Delen via


Zelfstudie: Een WebLogic Server-cluster migreren naar Azure met Azure-toepassing Gateway als een load balancer

In deze zelfstudie wordt u begeleid bij het implementeren van WebLogic Server (WLS) met Azure-toepassing Gateway. Hierin worden de specifieke stappen beschreven voor het maken van een Sleutelkluis, het opslaan van een TLS/SSL-certificaat in de Key Vault en het gebruik van dat certificaat voor TLS/SSL-beëindiging. Hoewel al deze elementen op zichzelf goed zijn gedocumenteerd, toont deze zelfstudie de specifieke manier waarop al deze elementen samenkomen om een eenvoudige, maar krachtige oplossing voor taakverdeling te maken voor WLS in Azure.

Diagram showing the relationship between WLS, App Gateway, and Key Vault.

Taakverdeling is een essentieel onderdeel van het migreren van uw Oracle WebLogic Server-cluster naar Azure. De eenvoudigste oplossing is het gebruik van de ingebouwde ondersteuning voor Azure-toepassing Gateway. App Gateway is opgenomen als onderdeel van de weblogic-clusterondersteuning in Azure. Zie Wat is Oracle WebLogic Server in Azure?voor een overzicht van weblogic-clusterondersteuning in Azure.

In deze zelfstudie leert u het volgende:

  • Kiezen hoe u het TLS/SSL-certificaat opgeeft aan de App Gateway
  • WebLogic Server implementeren met Azure-toepassing Gateway naar Azure
  • Geslaagde implementatie van WLS en App Gateway valideren

Vereisten

  • OpenSSL op een computer met een UNIX-achtige opdrachtregelomgeving.

    Hoewel er andere hulpprogramma's beschikbaar zijn voor certificaatbeheer, gebruikt deze zelfstudie OpenSSL. U vindt OpenSSL gebundeld met veel GNU/Linux-distributies, zoals Ubuntu.

  • Een actief Azure-abonnement.

  • De mogelijkheid om een van de WLS-Azure-toepassing s te implementeren die worden vermeld op Oracle WebLogic Server Azure-toepassing s.

Migratiecontext

Hier volgen enkele aandachtspunten voor het migreren van on-premises WLS-installaties en Azure-toepassing Gateway. Hoewel de stappen van deze zelfstudie de eenvoudigste manier zijn om een load balancer voor uw WebLogic Server-cluster in Azure op te stellen, zijn er veel andere manieren om dit te doen. In deze lijst worden enkele andere aandachtspunten weergegeven.

WebLogic Server implementeren met Application Gateway naar Azure

In deze sectie ziet u hoe u een WLS-cluster inricht met Azure-toepassing Gateway die automatisch wordt gemaakt als de load balancer voor de clusterknooppunten. Application Gateway gebruikt het opgegeven TLS/SSL-certificaat voor TLS/SSL-beëindiging. Zie Overzicht van TLS-beëindiging en end-to-end TLS met Application Gateway voor geavanceerde informatie over TLS/SSL-beëindiging met Application Gateway.

Voer de volgende stappen uit om het WLS-cluster en Application Gateway te maken.

Begin eerst met het implementeren van een geconfigureerd of dynamisch WebLogic Server-cluster, zoals beschreven in de Oracle-documentatie, maar kom terug naar deze pagina wanneer u Azure-toepassing Gateway bereikt, zoals hier wordt weergegeven.

Azure portal screenshot showing the Azure Application Gateway.

Kiezen hoe u het TLS/SSL-certificaat opgeeft aan de App Gateway

U hebt verschillende opties om het TLS/SSL-certificaat aan de toepassingsgateway op te geven, maar u kunt er slechts één kiezen. In deze sectie wordt elke optie uitgelegd, zodat u de beste optie voor uw implementatie kunt kiezen.

Optie 1: Een TLS/SSL-certificaat uploaden

Deze optie is geschikt voor productieworkloads waarbij de App Gateway het openbare internet of voor intranetworkloads waarvoor TLS/SSL is vereist. Als u deze optie kiest, wordt een Azure Key Vault automatisch ingericht om het TLS/SSL-certificaat te bevatten dat wordt gebruikt door de App Gateway.

