F5 implementeren in twee Azure Stack Hub-exemplaren

In dit artikel wordt uitgelegd hoe u een externe load balancer instelt in twee Azure Stack Hub-omgevingen. U kunt deze configuratie gebruiken om verschillende workloads te beheren. In dit artikel implementeert u F5 als een globale taakverdelingsoplossing voor twee onafhankelijke Azure Stack Hub-exemplaren. U implementeert ook een web-app met gelijke taakverdeling die wordt uitgevoerd op een NGINX-server in uw twee exemplaren. Ze worden uitgevoerd achter een failoverpaar met hoge beschikbaarheid van virtuele F5-apparaten.

U vindt de Azure Resource Manager-sjablonen in de GitHub-opslagplaats f5-azurestack-gslb.

Overzicht van taakverdeling met F5

De F5-hardware, de load balancer, bevindt zich mogelijk buiten Azure Stack Hub en binnen het datacenter dat als host fungeert voor Azure Stack Hub. Azure Stack Hub heeft geen systeemeigen mogelijkheid om werkbelastingen te verdelen over twee afzonderlijke Azure Stack Hub-implementaties. De BIG-IP virtual edition (VE) van de F5 wordt op beide platforms uitgevoerd. Deze instelling ondersteunt pariteit tussen Azure- en Azure Stack Hub-architecturen via replicatie van de ondersteunende toepassingsservices. U kunt een app ontwikkelen in de ene omgeving en deze naar een andere verplaatsen. U kunt ook de volledige productieklare Azure Stack Hub spiegelen, inclusief dezelfde BIG-IP-configuraties, beleidsregels en toepassingsservices. De aanpak elimineert de noodzaak van talloze uren van herstructurering en testen van toepassingen en stelt u in staat om aan de slag te gaan met het schrijven van code.

Het beveiligen van toepassingen en hun gegevens is vaak een probleem voor ontwikkelaars die apps naar de openbare cloud verplaatsen. Dit hoeft niet het geval te zijn. U kunt een app bouwen in uw Azure Stack Hub-omgeving, terwijl een beveiligingsarchitect de benodigde instellingen configureert op de Web Application Firewall (WAF) van F5. De volledige stack kan worden gerepliceerd in Azure Stack Hub met de wetenschap dat de toepassing wordt beveiligd door dezelfde toonaangevende WAF. Met identieke beleidsregels en regelsets zijn er geen beveiligingsproblemen of beveiligingsproblemen die anders zouden kunnen worden gegenereerd door verschillende WAF's te gebruiken.

Azure Stack Hub heeft een aparte marketplace van Azure. Alleen bepaalde items worden toegevoegd. In dit geval, als u een nieuwe resourcegroep wilt maken op elk van de Azure Stack Hubs en het virtuele F5-apparaat wilt implementeren dat al beschikbaar is. Van daaruit ziet u dat een openbaar IP-adres is vereist om netwerkverbinding tussen beide Azure Stack Hub-exemplaren toe te staan. In wezen zijn het beide eilanden en het openbare IP-adres zal hen in staat stellen om over beide locaties te praten.

Vereisten voor BIG-IP VE

  • Download F5 BIG-IP VE - ALL (BYOL, 2 opstartlocaties) in elke Azure Stack Hub Marketplace. Als u deze niet beschikbaar hebt in uw portal, neemt u contact op met uw cloudoperator.

  • U vindt de Azure Resource Manager-sjabloon in de volgende GitHub-opslagplaats: https://github.com/Mikej81/f5-azurestack-gslb.

F5 BIG-IP VE implementeren op elk exemplaar

Implementeren naar Azure Stack Hub-exemplaar A en exemplaar B.

  1. Meld u aan bij de Azure Stack Hub-gebruikersportal.

  2. Selecteer + Een resource maken.

  3. Zoek in marketplace door te typen F5.

  4. Selecteer F5 BIG-IP VE – ALL (BYOL, 2 opstartlocaties).

    In het dialoogvenster 'Dashboard > New > Marketplace > Everything > F5 BIG-IP VE – ALL (BYOL, 2 opstartlocaties)' wordt f5 weergegeven in het zoekvak. Het enige zoekresultaat is 'F5 BIG-IP VE – ALL (BYOL, 2 opstartlocaties)'.

  5. Selecteer maken onderaan de volgende pagina.

    Het dialoogvenster 'F5 BIG-IP VE – ALL (BYOL, 2 opstartlocaties)' bevat informatie over BIG-IP VE en de modules die u kunt implementeren, afhankelijk van uw licentie. Er is een knop Maken.

  6. Maak een nieuwe resourcegroep met de naam F5-GSLB.

  7. Gebruik de volgende waarden als voorbeeld om de implementatie te voltooien:

    De pagina Invoer van het dialoogvenster Microsoft.Template bevat 15 tekstvakken, zoals VIRTUALMACHINENAME en ADMINUSERNAME, die waarden voor een voorbeeldimplementatie bevatten.

