Distribuire una macchina virtuale F5 BIG-IP Virtual Edition in Azure

Questa esercitazione descrive come distribuire BIG-IP Vitural Edition (VE) nell'infrastruttura distribuita come servizio (IaaS) di Azure. Alla fine dell'esercitazione si avrà:

• Una macchina virtuale BIG-IP preparata per modellare un modello di verifica dell'accesso ibrido sicuro
• Istanza di staging per testare nuovi aggiornamenti e hotfix del sistema BIG-IP

Altre informazioni: SHA: Proteggere le app legacy con Microsoft Entra ID

Prerequisiti

Le conoscenze o l'esperienza F5 BIG-IP precedenti non sono necessarie. Tuttavia, è consigliabile esaminare la terminologia standard del settore nel glossario F5.

La distribuzione di un BIG-IP in Azure per SHA richiede:

• Una sottoscrizione di Azure a pagamento
  • Se non è disponibile, è possibile ottenere una versione di valutazione gratuita di Azure
• Uno degli SKU di licenza F5 BIG-IP seguenti:
  • Bundle migliore F5 BIG-IP®
  • Licenza autonoma di F5 BIG-IP Access Policy Manager™ (APM)
  • Licenza del componente aggiuntivo F5 BIG-IP Access Policy Manager™ (APM) in un Gestione traffico ™ locale BIG-IP F5 BIG-IP® (LTM)
  • Licenza di valutazione completa di 90 giorni per BIG-IP
• Certificato SAN (Subject Alternative Name) con caratteri jolly o alternativo del soggetto, per pubblicare applicazioni Web su Secure Socket Layer (SSL)
  • Passare a letsencrypt.org per visualizzare le offerte. Seleziona Inizia subito.
• Certificato SSL per proteggere l'interfaccia di gestione BIG-IP. È possibile usare un certificato per pubblicare app Web, se il relativo oggetto corrisponde al nome di dominio completo (FQDN) BIG-IP. Ad esempio, è possibile usare un certificato con caratteri jolly con un oggetto *.contoso.com per https://big-ip-vm.contoso.com:8443.

La distribuzione delle macchine virtuali e le configurazioni di sistema di base richiedono circa 30 minuti, quindi BIG-IP consiste nell'implementare scenari SHA in Integrare F5 BIG-IP con Microsoft Entra ID.

Scenari di test

Quando si testano gli scenari, questa esercitazione presuppone quanto segue:

• Big-IP viene distribuito in un gruppo di risorse di Azure con un ambiente Active Directory (AD)
• L'ambiente è costituito da un controller di dominio (DC) e da macchine virtuali host Web Internet Information Services (IIS)
• I server non presenti nelle stesse posizioni della macchina virtuale BIG-IP sono accettabili, se big-IP vede i ruoli necessari per supportare uno scenario
• La macchina virtuale BIG-IP connessa a un altro ambiente, tramite una connessione VPN, è supportata

Se non sono disponibili gli elementi precedenti per il test, è possibile distribuire un ambiente di dominio AD in Azure usando uno script in Cloud Identity Lab. È possibile distribuire applicazioni di test di esempio a livello di codice in un host Web IIS usando un'automazione con script in Demo Suite.

Nota

Alcuni passaggi di questa esercitazione potrebbero differire dal layout nell'interfaccia di amministrazione di Microsoft Entra.

Distribuzione di Azure

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

È possibile distribuire un BIG-IP in topologie diverse. Questa guida è incentrata su una distribuzione della scheda di interfaccia di rete.This guide focus on a network interface card (NIC) deployment. Tuttavia, se la distribuzione BIG-IP richiede più interfacce di rete per la disponibilità elevata, la separazione di rete o più di 1 GB di velocità effettiva, è consigliabile usare modelli di Azure Resource Manager (ARM) precompilato F5.

Per distribuire BIG-IP VE da Azure Marketplace.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra con un account con le autorizzazioni per creare macchine virtuali, ad esempio un'applicazione Amministrazione istrator.

