Развертывание виртуальной машины F5 BIG-IP в Azure

В этом руководстве описано, как развернуть BIG-IP Vitural Edition (VE) в инфраструктуре Azure как услуга (IaaS). В конце руководства вы получите следующие сведения:

• Подготовленная виртуальная машина BIG-IP для моделирования безопасного гибридного доступа (SHA)
• Промежуточный экземпляр для тестирования новых обновлений и исправлений системы BIG-IP

Дополнительные сведения: SHA: защита устаревших приложений с помощью идентификатора Microsoft Entra

Необходимые компоненты

Предыдущий интерфейс F5 BIG-IP или знания не нужны. Тем не менее, мы рекомендуем просмотреть стандартную терминологию отрасли в Глоссарии F5.

Для развертывания BIG-IP в Azure для SHA требуется:

• Платная подписка Azure
  • Если у вас нет пробной версии Azure, вы можете получить бесплатную пробную версию Azure.
• Любой из следующих номеров SKU лицензии F5 BIG-IP:
  • Пакет F5 BIG-IP® Best
  • отдельная лицензия F5 BIG-IP Access Policy Manager™ (APM).
  • Надстройка F5 BIG-IP Access Policy Manager™ (APM) на локальном Диспетчер трафика ™ BIG-IP F5 BIG-IP® (LTM)
  • 90-дневная лицензия на полную пробную версию BIG-IP.
• Дикий карта или сертификат альтернативного имени субъекта (SAN) для публикации веб-приложений по протоколу SSL
  • Перейдите к letsencrypt.org, чтобы просмотреть предложения. Выберите Приступая к работе.
• SSL-сертификат для защиты интерфейса управления BIG-IP. Сертификат можно использовать для публикации веб-приложений, если его тема соответствует полному доменному имени BIG-IP (FQDN). Например, можно использовать дикий сертификат карта с темой *.contoso.comhttps://big-ip-vm.contoso.com:8443.

Развертывание виртуальных машин и базовые конфигурации системы занимает около 30 минут, то BIG-IP — реализовать сценарии SHA в интеграции F5 BIG-IP с идентификатором Microsoft Entra.

Сценарии проверки

При тестировании сценариев в этом руководстве предполагается:

• Big-IP развертывается в группе ресурсов Azure с средой Active Directory (AD)
• Среда состоит из контроллера домена (DC) и виртуальных машин веб-узла службы IIS (IIS)
• Серверы не в тех же расположениях, что и виртуальная машина BIG-IP, допустимы, если big-IP видит роли, необходимые для поддержки сценария.
• Виртуальная машина BIG-IP, подключенная к другой среде через VPN-подключение, поддерживается

Если у вас нет предыдущих элементов для тестирования, вы можете развернуть доменную среду AD в Azure с помощью скрипта в Cloud Identity Lab. Вы можете программно развернуть примеры тестовых приложений на веб-узле IIS с помощью скриптовой автоматизации в Demo Suite.

Примечание.

Некоторые действия в этом руководстве могут отличаться от макета в Центре администрирования Microsoft Entra.

Развертывание Azure

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Вы можете развернуть BIG-IP в разных топологиях. В этом руководстве основное внимание уделяется развертыванию сетевого интерфейса карта (сетевой адаптер). Однако если для развертывания BIG-IP требуется несколько сетевых интерфейсов для обеспечения высокой доступности, разделения сети или более 1 ГБ пропускной способности, рассмотрите возможность использования предварительно скомпилированных шаблонов Azure Resource Manager (ARM).

Развертывание BIG-IP VE из Azure Marketplace.

1. Войдите в Центр администрирования Microsoft Entra с помощью учетной записи с разрешениями на создание виртуальных машин, таких как приложение Администратор istrator.

2. В верхнем поле поиска ленты введите Marketplace

3. Выберите ВВОД.

4. Введите F5 в фильтр Marketplace.

5. Выберите ВВОД.

6. На верхней ленте нажмите кнопку +Добавить.

7. Для фильтра Marketplace введите F5.

8. Выберите ВВОД.

9. Выберите F5 BIG-IP Virtual Edition (BYOL)>Выберите план>программного обеспечения F5 BIG-IP VE — ALL (BYOL, 2 расположения загрузки).

10. Нажмите кнопку создания.

