Jak wdrożyć klawisz F5 w dwóch wystąpieniach usługi Azure Stack Hub

Ten artykuł przeprowadzi Cię przez proces konfigurowania zewnętrznego modułu równoważenia obciążenia w dwóch środowiskach usługi Azure Stack Hub. Ta konfiguracja umożliwia zarządzanie różnymi obciążeniami. W tym artykule wdrożysz rozwiązanie F5 jako globalne rozwiązanie równoważenia obciążenia w dwóch niezależnych wystąpieniach usługi Azure Stack Hub. Wdrożysz również aplikację internetową o zrównoważonym obciążeniu uruchomioną na serwerze NGINX w dwóch wystąpieniach. Będą one działać za wysoką dostępnością, parą urządzeń wirtualnych F5 w trybie failover.

Szablony usługi Azure Resource Manager można znaleźć w repozytorium GitHub f5-azurestack-gslb.

Omówienie równoważenia obciążenia za pomocą klawisza F5

Sprzęt F5, moduł równoważenia obciążenia, może znajdować się poza usługą Azure Stack Hub i w centrum danych hostujących usługę Azure Stack Hub. Usługa Azure Stack Hub nie ma natywnej możliwości równoważenia obciążenia w dwóch oddzielnych wdrożeniach usługi Azure Stack Hub. Wersja wirtualna BIG-IP (VE) firmy F5 działa na obu platformach. Ta konfiguracja obsługuje parzystość między architekturami platformy Azure i usługi Azure Stack Hub przez replikację pomocniczych usług aplikacji. Możesz opracować aplikację w jednym środowisku i przenieść ją do innego. Możesz również zdublować całą gotową do produkcji usługę Azure Stack Hub, w tym te same konfiguracje, zasady i usługi aplikacji BIG-IP. Takie podejście eliminuje potrzebę niezliczonych godzin refaktoryzacji i testowania aplikacji oraz umożliwia pisanie kodu.

Zabezpieczanie aplikacji i ich danych jest często problemem dla deweloperów przenosząc aplikacje do chmury publicznej. Nie trzeba tego robić. Aplikację można utworzyć w środowisku usługi Azure Stack Hub, podczas gdy architekt zabezpieczeń konfiguruje niezbędne ustawienia zapory aplikacji internetowej (WAF) platformy F5. Cały stos można replikować w usłudze Azure Stack Hub z wiedzą, że aplikacja będzie chroniona przez tę samą wiodącą w branży zaporę aplikacji internetowej. W przypadku identycznych zasad i zestawów reguł nie będzie żadnych luk w zabezpieczeniach ani luk w zabezpieczeniach, które w przeciwnym razie mogą być generowane przez zastosowanie różnych funkcji WAF.

Usługa Azure Stack Hub ma oddzielną platformę handlową od platformy Azure. Dodawane są tylko niektóre elementy. W takim przypadku, jeśli chcesz utworzyć nową grupę zasobów w każdej usłudze Azure Stack Hubs i wdrożyć urządzenie wirtualne F5, które jest już dostępne. W tym miejscu zobaczysz, że publiczny adres IP będzie wymagany, aby umożliwić łączność sieciową między obydwoma wystąpieniami usługi Azure Stack Hub. Zasadniczo są to wyspy, a publiczny adres IP pozwoli im rozmawiać w obu lokalizacjach.

Wymagania wstępne dotyczące funkcji BIG-IP VE

• Pobierz plik F5 BIG-IP VE — WSZYSTKIE (BYOL, 2 lokalizacje rozruchowe) do każdej witryny Azure Stack Hub Marketplace. Jeśli nie masz ich dostępnych w portalu, skontaktuj się z operatorem chmury.

• Szablon usługi Azure Resource Manager można znaleźć w następującym repozytorium GitHub: https://github.com/Mikej81/f5-azurestack-gslb.

Wdrażanie funkcji F5 BIG-IP VE w każdym wystąpieniu

Wdrażanie w wystąpieniu usługi Azure Stack Hub A i wystąpieniu B.