Gebruik de volgende stappen om een bestaand, ondertekend TLS/SSL-certificaat te uploaden:

  1. Volg de stappen van de certificaatverlener om een met een wachtwoord beveiligd TLS/SSL-certificaat te maken en geef de DNS-naam voor het certificaat op. Het kiezen van jokertekens versus een certificaat met één naam valt buiten het bereik van dit document. Een van beide werkt hier.
  2. Exporteer het certificaat van uw verlener met behulp van de PFX-bestandsindeling en download het naar uw lokale computer. Als uw verlener geen ondersteuning biedt voor exporteren als PFX, zijn er hulpprogramma's om veel certificaatindelingen te converteren naar PFX-indeling.
  3. Selecteer de sectie Azure-toepassing Gateway.
  4. Selecteer Ja naast Verbinding maken om Azure-toepassing Gateway te Azure-toepassing.
  5. Selecteer Een SSL-certificaat uploaden.
  6. Selecteer het pictogram van de bestandsbrowser voor het veld SSL-certificaat. Navigeer naar het gedownloade PFX-indelingscertificaat en selecteer Openen.
  7. Voer het wachtwoord in voor het certificaat in de vakken Wachtwoord en Bevestig het wachtwoord .
  8. Kies of openbaar verkeer al dan niet rechtstreeks naar de knooppunten van de beheerde servers moet worden geweigerd. Als u Ja selecteert, wordt dit zo gemaakt dat de beheerde servers alleen toegankelijk zijn via de App Gateway.

DNS-configuratie selecteren

TLS/SSL-certificaten worden gekoppeld aan een DNS-domeinnaam op het moment dat ze worden uitgegeven door de certificaatverlener. Volg de stappen in deze sectie om de implementatie te configureren met de DNS-naam voor het certificaat. U kunt een DNS-zone gebruiken die u al hebt gemaakt of de implementatie toestaan om er een voor u te maken. Selecteer de sectie DNS-configuratie om door te gaan.

Een bestaande Azure DNS-zone gebruiken

Als u een bestaande Azure DNS-zone wilt gebruiken met de App Gateway, gebruikt u de volgende stappen:

  1. Selecteer Ja naast Aangepaste DNS-alias configureren.
  2. Selecteer Ja naast Een bestaande Azure DNS-zone gebruiken.
  3. Voer de naam in van de Azure DNS-zone naast de DNS-zonenaam.
  4. Voer de resourcegroep in die de Azure DNS-zone uit de vorige stap bevat.

De implementatie toestaan om een nieuwe Azure DNS-zone te maken

Als u een Azure DNS-zone wilt maken voor gebruik met de App Gateway, gebruikt u de volgende stappen:

  1. Selecteer Ja naast Aangepaste DNS-alias configureren.
  2. Naast Een bestaande Azure DNS-zone gebruiken, selecteert u Nee.
  3. Voer de naam in van de Azure DNS-zone naast de DNS-zonenaam. Er wordt een nieuwe DNS-zone gemaakt in dezelfde resourcegroep als WLS.

Geef ten slotte de namen op voor de onderliggende DNS-zones. De implementatie maakt twee onderliggende DNS-zones voor gebruik met WLS: één voor de beheerconsole en één voor de App Gateway. Als uw DNS-zonenaam bijvoorbeeld 'contoso.net' was, kunt u beheerder en app invoeren als de waarden. De beheerconsole zou beschikbaar zijn op 'admin.contoso.net' en de app-gateway zou beschikbaar zijn op app.contoso.net. Vergeet niet dns-delegatie in te stellen zoals beschreven in Delegatie van DNS-zones met Azure DNS.

Azure portal screenshot showing fields for child DNS zones.

De andere opties voor het leveren van een TLS/SSL-certificaat aan de App Gateway worden in de volgende secties beschreven. Als u tevreden bent met de gekozen optie, kunt u doorgaan naar de sectie Doorgaan met de implementatie.

