Partilhar via

Tutorial: Migrar um cluster do WebLogic Server para o Azure com o Azure Application Gateway como um balanceador de carga

  • Artigo

Este tutorial orienta você pelo processo de implantação do WebLogic Server (WLS) com o Azure Application Gateway. Ele abrange as etapas específicas para criar um Cofre de Chaves, armazenar um certificado TLS/SSL no Cofre de Chaves e usar esse certificado para terminação de TLS/SSL. Embora todos esses elementos estejam bem documentados por si só, este tutorial mostra a maneira específica como todos esses elementos se unem para criar uma solução de balanceamento de carga simples, mas poderosa, para WLS no Azure.

Diagram showing the relationship between WLS, App Gateway, and Key Vault.

O balanceamento de carga é uma parte essencial da migração do cluster do Oracle WebLogic Server para o Azure. A solução mais fácil é usar o suporte interno para o Gateway de Aplicativo do Azure. O App Gateway está incluído como parte do suporte ao WebLogic Cluster no Azure. Para obter uma visão geral do suporte ao WebLogic Cluster no Azure, consulte O que é o Oracle WebLogic Server no Azure?.

Neste tutorial, irá aprender a:

  • Escolha como fornecer o certificado TLS/SSL para o App Gateway
  • Implantar o WebLogic Server com o Gateway de Aplicativo do Azure no Azure
  • Validar a implantação bem-sucedida do WLS e do App Gateway

Pré-requisitos

  • OpenSSL em um computador executando um ambiente de linha de comando semelhante ao UNIX.

    Embora possa haver outras ferramentas disponíveis para gerenciamento de certificados, este tutorial usa OpenSSL. Você pode encontrar OpenSSL empacotado com muitas distribuições GNU / Linux, como o Ubuntu.

  • Uma subscrição ativa do Azure.

  • A capacidade de implantar um dos Aplicativos do Azure WLS listados em Aplicativos do Azure do Oracle WebLogic Server.

Contexto da migração

Aqui estão algumas coisas a considerar sobre a migração de instalações WLS locais e do Gateway de Aplicativo do Azure. Embora as etapas deste tutorial sejam a maneira mais fácil de posicionar um balanceador de carga na frente do seu WebLogic Server Cluster no Azure, há muitas outras maneiras de fazê-lo. Esta lista mostra alguns outros aspetos a considerar.

Implantar o WebLogic Server com o Application Gateway no Azure

Esta seção mostrará como provisionar um cluster WLS com o Gateway de Aplicativo do Azure criado automaticamente como o balanceador de carga para os nós de cluster. O Application Gateway usará o certificado TLS/SSL fornecido para terminação TLS/SSL. Para obter detalhes avançados sobre a terminação TLS/SSL com o Application Gateway, consulte Visão geral da terminação TLS e TLS de ponta a ponta com o Application Gateway.

Para criar o cluster WLS e o Application Gateway, use as etapas a seguir.

Primeiro, inicie o processo de implantação de um cluster dinâmico ou configurado do WebLogic Server conforme descrito na documentação do Oracle, mas volte a esta página quando chegar ao Azure Application Gateway, conforme mostrado aqui.

Azure portal screenshot showing the Azure Application Gateway.

Escolha como fornecer o certificado TLS/SSL para o App Gateway

Você tem várias opções para fornecer o certificado TLS/SSL ao gateway de aplicativo, mas só pode escolher uma. Esta seção explica cada opção para que você possa escolher a melhor para sua implantação.

Opção um: Carregar um certificado TLS/SSL

Essa opção é adequada para cargas de trabalho de produção em que o App Gateway está voltado para a Internet pública ou para cargas de trabalho de intranet que exigem TLS/SSL. Ao escolher essa opção, um Cofre de Chaves do Azure é automaticamente provisionado para conter o certificado TLS/SSL usado pelo Gateway de Aplicativo.

Para carregar um certificado TLS/SSL existente e assinado, use as seguintes etapas:

  1. Siga as etapas do emissor do certificado para criar um certificado TLS/SSL protegido por senha e especifique o nome DNS para o certificado. Como escolher curinga versus certificado de nome único está além do escopo deste documento. Qualquer um deles vai trabalhar aqui.
  2. Exporte o certificado do seu emissor usando o formato de arquivo PFX e baixe-o para sua máquina local. Se o seu emissor não suportar a exportação como PFX, existem ferramentas para converter muitos formatos de certificado para o formato PFX.
  3. Selecione a seção Gateway de Aplicativo do Azure.
  4. Ao lado de Conectar ao Gateway de Aplicativo do Azure, selecione Sim.
  5. Selecione Carregar um certificado SSL.
  6. Selecione o ícone do navegador de arquivos para o campo Certificado SSL. Navegue até o certificado de formato PFX baixado e selecione Abrir.
  7. Digite a senha do certificado nas caixas Senha e Confirmar senha .
  8. Escolha se deseja ou não negar o tráfego público diretamente para os nós dos servidores gerenciados. Selecionar Sim fará com que os servidores gerenciados só sejam acessíveis por meio do App Gateway.