    

11. Основные сведения:

• Подписка: целевая подписка для развертывания виртуальной машины BIG-IP
• Группа ресурсов: Azure RG виртуальная машина BIG-IP будет развернута или создана. Это группа ресурсов контроллера домена и IIS

12. Сведения о экземпляре:

• Пример имени виртуальной машины BIG-IP-VM
• Регион: целевой регион Azure для BIG-IP-VM
• Включение параметров доступности при использовании виртуальной машины в рабочей среде
• Изображение: F5 BIG-IP VE - ALL (BYOL, 2 места загрузки)
• Экземпляр Места Azure: нет, но включите его при необходимости.
• Размер: минимальные спецификации : 2 виртуальных ЦП и 8 ГБ памяти

13. Для учетной записи Администратор istrator:

• Тип проверки подлинности: выберите пароль и переключитесь на пару ключей позже
• Имя пользователя: удостоверение, созданное как локальная учетная запись BIG-IP для доступа к его интерфейсам управления. В имени пользователя учитывается регистр.
• Пароль: безопасный доступ администратора с помощью надежного пароля

14. Правила входящего порта: общедоступные входящие порты, Нет.
15. Нажмите кнопку "Далее" — диски. Оставьте значения по умолчанию.
16. Выберите Далее: сеть.
17. Для сети:

• Виртуальная сеть: виртуальная сеть Azure, используемая виртуальными машинами контроллера домена и IIS, или создайте ее.
• Подсеть: та же внутренняя подсеть Azure, что и виртуальные машины DC и IIS, или создайте ее.
• Общедоступный IP-адрес: нет
• Группа безопасности сети сетевых адаптеров: выберите "Нет", если выбранная подсеть Azure связана с группой безопасности сети (NSG); в противном случае выберите "Базовый"
• Ускорение работы сети: выключение

18. Для балансировки нагрузки: виртуальная машина балансировки нагрузки, нет.
19. Нажмите кнопку "Далее". Управление и завершение параметров:

• Подробный мониторинг: отключен
• Загрузка диагностика Включить с помощью пользовательской учетной записи хранения. Эта функция позволяет подключиться к интерфейсу безопасной оболочки BIG-IP (SSH) с помощью параметра последовательной консоли в Центре администрирования Microsoft Entra. Выберите доступную учетную запись хранения Azure.

20. Для удостоверения:

• Управляемое удостоверение, назначаемое системой: выключение
• Идентификатор Microsoft Entra ID: BIG-IP не поддерживает этот параметр

21. Для автозапуска: включение или тестирование можно задать для виртуальной машины BIG-IP-виртуальные машины ежедневное завершение работы.
22. Нажмите кнопку Далее: Дополнительно; оставьте значения по умолчанию.
23. Нажмите кнопку "Далее": теги.
24. Чтобы просмотреть конфигурацию BIG-IP-VM, нажмите кнопку "Далее: проверка и создание".
25. Нажмите кнопку создания. Время развертывания виртуальной машины BIG-IP обычно составляет 5 минут.
26. По завершении разверните меню Центра администрирования Microsoft Entra слева.
27. Выберите группы ресурсов и перейдите к виртуальной машине BIG-IP-.

Примечание.

Если создание виртуальной машины завершается сбоем, нажмите кнопку Назад и Далее.

Сетевая конфигурация

При запуске виртуальной машины BIG-IP его сетевой адаптер подготавливается с основным частным IP-адресом, выданным службой протокола конфигурации динамических узлов (DHCP) подсети Azure, к ней подключенной. Операционная система управления трафиком BIG-IP (TMOS) использует IP-адрес для обмена данными:

• Узлы и службы
• Внешний доступ к общедоступному Интернету
• Входящий доступ к веб-конфигурации BIG-IP и интерфейсам управления SSH

Предоставление интерфейсов управления интернету увеличивает область атак BIG-IP. Этот риск заключается в том, что первичный IP-адрес BIG-IP не был подготовлен с общедоступным IP-адресом во время развертывания. Вместо этого для публикации подготавливается вторичный внутренний IP-адрес и связанный общедоступный IP-адрес. Это сопоставление между общедоступным IP-адресом виртуальной машины и частным IP-адресом позволяет внешнему трафику обращаться к виртуальной машине. Однако для разрешения трафика, аналогичного брандмауэру, требуется правило NSG Azure.

