Come distribuire F5 in due istanze dell'hub di Azure Stack

Questo articolo illustra come configurare un servizio di bilanciamento del carico esterno in due ambienti dell'hub di Azure Stack. È possibile usare questa configurazione per gestire carichi di lavoro diversi. In questo articolo si distribuirà F5 come soluzione di bilanciamento del carico globale in due istanze indipendenti dell'hub di Azure Stack. Si distribuirà anche un'app Web con carico bilanciato in esecuzione in un server NGINX tra le due istanze. Verranno eseguiti dietro una coppia di failover con disponibilità elevata di appliance virtuali F5.

È possibile trovare i modelli di Azure Resource Manager nel repository GitHub f5-azurestack-gslb.

Panoramica del bilanciamento del carico con F5

L'hardware F5, il servizio di bilanciamento del carico, può trovarsi all'esterno dell'hub di Azure Stack e all'interno del data center che ospita l'hub di Azure Stack. L'hub di Azure Stack non ha una funzionalità nativa per bilanciare il carico dei carichi di lavoro tra due distribuzioni separate dell'hub di Azure Stack. L'edizione virtuale BIG-IP (VE) di F5 viene eseguita su entrambe le piattaforme. Questa configurazione supporta la parità tra le architetture di Azure e dell'hub di Azure Stack tramite la replica dei servizi dell'applicazione di supporto. È possibile sviluppare un'app in un ambiente e spostarla in un'altra. È anche possibile eseguire il mirroring dell'intero hub di Azure Stack pronto per la produzione, incluse le stesse configurazioni, i criteri e i servizi dell'applicazione BIG.You can also mirror the entire production-ready Azure Stack Hub, including the same BIG-IP configurations, policies, and application services. L'approccio elimina la necessità di innumerevoli ore di refactoring e test delle applicazioni e consente di iniziare a scrivere codice.

La protezione delle applicazioni e dei relativi dati è spesso un problema per gli sviluppatori che spostano le app nel cloud pubblico. Non è necessario che questo sia il caso. È possibile creare un'app nell'ambiente dell'hub di Azure Stack, mentre un progettista di sicurezza configura le impostazioni necessarie nel web application firewall (WAF) di F5. L'intero stack può essere replicato nell'hub di Azure Stack con le informazioni che l'applicazione sarà protetta dallo stesso WAF leader del settore. Con criteri e set di regole identici, non ci saranno problemi di sicurezza o vulnerabilità che potrebbero altrimenti essere generati usando waf diversi.

L'hub di Azure Stack ha un marketplace separato da Azure. Vengono aggiunti solo determinati elementi. In questo caso, se si vuole creare un nuovo gruppo di risorse in ogni hub di Azure Stack e distribuire l'appliance virtuale F5 già disponibile. Da qui si noterà che sarà necessario un indirizzo IP pubblico per consentire la connettività di rete tra entrambe le istanze dell'hub di Azure Stack. Essenzialmente, sono isole e l'INDIRIZZO IP pubblico consentirà loro di parlare in entrambe le posizioni.

Prerequisiti per BIG-IP VE

  • Scaricare F5 BIG-IP VE - ALL (BYOL, 2 percorsi di avvio) in ogni Marketplace dell'hub di Azure Stack. Se non sono disponibili nel portale, contattare l'operatore cloud.

  • È possibile trovare il modello di Resource Manager di Azure nel repository GitHub seguente: https://github.com/Mikej81/f5-azurestack-gslb.

Distribuire F5 BIG-IP VE in ogni istanza

Eseguire la distribuzione nell'istanza dell'hub di Azure Stack A e nell'istanza B.

