pemecahan masalah dari menu VM di portal. Itu tidak mendukung transfer file.

  • Seperti konfigurasi web, Anda juga dapat terhubung langsung ke CLI dari internet dengan mengkonfigurasi IP primer BIG-IP dengan IP publik dan menambahkan aturan NSG untuk mengizinkan lalu lintas SSH. Sekali lagi, pastikan untuk membatasi sumber ke IP tepercaya Anda sendiri, jika menggunakan metode ini.

Lisensi BIG-IP

Sistem BIG-IP harus diaktifkan dan dilengkapi dengan modul APM sebelum dapat dikonfigurasi untuk layanan penerbitan dan SHA.

  1. Masuk kembali ke konfigurasi web dan di halaman Properti umum pilih Aktifkan

  2. Di kolom Base Registration key, masukkan kunci case-sensitive yang disediakan oleh F5

  3. Biarkan Metode Aktivasi disetel ke Otomatis dan pilih Berikutnya, BIG-IP akan memvalidasi lisensi dan menampilkan perjanjian lisensi Pengguna Akhir (EULA).

  4. Pilih Terima dan tunggu aktivasi selesai, sebelum memilih Lanjutkan.

  5. Masuk kembali dan di bagian bawah halaman ringkasan Lisensi, pilih Berikutnya. BIG-IP sekarang akan menampilkan daftar modul yang menyediakan berbagai fitur yang diperlukan untuk SHA. Jika Anda tidak melihatnya, dari tab utama buka Sistem>Penyediaan Sumber Daya.

  6. Periksa kolom penyediaan untuk Azure Policy Akses (APM)

Gambar menunjukkan penyediaan akses

  1. Pilih Kirim dan terima peringatannya

  2. Bersabarlah dan tunggu BIG-IP selesai menerangi fitur-fitur baru. Ini mungkin berputar beberapa kali sebelum diinisialisasi sepenuhnya.

  3. Jika sudah siap pilih Lanjutkan dan dari tab Tentang pilih Jalankan utilitas penyiapan

Penting

Lisensi F5 dibatasi untuk digunakan oleh satu instans BIG-IP VE pada satu waktu. Mungkin ada alasan untuk ingin memindahkan lisensi dari satu instance ke instance lainnya, dan jika melakukannya, pastikan untuk mencabut lisensi uji coba Anda pada instance aktif sebelum menonaktifkannya, jika tidak, lisensi tersebut akan hilang secara permanen.

Penyediaan BIG-IP

Mengamankan lalu lintas manajemen ke dan dari konfigurasi web BIG-IPs adalah yang terpenting. Konfigurasikan sertifikat manajemen perangkat untuk membantu melindungi saluran konfigurasi web dari penyusupan.

  1. Dari bilah navigasi kiri, buka Sistem>Manajemen Sertifikat>Manajemen Sertifikat Lalu Lintas>Daftar Sertifikat SSL>Impor

  2. Dari daftar tarik-turun Jenis Impor, pilih PKCS 12 (IIS) dan Pilih Berkas. Temukan sertifikat web SSL yang memiliki nama Subjek atau SAN yang akan mencakup FQDN, Anda akan menetapkan BIG-IP-VM dalam beberapa langkah berikutnya

  3. Berikan sandi untuk sertifikat, lalu pilih Impor

  4. Dari bilah navigasi kiri, buka Sistem>Platform

  5. Konfigurasikan BIG-IP-VM dengan nama host yang memenuhi syarat dan zona waktu untuk lingkungannya, diikuti dengan Pembaruan

Gambar menunjukkan properti umum

  1. Dari bilah navigasi kiri, buka Sistem>Konfigurasi>Perangkat>NTP

  2. Tentukan sumber NTP yang andal dan pilih Tambahkan, diikuti dengan Perbarui. Contohnya time.windows.com

Anda sekarang membutuhkan data DNS untuk menyelesaikan BIG-IPs FQDN yang ditentukan di langkah sebelumnya, ke IP pribadi utamanya. Rekam A harus ditambahkan ke DNS internal lingkungan Anda, atau ke file localhost dari PC yang akan digunakan untuk terhubung ke konfigurasi web BIG-IP. Apa pun itu, peringatan browser seharusnya tidak lagi muncul saat Anda terhubung ke konfigurasi web secara langsung. Yaitu, bukan melalui Proksi Aplikasi atau proksi balik lainnya.