2. Nella casella di ricerca nella barra multifunzione superiore digitare marketplace

3. Selezionare INVIO.

4. Digitare F5 nel filtro marketplace.

5. Selezionare INVIO.

6. Nella barra multifunzione superiore selezionare + Aggiungi.

7. Per il filtro marketplace immettere F5.

8. Selezionare INVIO.

9. Selezionare F5 BIG-IP Virtual Edition (BYOL)>Selezionare un piano>software F5 BIG-IP VE - ALL (BYOL, 2 percorsi di avvio).

10. Seleziona Crea.

    

11. Per informazioni di base:

• Sottoscrizione: sottoscrizione di destinazione per la distribuzione di macchine virtuali BIG-IP
• Gruppo di risorse: il gruppo di risorse di Azure in cui verrà distribuita la macchina virtuale BIG-IP o ne creerà una. Si tratta del gruppo di risorse del controller di dominio e delle macchine virtuali IIS

12. Per Dettagli istanza:

• Esempio di nome macchina virtuale BIG-IP-VM
• Area: specificare la destinazione geografica di Azure per BIG-IP-VM
• Opzioni di disponibilità Abilitare se si usa una macchina virtuale nell'ambiente di produzione
• Immagine: F5 BIG-IP VE - ALL (BYOL, 2 percorsi di avvio)
• Istanza spot di Azure: No, ma abilitarla, se necessario
• Dimensioni: le specifiche minime sono 2 vCPU e 8 GB di memoria

13. Per l'account Amministrazione istrator:

• Tipo di autenticazione: selezionare una password per il momento e passare a una coppia di chiavi in un secondo momento
• Nome utente: l'identità da creare come account locale BIG-IP per accedere alle interfacce di gestione. Il nome utente è CA edizione Standard sensibile.
• Password: proteggere l'accesso amministratore con una password complessa

14. Regole delle porte in ingresso: porte in ingresso pubbliche, Nessuna.
15. Selezionare Avanti: dischi. Lasciare le impostazioni predefinite.
16. Selezionare Avanti: Rete.
17. Per la rete:

• Rete virtuale: la rete virtuale di Azure usata dalle macchine virtuali DC e IIS oppure crearne una
• Subnet: la stessa subnet interna di Azure delle macchine virtuali DC e IIS oppure crearne una
• IP pubblico: Nessuno
• Gruppo di sicurezza di rete NIC: selezionare Nessuno, se la subnet di Azure selezionata è associata a un gruppo di sicurezza di rete (NSG). In caso contrario, selezionare Basic
• Accelerare la rete: disattivata

18. Per Bilanciamento del carico: bilanciare il carico della macchina virtuale, No.
19. Selezionare Avanti: Gestione e completare le impostazioni:

• Monitoraggio dettagliato: Disattivato
• Diagnostica di avvio Abilita con un account di archiviazione personalizzato. Questa funzionalità consente la connessione all'interfaccia SSH (BIG-IP Secure Shell) tramite l'opzione Console seriale nell'interfaccia di amministrazione di Microsoft Entra. Selezionare un account di archiviazione di Azure disponibile.

20. Per Identità:

• Identità gestita assegnata dal sistema: Disattivata
• Microsoft Entra ID: BIG-IP non supporta questa opzione

21. Per Autoshutdown: Abilitare o se si esegue il test, è possibile impostare big-IP-VM per arrestare ogni giorno
22. Selezionare Avanti: Avanzate. Lasciare le impostazioni predefinite.
23. Al termine, selezionare Avanti: Tag.
24. Per esaminare la configurazione di BIG-IP-VM, selezionare Avanti: Rivedi e crea.
25. Seleziona Crea. Il tempo necessario per distribuire una macchina virtuale BIG-IP è in genere di 5 minuti.
26. Al termine, espandere il menu a sinistra dell'interfaccia di amministrazione di Microsoft Entra.
27. Selezionare Gruppi di risorse e passare alla BIG-IP-VM.

Nota

Se la creazione della macchina virtuale non riesce, selezionare Indietro e Avanti.

