Implantar VM do BIG-IP Virtual Edition da F5 no Azure

Neste tutorial, saiba como implantar o BIG-IP VE (Virtual Edition) na IaaS (infraestrutura como serviço) do Azure. No final do tutorial, você terá:

• Uma VM (máquina virtual) do BIG-IP preparada para modelar uma prova de conceito do SHA (acesso híbrido seguro)
• Uma instância de preparo para testar novas atualizações e hotfixes do sistema BIG-IP

Saiba mais: SHA: Proteger aplicativos herdados com o Microsoft Entra ID

Pré-requisitos

Experiência ou conhecimento anterior sobre o F5 BIG-IP não é necessário. No entanto, recomendamos que você confira a terminologia padrão do setor no Glossário do F5.

A implantação de um BIG-IP no Azure para SHA requer:

• Uma assinatura paga do Azure
  • Caso não tenha uma, obtenha uma avaliação gratuita do Azure
• Qualquer um dos seguintes SKUs de licença do F5 BIG-IP:
  • Pacote F5 BIG-IP® Best
  • Licença autônoma do BIG-IP Access Policy Manager™ (APM) da F5
  • Licença de complemento do F5 BIG-IP APM (Access Policy Manager™) em um LTM (Local Traffic Manager™) BIG-IP® do BIG-IP F5
  • Licença de avaliação completa de 90 dias do BIG-IP
• Um certificado curinga ou de SAN (Nome Alternativo da Entidade) para publicar aplicativos Web via protocolo SSL
  • Acesse letsencrypt.org para ver as ofertas. Selecione Introdução.
• Um certificado SSL para proteger a interface de gerenciamento do BIG-IP. Você pode usar um certificado para publicar aplicativos Web caso a entidade corresponda ao FQDN (nome de domínio totalmente qualificado) do BIG-IP. Por exemplo, você pode usar um certificado curinga com uma entidade *.contoso.com para https://big-ip-vm.contoso.com:8443.

A implantação da VM e as configurações do sistema base levam aproximadamente 30 minutos. Em seguida, o BIG-IP deve implementar os cenários de SHA descritos em Integrar o F5 BIG-IP ao Microsoft Entra ID.

Cenários de teste

Ao testar os cenários, este tutorial pressupõe que:

• O BIG-IP esteja implantado em um grupo de recursos do Azure com um ambiente do AD (Active Directory)
• O ambiente consista em um controlador de domínio e em VMs de host da Web do IIS (Serviços de Informações da Internet)
• Os servidores que não estão nos mesmos locais que a VM do BIG-IP sejam aceitáveis, caso o BIG-IP considere as funções necessárias para dar suporte a um cenário
• Haja suporte para cenários em que a VM do BIG-IP esteja conectada a outro ambiente em uma conexão VPN

Se você não tiver os itens anteriores para teste, implante um ambiente de domínio do AD no Azure usando um script no Cloud Identity Lab. Você pode implantar exemplos de aplicativos de teste por meio de programação em um host da Web do IIS usando uma automação com script no Demo Suite.

Observação

Algumas etapas deste tutorial podem ser diferentes do layout apresentado no centro de administração do Microsoft Entra.

Implantação do Azure

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Você pode implantar um BIG-IP em topologias diferentes. Este guia tem como foco uma implantação de NIC (placa de adaptador de rede). No entanto, se a sua implantação do BIG-IP exigir vários adaptadores de rede para alta disponibilidade, separação de rede ou mais de 1 GB de taxa de transferência, considere o uso de modelos do ARM (Azure Resource Manager) pré-compilados do F5.

Para implantar o BIG-IP VE por meio do Azure Marketplace.

1. Entre no Centro de administração do Microsoft Entra com uma conta com permissões para criar VMs, como um administrador global.

2. Na caixa de pesquisa da faixa de opções superior, digite marketplace

3. Selecione Enter.

4. Digite F5 no filtro do Marketplace.

5. Selecione Enter.

6. Na faixa de opções superior, selecione + Adicionar.

7. No filtro do marketplace, insira F5.

8. Selecione Enter.

9. Escolha F5 BIG-IP Virtual Edition (BYOL)>Selecione um plano de software>F5 BIG-IP VE – TODOS (BYOL, 2 Locais de Inicialização).