Profil SSL

Sebagai proxy balik, sistem BIG-IP dapat bertindak sebagai layanan penerusan sederhana, atau dikenal sebagai proxy Transparan, atau proxy Penuh yang secara aktif berpartisipasi dalam pertukaran antara klien dan server. Proksi penuh membuat dua koneksi berbeda: koneksi klien TCP front-end bersama dengan koneksi server TCP backend terpisah, ditambah dengan celah lunak di tengah. Klien terhubung ke pemroses proxy di satu sisi, atau dikenal sebagai Server Virtual, dan proxy membuat sambungan terpisah dan independen ke server backend. Ini dua arah di kedua sisi. Dalam mode proxy penuh ini, sistem F5 BIG-IP mampu memeriksa lalu lintas, dan karenanya berinteraksi dengan permintaan dan tanggapan juga dimungkinkan. Fungsi-fungsi tertentu seperti load balancing dan pengoptimalan kinerja web, serta layanan manajemen lalu lintas yang lebih canggih seperti keamanan lapisan aplikasi, akselerasi web, perutean halaman, dan akses jarak jauh yang aman, bergantung pada fungsi ini. Saat menerbitkan layanan berbasis SSL, proses mendekripsi dan mengenkripsi lalu lintas antara klien dan layanan backend ditangani oleh profil SSL BIG-IP.

Ada dua jenis profil:

  • SSL Klien: Cara paling umum untuk menyiapkan sistem BIG-IP untuk memublikasikan layanan internal dengan SSL adalah dengan membuat profil SSL Klien. Dengan profil SSL Klien, sistem BIG-IP dapat mendekripsi permintaan klien yang masuk sebelum mengirimnya ke layanan hilir. Kemudian mengenkripsi respons backend keluar sebelum mengirimkannya ke klien.

  • SSL Server: Untuk layanan backend yang dikonfigurasi untuk HTTPS, Anda dapat mengkonfigurasi BIG-IP untuk menggunakan profil Server SSL. Dengan profil Server SSL, BIG-IP mengenkripsi ulang permintaan klien sebelum mengirimkannya ke layanan backend tujuan. Ketika server mengembalikan respons terenkripsi, sistem BIG-IP mendekripsi dan mengenkripsi ulang respons, sebelum mengirimkannya ke klien, melalui profil SSL Klien yang dikonfigurasi.

Menyediakan keduanya, profil SSL Klien dan Server akan memiliki BIG-IP yang telah dikonfigurasi sebelumnya dan siap untuk semua skenario SHA.

  1. Dari bilah navigasi kiri, buka Sistem>Manajemen Sertifikat>Manajemen Sertifikat Lalu Lintas>Daftar Sertifikat SSL>Impor

  2. Dari daftar tarik-turun Jenis Impor, pilih PKCS 12 (IIS)

  3. Berikan nama untuk sertifikat yang diimpor, misalnya, ContosoWildcardCert.

  4. Pilih Pilih File untuk meramban ke sertifikat web SSL yang nama subjeknya sesuai dengan akhiran domain yang Anda rencanakan untuk digunakan untuk layanan yang diterbitkan

  5. Berikan sandi untuk sertifikat yang diimpor lalu pilih Impor

  6. Dari bilah navigasi kiri, buka Lalu Lintas Lokal>Profil>SSL>Klienlalu pilihBuat

  7. Di laman Profil SSL Klien Baru, berikan nama ramah yang unik untuk profil SSL klien baru dan pastikan profil Induk disetel ke clientssl.

Gambar menunjukkan perbarui big-ip

  1. Pilih kotak centang paling kanan di baris Gantungan Kunci Sertifikat dan pilih Tambahkan

  2. Dari tiga daftar tarik-turun, pilih sertifikat karakter pengganti yang Anda impor tanpa frasa sandi, lalu pilih Tambahkan>Selesai.

Gambar menunjukkan perbarui big-ip contoso wildcard

  1. Ulangi langkah 6-9 untuk membuat profil sertifikat server SSL. Dari pita atas, pilih SSL>Server>Buat.

  2. Di laman Profil SSL Server Baru, berikan nama ramah yang unik untuk profil SSL server baru dan pastikan profil Induk disetel ke serverssl.

  3. Pilih kotak centang paling kanan untuk baris Sertifikat dan Kunci dan dari daftar tarik-turun pilih sertifikat yang Anda impor, diikuti dengan Selesai.

Gambar menunjukkan update big-ip server all profile

Catatan

Jangan putus asa jika Anda tidak dapat memperoleh sertifikat SSL, Anda dapat menggunakan server BIG-IP terintegrasi yang ditandatangani sendiri dan sertifikat SSL klien. Anda hanya akan melihat kesalahan sertifikat di browser.

Satu langkah terakhir dalam mempersiapkan BIG-IP untuk SHA adalah memastikannya dapat menemukan sumber daya penerbitannya dan juga layanan direktori yang diandalkan untuk SSO. BIG-IP memiliki dua sumber resolusi nama, dimulai dengan file host /.../ lokalnya, atau jika catatan tidak ditemukan, sistem BIG-IP menggunakan layanan DNS apa pun yang telah dikonfigurasi. Metode file host tidak berlaku untuk node APM dan kumpulan yang menggunakan FQDN.