  8. Controleer of uw implementatie is voltooid.

    Op de pagina Overzicht van het dialoogvenster Microsoft.Template wordt 'Uw implementatie is voltooid' weergegeven en vindt u informatie over de implementatie.

    Notitie

    Elke BIG-IP-implementatie duurt ongeveer 20 minuten.

BIG-IP-apparaten configureren

Volg deze stappen die nodig zijn voor zowel Azure Stack Hub A als B.

  1. Meld u aan bij de Azure Stack Hub-gebruikersportal op Azure Stack Hub-exemplaar A om de resources te controleren die zijn gemaakt op basis van de implementatie van de BIG-IP-sjabloon.

    De pagina Overzicht van het dialoogvenster F5-GSLB bevat de geïmplementeerde resources en de bijbehorende informatie.

  2. Volg de instructies op F5 voor BIG-IP-configuratie-items.

  3. Configureer BIG-IP Wide IP List om te luisteren naar beide apparaten die zijn geïmplementeerd in Azure Stack Hub-exemplaar A en B. Zie BIG-IP GTM-configuratie voor instructies.

  4. Failover van BIG-IP-apparaten valideren. Configureer uw DNS-servers op een testsysteem voor het gebruik van het volgende:

    • Azure Stack Hub-exemplaar A = f5stack1-ext openbaar IP-adres
    • Azure Stack Hub-exemplaar B = f5stack1-ext openbaar IP-adres
  5. Blader naar www.contoso.com en uw browser laadt de standaard NGINX-pagina.

Een DNS-synchronisatiegroep maken

  1. Schakel het hoofdaccount in om een vertrouwensrelatie tot stand te brengen. Volg de instructies in Wachtwoorden voor systeemonderhoudsaccounts wijzigen (11.x - 15.x). Nadat u de vertrouwensrelatie (certificaatuitwisseling) hebt ingesteld, schakelt u het hoofdaccount uit.

  2. Meld u aan bij het BIG-IP-adres en maak een DNS-synchronisatiegroep. Zie Big-IP DNS-synchronisatiegroep maken voor instructies.

    Notitie

    U vindt het lokale IP-adres van het BIP-IP-apparaat in uw F5-GSLB-resourcegroep . De netwerkinterface is f5stack1-ext en u wilt verbinding maken met het openbare of privé-IP-adres (afhankelijk van de toegang).

    In het dialoogvenster DNS >> GSLB : Data Centers: Data Center List worden de datacenters en de status vermeld. Er zijn de knoppen Inschakelen, Uitschakelen en Verwijderen die u kunt toepassen op geselecteerde datacenters.

    Het dialoogvenster DNS >> GSLB : Servers : Serverlijst bevat een lijst met servers en status. Er zijn de knoppen Inschakelen, Uitschakelen, Verwijderen en Opnieuw verbinding maken om toe te passen op geselecteerde servers.

  3. Selecteer de nieuwe resourcegroep F5-GSLB en selecteer de virtuele machine f5stack1 onder Instellingen de optie Netwerken.

Configuraties na installatie

Nadat u hebt geïnstalleerd, moet u uw Azure Stack Hub NSG's configureren en de bron-IP-adressen vergrendelen.

  1. Schakel poort 22 uit nadat de vertrouwensrelatie tot stand is gebracht.

  2. Wanneer uw systeem online is, blokkeert u de bron-NSG's. Beheer-NSG moet zijn vergrendeld voor de beheerbron, externe NSG (4353/TCP) moet worden vergrendeld voor het andere exemplaar voor synchronisatie. 443 moet ook worden vergrendeld totdat toepassingen met virtuele servers zijn geïmplementeerd.

  3. GTM_DNS regel is ingesteld op het toestaan van dns-verkeer (poort 53) en big-IP-resolver wordt eenmaal gestart. Listeners worden gemaakt.

    De pagina fStack1-ext van het dialoogvenster Netwerkinterface bevat informatie over de interface fstack1-ext en over de bijbehorende NSG, fstack1-ext-nsg. Er zijn tabbladen om de regels voor binnenkomende poort of de regels voor uitgaande poort weer te geven.

  4. Implementeer een eenvoudige webtoepassingsworkload binnen uw Azure Stack Hub-omgeving naar Load Balance achter het BIG-IP-adres. U vindt een voorbeeld voor het gebruik van de NGNIX-server in NGINX en NGINX Plus implementeren op Docker.

    Notitie

    Implementeer een exemplaar van NGNIX op zowel Azure Stack Hub A als Azure Stack Hub B.

  5. Nadat NGINX is geïmplementeerd in een Docker-container op een Ubuntu-VM binnen elk van de Azure Stack Hub-exemplaren, controleert u of u de standaardwebpagina op de servers kunt bereiken.

