Udostępnij za pośrednictwem


Wdrażanie maszyny wirtualnej F5 BIG-IP Virtual Edition na platformie Azure

Z tego samouczka dowiesz się, jak wdrożyć BIG-IP Virtual Edition (VE) w infrastrukturze jako usłudze (IaaS) platformy Azure. Na końcu samouczka będziesz mieć następujące elementy:

  • Przygotowana wirtualna maszyna BIG-IP do modelowania bezpiecznego dostępu hybrydowego (SHA) jako dowód koncepcji
  • Wystąpienie przejściowe do testowania nowych aktualizacji i poprawek systemu BIG-IP

Dowiedz się więcej: SHA: Zabezpieczanie starszych aplikacji przy użyciu identyfikatora Entra firmy Microsoft

Wymagania wstępne

Wcześniejsze doświadczenie ani znajomość F5 BIG-IP nie są konieczne. Zalecamy jednak przejrzenie standardowej terminologii branżowej w słowniku F5.

Wdrożenie big-IP na platformie Azure dla algorytmu SHA wymaga:

  • Płatna subskrypcja platformy Azure
    • Jeśli go nie masz, możesz uzyskać bezpłatną wersję próbną platformy Azure
  • Dowolne z następujących kodów SKU licencji F5 BIG-IP:
    • F5 BIG-IP® Najlepszy pakiet
    • Licencja autonomiczna programu F5 BIG-IP Access Policy Manager™ (APM)
    • Licencja dodatku programu F5 BIG-IP Access Policy Manager™ (APM) na BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
    • 90-dniowa licencja na pełną wersję próbną funkcji BIG-IP
  • Certyfikat alternatywnej nazwy podmiotu lub symbol wieloznaczny (SAN) do publikowania aplikacji internetowych za pośrednictwem protokołu SSL (Secure Socket Layer)
    • Przejdź do letsencrypt.org, aby wyświetlić oferty. Wybierz Rozpocznij.
  • Certyfikat SSL do zabezpieczenia interfejsu zarządzania BIG-IP. Możesz użyć certyfikatu do publikowania aplikacji internetowych, jeżeli jego podmiot odpowiada pełnej nazwie domeny (FQDN) BIG-IP. Można na przykład użyć certyfikatu wieloznacznego z tematem *.contoso.com dla https://big-ip-vm.contoso.com:8443.

Wdrażanie maszyn wirtualnych i podstawowe konfiguracje systemu trwa około 30 minut, a następnie BIG-IP zaimplementuje scenariusze SHA w ramach Integracja F5 BIG-IP z identyfikatorem Microsoft Entra ID.

Testowanie scenariuszy

Podczas testowania scenariuszy w tym samouczku przyjęto założenie:

  • Big-IP jest wdrażany w grupie zasobów platformy Azure ze środowiskiem usługi Active Directory (AD)
  • Środowisko składa się z kontrolera domeny (DC) i maszyn wirtualnych hosta sieci Web z usługami IIS (Internet Information Services).
  • Serwery, które nie znajdują się w tych samych lokalizacjach co maszyna wirtualna BIG-IP, są akceptowane, jeśli BIG-IP rozpoznaje role wymagane do obsługi scenariusza.
  • Maszyna wirtualna BIG-IP, połączona z innym środowiskiem za pośrednictwem połączenia VPN, jest obsługiwana.

Jeśli nie masz poprzednich elementów do testowania, możesz wdrożyć środowisko domeny AD na platformie Azure, używając skryptu z Cloud Identity Lab. Przykładowe aplikacje testowe można wdrożyć programowo na hoście internetowym usług IIS przy użyciu automatyzacji skryptowej w pakiecie Demo Suite.

Uwaga

Niektóre kroki opisane w tym samouczku mogą różnić się od układu w centrum administracyjnym firmy Microsoft Entra.

Wdrażanie platformy Azure

Możesz wdrożyć big-IP w różnych topologiach. Ten przewodnik koncentruje się na wdrożeniu karty sieciowej. Jeśli jednak wdrożenie big-IP wymaga wielu interfejsów sieciowych w celu zapewnienia wysokiej dostępności, segregacji sieci lub więcej niż 1 GB przepływności, rozważ użycie wstępnie skompilowanych szablonów usługi Azure Resource Manager (ARM).

Aby wdrożyć usługę BIG-IP VE z witryny Azure Marketplace.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra przy użyciu konta z uprawnieniami do tworzenia maszyn wirtualnych, takich jak administrator aplikacji.