10. Selecione Criar.

    

11. Em Informações básicas:

• Assinatura: assinatura de destino da implantação da VM do BIG-IP
• Grupo de recursos: o RG do Azure no qual a VM do BIG-IP será criada ou implantada. Esse é o grupo de recursos das VMs do controlador de domínio e do IIS

12. Em Detalhes da instância:

• Nome da VM VM do BIG-IP de exemplo
• Região: área geográfica de destino do Azure para a VM do BIG-IP
• Opções de disponibilidade Habilite essa opção se estiver usando a VM em produção
• Imagem: F5 BIG-IP VE – TODOS (BYOL, 2 Locais de Inicialização)
• Instância Spot do Azure: não, mas habilite-a, se necessário
• Tamanho: as especificações mínimas são duas vCPUs e 8 GB de memória

13. Em Conta de administrador:

• Tipo de autenticação: selecione uma senha por enquanto e alterne para um par de chaves mais tarde
• Nome de usuário: a identidade a ser criada como uma conta local do BIG-IP para acessar as interfaces de gerenciamento. O nome de usuário diferencia maiúsculas de minúsculas.
• Senha: proteja o acesso do administrador com uma senha forte

14. Regras de porta de entrada: Portas de entrada públicas, Nenhuma.
15. Selecione Avançar: Discos. Mantenha as configurações padrão.
16. Selecione Avançar: Rede.
17. Em Rede:

• Rede virtual: a VNet do Azure usada pelas VMs do controlador de domínio e do IIS ou crie uma
• Sub-rede: a mesma sub-rede interna do Azure das VMs do controlador de domínio e do IIS ou crie uma
• IP público: nenhum
• Grupo de Segurança de Rede da NIC: selecione Nenhum se a sub-rede do Azure que você selecionou estiver associada a um NSG (grupo de segurança de rede), caso contrário, selecione Básico
• Acelerar a rede: Desativado

18. Em Balanceamento de carga: Balancear a carga da VM, Não.
19. Selecione Avançar: Gerenciamento e conclua as configurações:

• Monitoramento detalhado: Desativado
• Diagnóstico de inicialização Habilite-o com uma conta de armazenamento personalizada. Esse recurso permite a conexão com a interface do SSH (Secure Shell) do BIG-IP por meio da opção de console serial no centro de administração do Microsoft Entra. Selecione uma conta de armazenamento do Azure disponível.

20. Em Identidade:

• Identidade gerenciada atribuída pelo sistema: Desativado
• Microsoft Entra ID: o BIG-IP não é compatível com essa opção

21. Em Desligamento automático: escolha Habilitar ou, se estiver fazendo testes, defina a VM do BIG-IP para desligamento diário
22. Selecione Avançar: Avançado e mantenha os padrões.
23. Selecione Avançar: Marcas.
24. Para revisar a configuração da VM do BIG-IP, selecione Avançar: Revisar + criar.
25. Selecione Criar. Normalmente, o tempo de implantação de uma VM do BIG-IP é de cinco minutos.
26. Ao concluir, expanda o menu à esquerda do centro de administração do Microsoft Entra.
27. Selecione Grupos de recursos e navegue até a VM do BIG-IP.

Observação

Se a criação da VM falhar, selecione Voltar e Avançar.

Configuração de rede

Quando a VM do BIG-IP for inicializada, a NIC dela será provisionada com um IP privado Primário emitido pelo serviço do protocolo DHCP da sub-rede do Azure à qual ela estiver conectada. O TMOS (Sistema Operacional de Gerenciamento de Tráfego) do BIG-IP usa o IP para se comunicar com:

• Hosts e serviços
• Acesso de saída à Internet pública
• Acesso de entrada à configuração da Web do BIG-IP e às interfaces de gerenciamento do SSH

Expor as interfaces de gerenciamento à Internet aumenta a superfície de ataque do BIG-IP. Esse risco é o motivo pelo qual o IP primário do BIG-IP não foi provisionado com um IP público durante a implantação. Em vez disso, um IP interno secundário e um IP público associado são provisionados para a publicação. Esse mapeamento de um para um entre o IP público e o IP privado de uma VM permite que o tráfego externo acesse uma VM. No entanto, é necessária uma regra NSG do Azure para permitir o tráfego, de modo semelhante a um firewall.

O diagrama a seguir mostra uma implantação de NIC de um BIG-IP VE no Azure, configurada com um IP primário para operações e gerenciamento gerais. Há um IP de servidor virtual separado para os serviços de publicação. Uma regra NSG permite que o tráfego remoto destinado a intranet.contoso.com seja roteado para o IP público do serviço publicado, antes de ser encaminhado ao servidor virtual do BIG-IP.