Optie twee: Een Azure Key Vault identificeren

Deze optie is geschikt voor productie- of niet-productieworkloads, afhankelijk van het opgegeven TLS/SSL-certificaat. Als u niet wilt dat de implementatie een Azure Key Vault maakt, kunt u een bestaande sleutel identificeren of zelf een maken. Voor deze optie moet u het certificaat en het bijbehorende wachtwoord opslaan in Azure Key Vault voordat u doorgaat. Als u een bestaande sleutelkluis hebt die u wilt gebruiken, gaat u verder met de sectie Een TLS/SSL-certificaat maken. Anders gaat u verder met de volgende stap.

Een Azure Key Vault maken

In deze sectie ziet u hoe u Azure Portal gebruikt om een Azure Key Vault te maken.

  1. Selecteer in het menu van de Azure-portal of op de startpagina de optie Een resource maken.
  2. Typ Sleutelkluis in het zoekvak.
  3. Kies Sleutelkluis in de lijst met resultaten.
  4. Kies Maken in de sectie Sleutelkluis.
  5. Geef in de sectie Sleutelkluis maken de volgende informatie op:
    • Abonnement: kies een abonnement.
    • Kies onder Resourcegroep Nieuwe maken en voer de naam van een resourcegroep in. Noteer de naam van de sleutelkluis. U hebt deze later nodig bij het implementeren van WLS.
    • Key Vault-naam: er is een unieke naam vereist. Noteer de naam van de sleutelkluis. U hebt deze later nodig bij het implementeren van WLS.

    Notitie

    U kunt dezelfde naam gebruiken voor zowel de resourcegroep als de sleutelkluisnaam.

    • Kies een locatie in de vervolgkeuzelijst Locatie.
    • Houd voor de overige opties de standaardwaarden aan.
  6. Selecteer Volgende: Toegangsbeleid.
  7. Selecteer onder Toegang inschakelen Azure Resource Manager voor sjabloonimplementatie.
  8. Selecteer Controleren + maken.
  9. Selecteer Maken.

Het maken van een sleutelkluis is redelijk licht, meestal in minder dan twee minuten. Wanneer de implementatie is voltooid, selecteert u Ga naar de resource en gaat u door naar de volgende sectie.

Een TLS/SSL-certificaat maken

In deze sectie wordt beschreven hoe u een zelfondertekend TLS/SSL-certificaat maakt in een indeling die geschikt is voor gebruik door Application Gateway die is geïmplementeerd met WebLogic Server in Azure. Het certificaat moet een niet-leeg wachtwoord hebben. Als u al een geldig, niet-leeg wachtwoord TLS/SSL-certificaat in PFX-indeling hebt, kunt u deze sectie overslaan en verdergaan met de volgende. Als uw bestaande, geldige, niet-lege wachtwoord TLS/SSL-certificaat niet de PFX-indeling heeft, moet u het eerst converteren naar een PFX-bestand voordat u naar de volgende sectie gaat. Anders opent u een opdrachtshell en voert u de volgende opdrachten in.

Notitie

In deze sectie wordt beschreven hoe u het certificaat base 64 coderen voordat u het opslaat als een geheim in de Sleutelkluis. Dit is vereist door de onderliggende Azure-implementatie waarmee de WebLogic Server en Application Gateway worden gemaakt.

Volg deze stappen om het certificaat te maken en te coderen met base 64:

  1. Een RSA PRIVATE KEY

    openssl genrsa 2048 > private.pem
    
  2. Maak een bijbehorende openbare sleutel.

    openssl req -x509 -new -key private.pem -out public.pem
    

    U moet verschillende vragen beantwoorden wanneer u hierom wordt gevraagd door het Hulpprogramma OpenSSL. Deze waarden worden opgenomen in het certificaat. In deze zelfstudie wordt gebruikgemaakt van een zelfondertekend certificaat, waardoor de waarden niet relevant zijn. De volgende letterlijke waarden zijn prima.

    1. Voer voor Landnaam een code van twee letters in.
    2. Voer WA in als staats- of provincienaam.
    3. Voer Contoso in voor de naam van de organisatie. Voer facturering in voor de naam van de organisatie-eenheid.
    4. Voer Contoso in bij Algemene naam.
    5. Voer voor e-mailadres het volgende inbilling@contoso.com.
  3. Het certificaat exporteren als een PFX-bestand

    openssl pkcs12 -export -in public.pem -inkey private.pem -out mycert.pfx
    

    Voer het wachtwoord twee keer in. Noteer het wachtwoord. U hebt deze later nodig bij het implementeren van WLS.