Configurazione di rete

All'avvio della macchina virtuale BIG-IP, viene effettuato il provisioning della relativa scheda di interfaccia di rete con un indirizzo IP privato primario rilasciato dal servizio DHCP (Dynamic Host Configuration Protocol) della subnet di Azure a cui è connesso. Big-IP Traffic Management Operating System (TMOS) usa l'INDIRIZZO IP per comunicare con:

• Host e servizi
• Accesso in uscita a Internet pubblico
• Accesso in ingresso alle interfacce di gestione WEB BIG-IP e SSH

L'esposizione delle interfacce di gestione a Internet aumenta la superficie di attacco BIG-IP. Questo rischio è il motivo per cui non è stato effettuato il provisioning dell'indirizzo IP primario BIG-IP con un indirizzo IP pubblico durante la distribuzione. Viene invece eseguito il provisioning di un indirizzo IP interno secondario e dell'indirizzo IP pubblico associato per la pubblicazione. Questo mapping uno-a-uno tra un indirizzo IP pubblico della macchina virtuale e un indirizzo IP privato consente al traffico esterno di raggiungere una macchina virtuale. Tuttavia, è necessaria una regola del gruppo di sicurezza di rete di Azure per consentire il traffico, simile a un firewall.

Il diagramma seguente illustra una distribuzione della scheda di interfaccia di rete di un'NIC di BIG-IP VE in Azure, configurata con un indirizzo IP primario per operazioni e gestione generali. È disponibile un indirizzo IP del server virtuale separato per i servizi di pubblicazione. Una regola del gruppo di sicurezza di rete consente il traffico remoto destinato intranet.contoso.com a instradare all'indirizzo IP pubblico per il servizio pubblicato, prima di essere inoltrato al server virtuale BIG-IP.

Per impostazione predefinita, gli indirizzi IP privati e pubblici rilasciati alle macchine virtuali di Azure sono dinamici, quindi possono cambiare quando una macchina virtuale viene riavviata. Evitare problemi di connettività modificando l'indirizzo IP di gestione BIG-IP in statico. Eseguire la stessa azione sugli indirizzi IP secondari per i servizi di pubblicazione.

1. Dal menu della macchina virtuale BIG-IP passare a Impostazioni> Rete.

2. Nella visualizzazione rete selezionare il collegamento a destra di Interfaccia di rete.

   

Nota

I nomi delle macchine virtuali vengono generati in modo casuale durante la distribuzione.

3. Nel riquadro a sinistra selezionare Configurazioni IP.
4. Selezionare la riga ipconfig1 .
5. Impostare l'opzione Assegnazione IP su Statico. Se necessario, modificare l'indirizzo IP primario della macchina virtuale BIG-IP.
6. Seleziona Salva.
7. Chiudere il menu ipconfig1 .

Nota

Usare l'INDIRIZZO IP primario per connettersi e gestire BIG-IP-VM.

8. Nella barra multifunzione superiore selezionare + Aggiungi.
9. Specificare un nome IP privato secondario, ad esempio ipconfig2.
10. Per l'impostazione dell'indirizzo IP privato, impostare l'opzione Allocazione su Statico. Se si specifica l'indirizzo IP successivo superiore o inferiore, è possibile mantenere l'ordine.
11. Impostare l'indirizzo IP pubblico su Associa.
12. Seleziona Crea.
13. Per il nuovo indirizzo IP pubblico specificare un nome, ad esempio BIG-IP-VM_ipconfig2_Public.
14. Se richiesto, impostare lo SKU su Standard.
15. Se richiesto, impostare Il livello su Globale.
16. Impostare l'opzione Assegnazione su Statico.
17. Selezionare OK due volte.

La macchina virtuale BIG-IP è pronta per:

• IP privato primario: dedicato alla gestione di BIG-IP-VM tramite l'utilità di configurazione Web e SSH. Viene usato dal sistema BIG-IP, come self-IP, per connettersi ai servizi back-end pubblicati. Si connette a servizi esterni:
  • NTP (Network Time Protocol)
  • Active Directory (AD)
  • Lightweight Directory Access Protocol (LDAP)
• IP privato secondario: usare per creare un server virtuale APM BIG-IP per l'ascolto di una richiesta in ingresso a un servizio pubblicato
• IP pubblico: è associato all'INDIRIZZO IP privato secondario; consente al traffico client proveniente dalla rete Internet pubblica di raggiungere il server virtuale BIG-IP per i servizi pubblicati

L'esempio illustra la relazione uno-a-uno tra indirizzi IP pubblici e privati di una macchina virtuale. Una scheda di interfaccia di rete della macchina virtuale di Azure ha un indirizzo IP primario e altri indirizzi IP sono secondari.

