Come distribuire F5 in due istanze dell'hub di Azure Stack
Questo articolo illustra come configurare un servizio di bilanciamento del carico esterno in due ambienti dell'hub di Azure Stack. È possibile usare questa configurazione per gestire carichi di lavoro diversi. In questo articolo si distribuirà F5 come soluzione di bilanciamento del carico globale in due istanze indipendenti dell'hub di Azure Stack. Si distribuirà anche un'app Web con carico bilanciato in esecuzione in un server NGINX tra le due istanze. Verranno eseguiti dietro una coppia di failover con disponibilità elevata di appliance virtuali F5.
È possibile trovare i modelli di Azure Resource Manager nel repository GitHub f5-azurestack-gslb.
Panoramica del bilanciamento del carico con F5
L'hardware F5, il servizio di bilanciamento del carico, può trovarsi all'esterno dell'hub di Azure Stack e all'interno del data center che ospita l'hub di Azure Stack. L'hub di Azure Stack non ha una funzionalità nativa per bilanciare il carico dei carichi di lavoro tra due distribuzioni separate dell'hub di Azure Stack. L'edizione virtuale BIG-IP (VE) di F5 viene eseguita su entrambe le piattaforme. Questa configurazione supporta la parità tra le architetture di Azure e dell'hub di Azure Stack tramite la replica dei servizi dell'applicazione di supporto. È possibile sviluppare un'app in un ambiente e spostarla in un'altra. È anche possibile eseguire il mirroring dell'intero hub di Azure Stack pronto per la produzione, incluse le stesse configurazioni, i criteri e i servizi dell'applicazione BIG.You can also mirror the entire production-ready Azure Stack Hub, including the same BIG-IP configurations, policies, and application services. L'approccio elimina la necessità di innumerevoli ore di refactoring e test delle applicazioni e consente di iniziare a scrivere codice.
La protezione delle applicazioni e dei relativi dati è spesso un problema per gli sviluppatori che spostano le app nel cloud pubblico. Non è necessario che questo sia il caso. È possibile creare un'app nell'ambiente dell'hub di Azure Stack, mentre un progettista di sicurezza configura le impostazioni necessarie nel web application firewall (WAF) di F5. L'intero stack può essere replicato nell'hub di Azure Stack con le informazioni che l'applicazione sarà protetta dallo stesso WAF leader del settore. Con criteri e set di regole identici, non ci saranno problemi di sicurezza o vulnerabilità che potrebbero altrimenti essere generati usando waf diversi.
L'hub di Azure Stack ha un marketplace separato da Azure. Vengono aggiunti solo determinati elementi. In questo caso, se si vuole creare un nuovo gruppo di risorse in ogni hub di Azure Stack e distribuire l'appliance virtuale F5 già disponibile. Da qui si noterà che sarà necessario un indirizzo IP pubblico per consentire la connettività di rete tra entrambe le istanze dell'hub di Azure Stack. Essenzialmente, sono isole e l'INDIRIZZO IP pubblico consentirà loro di parlare in entrambe le posizioni.
Prerequisiti per BIG-IP VE
Scaricare F5 BIG-IP VE - ALL (BYOL, 2 percorsi di avvio) in ogni Marketplace dell'hub di Azure Stack. Se non sono disponibili nel portale, contattare l'operatore cloud.
È possibile trovare il modello di Resource Manager di Azure nel repository GitHub seguente: https://github.com/Mikej81/f5-azurestack-gslb.
Distribuire F5 BIG-IP VE in ogni istanza
Eseguire la distribuzione nell'istanza dell'hub di Azure Stack A e nell'istanza B.
Accedere al portale utenti dell'hub di Azure Stack.
Selezionare + Crea una risorsa.
Cercare nel marketplace digitando
F5
.Selezionare F5 BIG-IP VE - ALL (BYOL, 2 percorsi di avvio) .
Nella parte inferiore della pagina successiva selezionare Crea.
Creare un nuovo gruppo di risorse denominato F5-GSLB.
Usare i valori seguenti come esempio per completare la distribuzione:
Verificare che la distribuzione sia stata completata correttamente.
Nota
Ogni distribuzione BIG-IP richiede circa 20 minuti.
Configurare appliance BIG-IP
Seguire questa procedura per l'hub di Azure Stack A e B.
Accedere al portale utenti dell'hub di Azure Stack nell'istanza dell'hub di Azure Stack A per esaminare le risorse create dalla distribuzione del modello BIG-IP.
Seguire le istruzioni in F5 per gli elementi di configurazione BIG-IP.
Configurare l'elenco di indirizzi IP wide BIG-IP per l'ascolto di entrambe le appliance distribuite nell'istanza dell'hub di Azure Stack A e B. Per istruzioni, vedere Configurazione GTM big-IP.
Convalidare il failover di appliance BIG-IP. In un sistema di test configurare i server DNS in modo da usare quanto segue:
- Istanza dell'hub di Azure Stack A =
f5stack1-ext
indirizzo IP pubblico - Istanza dell'hub di Azure Stack B =
f5stack1-ext
indirizzo IP pubblico
- Istanza dell'hub di Azure Stack A =
Passare a
www.contoso.com
e il browser carica la pagina predefinita NGINX.