  2. W polu wyszukiwania górnej wstążki wpisz marketplace

  3. Wybierz Enter.

  4. Wpisz F5 w filtrze Marketplace.

  5. Wybierz Enter.

  6. Na górnej wstążce wybierz pozycję + Dodaj.

  7. W polu filtru marketplace wprowadź F5.

  8. Wybierz Enter.

  9. Wybierz pozycję F5 BIG-IP Virtual Edition (BYOL)>Wybierz plan oprogramowania>F5 BIG-IP VE - ALL (BYOL, 2 lokalizacje rozruchu).

  10. Wybierz pozycję Utwórz.

    Zrzut ekranu przedstawiający wybór planu oprogramowania.

  11. Podstawowe informacje:

  • Subskrypcja: docelowa subskrypcja wdrożenia maszyny wirtualnej BIG-IP
  • Grupa zasobów: Grupa zasobów platformy Azure, do której zostanie wdrożona maszyna wirtualna BIG-IP, lub utwórz jedną. To Twoja grupa zasobów maszyn wirtualnych kontrolera domeny i IIS
  1. Aby uzyskać szczegółowe informacje o wystąpieniu:
  • Nazwa maszyny wirtualnej Przykład BIG-IP-VM
  • Region: Docelowy obszar geograficzny platformy Azure dla maszyny wirtualnej BIG-IP
  • Opcje dostępności Włącz w przypadku korzystania z maszyny wirtualnej w środowisku produkcyjnym
  • Obraz: F5 BIG-IP VE — WSZYSTKO (BYOL, 2 miejsca rozruchu)
  • Instancja Spot platformy Azure: nie, ale włącz ją w razie potrzeby
  • Rozmiar: Minimalna specyfikacja to 2 procesory wirtualne i 8 GB pamięci
  1. W przypadku konta administratora:
  • Typ uwierzytelniania: wybierz teraz hasło i przejdź do pary kluczy później
  • Nazwa użytkownika: tożsamość, która ma zostać utworzona jako konto lokalne BIG-IP w celu uzyskania dostępu do interfejsów zarządzania. W nazwie użytkownika jest uwzględniana wielkość liter.
  • Hasło: Zabezpieczanie dostępu administratora przy użyciu silnego hasła
  1. Reguły portów wejściowych: Publiczne porty wejściowe, Brak.
  2. Wybierz pozycję Dalej: dyski. Pozostaw wartości domyślne.
  3. Wybierz pozycję Dalej: Sieć.
  4. W przypadku sieci:
  • Sieć wirtualna: Sieć wirtualna platformy Azure używana przez kontroler domeny i maszyny wirtualne usług IIS, lub utwórz jedną.
  • Podsieć: ta sama wewnętrzna podsieć platformy Azure co kontroler domeny i maszyny wirtualne usług IIS lub utwórz jedną
  • Publiczny adres IP: Brak
  • NIC Network Security Group: Wybierz Brak, jeśli wybrana podsieć platformy Azure jest skojarzona z network security group (NSG); w przeciwnym razie wybierz Podstawowa.
  • Przyspieszanie pracy z siecią: wyłączone
  1. W przypadku równoważenia obciążenia: maszyna wirtualna równoważenia obciążenia, nie.
  2. Wybierz pozycję Dalej: Zarządzanie i ukończ ustawienia:
  • Szczegółowe monitorowanie: wyłączone
  • Diagnostyka rozruchu – włączanie za pomocą niestandardowego konta magazynu. Ta funkcja umożliwia połączenie z interfejsem Secure Shell (SSH) BIG-IP za pośrednictwem opcji Konsola szeregowa w centrum administracyjnym Microsoft Entra. Wybierz dostępne konto usługi Azure Storage.
  1. Dla tożsamości:
  • Tożsamość zarządzana przypisana przez system: wyłączona
  • Microsoft Entra ID: BIG-IP nie obsługuje tej opcji
  1. W przypadku opcji Autoshutdown: Włącz lub w przypadku testowania możesz ustawić maszynę wirtualną BIG-IP na codzienne zamykanie
  2. Wybierz pozycję Dalej: Zaawansowane; pozostaw wartości domyślne.
  3. Wybierz Dalej: Tagi.
  4. Aby przejrzeć konfigurację BIG-IP-VM, wybierz pozycję Dalej: Przejrzyj i utwórz.
  5. Wybierz pozycję Utwórz. Czas wdrażania maszyny wirtualnej BIG-IP zwykle wynosi 5 minut.
  6. Po zakończeniu rozwiń lewe menu w centrum administracyjnym Microsoft Entra.
  7. Wybierz Grupy zasobów i przejdź do BIG-IP-VM.

Uwaga

Jeśli tworzenie maszyny wirtualnej zakończy się niepowodzeniem, wybierz pozycję Wstecz i Dalej.