Nota

Sono necessari i mapping IP secondari per la pubblicazione di servizi BIG-IP.

Per implementare SHA usando la configurazione guidata per l'accesso BIG-IP, ripetere i passaggi per creare coppie IP più private e pubbliche per i servizi pubblicati tramite big-IP APM. Usare lo stesso approccio per la pubblicazione di servizi tramite configurazione avanzata BIG-IP. Tuttavia, evitare un sovraccarico IP pubblico usando una configurazione SNI (Server Name Indicator): un server virtuale BIG-IP accetta il traffico client ricevuto e lo invia alla destinazione.

Configurazione del DNS

Per risolvere i servizi SHA pubblicati nell'IP pubblico big-IP-VM, configurare DNS per i client. I passaggi seguenti presuppongono che la zona DNS di dominio pubblico per i servizi SHA sia gestita in Azure. Applicare i principi DNS per la creazione di un localizzatore, indipendentemente dalla posizione in cui è gestita la zona DNS.

1. Espandere il menu a sinistra del portale.

2. Con l'opzione Gruppi di risorse passare alla macchina virtuale BIG-IP.

3. Dal menu macchina virtuale BIG-IP passare a Impostazioni> Rete.

4. Nella visualizzazione rete BIG-IP-VMs selezionare il primo INDIRIZZO IP secondario nell'elenco a discesa Configurazione IP.

5. Selezionare il collegamento IP pubblico della scheda di interfaccia di rete.

   

6. Nel riquadro a sinistra, sotto la sezione Impostazioni selezionare Configurazione.

7. Viene visualizzato il menu proprietà DNS e IP pubblico.

8. Selezionare e Crea record alias.

9. Nel menu a discesa selezionare la zona DNS. Se non è presente alcuna zona DNS, può essere gestita all'esterno di Azure o crearne una per il suffisso di dominio da verificare in Microsoft Entra ID.

10. Per creare il primo record alias DNS:

    • Sottoscrizione: stessa sottoscrizione di BIG-IP-VM
    • Zona DNS: zona DNS autorevole per il suffisso di dominio verificato usato dai siti Web pubblicati, ad esempio www.contoso.com
    • Nome: il nome host specificato viene risolto nell'indirizzo IP pubblico associato all'indirizzo IP secondario selezionato. Definire i mapping da DNS a IP. Ad esempio, intranet.contoso.com alla versione 13.77.148.215
    • TTL: 1
    • Unità TTL: Ore

11. Seleziona Crea.

12. Lasciare l'etichetta del nome DNS (facoltativa).

13. Seleziona Salva.

14. Chiudere il menu IP pubblico.

Nota

Per creare record DNS aggiuntivi per i servizi da pubblicare usando la configurazione guidata BIG-IP, ripetere i passaggi da 1 a 6.

Con i record DNS sul posto, è possibile usare strumenti come il controllo DNS per verificare un record creato propagato tra server DNS pubblici globali. Se si gestisce lo spazio dei nomi del dominio DNS usando un provider esterno come GoDaddy, creare record usando la relativa funzionalità di gestione DNS.

Nota

Se si testano e cambiano frequentemente record DNS, è possibile usare un file host locale del PC: selezionare Win + R.Nella casella Esegui immettere i driver. Un record host locale fornisce la risoluzione DNS per il PC locale, non per altri client.

Traffico client

Per impostazione predefinita, le reti virtuali di Azure e le subnet associate non sono reti private in grado di ricevere traffico Internet. Collegare la scheda di interfaccia di rete BIG-IP-VM al gruppo di sicurezza di rete specificato durante la distribuzione. Per consentire al traffico Web esterno di raggiungere big-IP-VM, definire una regola del gruppo di sicurezza di rete in ingresso per consentire le porte 443 (HTTPS) e 80 (HTTP) dalla rete Internet pubblica.