Selecione Configuração de DNS

Os certificados TLS/SSL são associados a um nome de domínio DNS no momento em que são emitidos pelo emissor do certificado. Siga as etapas nesta seção para configurar a implantação com o nome DNS do certificado. Você pode usar uma zona DNS que você já criou ou permitir que a implantação crie uma para você. Selecione a seção Configuração de DNS para continuar.

Usar uma zona DNS do Azure existente

Para usar uma Zona DNS do Azure existente com o Gateway de Aplicativo, use as seguintes etapas:

  1. Ao lado de Configurar alias DNS personalizado, selecione Sim.
  2. Ao lado de Usar uma zona DNS do Azure existente, selecione Sim.
  3. Insira o nome da Zona DNS do Azure ao lado de Nome da Zona DNS.
  4. Insira o grupo de recursos que contém a Zona DNS do Azure da etapa anterior.

Permitir que a implantação crie uma nova Zona DNS do Azure

Para criar uma Zona DNS do Azure para usar com o Gateway de Aplicativo, use as seguintes etapas:

  1. Ao lado de Configurar alias DNS personalizado, selecione Sim.
  2. Ao lado de Usar uma Zona DNS do Azure existente, selecione Não.
  3. Insira o nome da Zona DNS do Azure ao lado de Nome da Zona DNS. Uma nova zona DNS será criada no mesmo grupo de recursos que o WLS.

Finalmente, especifique os nomes para as zonas DNS filhas. A implantação criará duas zonas DNS filhas para uso com WLS: uma para o console de administração e outra para o App Gateway. Por exemplo, se o Nome da Zona DNS for 'contoso.net', pode introduzir admin e app como os valores. O console de administração estaria disponível em 'admin.contoso.net' e o gateway de aplicativo estaria disponível em 'app.contoso.net'. Não se esqueça de configurar a delegação de DNS conforme descrito em Delegação de zonas DNS com DNS do Azure.

Azure portal screenshot showing fields for child DNS zones.

As outras opções para fornecer um certificado TLS/SSL ao App Gateway são detalhadas nas seções a seguir. Se estiver satisfeito com a opção escolhida, pule para a seção Continuar com a implantação.

Opção dois: Identificar um Cofre de Chaves do Azure

Esta opção é adequada para cargas de trabalho de produção ou não-produção, dependendo do certificado TLS/SSL fornecido. Se não quiser que a implantação crie um Cofre de Chaves do Azure, você pode identificar um existente ou criar um por conta própria. Essa opção exige que você armazene o certificado e sua senha no Cofre de Chaves do Azure antes de continuar. Se você tiver um Cofre de Chaves existente que deseja usar, pule para a seção Criar um certificado TLS/SSL. Caso contrário, continue para a próxima seção.

Criar um Azure Key Vault

Esta seção mostra como usar o portal do Azure para criar um Cofre da Chave do Azure.

  1. No menu do portal do Azure ou na página inicial , selecione Criar um recurso.
  2. Na caixa Pesquisar, introduza Key Vault.
  3. Na lista de resultados, selecione Key Vault.
  4. Na secção Key Vault, selecione Criar.
  5. Na seção Criar cofre de chaves, forneça as seguintes informações:
    • Subscrição: selecione uma subscrição.
    • Em Grupo de recursos, escolha Criar novo e insira um nome de grupo de recursos. Anote o nome do cofre de chaves. Você precisará dele mais tarde ao implantar o WLS.
    • Nome do Cofre da Chave: é necessário um nome exclusivo. Anote o nome do cofre de chaves. Você precisará dele mais tarde ao implantar o WLS.

    Nota

    Você pode usar o mesmo nome para o grupo de recursos e o nome do cofre de chaves.

    • No menu pendente Localização, selecione uma localização.
    • Deixe as outras opções com os valores predefinidos.
  6. Selecione Next: Access Policy.
  7. Em Habilitar acesso a, selecione Azure Resource Manager para implantação de modelo.
  8. Selecione Rever + Criar.
  9. Selecione Criar.

A criação do cofre de chaves é bastante leve, normalmente concluída em menos de dois minutos. Quando a implantação for concluída, selecione Ir para o recurso e continue para a próxima seção.