Por padrão, os IPs públicos e privados emitidos para as VMs do Azure são dinâmicos, portanto, eles podem ser alterados quando uma VM é reiniciada. Evite problemas de conectividade alterando o IP de gerenciamento do BIG-IP para estático. Faça o mesmo nos IPs secundários para os serviços de publicação.

1. No menu da VM do BIG-IP, acesse Configurações>Rede.

2. Na exibição de rede, selecione o link à direita de Adaptador de Rede.

   

Observação

Os nomes das VMs são gerados aleatoriamente durante a implantação.

3. No painel à esquerda, selecione Configurações de IP.
4. Escolha a linha ipconfig1.
5. Defina a opção Atribuição de IP como Estática. Se necessário, altere o endereço IP primário da VM do BIG-IP.
6. Clique em Salvar.
7. Feche o menu de ipconfig1.

Observação

Use o IP primário para se conectar à VM do BIG-IP e gerenciá-la.

8. Na faixa de opções superior, selecione + Adicionar.
9. Forneça um nome de IP privado secundário, por exemplo, ipconfig2.
10. Para a configuração de endereço IP privado, defina a opção Alocação como Estática. Se você fornecer o próximo IP superior ou inferior, isso ajudará a preservar a ordem.
11. Defina o endereço IP público como Associado.
12. Selecione Criar.
13. Para o novo endereço IP público, forneça um nome, por exemplo, BIG-IP-VM_ipconfig2_Public.
14. Se solicitado, defina o SKU como Standard.
15. Se solicitado, defina a Camada como Global.
16. Defina a opção Atribuição como Estática.
17. Selecione OK duas vezes.

Sua VM do BIG-IP está pronta para:

• IP privado primário: dedicado ao gerenciamento da VM do BIG-IP por meio do seu utilitário de configuração da Web e do SSH. Ser usada pelo sistema BIG-IP como o Próprio IP para se conectar aos serviços de back-end publicados. Se conectar a serviços externos:
  • Protocolo NTP (Network Time Protocol)
  • AD (Active Directory)
  • Protocolo LDAP
• IP privado secundário: use-o para criar um servidor virtual do BIG-IP APM para escutar a solicitação de entrada de serviços publicados
• IP público: associado ao IP privado secundário. Permite que o tráfego do cliente proveniente da Internet pública chegue ao servidor virtual do BIG-IP para os serviços publicados

O exemplo ilustra a relação um-para-um entre os IPs públicos e privados de uma VM. Uma NIC da VM do Azure tem um IP primário, e os outros IPs são secundários.

Observação

Você precisará dos mapeamentos de IPs secundários para a publicação de serviços do BIG-IP.

Para implementar o SHA usando a Configuração Guiada de Acesso do BIG-IP, repita as etapas para criar mais pares de IPs públicos e privados para os serviços publicados por meio do BIG-IP APM. Use a mesma abordagem para publicar serviços usando a Configuração Avançada do BIG-IP. No entanto, evite a sobrecarga de IP público usando uma configuração de SNI (Indicador de Nome do Servidor): um servidor virtual do BIG-IP aceita o tráfego do cliente recebido e o envia para o destino.

Configuração de DNS

Para resolver os serviços do SHA publicados para seus IPs públicos da VM do BIG-IP, configure o DNS para clientes. As etapas a seguir pressupõem que a zona DNS do domínio público para os serviços do SHA seja gerenciada no Azure. Aplique os princípios de DNS de criação de um localizador, independentemente do local em que a zona DNS é gerenciada.

1. Expanda o menu à esquerda do portal.

2. Com a opção Grupos de Recursos, navegue até a VM do BIG-IP.

3. No menu da VM do BIG-IP, acesse Configurações>Rede.

4. Na exibição de rede da VM do BIG-IP, na lista suspensa de configuração de IP, selecione o primeiro IP secundário.

5. Selecione o link IP Público da NIC.

   

6. No painel à esquerda, abaixo da seção Configurações, selecione Configuração.

7. O menu de propriedades de DNS e IP público será exibido.

8. Selecione-o e crie um registro de alias.

9. No menu suspenso, selecione sua zona DNS. Se não houver nenhuma zona DNS, ela poderá ser gerenciada fora do Azure ou crie uma para o sufixo de domínio verificar no Microsoft Entra ID.