1. Scegliere Rete dal menu Panoramica principale della macchina virtuale BIG-IP.
2. Selezionare Aggiungi regola in ingresso.
3. Immettere le proprietà della regola del gruppo di sicurezza di rete:

• Origine: Qualsiasi
• Intervalli di porte di origine: *|
• Indirizzi IP di destinazione: elenco delimitato da virgole di INDIRIZZI IP privati secondari BIG-IP-VM
• Porte di destinazione: 80, 443
• Protocollo: TCP
• Azione: Consenti
• Priorità: valore disponibile minimo compreso tra 100 e 4096
• Nome: nome descrittivo, ad esempio: BIG-IP-VM_Web_Services_80_443

4. Selezionare Aggiungi.
5. Chiudere il menu Rete .

Il traffico HTTP e HTTPS può raggiungere le interfacce secondarie BIG-IP-VMs. L'autorizzazione della porta 80 consente a BIG-IP APM di reindirizzare automaticamente gli utenti da HTTP a HTTPS. Modificare questa regola per aggiungere o rimuovere indirizzi IP di destinazione.

Gestire BIG-IP

Un sistema BIG-IP viene amministrato con l'interfaccia utente di configurazione Web. Accedere all'interfaccia utente da:

• Un computer nella rete interna BIG-IP
• Un client VPN connesso alla rete interna BIG-IP-VM
• Pubblicato tramite il proxy dell'applicazione Microsoft Entra

Nota

Selezionare uno dei tre metodi precedenti prima di procedere con le configurazioni rimanenti. Se necessario, connettersi direttamente alla configurazione Web da Internet configurando l'INDIRIZZO IP primario BIG-IP con un indirizzo IP pubblico. Aggiungere quindi una regola del gruppo di sicurezza di rete per consentire il traffico 8443 a tale indirizzo IP primario. Limitare l'origine all'indirizzo IP attendibile, altrimenti chiunque può connettersi.

Confermare la connessione

Verificare che sia possibile connettersi alla configurazione Web della macchina virtuale BIG-IP e accedere con le credenziali specificate durante la distribuzione della macchina virtuale:

• Se ci si connette da una macchina virtuale nella rete interna o tramite VPN, connettersi all'indirizzo IP primario BIG-IP e alla porta di configurazione Web. Ad esempio: https://<BIG-IP-VM_Primary_IP:8443. Il prompt del browser potrebbe indicare che la connessione non è sicura. Ignorare il prompt finché non viene configurato BIG-IP. Se il browser blocca l'accesso, cancellarne la cache e riprovare.
• Se la configurazione Web è stata pubblicata tramite application proxy, usare l'URL definito per accedere alla configurazione Web esternamente. Non aggiungere la porta, https://big-ip-vm.contoso.comad esempio . Definire l'URL interno usando la porta di configurazione Web, https://big-ip-vm.contoso.com:8443ad esempio .

Nota

È possibile gestire un sistema BIG-IP con il relativo ambiente SSH, in genere usato per le attività della riga di comando e l'accesso a livello radice.

Per connettersi all'interfaccia della riga di comando:

• Servizio Azure Bastion: Connessione alle macchine virtuali in una rete virtuale, da qualsiasi posizione
• Client SSH, ad esempio PowerShell con l'approccio JIT (Just-In-Time)
• Console seriale: nel portale, nel menu della macchina virtuale, sezione Supporto e risoluzione dei problemi. Non supporta i trasferimenti di file.
• Da Internet: configurare l'indirizzo IP primario BIG-IP con un indirizzo IP pubblico. Aggiungere una regola del gruppo di sicurezza di rete per consentire il traffico SSH. Limitare l'origine IP attendibile.

Licenza BIG-IP

Prima di poter essere configurata per la pubblicazione di servizi e SHA, attivare ed effettuare il provisioning di un sistema BIG-IP con il modulo APM.