Konfiguracja sieci

Po uruchomieniu maszyny wirtualnej BIG-IP, jej karta sieciowa jest aprowizowana przy użyciu prywatnego adresu IP oznaczonego jako Podstawowy, wystawionego przez usługę DHCP (Dynamic Host Configuration Protocol) podsieci platformy Azure, z którą jest połączona. System operacyjny zarządzania ruchem big-IP (TMOS) używa adresu IP do komunikowania się z:

  • Hosty i usługi
  • Dostęp wychodzący do publicznego Internetu
  • Dostęp zewnętrzny do BIG-IP web config i interfejsów zarządzania SSH

Uwidacznianie interfejsów zarządzania w Internecie zwiększa obszar ataków BIG-IP. Dlatego ryzyko sprawiło, że główny adres IP BIG-IP nie został skonfigurowany z publicznym adresem IP podczas wdrażania. Zamiast tego, dodatkowy wewnętrzny adres IP i przypisany do niego publiczny adres IP jest przypisany do publikowania. To mapowanie jeden do jednego między publicznym adresem IP a prywatnym adresem IP maszyny wirtualnej umożliwia docieranie ruchu zewnętrznego do tej maszyny wirtualnej. Jednak reguła NSG Azure jest wymagana, aby zezwolić na ruch, podobnie jak w przypadku zapory.

Na poniższym diagramie przedstawiono wdrożenie NIC BIG-IP VE w platformie Azure, skonfigurowane przy użyciu podstawowego adresu IP dla ogólnych operacji i zarządzania. Istnieje oddzielny adres IP serwera wirtualnego do publikowania usług. Reguła sieciowej grupy zabezpieczeń pozwala na ruch zdalny, który jest kierowany na intranet.contoso.com, aby trafił na publiczny adres IP dla usługi opublikowanej, zanim zostanie przekazany na serwer wirtualny BIG-IP.

Diagram wdrożenia pojedynczej karty sieciowej.

Domyślnie prywatne i publiczne adresy IP wystawione dla maszyn wirtualnych platformy Azure są dynamiczne, więc mogą ulec zmianie po ponownym uruchomieniu maszyny wirtualnej. Unikaj problemów z łącznością, zmieniając adres IP zarządzania BIG-IP na statyczny. Wykonaj tę samą czynność na pomocniczych adresach IP dla usług publikacyjnych.

  1. Z menu maszyny wirtualnej BIG-IP przejdź do pozycji Ustawienia>Sieć.

  2. W widoku sieci wybierz link z prawej strony interfejsu sieciowego.

    Zrzut ekranu przedstawiający konfiguracje sieci.

Uwaga

Nazwy maszyn wirtualnych są generowane losowo podczas wdrażania.

  1. W okienku po lewej stronie wybierz pozycję Konfiguracje IP.
  2. Wybierz wiersz ipconfig1.
  3. Ustaw opcję Przypisanieadresu IP na Statyczny. W razie potrzeby zmień podstawowy adres IP maszyny wirtualnej BIG-IP.
  4. Wybierz pozycję Zapisz.
  5. Zamknij menu ipconfig1.

Uwaga

Użyj podstawowego adresu IP, aby nawiązać połączenie z maszyną wirtualną BIG-IP i zarządzać nią.

  1. Na górnej wstążce wybierz pozycję + Dodaj.
  2. Podaj pomocniczą nazwę prywatnego adresu IP, na przykład ipconfig2.
  3. Dla ustawienia prywatnego adresu IP ustaw opcję alokacji na Statyczna. Zapewnienie następnego wyższego lub niższego adresu IP pomaga zachować porządek.
  4. Ustaw publiczny adres IP na Kojarzenie.
  5. Wybierz pozycję Utwórz.
  6. W przypadku nowego publicznego adresu IP podaj nazwę, na przykład BIG-IP-VM_ipconfig2_Public.
  7. Jeśli zostanie wyświetlony monit, ustaw SKU na Standard.
  8. Jeśli zostanie wyświetlony monit, ustaw warstwę na Global.
  9. Ustaw opcję Przypisanie na Statyczna.
  10. Wybierz przycisk OK dwa razy.

Maszyna wirtualna BIG-IP jest gotowa do:

  • Podstawowy prywatny adres IP: przeznaczony do zarządzania maszyną wirtualną BIG-IP za pośrednictwem narzędzia konfiguracji sieci Web i protokołu SSH. Jest on używany przez system BIG-IP jako własny adres IP do łączenia się z opublikowanymi usługami zaplecza. Łączy się z usługami zewnętrznymi:
    • Protokół NTP (Network Time Protocol)
    • Active Directory (AD)
    • Protokół LDAP (Lightweight Directory Access Protocol)
  • Pomocniczy prywatny adres IP: używany do tworzenia serwera wirtualnego BIG-IP APM w celu nasłuchiwania żądań przychodzących do opublikowanej usługi(usług)
  • Publiczny adres IP: jest skojarzony z pomocniczym prywatnym adresem IP; umożliwia ruch klientów z publicznego Internetu w celu dotarcia do serwera wirtualnego BIG-IP dla opublikowanych usług

W przykładzie przedstawiono relację jeden do jednego między publicznymi i prywatnymi adresami IP maszyny wirtualnej. Karta sieciowa maszyny wirtualnej platformy Azure ma jeden podstawowy adres IP, a inne adresy IP są pomocnicze.