На следующей схеме показано развертывание сетевой карты BIG-IP VE в Azure, настроенное с основным IP-адресом для общих операций и управления. Существует отдельный IP-адрес виртуального сервера для служб публикации. Правило NSG разрешает удаленный трафик, предназначенный intranet.contoso.com для маршрутизации на общедоступный IP-адрес опубликованной службы, прежде чем перенаправить на виртуальный сервер BIG-IP.

По умолчанию частные и общедоступные IP-адреса, выданные виртуальным машинам Azure, являются динамическими, поэтому могут изменяться при перезапуске виртуальной машины. Избегайте проблем с подключением, изменив IP-адрес управления BIG-IP на статический. Выполните то же действие для вторичных IP-адресов для служб публикации.

1. В меню виртуальной машины BIG-IP перейдите к Параметры> Networking.

2. В представлении сети выберите ссылку справа от сетевого интерфейса.

   

Примечание.

Имена виртуальных машин создаются случайным образом во время развертывания.

3. В области слева выберите IP-конфигурации.
4. Выберите строку ipconfig1.
5. Задайте для параметра "Назначение IP-адресов" значение Static. При необходимости измените основной IP-адрес виртуальной машины BIG-IP.
6. Выберите Сохранить.
7. Закройте меню ipconfig1.

Примечание.

Используйте основной IP-адрес для подключения и управления виртуальной машиной BIG-IP.

8. На верхней ленте нажмите кнопку +Добавить.
9. Укажите дополнительное частное IP-имя, например ipconfig2.
10. Для параметра частного IP-адреса задайте для параметра "Выделение " значение Static. Предоставление следующего или нижнего IP-адреса помогает сохранить упорядоченность.
11. Задайте для общедоступного IP-адреса значение "Связать".
12. Нажмите кнопку создания.
13. Для нового общедоступного IP-адреса укажите имя, например BIG-IP-VM_ipconfig2_Public.
14. Если появится запрос, задайте для номера SKU значение "Стандартный".
15. Если появится запрос, задайте для уровня глобальное значение.
16. Задайте для параметра "Назначение" значение Static.
17. Нажмите дважды кнопку ОК.

Виртуальная машина BIG-IP готова к следующим действиям:

• Первичный частный IP-адрес: предназначен для управления виртуальными машинами BIG-IP с помощью служебной программы веб-конфигурации и SSH. Она используется системой BIG-IP в качестве собственного IP-адреса для подключения к опубликованным внутренним службам. Он подключается к внешним службам:
  • Протокол NTP
  • Active Directory (AD)
  • Протокол LDAP
• Вторичный частный IP-адрес: используйте для создания виртуального сервера BIG-IP APM для прослушивания входящего запроса на опубликованные службы.
• Общедоступный IP-адрес: он связан с вторичным частным IP-адресом; он позволяет трафику клиента из общедоступного Интернета связаться с виртуальным сервером BIG-IP для опубликованных служб.

В примере показана связь "один к одному" между общедоступными и частными IP-адресами виртуальной машины. Сетевой адаптер виртуальной машины Azure имеет один первичный IP-адрес, а другие IP-адреса являются вторичными.

Примечание.

Для публикации служб BIG-IP требуется дополнительное сопоставление IP-адресов.

Чтобы реализовать SHA с помощью интерактивной конфигурации доступа BIG-IP, повторите шаги, чтобы создать более частные и общедоступные пары IP-адресов для служб, которые вы публикуете через APM BIG-IP. Используйте тот же подход для служб публикации с помощью расширенной конфигурации BIG-IP. Однако избежать затрат на общедоступный IP-адрес с помощью конфигурации индикатора имени сервера (SNI): виртуальный сервер BIG-IP принимает трафик клиента, который он получает, и отправляет его в место назначения.

DNS configuration (Настройка DNS)

Чтобы разрешить опубликованные службы SHA в общедоступных IP-адресах BIG-IP-VM, настройте DNS для клиентов. В следующих шагах предполагается, что зона DNS общедоступного домена для служб SHA управляется в Azure. Примените принципы DNS для создания указателя независимо от того, где управляется зона DNS.

1. Разверните меню портала слева.

2. С помощью параметра "Группы ресурсов" перейдите к виртуальной машине BIG-IP-.

3. В меню виртуальной машины BIG-IP перейдите к Параметры> Networking.

4. В представлении сети BIG-IP-VMs в раскрывающемся списке конфигурации IP-адресов выберите первый вторичный IP-адрес.

5. Выберите ссылку общедоступного IP-адреса сетевого адаптера.