1. Zaloguj się do portalu użytkowników usługi Azure Stack Hub.

2. Wybierz pozycję + Utwórz zasób.

3. Przeszukaj witrynę Marketplace, wpisując F5.

4. Wybierz pozycję F5 BIG-IP VE — WSZYSTKIE (BYOL, 2 lokalizacje rozruchu).

   

5. W dolnej części następnej strony wybierz pozycję Utwórz.

   

6. Utwórz nową grupę zasobów o nazwie F5-GSLB.

7. Aby ukończyć wdrożenie, użyj następujących wartości:

   

8. Sprawdź, czy wdrożenie zakończy się pomyślnie.

   

   Uwaga

   Każde wdrożenie BIG-IP powinno potrwać około 20 minut.

Konfigurowanie urządzeń BIG-IP

Wykonaj następujące kroki, aby spełnić wymagania zarówno usługi Azure Stack Hub A, jak i B.

1. Zaloguj się do portalu użytkowników usługi Azure Stack Hub w wystąpieniu usługi Azure Stack Hub A, aby przejrzeć zasoby utworzone na podstawie wdrożenia szablonu BIG-IP.

   

2. Postępuj zgodnie z instrukcjami w sekcji F5 dla elementów konfiguracji BIG-IP.

3. Skonfiguruj listę adresów IP dla całego adresu IP BIG-IP, aby nasłuchiwać na obu urządzeniach wdrożonych w wystąpieniu usługi Azure Stack Hub A i B. Aby uzyskać instrukcje, zobacz BIG-IP GTM Configuration (Konfiguracja big-IP GTM).

4. Zweryfikuj tryb failover urządzeń BIG-IP. W systemie testowym skonfiguruj serwery DNS tak, aby używały następujących elementów:

   • Wystąpienie usługi Azure Stack Hub A = f5stack1-ext publiczny adres IP
   • Wystąpienie usługi Azure Stack Hub B = f5stack1-ext publiczny adres IP

5. Przejdź do www.contoso.com strony i przeglądarka ładuje domyślną stronę serwera NGINX.

Tworzenie grupy synchronizacji DNS

1. Włącz konto główne, aby ustanowić zaufanie. Postępuj zgodnie z instrukcjami w sekcji Zmienianie haseł konta konserwacji systemu (11.x - 15.x). Po ustawieniu zaufania (wymiany certyfikatów) wyłącz konto główne.

2. Zaloguj się do big-IP i utwórz grupę synchronizacji DNS. Aby uzyskać instrukcje, zobacz Tworzenie grupy synchronizacji DNS BIG-IP.

   Uwaga

   Lokalny adres IP urządzenia BIP-IP można znaleźć w grupie zasobów F5-GSLB . Interfejs sieciowy to "f5stack1-ext" i chcesz nawiązać połączenie z publicznym lub prywatnym adresem IP (w zależności od dostępu).

   

   

3. Wybierz nową grupę zasobów F5-GSLB i wybierz maszynę wirtualną f5stack1 w obszarze Ustawienia wybierz pozycję Sieć.

Konfiguracje po instalacji

Po zainstalowaniu należy skonfigurować sieciowe grupy zabezpieczeń usługi Azure Stack Hub i zablokować źródłowe adresy IP.

1. Wyłącz port 22 po ustanowieniu relacji zaufania.

2. Gdy system jest w trybie online, zablokuj źródłowe sieciowe grupy zabezpieczeń. Sieciowa grupa zabezpieczeń zarządzania powinna być zablokowana w źródle zarządzania, zewnętrzna sieciowa grupa zabezpieczeń (4353/TCP) powinna być zablokowana w innym wystąpieniu na potrzeby synchronizacji. 443 należy również zablokować do momentu wdrożenia aplikacji z serwerami wirtualnymi.

3. GTM_DNS reguła jest ustawiona tak, aby zezwalać na ruch na porcie 53 (DNS), a program rozpoznawania adresów BIG-IP zacznie działać raz. Odbiorniki są tworzone.