Uwaga

Do publikowania usług BIG-IP potrzebne są dodatkowe mapowania adresów IP.

Zrzut ekranu przedstawiający konfiguracje adresów IP.

Aby zaimplementować SHA za pomocą przewodnika konfiguracji dostępu BIG-IP, powtórz kroki, aby utworzyć więcej par prywatnych i publicznych adresów IP dla usług publikowanych za pośrednictwem BIG-IP APM. Użyj tego samego podejścia do publikowania usług przy użyciu konfiguracji zaawansowanej BIG-IP. Należy jednak unikać obciążeń związanych z publicznym adresem IP przy użyciu konfiguracji wskaźnika nazwy serwera (SNI ): serwer wirtualny BIG-IP akceptuje ruch klienta, który odbiera i wysyła go do miejsca docelowego.

Konfiguracja DNS

Aby rozwiązać opublikowane usługi SHA do publicznych adresów IP BIG-IP-VM, skonfiguruj DNS dla klientów. W poniższych krokach założono, że strefa DNS domeny publicznej dla usług SHA jest zarządzana na platformie Azure. Zastosuj zasady DNS tworzenia lokalizatora niezależnie od tego, gdzie jest zarządzana strefa DNS.

  1. Rozwiń menu po lewej stronie portalu.

  2. Po wybraniu opcji Grupy zasobów, przejdź do swojej maszyny wirtualnej BIG-IP-VM.

  3. Z menu maszyny wirtualnej BIG-IP przejdź do pozycji Ustawienia>Sieć.

  4. W widoku sieci BIG-IP-VMs z listy rozwijanej Konfiguracja adresu IP wybierz pierwszy pomocniczy adres IP.

  5. Wybierz link Publiczny adres IP karty sieciowej.

    zrzut ekranu przedstawiający publiczny adres IP karty sieciowej (NIC).

  6. W okienku po lewej stronie poniżej sekcji Ustawienia wybierz pozycję Konfiguracja.

  7. Zostanie wyświetlone menu właściwości publicznego adresu IP i dns.

  8. Wybierz i utwórz rekord aliasu.

  9. Z rozwijanego menu wybierz swoją strefę DNS. Jeśli nie ma strefy DNS, można nią zarządzać poza platformą Azure lub utworzyć sufiks domeny w celu zweryfikowania w identyfikatorze Entra firmy Microsoft.

  10. Aby utworzyć pierwszy rekord aliasu DNS:

    • Subskrypcja: ta sama subskrypcja co maszyna wirtualna BIG-IP
    • Strefa DNS: autorytatywna strefa DNS dla zweryfikowanego sufiksu domeny używanego przez opublikowane witryny sieci Web, na przykład www.contoso.com
    • Nazwa: określona nazwa hosta jest rozpoznawana jako publiczny adres IP skojarzony z wybranym pomocniczym adresem IP. Zdefiniuj mapowania DNS na adres IP. Na przykład intranet.contoso.com odnosi się do 11.22.333.444
    • Czas wygaśnięcia: 1
    • Jednostki TTL: godziny
  11. Wybierz pozycję Utwórz.

  12. Pozostaw etykietę nazwy DNS (opcjonalnie) .

  13. Wybierz pozycję Zapisz.

  14. Zamknij menu Publiczny adres IP.

Uwaga

Aby utworzyć dodatkowe rekordy DNS dla usług, które należy opublikować przy użyciu konfiguracji z przewodnikiem BIG-IP, powtórz kroki od 1 do 6.

Za pomocą rekordów DNS można użyć narzędzi, takich jak narzędzie do sprawdzania DNS, aby zweryfikować utworzony rekord propagowany na globalnych publicznych serwerach DNS. Jeśli zarządzasz przestrzenią nazw domeny DNS przy użyciu zewnętrznego dostawcy, takiego jak GoDaddy, utwórz rekordy przy użyciu ich funkcji zarządzania DNS.

Uwaga

W przypadku testowania i częstego przełączania rekordów DNS można użyć pliku hostów lokalnych komputera: wybierz pozycję Win + R.W polu Uruchom wprowadź sterowniki. Lokalny rekord hosta zapewnia rozwiązanie DNS dla komputera lokalnego, a nie innych klientów.