10. Para criar o primeiro registro de alias DNS:

    • Assinatura: mesma assinatura da VM do BIG-IP
    • Zona DNS: zona DNS autoritativa para o sufixo de domínio verificado que será usada pelos sites publicados, por exemplo, www.contoso.com
    • Nome: o nome do host que você especificar será resolvido para o IP público associado ao IP secundário selecionado. Defina os mapeamentos de DNS para IP. Por exemplo, intranet.contoso.com para 13.77.148.215
    • TTL: 1
    • Unidades de TTL: Horas

11. Selecione Criar.

12. Mantenha o rótulo de nome DNS (opcional).

13. Clique em Salvar.

14. Feche o menu IP público.

Observação

Para criar registros DNS adicionais para os serviços que você publicará usando a Configuração Guiada do BIG-IP, repita as etapas de 1 a 6.

Com os registros DNS em vigor, você poderá usar ferramentas como o Verificador de DNS para verificar se um registro criado foi propagado em todos os servidores DNS públicos globais. Se você gerenciar seu namespace de domínio de DNS usando um provedor externo como o GoDaddy, crie registros usando a respectiva instalação de gerenciamento de DNS.

Observação

Se estiver testando e alternando com frequência os registros DNS, use um arquivo de hosts local do PC: selecione Win + R. Na caixa Executar, insira drivers. Um registro de host local fornece a resolução de DNS para o PC local, não para outros clientes.

Tráfego do cliente

Por padrão, as VNets (redes virtuais) do Azure e as sub-redes associadas são redes privadas que não podem receber o tráfego da Internet. Anexe a NIC da VM do BIG-IP ao NSG especificado durante a implantação. Para que o tráfego da Web externo chegue à VM do BIG-IP, defina uma regra NSG de entrada para permitir as portas 443 (HTTPS) e 80 (HTTP) na Internet pública.

1. No menu principal Visão Geral da VM do BIG-IP, selecione Rede.
2. Selecione Adicionar regra de entrada.
3. Insira as propriedades da regra NSG:

• Origem: qualquer uma
• Intervalos de portas de origem: *|
• Endereços IP de destino: lista separada por vírgula de IPs privados secundários da VM do BIG-IP
• Portas de destino: 80, 443
• Protocolo: TCP
• Ação: permitir
• Prioridade: menor valor disponível entre 100 e 4096
• Nome: um nome descritivo, por exemplo: BIG-IP-VM_Web_Services_80_443

4. Selecione Adicionar.
5. Feche o menu Rede.

O tráfego HTTP e HTTPS pode chegar às interfaces secundárias da VM do BIG-IPs. A permissão da porta 80 faz com que o BIG-IP APM possa redirecionar automaticamente os usuários de HTTP para HTTPS. Edite essa regra para adicionar ou remover IPs de destino.

Gerenciar BIG-IP

Um sistema BIG-IP é administrado com a interface do usuário de configuração da Web. Acessar a interface do usuário por meio de:

• Um computador na rede interna do BIG-IP
• Um cliente VPN conectado à rede interna da VM do BIG-IP
• Publicado por meio do Proxy de aplicativo do Microsoft Entra

Observação

Selecione um dos três métodos anteriores antes de prosseguir com as configurações restantes. Se necessário, conecte-se diretamente à configuração da Web pela Internet configurando o IP primário do BIG-IP com um IP público. Em seguida, adicione uma regra NSG para permitir o tráfego 8443 para esse IP primário. Restrinja a origem ao seu IP confiável, caso contrário, qualquer pessoa poderá se conectar.

Confirmar a conexão

Confirme se você pode se conectar à configuração da Web da VM do BIG-IP e entre com as credenciais especificadas durante a implantação da VM:

• Se estiver se conectando em uma VM na rede interna ou pela VPN, conecte-se ao IP primário do BIG-IP e à porta de configuração da Web. Por exemplo, https://<BIG-IP-VM_Primary_IP:8443. O prompt do navegador poderá declarar que a conexão não é segura. Ignore o prompt até que o BIG-IP seja configurado. Se o navegador bloquear o acesso, limpe o cache e tente novamente.
• Se você publicou a configuração da Web por meio do Proxy de Aplicativo, use a URL definida para acessar a configuração da Web externamente. Não acrescente a porta, por exemplo, https://big-ip-vm.contoso.com. Definia a URL interna usando a porta de configuração da Web, por exemplo, https://big-ip-vm.contoso.com:8443.