   

4. Wdróż podstawowe obciążenie aplikacji internetowej w środowisku usługi Azure Stack Hub, aby równoważyć obciążenie za dużym adresem IP. Przykład użycia serwera NGNIX można znaleźć w temacie Deploying NGINX and NGINX Plus on Docker (Wdrażanie serwerów NGINX i NGINX Plus na platformie Docker).

   Uwaga

   Wdróż wystąpienie rozwiązania NGNIX zarówno w usłudze Azure Stack Hub A, jak i w usłudze Azure Stack Hub B.

5. Po wdrożeniu serwera NGINX w kontenerze platformy Docker na maszynie wirtualnej z systemem Ubuntu w ramach każdego wystąpienia usługi Azure Stack Hub sprawdź, czy możesz uzyskać dostęp do domyślnej strony internetowej na serwerach.

   

6. Zaloguj się do interfejsu zarządzania urządzenia BIG-IP. W tym przykładzie użyj publicznego adresu IP f5-stack1-ext .

   

7. Publikowanie dostępu do serwera NGINX za pośrednictwem adresu BIG-IP.

   • W tym zadaniu skonfigurujesz big-IP z serwerem wirtualnym i pulą, aby zezwolić na przychodzący dostęp do Internetu do aplikacji WordPress. Najpierw należy zidentyfikować prywatny adres IP wystąpienia serwera NGINX.

8. Zaloguj się do portalu użytkowników usługi Azure Stack Hub.

9. Wybierz interfejs sieciowy NGINX.

   

10. W konsoli BIG-IP przejdź do pozycji Lista pul > ruchu > lokalnego i wybierz pozycję +. Skonfiguruj pulę przy użyciu wartości w tabeli. Pozostaw wartości domyślne wszystkich pozostałych pól.

    

    Klucz	Wartość
    Nazwa	NGINX_Pool
    Monitor kondycji	HTTPS
    Nazwa węzła	NGINX
    Adres	<prywatny adres IP serwera NGINX>
    Port usługi	443

11. Wybierz pozycję Zakończono. Po poprawnym skonfigurowaniu stan puli jest zielony.

    

    Teraz musisz skonfigurować serwer wirtualny. W tym celu należy najpierw znaleźć prywatny adres IP F5 BIG-IP.

12. W konsoli BIG-IP przejdź do pozycji Własne adresy IP sieci > i zanotuj adres IP.

    

13. Utwórz serwer wirtualny, przechodząc dolistyserwerów wirtualnych> ruchu lokalnego> i wybierz pozycję +. Skonfiguruj pulę przy użyciu wartości w tabeli. Pozostaw wartości domyślne wszystkich pozostałych pól.

    Klucz	Wartość
    Nazwa	NGINX
    Adres docelowy	<Własny adres IP big-IP>
    Port usługi	443
    Profil SSL (klient)	clientssl
    Tłumaczenie adresu źródłowego	Automapa

    

    

14. Konfiguracja BIG-IP dla aplikacji NGINX została ukończona. Aby sprawdzić poprawną funkcjonalność, przejrzyj witrynę i sprawdź statystyki F5.

15. Otwórz przeglądarkę https://<F5-public-VIP-IP> i upewnij się, że zostanie wyświetlona domyślna strona NGINX.

    

16. Teraz sprawdź statystyki serwera wirtualnego, aby zweryfikować przepływ ruchu, przechodząc do strony Statystyka >> statystyk statystyki ruchu lokalnego.

17. W obszarze Typ statystyk wybierz pozycję Serwery wirtualne.

    

Więcej informacji

Niektóre artykuły referencyjne dotyczące korzystania z języka F5 można znaleźć w następujących artykułach:

• Usługi dostępności centrum danych korzystające z systemu DNS BIG-IP
• Wdrażanie systemu BIG-IP przy użyciu aplikacji HTTP
• Tworzenie szerokiego adresu IP dla usługi GSLB

Następne kroki

Różnice i zagadnienia dotyczące sieci usługi Azure Stack Hub