Ruch kliencki

Domyślnie sieci wirtualne platformy Azure i skojarzone podsieci to sieci prywatne, które nie mogą odbierać ruchu internetowego. Podłącz kartę sieciową BIG-IP-VM do NSG określonej podczas wdrażania. Aby zewnętrzny ruch internetowy mógł dotrzeć do BIG-IP-VM, zdefiniuj regułę grupy zabezpieczeń sieciowych dla ruchu przychodzącego, aby zezwolić na porty 443 (HTTPS) i 80 (HTTP) z publicznego internetu.

  1. Z głównego menu Przegląd maszyny wirtualnej BIG-IP wybierz pozycję Sieć.
  2. Wybierz Dodaj regułę ruchu przychodzącego.
  3. Wprowadź właściwości reguły NSG:
  • Źródło: dowolne
  • Zakresy portów źródłowych: *|
  • Docelowe adresy IP: rozdzielona przecinkami lista wtórnych prywatnych adresów IP dla BIG-IP-VM
  • Porty docelowe: 80, 443
  • Protokół: TCP
  • Akcja: Zezwalaj
  • Priorytet: najniższa dostępna wartość z zakresu od 100 do 4096
  • Nazwa: nazwa opisowa, na przykład: BIG-IP-VM_Web_Services_80_443
  1. Wybierz Dodaj.
  2. Zamknij menu Sieć.

Ruch HTTP i HTTPS może docierać do pomocniczych interfejsów BIG-IP-VMs. Zezwolenie na port 80 umożliwia big-IP APM automatyczne przekierowywanie użytkowników z protokołu HTTP do HTTPS. Edytuj tę regułę, aby dodać lub usunąć docelowe adresy IP.

Zarządzanie dużym adresem IP

System BIG-IP jest administrowany za pomocą internetowego interfejsu konfiguracji. Uzyskaj dostęp do interfejsu użytkownika z:

Uwaga

Przed kontynuowaniem pozostałych konfiguracji wybierz jedną z trzech poprzednich metod. W razie potrzeby połącz się bezpośrednio do konfiguracji sieciowej z Internetu, konfigurując podstawowy adres IP BIG-IP jako publiczny adres IP. Następnie dodaj regułę NSG, aby zezwolić na ruch na porcie 8443 do tego podstawowego adresu IP. Ogranicz źródło do własnego zaufanego adresu IP, w przeciwnym razie każda osoba może nawiązać połączenie.

Potwierdzanie połączenia

Upewnij się, że możesz nawiązać połączenie z konfiguracją internetową maszyny wirtualnej BIG-IP i zalogować się przy użyciu poświadczeń określonych podczas wdrażania maszyny wirtualnej:

  • W przypadku nawiązywania połączenia z maszyny wirtualnej w sieci wewnętrznej lub za pośrednictwem sieci VPN połącz się z podstawowym adresem IP BIG-IP i portem konfiguracji sieci Web. Na przykład https://<BIG-IP-VM_Primary_IP:8443. Monit przeglądarki może stwierdzić, że połączenie jest niezabezpieczone. Ignoruj komunikat do momentu skonfigurowania BIG-IP. Jeśli przeglądarka zablokuje dostęp, wyczyść jego pamięć podręczną i spróbuj ponownie.
  • Jeśli konfiguracja sieci Web została opublikowana za pośrednictwem serwera Proxy aplikacji, użyj zdefiniowanego adresu URL, aby uzyskać zewnętrzny dostęp do konfiguracji sieci Web. Nie dołączaj portu, na przykład https://big-ip-vm.contoso.com. Zdefiniuj wewnętrzny adres URL przy użyciu portu konfiguracji sieci Web, na przykład https://big-ip-vm.contoso.com:8443.

Uwaga

System BIG-IP można zarządzać za pomocą środowiska SSH, zwykle używanego do zadań wiersza polecenia i dostępu na poziomie głównym.

Aby nawiązać połączenie z interfejsem wiersza polecenia:

  • Usługa Azure Bastion: łączenie się z maszynami wirtualnymi w sieci wirtualnej z dowolnej lokalizacji
  • Klient SSH, taki jak program PowerShell z podejściem just in time (JIT)
  • Konsola szeregowa: w portalu, w menu maszyny wirtualnej, w sekcji pomoc techniczna i rozwiązywanie problemów. Nie obsługuje transferów plików.
  • Z Internetu: skonfiguruj podstawowy adres IP BIG-IP przy użyciu publicznego adresu IP. Dodaj regułę NSG, aby zezwolić na ruch SSH. Ogranicz źródło zaufanego adresu IP.

Licencja BIG-IP

Zanim będzie można go skonfigurować do publikowania usług i algorytmu SHA, aktywuj i zaaprowizuj system BIG-IP za pomocą modułu APM.