  1. Accedere al portale utenti dell'hub di Azure Stack.

  2. Selezionare + Crea una risorsa.

  3. Cercare nel marketplace digitando F5.

  4. Selezionare F5 BIG-IP VE - ALL (BYOL, 2 percorsi di avvio) .

    La finestra di dialogo

  5. Nella parte inferiore della pagina successiva selezionare Crea.

    La finestra di dialogo

  6. Creare un nuovo gruppo di risorse denominato F5-GSLB.

  7. Usare i valori seguenti come esempio per completare la distribuzione:

    La pagina Input della finestra di dialogo Microsoft.Template mostra 15 caselle di testo, ad esempio VIRTUALMACHINENAME e ADMINUSERNAME, che contengono valori per una distribuzione di esempio.

  8. Verificare che la distribuzione sia stata completata correttamente.

    Nella pagina Panoramica della finestra di dialogo Microsoft.Template viene visualizzato il messaggio

    Nota

    Ogni distribuzione BIG-IP richiede circa 20 minuti.

Configurare appliance BIG-IP

Seguire questa procedura per l'hub di Azure Stack A e B.

  1. Accedere al portale utenti dell'hub di Azure Stack nell'istanza dell'hub di Azure Stack A per esaminare le risorse create dalla distribuzione del modello BIG-IP.

    Nella pagina Panoramica della finestra di dialogo F5-GSLB sono elencate le risorse distribuite e le informazioni associate.

  2. Seguire le istruzioni in F5 per gli elementi di configurazione BIG-IP.

  3. Configurare l'elenco di indirizzi IP wide BIG-IP per l'ascolto di entrambe le appliance distribuite nell'istanza dell'hub di Azure Stack A e B. Per istruzioni, vedere Configurazione GTM big-IP.

  4. Convalidare il failover di appliance BIG-IP. In un sistema di test configurare i server DNS in modo da usare quanto segue:

    • Istanza dell'hub di Azure Stack A = f5stack1-ext indirizzo IP pubblico
    • Istanza dell'hub di Azure Stack B = f5stack1-ext indirizzo IP pubblico
  5. Passare a www.contoso.com e il browser carica la pagina predefinita NGINX.

Creare un gruppo di sincronizzazione DNS

  1. Abilitare l'account radice per stabilire l'attendibilità. Seguire le istruzioni riportate in Modifica delle password dell'account di manutenzione di sistema (11.x - 15.x). Dopo aver impostato l'attendibilità (scambio di certificati), disabilitare l'account radice.

  2. Accedere a BIG-IP e creare un gruppo di sincronizzazione DNS. Per istruzioni, vedere Creazione di un gruppo di sincronizzazione DNS BIG-IP.

    Nota

    È possibile trovare l'indirizzo IP locale dell'appliance BIP-IP nel gruppo di risorse F5-GSLB . L'interfaccia di rete è "f5stack1-ext" e si vuole connettersi all'indirizzo IP pubblico o privato (a seconda dell'accesso).

    Nella finestra di dialogo

    La finestra di dialogo

  3. Selezionare il nuovo gruppo di risorse F5-GSLB e selezionare la macchina virtuale f5stack1 , in Impostazioni selezionare Rete.

Configurazioni successive all'installazione

Dopo aver installato, è necessario configurare i gruppi di sicurezza di rete dell'hub di Azure Stack e bloccare gli indirizzi IP di origine.

  1. Disabilitare la porta 22 dopo che è stato stabilito il trust.

  2. Quando il sistema è online, bloccare i gruppi di sicurezza di rete di origine. Il gruppo di sicurezza di rete di gestione deve essere bloccato per l'origine di gestione, il gruppo di sicurezza di rete esterno (4353/TCP) deve essere bloccato nell'altra istanza per la sincronizzazione. 443 deve essere bloccato anche fino alla distribuzione delle applicazioni con server virtuali.

  3. GTM_DNS Regola è impostata per consentire il traffico della porta 53 (DNS) e il resolver BIG-IP inizierà a funzionare una sola volta. I listener vengono creati.

    La pagina fStack1-ext della finestra di dialogo Interfaccia di rete mostra informazioni sull'interfaccia fstack1-ext e sul relativo gruppo di sicurezza di rete, fstack1-ext-nsg. Sono disponibili schede per selezionare la visualizzazione delle regole delle porte in ingresso o delle regole delle porte in uscita.