Observação

Você pode gerenciar um sistema BIG-IP com o respectivo ambiente SSH, normalmente usado para tarefas de CLI (linha de comando) e acesso de nível raiz.

Para se conectar à CLI:

• Serviço do Azure Bastion: conecte-se às VMs de uma VNet em qualquer localização
• Cliente SSH, como o PowerShell com a abordagem JIT (just-in-time)
• Console Serial: no portal, no menu da VM, seção Suporte e solução de problemas. Ele não oferece suporte a transferências de arquivos.
• Na Internet: configure o IP primário do BIG-IP com um IP público. Adicione uma regra NSG para permitir o tráfego SSH. Restrinja a fonte de IP confiável.

Licença do BIG-IP

Para que ele possa ser configurado para os serviços de publicação e o SHA, ative e provisione um sistema BIG-IP com o módulo do APM.

1. Entre na configuração da Web.
2. Na página Propriedades gerais, selecione Ativar.
3. No campo Chave do Registro Base, insira a chave que diferencia maiúsculas de minúsculas fornecida pela F5.
4. Mantenha Método de Ativação definido como Automático.
5. Selecione Avançar.
6. O BIG-IP validará a licença e mostrará o EULA (Contrato de Licença de Usuário Final).
7. Selecione Aceitar e aguarde a conclusão da ativação.
8. Selecione Continuar.
9. Na parte inferior da página Resumo da licença, conecte-se.
10. Selecione Avançar.
11. Uma lista de módulos, necessária para o SHA, será exibida.

Observação

Se a lista não for exibida, na guia principal, acesse Sistema>Provisionamento de Recursos. Marque a coluna de provisionamento para Política de Acesso (APM)

12. Selecione Enviar.
13. Aceite o aviso.
14. Aguarde a conclusão da inicialização.
15. Selecione Continuar.
16. Na guia Sobre, selecione Executar o utilitário de instalação.

Importante

Uma licença da F5 destina-se a uma instância do BIG-IP VE. Para migrar uma licença de uma instância para outra, confira o artigo do AskF5, K41458656: Como reutilizar uma licença do BIG-IP VE em outro sistema BIG-IP VE. Revogue sua licença de avaliação na instância ativa antes de desativá-la, caso contrário, a licença será permanentemente perdida.

Provisionar BIG-IP

É importante proteger o tráfego de gerenciamento na configuração da Web do BIG-IP. Para ajudar a proteger o canal de configuração da Web contra qualquer comprometimento, configure um certificado de gerenciamento de dispositivo.

1. Na barra de navegação à esquerda, acesse Sistema>Gerenciamento de Certificados>Gerenciamento de Certificados de Tráfego>Lista de Certificados SSL>Importar.

2. Na lista suspensa Tipo de Importação, selecione PKCS 12(IIS) e Escolher Arquivo.

3. Localize um certificado Web SSL com um Nome da entidade ou SAN que abranja o FQDN, que você atribuirá a VM do BIG-IP mais adiante.

4. Forneça a senha do certificado.

5. Selecione Importar.

6. Na barra de navegação à esquerda, acesse Sistema>Plataforma.

7. Em Propriedades Gerais, insira um Nome do Host qualificado e o Fuso Horário de um ambiente.

   

8. Selecione Atualizar.

9. Usando a barra de navegação à esquerda, acesse Sistema>Configuração>Dispositivo>NTP.

10. Especifique uma origem NTP.

11. Selecione Adicionar.

12. Selecione Atualizar. Por exemplo, time.windows.com

Você precisa ter um registro DNS para resolver o FQDN dos BIG-IPs para o IP privado primário, especificado nas etapas anteriores. Adicione um registro ao DNS interno do ambiente ou a um arquivo localhost do PC para se conectar à configuração da Web do BIG-IP. Quando você se conecta à configuração da Web, o aviso do navegador deixa de ser exibido, não com o Proxy de Aplicativo ou qualquer outro proxy reverso.