  1. Zaloguj się do konfiguracji internetowej.
  2. Na stronie Właściwości ogólne wybierz pozycję Aktywuj.
  3. W polu Klucz rejestracji podstawowej wprowadź klucz z uwzględnieniem wielkości liter dostarczony przez F5.
  4. Pozostaw Metodę aktywacji ustawioną na Automatyczna.
  5. Wybierz Dalej.
  6. Big-IP weryfikuje licencję i pokazuje umowę licencyjną użytkownika końcowego (EULA).
  7. Wybierz pozycję Akceptuj i poczekaj na zakończenie aktywacji.
  8. Wybierz Kontynuuj.
  9. W dolnej części strony podsumowania licencji zaloguj się.
  10. Wybierz Dalej.
  11. Zostanie wyświetlona lista modułów wymaganych dla algorytmu SHA.

Uwaga

Jeśli lista nie zostanie wyświetlona, na karcie głównej przejdź do System>Aprowizacja zasobów. Sprawdź kolumnę zaopatrzenia dla zasad dostępu (APM)

Zrzut ekranu przedstawiający aprowizowanie dostępu.

  1. Wybierz Prześlij.
  2. Zaakceptuj ostrzeżenie.
  3. Poczekaj na ukończenie inicjowania.
  4. Wybierz Kontynuuj.
  5. Na karcie Informacje wybierz pozycję Uruchom narzędzie instalacyjne.

Ważne

Licencja F5 jest przeznaczona dla jednej instancji BIG-IP VE. Aby przeprowadzić migrację licencji z jednego wystąpienia do innego, zobacz artykuł AskF5 K41458656: Ponowne użycie licencji BIG-IP VE w innym systemie BIG-IP VE. Odwoływanie licencji próbnej na aktywnym wystąpieniu przed jego zlikwidowaniem. W przeciwnym razie licencja zostanie trwale utracona.

Skonfiguruj BIG-IP

Ważne jest, aby zabezpieczyć ruch zarządzania do i z konfiguracji internetowej BIG-IP. Aby ułatwić ochronę kanału konfiguracji sieci Web przed naruszeniem zabezpieczeń, skonfiguruj certyfikat zarządzania urządzeniami.

  1. Na pasku nawigacyjnym po lewej stronie przejdź do System>Zarządzanie certyfikatami>Zarządzanie certyfikatami ruchu>Lista certyfikatów SSL>Importuj.

  2. Z listy rozwijanej Typ importu wybierz pozycję PKCS 12(IIS) i Wybierz plik.

  3. Znajdź certyfikat internetowy SSL z nazwą podmiotu lub siecią SAN, która obejmuje nazwę FQDN, którą później przypiszesz maszynie wirtualnej BIG-IP-VM.

  4. Podaj hasło certyfikatu.

  5. Wybierz Importuj.

  6. Na pasku nawigacyjnym po lewej stronie przejdź do System>Platforma.

  7. W obszarze Właściwości ogólne wprowadź kwalifikowaną nazwę hosta oraz strefę czasową.

    Zrzut ekranu przedstawiający właściwości ogólne.

  8. Wybierz Aktualizuj.

  9. Na pasku nawigacyjnym po lewej stronie przejdź do System>Konfiguracja>Urządzenie>NTP.

  10. Określ źródło NTP.

  11. Wybierz Dodaj.

  12. Wybierz Aktualizuj. Na przykład time.windows.com

Aby rozpoznać FQDN BIG-IP, musisz mieć rekord DNS, który przekierowuje na jego podstawowy prywatny adres IP, który określiłeś w poprzednich krokach. Dodaj rekord do wewnętrznego systemu DNS środowiska lub do pliku localhost komputera, aby połączyć się z konfiguracją internetową BIG-IP. Po nawiązaniu połączenia z konfiguracją internetową ostrzeżenie przeglądarki nie jest już wyświetlane, nawet przy użyciu serwera proxy aplikacji lub innego zwrotnego serwera proxy.

Profil SSL

Jako serwer proxy zwrotny, system BIG-IP jest usługą przekazywania, nazywaną inaczej przezroczystym proxy lub pełnym proxy, która uczestniczy w wymianie między klientami a serwerami. Pełny serwer proxy tworzy dwa połączenia: połączenie klienta TCP przedniego i połączenie serwera TCP tylnego z miękką przerwą w środku. Klienci łączą się ze słuchaczem serwera proxy po jednej stronie, serwerem wirtualnym, a serwer proxy ustanawia oddzielne, niezależne połączenie z serwerem wewnętrznym. Ta konfiguracja jest dwukierunkowa po obu stronach. W tym trybie pełnego proxy system F5 BIG-IP może sprawdzać ruch oraz wchodzić w interakcje z żądaniami i odpowiedziami. Funkcje takie jak równoważenie obciążenia i optymalizacja wydajności sieci Web oraz zaawansowane usługi zarządzania ruchem (zabezpieczenia warstwy aplikacji, przyspieszanie sieci Web, routing stron i bezpieczny dostęp zdalny) korzystają z tej funkcji. Podczas publikowania usług opartych na SSL, profile SSL BIG-IP zajmują się odszyfrowaniem i szyfrowaniem ruchu między klientami a usługami zaplecza.