1. Accedere alla configurazione Web.
2. Nella pagina Delle proprietà Generale selezionare Attiva.
3. Nel campo Chiave di registrazione di base immettere la chiave con distinzione tra maiuscole e minuscole fornita da F5.
4. Lasciare il metodo di attivazione impostato su Automatico.
5. Selezionare Avanti.
6. BIG-IP convalida la licenza e mostra il contratto di licenza con l'utente finale.
7. Selezionare Accetta e attendere il completamento dell'attivazione.
8. Selezionare Continua.
9. Nella parte inferiore della pagina Riepilogo licenze accedere.
10. Selezionare Avanti.
11. Viene visualizzato un elenco di moduli necessari per SHA.

Nota

Se l'elenco non viene visualizzato, nella scheda principale passare a Provisioning risorse di sistema>. Controllare la colonna di provisioning per Criteri di accesso (APM)

12. Selezionare Invia.
13. Accettare l'avviso.
14. Attendere il completamento dell'inizializzazione.
15. Selezionare Continua.
16. Nella scheda Informazioni selezionare Esegui l'utilità di installazione.

Importante

Le licenze F5 sono destinate a un'istanza DI BIG-IP VE. Per eseguire la migrazione di una licenza da un'istanza a un'altra, vedere l'articolo AskF5, K41458656: Riutilizzo di una licenza VE BIG-IP in un sistema VE BIG-IP diverso. Revocare la licenza di valutazione nell'istanza attiva prima di rimuoverla, altrimenti la licenza andrà persa definitivamente.

Effettuare il provisioning di BIG-IP

È importante proteggere il traffico di gestione da e verso la configurazione Web BIG-IP. Per proteggere il canale di configurazione Web da compromissione, configurare un certificato di gestione dei dispositivi.

1. Dalla barra di spostamento a sinistra passare a System>Certificate Management>Traffic Certificate Management>SSL Certificate List Import (Importa>elenco certificati SSL gestione certificati SSL).

2. Nell'elenco a discesa Tipo di importazione selezionare PKCS 12(IIS) e Scegliere file.

3. Individuare un certificato Web SSL con un nome soggetto o una SAN che copre il nome di dominio completo, che verrà assegnato in un secondo momento alla macchina virtuale BIG-IP.

4. Specificare la password del certificato.

5. Selezionare Importa.

6. Dalla barra di spostamento a sinistra passare a Piattaforma di sistema>.

7. In Proprietà generali immettere un nome host completo e un fuso orario dell'ambiente.

   

8. Selezionare Aggiorna.

9. Dalla barra di spostamento a sinistra passare a Configurazione>sistema>>NTP dispositivo.

10. Specificare un'origine NTP.

11. Selezionare Aggiungi.

12. Selezionare Aggiorna. Ad esempio, time.windows.com

È necessario un record DNS per risolvere l'FQDN BIG-IP nel relativo indirizzo IP privato primario, specificato nei passaggi precedenti. Aggiungere un record al DNS interno dell'ambiente o a un file localhost pc per connettersi alla configurazione Web BIG-IP. Quando ci si connette alla configurazione Web, l'avviso del browser non viene più visualizzato, non con il proxy di applicazione o con qualsiasi altro proxy inverso.

Profilo SSL

Come proxy inverso, un sistema BIG-IP è un servizio di inoltro, altrimenti noto come proxy trasparente o un proxy completo che partecipa agli scambi tra client e server. Un proxy completo crea due connessioni: una connessione client TCP front-end e una connessione server TCP back-end, con un gap flessibile al centro. I client si connettono al listener proxy su un'estremità, un server virtuale e il proxy stabilisce una connessione separata indipendente al server back-end. Questa configurazione è bidirezionale su entrambi i lati. In questa modalità proxy completa, il sistema BIG-IP F5 può controllare il traffico e interagire con richieste e risposte. Funzioni come il bilanciamento del carico e l'ottimizzazione delle prestazioni Web e i servizi avanzati di gestione del traffico (sicurezza a livello di applicazione, accelerazione Web, routing di pagine e accesso remoto sicuro) si basano su questa funzionalità. Quando si pubblicano servizi basati su SSL, i profili SSL BIG-IP che decrittografano e crittografano il traffico tra client e servizi back-end.