Creare un gruppo di sincronizzazione DNS
Abilitare l'account radice per stabilire l'attendibilità. Seguire le istruzioni riportate in Modifica delle password dell'account di manutenzione di sistema (11.x - 15.x). Dopo aver impostato l'attendibilità (scambio di certificati), disabilitare l'account radice.
Accedere a BIG-IP e creare un gruppo di sincronizzazione DNS. Per istruzioni, vedere Creazione di un gruppo di sincronizzazione DNS BIG-IP.
Nota
È possibile trovare l'indirizzo IP locale dell'appliance BIP-IP nel gruppo di risorse F5-GSLB . L'interfaccia di rete è "f5stack1-ext" e si vuole connettersi all'indirizzo IP pubblico o privato (a seconda dell'accesso).
Selezionare il nuovo gruppo di risorse F5-GSLB e selezionare la macchina virtuale f5stack1 , in Impostazioni selezionare Rete.
Configurazioni successive all'installazione
Dopo aver installato, è necessario configurare i gruppi di sicurezza di rete dell'hub di Azure Stack e bloccare gli indirizzi IP di origine.
Disabilitare la porta 22 dopo che è stato stabilito il trust.
Quando il sistema è online, bloccare i gruppi di sicurezza di rete di origine. Il gruppo di sicurezza di rete di gestione deve essere bloccato per l'origine di gestione, il gruppo di sicurezza di rete esterno (4353/TCP) deve essere bloccato nell'altra istanza per la sincronizzazione. 443 deve essere bloccato anche fino alla distribuzione delle applicazioni con server virtuali.
GTM_DNS Regola è impostata per consentire il traffico della porta 53 (DNS) e il resolver BIG-IP inizierà a funzionare una sola volta. I listener vengono creati.
Distribuire un carico di lavoro di applicazione Web di base all'interno dell'ambiente dell'hub di Azure Stack per il bilanciamento del carico dietro BIG-IP. È possibile trovare un esempio per l'uso del server NGNIX in Distribuzione di NGINX e NGINX Plus in Docker.
Nota
Distribuire un'istanza di NGNIX sia nell'hub A di Azure Stack che nell'hub B di Azure Stack.
Dopo la distribuzione di NGINX in un contenitore Docker in una macchina virtuale Ubuntu all'interno di ognuna delle istanze dell'hub di Azure Stack, verificare che sia possibile raggiungere la pagina Web predefinita nei server.
Accedere all'interfaccia di gestione dell'appliance BIG-IP. In questo esempio usare l'indirizzo IP pubblico f5-stack1-ext .
Pubblicare l'accesso a NGINX tramite BIG-IP.
- In questa attività si configurerà BIG-IP con un server virtuale e un pool per consentire l'accesso Internet in ingresso all'applicazione WordPress. Prima di tutto è necessario identificare l'indirizzo IP privato per l'istanza di NGINX.
Accedere al portale utenti dell'hub di Azure Stack.
Selezionare l'interfaccia di rete NGINX.
Dalla console BIG-IP passare all'elenco Pool di > pool di traffico > locale e selezionare +. Configurare il pool usando i valori nella tabella. Lasciare le impostazioni predefinite per tutti gli altri campi.
Chiave Valore Nome NGINX_Pool Monitoraggio integrità HTTPS Nome nodo NGINX Indirizzo <indirizzo IP privato NGINX> Porta del servizio 443 Selezionare Completato. Se configurato correttamente, lo stato del pool è verde.
È ora necessario configurare il server virtuale. A tale scopo, è prima necessario trovare l'indirizzo IP privato del big-IP F5.
Dalla console BIG-IP passare a Indirizzi IP self-network > e prendere nota dell'indirizzo IP.
Creare un server virtuale passando all'elencoServer> virtuali traffico> localee selezionare +. Configurare il pool usando i valori nella tabella. Lasciare le impostazioni predefinite per tutti gli altri campi.
Chiave Valore Nome NGINX Indirizzo di destinazione <Indirizzo IP self-IP del BIG-IP> Porta del servizio 443 Profilo SSL (client) clientssl Traduzione dell'indirizzo di origine Mappa automatica La configurazione BIG-IP per l'applicazione NGINX è stata completata. Per verificare le funzionalità appropriate, esplorare il sito e verificare le statistiche F5.
Aprire un browser per
https://<F5-public-VIP-IP>
verificare che venga visualizzata la pagina predefinita di NGINX.Controllare ora le statistiche del server virtuale per verificare il flusso del traffico passando a Statistiche Modulo Statistiche >> Traffico locale.
In Tipo di statistiche selezionare Server virtuali.
Per ulteriori informazioni
È possibile trovare alcuni articoli di riferimento sull'uso di F5:
- Servizi di disponibilità dei data center con DNS BIG-IP
- Distribuzione del sistema BIG-IP con applicazioni HTTP
- Creazione di un indirizzo IP wide per GSLB
Passaggi successivi
Differenze e considerazioni per la rete dell'hub di Azure Stack
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: nel corso del 2024 verranno dismessi i problemi di GitHub come meccanismo di feedback per il contenuto e verranno sostituiti con un nuovo sistema di feedback. Per altre informazioni, vedere:Invia e visualizza il feedback per