   

6. В области слева под разделом Параметры выберите "Конфигурация".

7. Откроется меню свойств общедоступного IP-адреса и DNS.

8. Выберите и создайте запись псевдонима.

9. В раскрывающемся меню выберите зону DNS. Если нет зоны DNS, ее можно управлять за пределами Azure или создать ее для суффикса домена для проверки в идентификаторе Microsoft Entra.

10. Чтобы создать первую запись псевдонима DNS:

    • Подписка: та же подписка, что и виртуальная машина BIG-IP-
    • Зона DNS: зона DNS, авторитетная для проверенного домена суффиксом опубликованных веб-сайтов, например, www.contoso.com
    • Имя: указанное имя узла разрешает общедоступный IP-адрес, связанный с выбранным вторичным IP-адресом. Определите сопоставления DNS-ip-адресов. Например, intranet.contoso.com до 13.77.148.215
    • TTL: 1
    • Единицы TTL: Часы

11. Нажмите кнопку создания.

12. Оставьте метку DNS-имени (необязательно).

13. Выберите Сохранить.

14. Закройте меню "Общедоступный IP-адрес".

Примечание.

Чтобы создать дополнительные записи DNS для служб, которые вы будете публиковать с помощью интерактивной конфигурации BIG-IP, повторите шаги 1–6.

С помощью записей DNS можно использовать такие средства, как DNS-проверка er для проверки созданной записи, распространяемой на глобальных общедоступных DNS-серверах. Если вы управляете пространством доменных имен DNS с помощью внешнего поставщика, например GoDaddy, создайте записи с помощью своего средства управления DNS.

Примечание.

При тестировании и частом переключении записей DNS можно использовать файл локального узла компьютера: выберите Win + R. В поле "Запуск" введите драйверы. Запись локального узла предоставляет разрешение DNS для локального компьютера, а не для других клиентов.

Клиентский трафик

По умолчанию виртуальные сети Azure и связанные подсети являются частными сетями, которые не могут получать интернет-трафик. Подключите сетевой адаптер BIG-IP-VM к NSG, указанному во время развертывания. Для внешнего веб-трафика для доступа к виртуальной машине BIG-IP-VM определите правило входящего NSG, чтобы разрешить порты 443 (HTTPS) и 80 (HTTP) из общедоступного Интернета.

1. В главном меню обзора виртуальной машины BIG-IP выберите "Сеть".
2. Выберите " Добавить правило входящего трафика".
3. Введите свойства правила NSG:

• Источник: Любой
• Диапазоны исходных портов: *|
• IP-адреса назначения: разделенный запятыми список вторичных частных IP-адресов BIG-IP-VM
• Порты назначения: 80, 443
• Протокол: TCP
• Действие: Разрешить
• Приоритет: наименьшее доступное значение от 100 до 4096
• Имя: описательное имя, например: BIG-IP-VM_Web_Services_80_443

4. Выберите Добавить.
5. Закройте меню "Сеть".

Трафик HTTP и HTTPS могут достигать дополнительных интерфейсов BIG-IP-VMs. Разрешение порта 80 позволяет BIG-IP APM автоматически перенаправлять пользователей из HTTP в HTTPS. Измените это правило, чтобы добавить или удалить IP-адреса назначения.

Управление BIG-IP

Система BIG-IP управляется с помощью пользовательского интерфейса веб-конфигурации. Доступ к пользовательскому интерфейсу из:

• Компьютер во внутренней сети BIG-IP
• VPN-клиент, подключенный к внутренней сети BIG-IP-VM
• Опубликовано через прокси приложения Microsoft Entra

Примечание.

Выберите один из трех предыдущих методов перед продолжением оставшихся конфигураций. При необходимости подключитесь непосредственно к веб-конфигурации из Интернета, настроив первичный IP-адрес BIG-IP с общедоступным IP-адресом. Затем добавьте правило NSG, чтобы разрешить трафик 8443 в этот первичный IP-адрес. Ограничьте источник собственным доверенным IP-адресом, в противном случае любой пользователь может подключиться.