Istnieją dwa typy profilów:

  • Protokół SSL klienta: Tworzenie tego profilu jest najczęstszym sposobem skonfigurowania systemu BIG-IP do publikowania usług wewnętrznych za pomocą protokołu SSL. W przypadku profilu SSL klienta system BIG-IP odszyfrowuje przychodzące żądania od klientów przed wysłaniem ich do usługi docelowej. Szyfruje ona wychodzące odpowiedzi zaplecza, a następnie wysyła je do klientów.
  • Protokół SSL serwera: w przypadku usług zaplecza skonfigurowanych dla protokołu HTTPS można skonfigurować big-IP do korzystania z profilu SSL serwera. Za pomocą tego profilu big-IP ponownie szyfruje żądanie klienta, a następnie wysyła je do docelowej usługi zaplecza. Gdy serwer zwraca zaszyfrowaną odpowiedź, system BIG-IP odszyfrowuje i ponownie szyfruje odpowiedź, a następnie wysyła ją do klienta za pośrednictwem skonfigurowanego profilu SSL klienta.

Aby profil BIG-IP był wstępnie skonfigurowany i gotowy do obsługi scenariuszy SHA, należy aprowizować profile ssl klienta i serwera.

  1. W obszarze nawigacji po lewej stronie przejdź do System>Zarządzanie Certyfikatami>Zarządzanie Certyfikatami Ruchu>Lista Certyfikatów SSL>Importuj.

  2. Z listy rozwijanej Typ importu wybierz pozycję PKCS 12 (IIS).

  3. W przypadku zaimportowanego certyfikatu wprowadź nazwę, taką jak ContosoWildcardCert.

  4. Naciśnij przycisk Wybierz plik.

  5. Przejdź do certyfikatu SSL z nazwą podmiotu odpowiadającą sufiksowi domeny dla świadczonych usług.

  6. W przypadku zaimportowanych certyfikatów podaj hasło.

  7. Wybierz Importuj.

  8. Z lewego menu nawigacyjnego przejdź do Ruch lokalny>Profile>SSL>Klient.

  9. Wybierz pozycję Utwórz.

  10. Na stronie Nowy profil SSL klienta wprowadź niepowtarzalną, przyjazną dla użytkownika nazwę.

  11. Upewnij się, że profil nadrzędny jest ustawiony na clientssl.

    Zrzut ekranu przedstawiający wybór nazwy i profilu rodzica.

  12. W wierszu Certificate Key Chain zaznacz pole wyboru znajdujące się skrajnie po prawej stronie.

  13. Wybierz Dodaj.

  14. Z listy rozwijanej Certyfikat, Klucz i Łańcuch wybierz zaimportowany certyfikat wieloznaczny bez hasła.

  15. Wybierz Dodaj.

  16. Wybierz pozycję Zakończono.

    Zrzut ekranu przedstawiający wybór certyfikatu, klucza i łańcucha.

  17. Powtórz kroki tworzenia profilu certyfikatu serwera SSL.

  18. Na górnej wstążce wybierz pozycję SSL>Serwer>Utwórz.

  19. Na stronie Nowy profil protokołu SSL serwera wprowadź unikatową przyjazną nazwę.

  20. Upewnij się, że dla profilu nadrzędnego ustawiono serverssl.

  21. Zaznacz pole wyboru najbardziej po prawej stronie dla wierszy Certyfikatu i Klucza

  22. Z listy rozwijanej Certyfikat i Klucz wybierz zaimportowany certyfikat.

  23. Wybierz pozycję Zakończono.

    Zrzut ekranu przedstawiający ogólne właściwości i opcje konfiguracji.

Uwaga

Jeśli nie możesz uzyskać certyfikatu SSL, użyj zintegrowanego serwera BIG-IP i certyfikatów SSL klienta z podpisem własnym. W przeglądarce zostanie wyświetlony błąd certyfikatu.

Lokalizowanie zasobu

Aby przygotować BIG-IP do obsługi SHA, zlokalizuj zasoby, które publikuje, oraz usługę katalogową, na której polega dla jednokrotnego logowania (SSO). Big-IP ma dwa źródła rozpoznawania nazw, począwszy od pliku lokalnego/.../hosts. Jeśli rekord nie zostanie znaleziony, system BIG-IP używa usługi DNS, z którą został skonfigurowany. Metoda pliku hostów nie ma zastosowania do węzłów i pul APM korzystających z nazwy FQDN.