Perfil SSL

Como um proxy reverso, um sistema BIG-IP é serviço de encaminhamento, também conhecido como Proxy transparente, ou Proxy completo, que participa das trocas entre clientes e servidores. Um proxy completo cria duas conexões: uma de cliente TCP front-end e outra de servidor TCP back-end, com uma leve lacuna no meio. Os clientes se conectam ao ouvinte proxy em uma extremidade, um servidor virtual, e o proxy estabelece uma conexão separada e independente com o servidor back-end. Essa configuração é bidirecional em ambos os lados. Nesse modo de proxy completo, o sistema F5 BIG-IP pode inspecionar o tráfego e interagir com as solicitações e as respostas. Funções, como balanceamento de carga e otimização de desempenho da Web, e serviços mais avançados de gerenciamento de tráfego (segurança da camada de aplicativo, aceleração da Web, roteamento de página e acesso remoto seguro) dependem dessa funcionalidade. Quando você publica serviços baseados em SSL, os perfis de SSL do BIG-IP lidam com a descriptografia e a criptografia do tráfego entre os clientes e os serviços de back-end.

Há dois tipos de perfis:

• SSL do Cliente: criar esse perfil é a maneira mais comum de configurar um sistema BIG-IP para publicar serviços internos com o SSL. Com um perfil de SSL do Cliente, um sistema BIG-IP descriptografa as solicitações de entrada do cliente antes de enviá-las a um serviço downstream. Ele criptografa as respostas de back-end de saída e as envia aos clientes.
• SSL do Servidor: nos serviços de back-end configurados para HTTPS, você pode configurar o BIG-IP para usar um perfil de SSL do Servidor. Com esse perfil, o BIG-IP criptografa novamente a solicitação do cliente e a envia para o serviço de back-end de destino. Quando o servidor retorna uma resposta criptografada, o sistema BIG-IP a descriptografa e a criptografa novamente antes de enviá-la ao cliente, por meio do perfil de SSL do Cliente configurado.

Para que o BIG-IP seja configurado previamente e esteja pronto para cenários do SHA, provisione perfis de SSL do Cliente e do Servidor.

1. Na barra de navegação à esquerda, acesse Sistema>Gerenciamento de Certificados>Gerenciamento de Certificados de Tráfego>Lista de Certificados SSL>Importar.

2. Na lista suspensa Tipo de Importação, selecione PKCS 12(IIS).

3. Para o certificado importado, insira um nome como ContosoWildcardCert.

4. Selecione Escolher Arquivo.

5. Procure o certificado Web SSL com um Nome da entidade que corresponda ao sufixo de domínio para os serviços publicados.

6. Para o certificado importado, forneça a senha.

7. Selecione Importar.

8. No painel de navegação à esquerda, acesse Tráfego Local>Perfil>SSL>Cliente.

9. Selecione Criar.

10. Na página Novo Perfil de SSL do Cliente, insira um Nome exclusivo e amigável.

11. Verifique se o perfil Pai está definido como clientssl.

    

12. Na linha Cadeia de Chaves do Certificado, marque a caixa de seleção mais à direita.

13. Selecione Adicionar.

14. Nas listas suspensas Certificado, Chave e Cadeia, selecione o certificado curinga que você importou sem uma frase secreta.

15. Selecione Adicionar.

16. Selecione Concluído.

    

17. Repita as etapas para criar um perfil de certificado de servidor SSL.

18. Na faixa de opções superior, selecione SSL>Servidor>Criar.

19. Na página Novo Perfil de SSL do Servidor, insira um Nome exclusivo e amigável.

20. Verifique se o perfil Pai está definido como serverssl.

21. Marque a caixa de seleção mais à direita nas linhas Certificado e Chave

22. Nas listas suspensas Certificado e Chave, selecione o certificado importado.

23. Selecione Concluído.

    

Observação

Se não conseguir adquirir um certificado SSL, use os certificados integrados autoassinados de SSL do servidor e do cliente do BIG-IP. Um erro de certificado será exibido no navegador.

Localizar o recurso

Para preparar um BIG-IP para o SHA, localize os recursos da publicação e do serviço de diretório do qual ele depende para o SSO. Um BIG-IP tem duas fontes de resolução de nomes, começando com o arquivo local/.../hosts. Se um registro não for encontrado, o sistema BIG-IP usará o serviço DNS com o qual foi configurado. O método de arquivo de hosts não se aplica aos nós e aos pools do APM que usam um FQDN.

1. Na configuração da Web, acesse Sistema>Configuração>Dispositivo>DNS.
2. Em Lista de Servidores de Pesquisa de DNS, insira o endereço IP do servidor DNS do ambiente.
3. Selecione Adicionar.
4. Selecione Atualizar.