Подтверждение подключения

Убедитесь, что вы можете подключиться к веб-конфигурации виртуальной машины BIG-IP и войти с учетными данными, указанными во время развертывания виртуальной машины:

• При подключении из виртуальной машины во внутренней сети или через VPN подключитесь к основному IP-адресу BIG-IP и порту веб-конфигурации. Например, https://<BIG-IP-VM_Primary_IP:8443. Запрос браузера может показать, что подключение небезопасно. Пропустить запрос до настройки BIG-IP. Если браузер блокирует доступ, очищает его кэш и повторите попытку.
• Если вы опубликовали веб-конфигурацию с помощью прокси приложения, используйте URL-адрес, определенный для доступа к веб-конфигурации внешне. Не добавляйте порт, например https://big-ip-vm.contoso.com. Определите внутренний URL-адрес с помощью порта веб-конфигурации, например https://big-ip-vm.contoso.com:8443.

Примечание.

Вы можете управлять системой BIG-IP с помощью среды SSH, обычно используемой для задач командной строки (CLI) и доступа на корневом уровне.

Чтобы подключиться к интерфейсу командной строки, выполните следующие действия.

• Служба Бастиона Azure: Подключение на виртуальные машины в виртуальной сети из любого расположения
• Клиент SSH, например PowerShell с подходом JIT
• Последовательная консоль. На портале в меню "Виртуальная машина" раздел "Поддержка и устранение неполадок". Передача файлов не поддерживается.
• Из Интернета: настройте первичный IP-адрес BIG-IP с общедоступным IP-адресом. Добавьте правило NSG, чтобы разрешить трафик SSH. Ограничьте надежный IP-источник.

Лицензия BIG-IP

Прежде чем его можно настроить для служб публикации и SHA, активируйте и подготовьте систему BIG-IP с помощью модуля APM.

1. Войдите в веб-конфигурацию.
2. На странице "Общие свойства" выберите "Активировать".
3. В поле "Базовый ключ регистрации" введите ключ с учетом регистра, предоставленный F5.
4. Оставьте метод активации автоматическим.
5. Выберите Далее.
6. BIG-IP проверяет лицензию и отображает лицензионное соглашение конечного пользователя (EULA).
7. Нажмите кнопку "Принять" и дождитесь завершения активации.
8. Выберите Продолжить.
9. В нижней части страницы сводки лицензий войдите в систему.
10. Выберите Далее.
11. Появится список модулей, необходимых для SHA.

Примечание.

Если список не отображается, перейдите на вкладку "Подготовка системных> ресурсов". Проверка столбца подготовки для политики доступа (APM)

12. Выберите Отправить.
13. Примите предупреждение.
14. Дождитесь завершения инициализации.
15. Выберите Продолжить.
16. На вкладке "Сведения" выберите "Запустить программу установки".

Внимание

Лицензии F5 — для одного экземпляра BIG-IP VE. Чтобы перенести лицензию из одного экземпляра в другой, см. статью AskF5, K41458656: повторное использование лицензии BIG-IP VE в другой системе BIG-IP VE. Отмените лицензию пробной версии на активном экземпляре перед его выводом из эксплуатации, в противном случае лицензия будет окончательно потеряна.

Подготовка BIG-IP к работе

Важно обеспечить безопасность трафика управления в веб-конфигурацию BIG-IP и из нее. Чтобы защитить канал веб-конфигурации от компрометации, настройте сертификат управления устройствами.

1. На панели навигации слева перейдите к импорту списка> SSL-сертификатов управления>сертификатами системы.>>

2. В раскрывающемся списке "Тип импорта" выберите PKCS 12(IIS) и выберите файл.

3. Найдите SSL-веб-сертификат с именем субъекта или SAN, охватывающим полное доменное имя, которое назначается виртуальной машине BIG-IP позже.

4. Укажите пароль сертификата.

5. Выберите Импорт.

6. На панели навигации слева перейдите на системную>платформу.

7. В разделе "Общие свойства" введите полное имя узла и часовой пояс среды.

   

8. Выберите Обновить.

9. На панели навигации слева перейдите в раздел NTP устройства>конфигурации>системы.>

10. Укажите источник NTP.

11. Выберите Добавить.

12. Выберите Обновить. Например: time.windows.com

Для разрешения полного доменного имени BIG-IP-адресов требуется запись DNS для основного частного IP-адреса, указанного на предыдущих шагах. Добавьте запись в внутреннюю DNS-службу среды или в локальный файл компьютера, чтобы подключиться к веб-конфигурации BIG-IP. При подключении к веб-конфигурации предупреждение браузера больше не отображается, а не с прокси приложения или любым другим обратным прокси-сервером.