Esistono due tipi di profilo:

• SSL client: la creazione di questo profilo è il modo più comune per configurare un sistema BIG-IP per pubblicare servizi interni con SSL. Con un profilo SSL client, un sistema BIG-IP decrittografa le richieste client in ingresso, prima di inviarle a un servizio di down-stream. Crittografa le risposte back-end in uscita, quindi le invia ai client.
• SERVER SSL: per i servizi back-end configurati per HTTPS, è possibile configurare BIG-IP per l'uso di un profilo SSL del server. Con questo profilo, BIG-IP crittografa nuovamente la richiesta client, quindi la invia al servizio back-end di destinazione. Quando il server restituisce una risposta crittografata, il sistema BIG-IP decrittografa e crittografa nuovamente la risposta, quindi la invia al client tramite il profilo SSL client configurato.

Affinché BIG-IP sia preconfigurato e pronto per scenari SHA, effettuare il provisioning di profili SSL client e server.

1. Nel riquadro di spostamento a sinistra passare a System>Certificate Management>Traffic Certificate Management>SSL Certificate List Import (Importa>elenco certificati SSL gestione certificati SSL).

2. Nell'elenco a discesa Importa tipo selezionare PKCS 12 (IIS).

3. Per il certificato importato, immettere un nome, ContosoWildcardCertad esempio .

4. Selezionare Scegli file.

5. Passare al certificato Web SSL con un nome soggetto corrispondente al suffisso di dominio per i servizi pubblicati.

6. Per il certificato importato, specificare la password.

7. Selezionare Importa.

8. Dal riquadro di spostamento a sinistra passare a Client SSL> profili>traffico>locale.

9. Seleziona Crea.

10. Nella pagina Nuovo profilo SSL client immettere un nome descrittivo univoco.

11. Verificare che il profilo padre sia impostato su clientssl.

    

12. Nella riga Catena di chiavi del certificato selezionare la casella di controllo all'estrema destra.

13. Selezionare Aggiungi.

14. Nell'elenco a discesa Certificato, Chiave e Catena selezionare il certificato con caratteri jolly importato senza una passphrase.

15. Selezionare Aggiungi.

16. Selezionare Completato.

    

17. Ripetere i passaggi per creare un profilo certificato server SSL.

18. Nella barra multifunzione in alto selezionare SSL Server Create (Crea server>SSL).>

19. Nella pagina Nuovo profilo SSL server immettere un nome descrittivo univoco.

20. Verificare che il profilo padre sia impostato su serverssl.

21. Selezionare la casella di controllo all'estrema destra per le righe Certificato e Chiave

22. Nell'elenco a discesa Certificato e chiave selezionare il certificato importato.

23. Selezionare Completato.

    

Nota

Se non è possibile ottenere un certificato SSL, usare il server BIG-IP autofirmato integrato e i certificati SSL client. Nel browser viene visualizzato un errore di certificato.

Individuare la risorsa

Per preparare un BIG-IP per SHA, individuare le risorse di pubblicazione e il servizio directory su cui si basa per l'accesso SSO. Un BIG-IP ha due origini di risoluzione dei nomi, a partire dal file local/.../hosts. Se non viene trovato un record, il sistema BIG-IP usa il servizio DNS con cui è stato configurato. Il metodo di file hosts non si applica ai nodi e ai pool APM che usano un FQDN.

1. Nella configurazione Web passare a DNS del dispositivo>di configurazione>del sistema.>
2. In Elenco server di ricerca DNS immettere l'indirizzo IP del server DNS dell'ambiente.
3. Selezionare Aggiungi.
4. Selezionare Aggiorna.

Un passaggio facoltativo è una configurazione LDAP per autenticare gli amministratori di sistema BIG-IP in Active Directory, anziché gestire gli account BIG-IP locali.

Aggiornare BIG-IP

Per indicazioni relative agli aggiornamenti, vedere l'elenco seguente. Seguire le istruzioni di aggiornamento.