    De pagina Welkom bij nginx! geeft aan dat de nginx-webserver is geïnstalleerd en dat verdere configuratie is vereist. Er zijn twee koppelingen die naar ondersteuningsinformatie leiden.

  6. Meld u aan bij de beheerinterface van het BIG-IP-apparaat. Gebruik in dit voorbeeld het openbare IP-adres f5-stack1-ext .

    Voor het aanmeldingsscherm voor het BIG-IP-configuratiehulpprogramma zijn gebruikersnaam en wachtwoord vereist.

  7. Publiceer toegang tot NGINX via big-IP.

    • In deze taak configureert u het BIG-IP-adres met een virtuele server en een groep om inkomende internettoegang tot de WordPress-toepassing toe te staan. Eerst moet u het privé-IP-adres voor het NGINX-exemplaar identificeren.
  8. Meld u aan bij de Gebruikersportal van Azure Stack Hub.

  9. Selecteer uw NGINX-netwerkinterface.

    De overzichtspagina van het dialoogvenster 'Dashboardresourcegroepen >> NGINX > ubuntu2673' bevat informatie over de ubuntu2673-netwerkinterface.

  10. Ga in de BIG-IP-console naar Poollijst voor lokaal verkeer > en > selecteer +. Configureer de pool met behulp van de waarden in de tabel. Laat alle andere velden op de standaardwaarden staan.

    Het linkerdeelvenster biedt de mogelijkheid om te navigeren om een nieuwe pool te maken. Het rechterdeelvenster heeft de titel Local Traffic >> Pools: Pool List >> New Pool en biedt mogelijkheden om de informatie over de nieuwe pool op te geven. Er is een knop Voltooid.

    Sleutel Waarde
    Naam NGINX_Pool
    Statuscontrole HTTPS
    Naam van knooppunt NGINX
    Adres <uw privé-IP-adres van NGINX>
    Servicepoort 443
  11. Selecteer Voltooid. Als de pool juist is geconfigureerd, is de status groen.

    Het rechterdeelvenster heeft de titel Local Traffic >> Pools : Pool List en de zojuist gemaakte pool is de enige vermelding in de lijst.

    U moet nu de virtuele server configureren. Hiervoor moet u eerst het privé-IP-adres van uw F5 BIG-IP vinden.

  12. Ga in de BIG-IP-console naar Self-IP-adressen > voor netwerken en noteer het IP-adres.

    Het linkerdeelvenster biedt de mogelijkheid om te navigeren om zelf-IP-adressen weer te geven. Het rechterdeelvenster heeft de titel 'Self-IP-adressen >> voor netwerken'. Er worden twee zelf-IP-adressen weergegeven en de eerste, self_2nic, is gemarkeerd.

  13. Maak een virtuele server door naar Local Traffic>Virtual ServersVirtual Server> List en Selecteer +te gaan. Configureer de pool met behulp van de waarden in de tabel. Laat alle andere velden op de standaardwaarden staan.

    Sleutel Waarde
    Naam NGINX
    Doeladres <Zelf-IP-adres van het BIG-IP>
    Servicepoort 443
    SSL-profiel (client) clientssl
    Bronadresomzetting Automatisch toewijzen

    Het linkerdeelvenster wordt gebruikt om in het rechterdeelvenster naar 'Local Traffic >> Virtual Servers: Virtual Server List >> NGINX' te navigeren, waar de vereiste informatie wordt ingevoerd.

    Deze pagina biedt de mogelijkheid om aanvullende informatie in te voeren. Er zijn de knoppen Bijwerken en Verwijderen.

  14. U hebt nu de BIG-IP-configuratie voor de NGINX-toepassing voltooid. Als u de juiste functionaliteit wilt controleren, bladert u op de site en controleert u de F5-statistieken.

  15. Open een browser naar https://<F5-public-VIP-IP> en zorg ervoor dat uw NGINX-standaardpagina wordt weergegeven.

    De pagina Welkom bij nginx! geeft aan dat de nginx-webserver is geïnstalleerd en dat verdere configuratie is vereist. Er zijn twee koppelingen die leiden naar ondersteuningsinformatie.

  16. Controleer nu de statistieken van uw virtuele server om de verkeersstroom te controleren door te navigeren naar Statistieken > Modulestatistieken > Lokaal verkeer.

  17. Selecteer onder Type statistiekende optie Virtuele servers.

    In het linkerdeelvenster is in het rechterdeelvenster naar Statistieken >> modulestatistieken: local traffic >> virtual servers genavigeerd en in de lijst worden de virtuele NGINX-server en andere servers weergegeven. NGINX is gemarkeerd.

Voor meer informatie

U vindt enkele naslagartikelen over het gebruik van F5:

Volgende stappen

Verschillen en overwegingen voor Azure Stack Hub-netwerken