Профиль SSL

В качестве обратного прокси-сервера система BIG-IP — это служба пересылки, которая называется прозрачным прокси-сервером или полным прокси-сервером, участвующим в обмене между клиентами и серверами. Полный прокси-сервер создает два подключения: подключение внешнего TCP-клиента и подключение серверного TCP-сервера с мягким разрывом в середине. Клиенты подключаются к прослушивателю прокси-сервера на одном конце, виртуальном сервере и прокси-сервере устанавливают отдельное независимое подключение к внутреннему серверу. Эта конфигурация является двунаправленной на обеих сторонах. В этом полном режиме прокси-сервера система F5 BIG-IP может проверять трафик и взаимодействовать с запросами и ответами. Такие функции, как балансировка нагрузки и оптимизация веб-производительности, а также расширенные службы управления трафиком (безопасность на уровне приложений, веб-ускорение, маршрутизация страниц и безопасный удаленный доступ) используют эту функцию. При публикации служб на основе SSL профили SSL BIG-IP позволяют расшифровывать и шифровать трафик между клиентами и внутренними службами.

Существует два типа профилей:

• SSL клиента. Создание этого профиля является наиболее распространенным способом настройки системы BIG-IP для публикации внутренних служб с помощью SSL. С помощью профиля SSL клиента система BIG-IP расшифровывает входящие клиентские запросы, прежде чем отправлять их в нисходящую службу. Он шифрует исходящие внутренние ответы, а затем отправляет их клиентам.
• SSL сервера: для серверных служб, настроенных для HTTPS, можно настроить BIG-IP для использования профиля SSL сервера. С помощью этого профиля BIG-IP повторно шифрует запрос клиента, а затем отправляет его в целевую серверную службу. Когда сервер возвращает зашифрованный ответ, система BIG-IP расшифровывает и повторно шифрует ответ, а затем отправляет его клиенту через настроенный профиль SSL клиента.

Чтобы big-IP был предварительно настроен и готов к сценариям SHA, подготовьте профили SSL клиента и сервера.

1. В области навигации слева перейдите в >список> SSL-сертификатов управления>сертификатами>системы.

2. В раскрывающемся списке "Тип импорта" выберите PKCS 12 (IIS).

3. Для импортированного сертификата введите имя, например ContosoWildcardCert.

4. Выберите Выбрать файл.

5. Перейдите к SSL-сертификату с именем субъекта, соответствующим суффиксу домена для опубликованных служб.

6. Для импортированного сертификата укажите пароль.

7. Выберите Импорт.

8. В области навигации слева перейдите к SSL-клиенту профилей>локального трафика>>.

9. Нажмите кнопку создания.

10. На странице "Новый профиль SSL клиента" введите уникальное понятное имя.

11. Убедитесь, что для родительского профиля задано значение clientsl.

    

12. В строке "Цепочка ключей сертификатов" выберите правое проверка поле.

13. Выберите Добавить.

14. В раскрывающихся списках сертификатов, ключей и цепочки выберите дикий карта сертификат, импортированный без парольной фразы.

15. Выберите Добавить.

16. Щелкните Готово.

    

17. Повторите шаги, чтобы создать профиль сертификата SSL-сервера.

18. Вверху на ленте выберите SSL>Сервер>Создать.

19. На странице профиля SSL нового сервера введите уникальное понятное имя.

20. Убедитесь, что родительский профиль имеет значение serverssl.

21. Выберите правое поле проверка для строк сертификата и ключа

22. В раскрывающихся списках сертификатов и ключей выберите импортированный сертификат.

23. Щелкните Готово.

    

Примечание.

Если вы не можете получить SSL-сертификат, используйте интегрированный самозаверяющий СЕРВЕР BIG-IP и SSL-сертификаты клиента. В браузере появится ошибка сертификата.

Поиск ресурса

Чтобы подготовить BIG-IP для SHA, найдите ресурсы своей публикации и службу каталогов, которая используется для единого входа. Big-IP имеет два источника разрешения имен, начиная с локального/.../hosts файла. Если запись не найдена, система BIG-IP использует службу DNS, с помощью которую она была настроена. Метод файла узлов не применяется к узлам и пулам APM, использующих полное доменное имя.

1. В веб-конфигурации перейдите в DNS устройства>конфигурации>системы.>
2. В списке серверов подстановки DNS введите IP-адрес DNS-сервера среды.
3. Выберите Добавить.
4. Выберите Обновить.