  1. Di konfigurasi web, buka Sistem>Konfigurasi>Perangkat>DNS

  2. Dalam Daftar Server Pencarian DNS, masukkan alamat IP server DNS lingkungan Anda

  3. Pilih Tambahkan>Pembaruan

Sebagai langkah terpisah dan opsional, Anda dapat mempertimbangkan konfigurasi LDAP untuk mengautentikasi sysadmin BIG-IP terhadap AD daripada mengelola akun BIG-IP lokal.

Perbarui BIG-IP

BIG-IP-VM Anda harus diperbarui untuk membuka kunci semua fungsi baru yang tercakup dalam panduan berbasis skenario. Anda dapat memeriksa versi TMOS sistem dengan mengarahkan penunjuk mouse Anda ke nama host BIG-IPs di kiri atas halaman utama. Dianjurkan untuk menjalankan v15.x dan yang lebih baru, dapat diperoleh dari unduhan F5. Gunakan panduan untuk memperbarui OS sistem utama (TMOS).

Jika memperbarui TMOS utama tidak memungkinkan, pertimbangkan untuk setidaknya meningkatkan Konfigurasi Terpandu saja, dengan menggunakan langkah-langkah ini.

  1. Dari tab utama di konfigurasi web BIG-IP, buka Akses>Konfigurasi yang Dipandu

  2. Pada halaman Guided Configuration, pilih Upgrade Guided Configuration

Gambar menunjukkan cara memperbarui big-ip

  1. Pada dialog Upgrade Guided Configuration, Pilih File untuk mengunggah paket kasus penggunaan yang diunduh dan pilih Unggah dan Pasang

  2. Saat peningkatan versi selesai, pilih Lanjutkan.

Microsoft Azure Backup BIG-IP

Dengan sistem BIG-IP yang sekarang tersedia sepenuhnya, kami merekomendasikan untuk membuat cadangan penuh dari konfigurasinya:

  1. Buka Sistem>Arsip>Buat

  2. Berikan Nama File yang unik dan aktifkan Enkripsi dengan frasa sandi

  3. Setel opsi Kunci Pribadi ke Sertakan untuk juga mencadangkan perangkat dan sertifikat SSL

  4. Pilih Selesai dan tunggu hingga prosesnya selesai

  5. Status operasi akan ditampilkan memberikan status hasil backup. Pilih OK

  6. Simpan arsip Kumpulan konfigurasi pengguna (UCS) secara lokal dengan memilih tautan cadangan dan pilih Unduh.

Sebagai langkah opsional, Anda juga dapat membuat cadangan seluruh disk sistem menggunakan snapshot Azure, yang tidak seperti cadangan konfigurasi web yang akan menyediakan beberapa kemungkinan untuk pengujian antara versi TMOS, atau memutar kembali ke sistem baru.

# Install modules
Install-module Az
Install-module AzureVMSnapshots

# Authenticate to Azure
Connect-azAccount

# Set subscription by Id
Set-AzContext -SubscriptionId ‘<Azure_Subscription_ID>’

#Create Snapshot
New-AzVmSnapshot -ResourceGroupName '<E.g.contoso-RG>' -VmName '<E.g.BIG-IP-VM>'

#List Snapshots
#Get-AzVmSnapshot -ResourceGroupName ‘<E.g.contoso-RG>'

#Get-AzVmSnapshot -ResourceGroupName ‘<E.g.contoso-RG>' -VmName '<E.g.BIG-IP-VM>' | Restore-AzVmSnapshot -RemoveOriginalDisk 

Pulihkan BIG-IP

Memulihkan BIG-IP mengikuti prosedur yang mirip dengan pencadangan dan juga dapat digunakan untuk memigrasi konfigurasi antara VM BIG-IP. Detail tentang jalur peningkatan yang didukung harus diperhatikan sebelum mengimpor cadangan.

  1. Buka Sistem>Arsip

  2. Pilih tautan cadangan yang ingin Anda pulihkan atau pilih tombol ​​Unggah untuk menjelajahi arsip UCS yang disimpan sebelumnya yang tidak ada dalam daftar

  3. Berikan frasa sandi untuk cadangan dan pilih Pulihkan

# Authenticate to Azure
Connect-azAccount

# Set subscription by Id
Set-AzContext -SubscriptionId ‘<Azure_Subscription_ID>’

#Restore Snapshot
Get-AzVmSnapshot -ResourceGroupName '<E.g.contoso-RG>' -VmName '<E.g.BIG-IP-VM>' | Restore-AzVmSnapshot

Catatan

Pada saat penulisan, cmdlet AzVmSnapshot terbatas untuk memulihkan snapshot terbaru, berdasarkan tanggal. Snapshot disimpan di root grup sumber daya VM. Ketahuilah bahwa memulihkan snapshot akan memulai ulang Azure VM, jadi atur ulang waktunya dengan hati-hati.

Sumber Daya Tambahan:

Langkah berikutnya

Pilih skenario penyebaran dan mulai penerapan Anda.