  4. Base 64 codeer het bestand mycert.pfx

    base64 mycert.pfx > mycert.txt
    

Nu u een Sleutelkluis en een geldig TLS/SSL-certificaat met een niet-leeg wachtwoord hebt, kunt u het certificaat opslaan in de Sleutelkluis.

Het TLS/SSL-certificaat opslaan in key vault

In deze sectie ziet u hoe u het certificaat en het bijbehorende wachtwoord opslaat in de Sleutelkluis die in de voorgaande secties is gemaakt.

Voer de volgende stappen uit om het certificaat op te slaan:

  1. Plaats in Azure Portal de cursor in de zoekbalk boven aan de pagina en typ de naam van de sleutelkluis die u eerder in de zelfstudie hebt gemaakt.
  2. Uw Sleutelkluis moet worden weergegeven onder de kop Resources . Selecteer het.
  3. Selecteer Geheimen in de sectie Instellingen.
  4. Selecteer Genereren/Importeren.
  5. Laat onder Uploadopties de standaardwaarde staan.
  6. Voer myCertSecretDataonder Naam de naam in of de naam die u wilt.
  7. Voer onder Waarde de inhoud van het bestand mycert.txt in . De lengte van de waarde en de aanwezigheid van nieuwe regels zijn geen probleem voor het tekstveld.
  8. Laat de overige waarden op de standaardwaarden staan en selecteer Maken.

Voer de volgende stappen uit om het wachtwoord voor het certificaat op te slaan:

  1. U keert terug naar de pagina Geheimen . Selecteer Genereren/Importeren.
  2. Laat onder Uploadopties de standaardwaarde staan.
  3. Voer myCertSecretPasswordonder Naam de naam in of de naam die u wilt.
  4. Voer onder Waarde het wachtwoord voor het certificaat in.
  5. Laat de overige waarden op de standaardwaarden staan en selecteer Maken.
  6. U keert terug naar de pagina Geheimen .

De sleutelkluis identificeren

Nu u een Sleutelkluis hebt met een ondertekend TLS/SSL-certificaat en het bijbehorende wachtwoord dat als geheimen is opgeslagen, gaat u terug naar de sectie Azure-toepassing Gateway om de Sleutelkluis voor de implementatie te identificeren.

Azure portal screenshot showing Azure Key Vault fields.

  1. Voer onder De naam van de resourcegroep in het huidige abonnement met de KeyVault de naam in van de resourcegroep die de sleutelkluis bevat die u eerder hebt gemaakt.
  2. Voer onder Naam van de Azure KeyVault met geheimen voor het certificaat voor SSL-beëindiging de naam van de sleutelkluis in.
  3. Voer onder De naam van het geheim in de opgegeven KeyVault waarvan de waarde de SSL-certificaatgegevens is, in myCertSecretDataof de naam die u eerder hebt ingevoerd.
  4. Voer onder de naam van het geheim in de opgegeven KeyVault waarvan de waarde het wachtwoord voor het SSL-certificaat is, in myCertSecretDataof een andere naam die u eerder hebt ingevoerd.
  5. Selecteer Controleren + maken.
  6. Selecteer Maken. Hiermee wordt een validatie uitgevoerd die het certificaat kan verkrijgen uit de Sleutelkluis en dat het wachtwoord overeenkomt met de waarde die u hebt opgeslagen voor het wachtwoord in de Sleutelkluis. Als deze validatiestap mislukt, controleert u de eigenschappen van de Sleutelkluis, controleert u of het certificaat correct is ingevoerd en controleert u of het wachtwoord correct is ingevoerd.
  7. Zodra de validatie is geslaagd, selecteert u Maken.

Hiermee start u het proces voor het maken van het WLS-cluster en de front-endtoepassingsgateway, die ongeveer 15 minuten kan duren. Wanneer de implementatie is voltooid, selecteert u Ga naar de resourcegroep. Selecteer myAppGateway in de lijst met resources in de resourcegroep.