Необязательный шаг — это конфигурация LDAP для проверки подлинности sysadmins BIG-IP в Active Directory вместо управления локальными учетными записями BIG-IP.

Обновление BIG-IP

Ознакомьтесь со следующим списком рекомендаций по обновлению. Следуйте инструкциям по обновлению.

• Чтобы проверка версию операционной системы управления трафиком (TMOS):
  • В левой верхней части главной страницы наведите указатель мыши на имя узла BIG-IP
• Запустите версию 15.x и выше. См. скачивание F5. Требуется вход.
• Сведения об обновлении основного TMOS см. в статье F5 K34745165 . Управление образами программного обеспечения в системе BIG-IP
  • Если вы не можете обновить основной TMOS, можно обновить интерактивную конфигурацию. Для этого выполните следующие действия:
• См. также руководство по сценариям

1. В конфигурации web-IP BIG-IP на главной вкладке перейдите в раздел "Доступ к >интерактивной конфигурации".

2. На странице "Интерактивная конфигурация" выберите "Обновить интерактивную конфигурацию".

   

3. В диалоговом окне "Руководство по обновлению конфигурации" выберите "Выбрать файл".

4. Выберите " Отправить и установить".

5. Дождитесь завершения обновления.

6. Выберите Продолжить.

Резервное копирование BIG-IP

При подготовке системы BIG-IP рекомендуется создать полную резервную копию конфигурации.

1. Перейдите к системным> архивам.>
2. Укажите уникальное имя файла.
3. Включите шифрование с помощью парольной фразы.
4. Задайте параметр "Закрытые ключи" для включения резервного копирования устройств и SSL-сертификатов.
5. Щелкните Готово.
6. Дождитесь завершения процесса.
7. Появится сообщение с результатами.
8. Нажмите ОК.
9. Выберите ссылку резервного копирования.
10. Сохраните архив набора конфигураций пользователя (UCS) локально.
11. Щелкните Скачать.

Вы можете создать резервную копию всего системного диска с помощью моментальных снимков Azure. Это средство обеспечивает непредвиденные ситуации для тестирования между версиями TMOS или откатом к новой системе.

# Install modules
Install-module Az
Install-module AzureVMSnapshots

# Authenticate to Azure
Connect-azAccount

# Set subscription by Id
Set-AzContext -SubscriptionId ‘<Azure_Subscription_ID>’

#Create Snapshot
New-AzVmSnapshot -ResourceGroupName '<E.g.contoso-RG>' -VmName '<E.g.BIG-IP-VM>'

#List Snapshots
#Get-AzVmSnapshot -ResourceGroupName ‘<E.g.contoso-RG>'

#Get-AzVmSnapshot -ResourceGroupName ‘<E.g.contoso-RG>' -VmName '<E.g.BIG-IP-VM>' | Restore-AzVmSnapshot -RemoveOriginalDisk 

Восстановление BIG-IP

Восстановление BIG-IP аналогично процессу резервного копирования и может использоваться для переноса конфигураций между виртуальными машинами BIG-IP. Перед импортом резервного копирования убедитесь, что поддерживаются пути обновления.

1. Перейдите в системные>архивы.

• Выберите ссылку резервного копирования или
• Выберите "Отправить" и перейдите в сохраненный архив UCS, не в списке

2. Укажите парольную фразу резервного копирования.
3. Выберите " Восстановить"

# Authenticate to Azure
Connect-azAccount

# Set subscription by Id
Set-AzContext -SubscriptionId ‘<Azure_Subscription_ID>’

#Restore Snapshot
Get-AzVmSnapshot -ResourceGroupName '<E.g.contoso-RG>' -VmName '<E.g.BIG-IP-VM>' | Restore-AzVmSnapshot

Примечание.

В настоящее время командлет AzVmSnapshot может восстановить последний моментальный снимок на основе даты. Моментальные снимки хранятся в корневом каталоге группы ресурсов виртуальной машины. Восстановление моментальных снимков перезапускает виртуальную машину Azure, поэтому убедитесь в оптимальном времени для задачи.

Ресурсы

• Сброс пароля BIG-IP VE в Azure
• Сброс пароля без использования портала
• Изменение сетевого адаптера, используемого для управления BIG-IP VE
• Сведения о маршрутах в одной конфигурации сетевого адаптера
• Microsoft Azure: Waagent

Следующие шаги

Выберите сценарий развертывания и начните внедрение.