  1. W konfiguracji sieci przejdź do System>Konfiguracja>Urządzenie>DNS.
  2. Na liście serwerów wyszukiwania DNS wprowadź adres IP serwera DNS środowiska.
  3. Wybierz Dodaj.
  4. Wybierz Aktualizuj.

Opcjonalny krok to konfiguracja PROTOKOŁU LDAP do uwierzytelniania administratorów systemu BIG-IP w usłudze Active Directory zamiast zarządzania lokalnymi kontami BIG-IP.

Zaktualizuj BIG-IP

Zapoznaj się z poniższą listą, aby uzyskać wskazówki dotyczące aktualizacji. Instrukcje dotyczące aktualizacji są przedstawione poniżej.

  1. W konfiguracji internetowej BIG-IP, na karcie głównej, przejdź do zakładki Dostęp>Konfiguracja z Przewodnikiem.

  2. Na stronie Konfiguracji z przewodnikiem wybierz Uaktualnij Konfigurację z przewodnikiem.

    Zrzut ekranu przedstawiający stronę konfiguracji z przewodnikiem.

  3. W oknie dialogowym Uaktualnianie konfiguracji z przewodnikiem wybierz pozycję Wybierz plik.

  4. Wybierz pozycję Przekaż i zainstaluj.

  5. Poczekaj na ukończenie uaktualnienia.

  6. Wybierz Kontynuuj.

Tworzenie kopii zapasowej BIG-IP

W przypadku aprowizowania systemu BIG-IP zalecamy utworzenie pełnej kopii zapasowej konfiguracji.

  1. Przejdź do System>Archiwa>Utwórz.
  2. Podaj unikatową nazwę pliku.
  3. Włącz szyfrowanie przy użyciu hasła.
  4. Ustaw opcję Klucze prywatne na wartość Uwzględnij, aby utworzyć kopię zapasową urządzeń i certyfikatów SSL.
  5. Wybierz pozycję Zakończono.
  6. Poczekaj na zakończenie procesu.
  7. Zostanie wyświetlony komunikat z wynikami.
  8. Wybierz przycisk OK.
  9. Wybierz link tworzenia kopii zapasowej.
  10. Zapisz archiwum zestawu konfiguracji użytkownika (UCS) lokalnie.
  11. Wybierz Pobierz.

Możesz utworzyć kopię zapasową całego dysku systemowego, używając migawek Azure. To narzędzie zapewnia awaryjne testowanie między wersjami TMOS lub wycofywanie do nowego systemu.

# Install modules
Install-module Az
Install-module AzureVMSnapshots

# Authenticate to Azure
Connect-azAccount

# Set subscription by Id
Set-AzContext -SubscriptionId ‘<Azure_Subscription_ID>’

#Create Snapshot
New-AzVmSnapshot -ResourceGroupName '<E.g.contoso-RG>' -VmName '<E.g.BIG-IP-VM>'

#List Snapshots
#Get-AzVmSnapshot -ResourceGroupName ‘<E.g.contoso-RG>'

#Get-AzVmSnapshot -ResourceGroupName ‘<E.g.contoso-RG>' -VmName '<E.g.BIG-IP-VM>' | Restore-AzVmSnapshot -RemoveOriginalDisk 

Przywracanie BIG-IP

Przywracanie big-IP jest podobne do procesu tworzenia kopii zapasowej i może służyć do migrowania konfiguracji między maszynami wirtualnymi BIG-IP. Przed zaimportowanie kopii zapasowej potwierdź obsługiwane ścieżki uaktualniania.

  1. Przejdź do Systemu>Archiwum.
  • Wybierz link kopii zapasowej, lub
  • Wybierz pozycję Przekaż i przejdź do zapisanego archiwum UCS, które nie znajduje się na liście
  1. Podaj hasło kopii zapasowej.
  2. wybierz pozycję Przywróć
# Authenticate to Azure
Connect-azAccount

# Set subscription by Id
Set-AzContext -SubscriptionId ‘<Azure_Subscription_ID>’

#Restore Snapshot
Get-AzVmSnapshot -ResourceGroupName '<E.g.contoso-RG>' -VmName '<E.g.BIG-IP-VM>' | Restore-AzVmSnapshot

Uwaga

Obecnie polecenie cmdlet AzVmSnapshot może przywrócić najnowszą migawkę na podstawie daty. Migawki są przechowywane w głównym folderze grupy zasobów maszyny wirtualnej. Przywracanie migawek powoduje ponowne uruchomienie maszyny wirtualnej Azure, dlatego zadbaj o optymalny czas wykonywania tego zadania.

Zasoby

Następne kroki

Wybierz scenariusz wdrażania i rozpocznij implementację.