De laatste optie voor het verstrekken van een TLS/SSL-certificaat aan de App Gateway wordt in de volgende sectie beschreven. Als u tevreden bent met de gekozen optie, kunt u doorgaan naar de sectie Doorgaan met de implementatie.

Optie drie: Een zelfondertekend certificaat genereren

Deze optie is alleen geschikt voor test- en ontwikkelingsimplementaties. Met deze optie worden zowel een Azure Key Vault als een zelfondertekend certificaat automatisch gemaakt en wordt het certificaat aan App Gateway verstrekt.

Als u de implementatie wilt aanvragen om deze acties uit te voeren, gebruikt u de volgende stappen:

  1. Selecteer in de sectie Azure-toepassing Gateway een zelfondertekend certificaat genereren.
  2. Selecteer een door de gebruiker toegewezen beheerde identiteit. Dit is nodig om de implementatie toe te staan de Azure Key Vault en het certificaat te maken.
  3. Als u nog geen door de gebruiker toegewezen beheerde identiteit hebt, selecteert u Toevoegen om te beginnen met het maken van een identiteit.
  4. Als u een door de gebruiker toegewezen beheerde identiteit wilt maken, volgt u de stappen in de sectie Een door de gebruiker toegewezen beheerde identiteit maken, weergeven, verwijderen of toewijzen aan een door de gebruiker toegewezen beheerde identiteit met behulp van Azure Portal. Nadat u de door de gebruiker toegewezen beheerde identiteit hebt geselecteerd, controleert u of het selectievakje naast de door de gebruiker toegewezen beheerde identiteit is ingeschakeld.

Azure portal screenshot showing fields for generating a self-signed certificate.

Doorgaan met de implementatie

U kunt nu doorgaan met de andere aspecten van de WLS-implementatie, zoals beschreven in de Oracle-documentatie.

Geslaagde implementatie van WLS en App Gateway valideren

In deze sectie ziet u een techniek om de succesvolle implementatie van het WLS-cluster en Application Gateway snel te valideren.

Als u Ga naar de resourcegroep hebt geselecteerd en vervolgens myAppGateway aan het einde van de vorige sectie, bekijkt u de overzichtspagina voor de Toepassingsgateway. Zo niet, dan kunt u deze pagina vinden door in het tekstvak boven aan Azure Portal te typen myAppGateway en vervolgens de juiste te selecteren die wordt weergegeven. Zorg ervoor dat u de resourcegroep selecteert die u hebt gemaakt voor het WLS-cluster. Voer vervolgens de volgende stappen uit.

  1. Schuif in het linkerdeelvenster van de overzichtspagina voor myAppGateway omlaag naar de sectie Bewaking en selecteer back-endstatus.
  2. Nadat het laadbericht is verdwenen, ziet u een tabel in het midden van het scherm met de knooppunten van uw cluster die zijn geconfigureerd als knooppunten in de back-endpool.
  3. Controleer of voor elk knooppunt de status In orde wordt weergegeven.

Resources opschonen

Als u het WLS-cluster niet wilt blijven gebruiken, verwijdert u de Key Vault en het WLS-cluster met de volgende stappen:

  1. Ga naar de overzichtspagina voor myAppGateway , zoals wordt weergegeven in de vorige sectie.
  2. Selecteer boven aan de pagina, onder de tekst Resourcegroep, de resourcegroep.
  3. Selecteer Resourcegroep verwijderen.
  4. De invoerfocus wordt ingesteld op het veld met het label TYPE DE NAAM VAN DE RESOURCEGROEP. Typ de naam van de resourcegroep zoals aangevraagd.
  5. Hierdoor wordt de knop Verwijderen ingeschakeld. Selecteer de knop Verwijderen. Deze bewerking duurt enige tijd, maar u kunt doorgaan met de volgende stap terwijl het verwijderen wordt verwerkt.
  6. Zoek de Sleutelkluis door de eerste stap van de sectie Het TLS/SSL-certificaat in key vault op te slaan.
  7. Selecteer Verwijderen.
  8. Selecteer Verwijderen in het deelvenster dat wordt weergegeven.

Volgende stappen

Ga door met het verkennen van opties voor het uitvoeren van WLS in Azure.