  4. Distribuire un carico di lavoro di applicazione Web di base all'interno dell'ambiente dell'hub di Azure Stack per il bilanciamento del carico dietro BIG-IP. È possibile trovare un esempio per l'uso del server NGNIX in Distribuzione di NGINX e NGINX Plus in Docker.

    Nota

    Distribuire un'istanza di NGNIX sia nell'hub A di Azure Stack che nell'hub B di Azure Stack.

  5. Dopo la distribuzione di NGINX in un contenitore Docker in una macchina virtuale Ubuntu all'interno di ognuna delle istanze dell'hub di Azure Stack, verificare che sia possibile raggiungere la pagina Web predefinita nei server.

    La pagina

  6. Accedere all'interfaccia di gestione dell'appliance BIG-IP. In questo esempio usare l'indirizzo IP pubblico f5-stack1-ext .

    La schermata di accesso per l'utilità di configurazione BIG-IP richiede nome utente e password.

  7. Pubblicare l'accesso a NGINX tramite BIG-IP.

    • In questa attività si configurerà BIG-IP con un server virtuale e un pool per consentire l'accesso Internet in ingresso all'applicazione WordPress. Prima di tutto è necessario identificare l'indirizzo IP privato per l'istanza di NGINX.
  8. Accedere al portale utenti dell'hub di Azure Stack.

  9. Selezionare l'interfaccia di rete NGINX.

    La pagina Panoramica della finestra di dialogo

  10. Dalla console BIG-IP passare all'elenco Pool di > pool di traffico > locale e selezionare +. Configurare il pool usando i valori nella tabella. Lasciare le impostazioni predefinite per tutti gli altri campi.

    Il riquadro sinistro consente di passare alla creazione di un nuovo pool. Il riquadro destro è denominato

    Chiave Valore
    Nome NGINX_Pool
    Monitoraggio integrità HTTPS
    Nome nodo NGINX
    Indirizzo <indirizzo IP privato NGINX>
    Porta del servizio 443
  11. Selezionare Completato. Se configurato correttamente, lo stato del pool è verde.

    Il riquadro destro è denominato

    È ora necessario configurare il server virtuale. A tale scopo, è prima necessario trovare l'indirizzo IP privato del big-IP F5.

  12. Dalla console BIG-IP passare a Indirizzi IP self-network > e prendere nota dell'indirizzo IP.

    Il riquadro sinistro offre la possibilità di spostarsi per visualizzare Gli indirizzi IP self. Il riquadro destro è denominato

  13. Creare un server virtuale passando all'elencoServer> virtuali traffico> localee selezionare +. Configurare il pool usando i valori nella tabella. Lasciare le impostazioni predefinite per tutti gli altri campi.

    Chiave Valore
    Nome NGINX
    Indirizzo di destinazione <Indirizzo IP self-IP del BIG-IP>
    Porta del servizio 443
    Profilo SSL (client) clientssl
    Traduzione dell'indirizzo di origine Mappa automatica

    Il riquadro sinistro viene usato per spostarsi nel riquadro destro su

    Questa pagina offre la possibilità di immettere informazioni aggiuntive. Sono disponibili pulsanti Aggiorna ed Elimina.

  14. La configurazione BIG-IP per l'applicazione NGINX è stata completata. Per verificare le funzionalità appropriate, esplorare il sito e verificare le statistiche F5.

  15. Aprire un browser per https://<F5-public-VIP-IP> verificare che venga visualizzata la pagina predefinita di NGINX.

    La pagina

  16. Controllare ora le statistiche del server virtuale per verificare il flusso del traffico passando a Statistiche Modulo Statistiche >> Traffico locale.

  17. In Tipo di statistiche selezionare Server virtuali.

    Nel riquadro sinistro è stato visualizzato il riquadro destro su

Per ulteriori informazioni

È possibile trovare alcuni articoli di riferimento sull'uso di F5:

Passaggi successivi

Differenze e considerazioni per la rete dell'hub di Azure Stack