Uma etapa opcional é uma configuração de LDAP para autenticar os administradores do sistema do BIG-IP no Active Directory, em vez de gerenciar as contas locais do BIG-IP.

Atualizar o BIG-IP

Confira a lista a seguir para obter diretrizes relacionadas à atualização. Veja a seguir as instruções sobre a atualização.

• Para verificar a versão do TMOS (sistema operacional de gerenciamento de tráfego):
  • No canto superior esquerdo da página principal, posicione o cursor sobre o nome do host do BIG-IP
• Execute a v15.x e superior. Confira Download da F5. Entrada necessária.
• Para atualizar o TMOS principal, confira o artigo da F5 K34745165: Como gerenciar imagens de software no sistema BIG-IP
  • Se você não puder atualizar o TMOS principal, atualize a Configuração Guiada. Use as etapas a seguir.
• Confira também Diretrizes baseadas em cenário

1. Na configuração da Web do BIG-IP, na guia principal, procure Acessar>Configuração Guiada.

2. Na página Configuração Guiada, selecione Atualizar Configuração Guiada.

   

3. Na caixa de diálogo Atualizar Configuração Guiada, selecione Escolher Arquivo.

4. Selecione Carregar e Instalar.

5. Aguarde a conclusão da atualização.

6. Selecione Continuar.

Fazer backup do BIG-IP

Quando o sistema BIG-IP é provisionado, recomendamos um backup de configuração completo.

1. Acesse Sistema>Arquivos>Criar.
2. Forneça um Nome de Arquivo exclusivo.
3. Habilite a Criptografia com uma frase secreta.
4. Defina a opção Chaves Privadas como Incluir para fazer backup do dispositivo e dos certificados SSL.
5. Selecione Concluído.
6. Aguarde o processo ser concluído.
7. Uma mensagem será exibida com os resultados.
8. Selecione OK.
9. Selecione o link de backup.
10. Salve os arquivos do UCS (conjunto de configuração do usuário) localmente.
11. Selecione Baixar.

Você pode criar um backup de todo o disco do sistema usando instantâneos do Azure. Essa ferramenta fornece contingência para testes entre as versões do TMOS ou a reversão para um novo sistema.

# Install modules
Install-module Az
Install-module AzureVMSnapshots

# Authenticate to Azure
Connect-azAccount

# Set subscription by Id
Set-AzContext -SubscriptionId ‘<Azure_Subscription_ID>’

#Create Snapshot
New-AzVmSnapshot -ResourceGroupName '<E.g.contoso-RG>' -VmName '<E.g.BIG-IP-VM>'

#List Snapshots
#Get-AzVmSnapshot -ResourceGroupName ‘<E.g.contoso-RG>'

#Get-AzVmSnapshot -ResourceGroupName ‘<E.g.contoso-RG>' -VmName '<E.g.BIG-IP-VM>' | Restore-AzVmSnapshot -RemoveOriginalDisk 

Restaurar o BIG-IP

A restauração de um BIG-IP é semelhante ao processo de backup e pode ser usada para migrar as configurações entre as VMs do BIG-IP. Antes de importar um backup, confirme os caminhos de atualização com suporte.

1. Acesse Sistema>Arquivos.

• Selecione um link de backup ou
• Escolha Carregar e procure um arquivo UCS salvo que não esteja na lista

2. Forneça a frase secreta de backup.
3. Selecione Restaurar

# Authenticate to Azure
Connect-azAccount

# Set subscription by Id
Set-AzContext -SubscriptionId ‘<Azure_Subscription_ID>’

#Restore Snapshot
Get-AzVmSnapshot -ResourceGroupName '<E.g.contoso-RG>' -VmName '<E.g.BIG-IP-VM>' | Restore-AzVmSnapshot

Observação

Atualmente, o cmdlet AzVmSnapshot pode restaurar o instantâneo mais recente, com base na data. Os instantâneos são armazenados na raiz do grupo de recursos da VM. A restauração de instantâneos reinicia uma VM do Azure e, portanto, garante o tempo ideal para a tarefa.

Recursos

• Redefinir a senha do BIG-IP VE no Azure
• Redefinir a senha sem usar o portal
• Alterar o NIC usado para o gerenciamento do BIG-IP VE
• Sobre rotas em uma configuração NIC única
• Microsoft Azure: Waagent

Próximas etapas

Selecione um cenário de implantação e comece sua implementação.