• Per controllare la versione del sistema operativo di gestione del traffico (TMOS):
  • In alto a sinistra della pagina principale passare il cursore sul nome host BIG-IP
• Eseguire v15.x e versioni successive. Vedi, F5 download. Accesso obbligatorio.
• Per aggiornare il TMOS principale, vedere l'articolo F5 K34745165 : Gestione delle immagini software nel sistema BIG-IP
  • Se non è possibile aggiornare il TMOS principale, è possibile aggiornare la configurazione guidata. Segui questa procedura.
• Vedere anche linee guida basate su scenari

1. Nella configurazione Web BIG-IP, nella scheda principale, passare a Configurazione guidata di accesso>.

2. Nella pagina Configurazione guidata selezionare Aggiorna configurazione guidata.

   

3. Nella finestra di dialogo Aggiorna configurazione guidata selezionare Scegli file.

4. Selezionare Carica e installa.

5. Attendere il completamento dell'aggiornamento.

6. Selezionare Continua.

Eseguire il backup di BIG-IP

Quando viene effettuato il provisioning del sistema BIG-IP, è consigliabile eseguire un backup completo della configurazione.

1. Passare a Archivi>di sistema>Crea.
2. Specificare un nome file univoco.
3. Abilitare crittografia con una passphrase.
4. Impostare l'opzione Chiavi private su Includi per eseguire il backup dei certificati SSL e del dispositivo.
5. Selezionare Completato.
6. Attendere il completamento del processo.
7. Viene visualizzato un messaggio con i risultati.
8. Seleziona OK.
9. Selezionare il collegamento di backup.
10. Salvare l'archivio del set di configurazione utente (UCS) in locale.
11. Selezionare Download.

È possibile creare un backup dell'intero disco di sistema usando gli snapshot di Azure. Questo strumento fornisce la contingenza per i test tra le versioni TMOS o il rollback a un nuovo sistema.

# Install modules
Install-module Az
Install-module AzureVMSnapshots

# Authenticate to Azure
Connect-azAccount

# Set subscription by Id
Set-AzContext -SubscriptionId ‘<Azure_Subscription_ID>’

#Create Snapshot
New-AzVmSnapshot -ResourceGroupName '<E.g.contoso-RG>' -VmName '<E.g.BIG-IP-VM>'

#List Snapshots
#Get-AzVmSnapshot -ResourceGroupName ‘<E.g.contoso-RG>'

#Get-AzVmSnapshot -ResourceGroupName ‘<E.g.contoso-RG>' -VmName '<E.g.BIG-IP-VM>' | Restore-AzVmSnapshot -RemoveOriginalDisk 

Ripristinare BIG-IP

Il ripristino di un BIG-IP è simile al processo di backup e può essere usato per eseguire la migrazione delle configurazioni tra macchine virtuali BIG-IP. Prima di importare un backup, confermare i percorsi di aggiornamento supportati.

1. Passare ad Archivi di sistema>.

• Selezionare un collegamento di backup oppure
• Selezionare Carica e passare a un archivio UCS salvato non nell'elenco

2. Specificare la passphrase di backup.
3. selezionare Ripristina

# Authenticate to Azure
Connect-azAccount

# Set subscription by Id
Set-AzContext -SubscriptionId ‘<Azure_Subscription_ID>’

#Restore Snapshot
Get-AzVmSnapshot -ResourceGroupName '<E.g.contoso-RG>' -VmName '<E.g.BIG-IP-VM>' | Restore-AzVmSnapshot

Nota

Attualmente, il cmdlet AzVmSnapshot può ripristinare lo snapshot più recente, in base alla data. Gli snapshot vengono archiviati nella radice del gruppo di risorse della macchina virtuale. Il ripristino degli snapshot riavvia una macchina virtuale di Azure, quindi garantisce tempi ottimali per l'attività.

Risorse

• Reimpostare la password DI BIG-IP VE in Azure
• Reimpostare la password senza usare il portale
• Modificare la scheda di interfaccia di rete usata per la gestione di BIG-IP VE
• Informazioni sulle route in una singola configurazione della scheda di interfaccia di rete
• Microsoft Azure: Waagent

Passaggi successivi

Selezionare uno scenario di distribuzione e avviare l'implementazione.