Criar um certificado TLS/SSL

Esta seção mostra como criar um certificado TLS/SSL autoassinado em um formato adequado para uso pelo Application Gateway implantado com o WebLogic Server no Azure. O certificado deve ter uma senha não vazia. Se você já tiver um certificado TLS/SSL de senha válida e não vazia no formato .pfx , poderá ignorar esta seção e passar para a próxima. Se o seu certificado TLS/SSL de senha existente, válido e não vazio não estiver no formato .pfx, primeiro converta-o em um arquivo .pfx antes de pular para a próxima seção. Caso contrário, abra um shell de comando e insira os seguintes comandos.

Nota

Esta seção mostra como basear 64 codificar o certificado antes de armazená-lo como um segredo no Cofre da Chave. Isso é exigido pela implantação subjacente do Azure que cria o WebLogic Server e o Application Gateway.

Siga estas etapas para criar e codificar o certificado com base 64:

  1. Criar um RSA PRIVATE KEY

    openssl genrsa 2048 > private.pem

  2. Crie uma chave pública correspondente.

    openssl req -x509 -new -key private.pem -out public.pem

    Você terá que responder a várias perguntas quando solicitado pela ferramenta OpenSSL. Estes valores serão incluídos no certificado. Este tutorial usa um certificado autoassinado, portanto, os valores são irrelevantes. Os seguintes valores literais são bons.

    1. Em Nome do país, insira um código de duas letras.
    2. Em Nome do Estado ou da Província, insira WA.
    3. Em Nome da Organização, insira Contoso. Em Nome da Unidade Organizacional, insira o faturamento.
    4. Em Common Name, insira Contoso.
    5. Em Endereço de e-mail, digite billing@contoso.com.

  3. Exportar o certificado como um arquivo .pfx

    openssl pkcs12 -export -in public.pem -inkey private.pem -out mycert.pfx

    Digite a senha duas vezes. Anote a senha. Você precisará dele mais tarde ao implantar o WLS.

  4. Base 64 codificar o arquivo mycert.pfx

    base64 mycert.pfx > mycert.txt

Agora que você tem um Cofre de Chaves e um certificado TLS/SSL válido com uma senha não vazia, você pode armazenar o certificado no Cofre de Chaves.

Armazene o certificado TLS/SSL no Cofre da Chave

Esta seção mostra como armazenar o certificado e sua senha no Cofre de Chaves criado nas seções anteriores.

Para armazenar o certificado, siga estes passos:

  1. No portal do Azure, coloque o cursor na barra de pesquisa na parte superior da página e digite o nome do Cofre da Chave criado anteriormente no tutorial.
  2. O Cofre da Chave deve aparecer sob o título Recursos . Selecione-a.
  3. Na seção Configurações, selecione Segredos.
  4. Selecione Gerar/Importar.
  5. Em Opções de carregamento, deixe o valor padrão.
  6. Em Nome, introduza myCertSecretData, ou o nome que quiser.
  7. Em Valor, insira o conteúdo do arquivo mycert.txt . O comprimento do valor e a presença de novas linhas não são um problema para o campo de texto.
  8. Deixe os valores restantes em seus padrões e selecione Criar.

Para armazenar a palavra-passe para o certificado, siga estes passos:

  1. Você retornará à página Segredos . Selecione Gerar/Importar.
  2. Em Opções de carregamento, deixe o valor padrão.
  3. Em Nome, introduza myCertSecretPassword, ou o nome que quiser.
  4. Em Valor, insira a senha do certificado.
  5. Deixe os valores restantes em seus padrões e selecione Criar.
  6. Você retornará à página Segredos .

Identificar o Cofre da Chave

Agora que você tem um Cofre de Chaves com um certificado TLS/SSL assinado e sua senha armazenada como segredos, retorne à seção Gateway de Aplicativo do Azure para identificar o Cofre de Chaves para a implantação.

Azure portal screenshot showing Azure Key Vault fields.

  1. Em Nome do grupo de recursos na subscrição atual que contém o KeyVault, introduza o nome do grupo de recursos que contém o Cofre da Chave que criou anteriormente.
  2. Em Nome do Cofre do Azure que contém segredos para o Certificado para Terminação SSL, insira o nome do Cofre da Chave.
  3. Em O nome do segredo no KeyVault especificado cujo valor é os Dados do Certificado SSL, digite myCertSecretData, ou qualquer nome que você inseriu anteriormente.
  4. Em O nome do segredo no KeyVault especificado cujo valor é a senha para o Certificado SSL, digite myCertSecretData, ou qualquer nome que você inseriu anteriormente.
  5. Selecione Rever + Criar.
  6. Selecione Criar. Isso fará uma validação de que o certificado pode ser obtido no Cofre de Chaves e que sua senha corresponde ao valor que você armazenou para a senha no Cofre de Chaves. Se esta etapa de validação falhar, revise as propriedades do Cofre de Chaves, verifique se o certificado foi inserido corretamente e se a senha foi inserida corretamente.
  7. Depois de ver Validação aprovada, selecione Criar.

Isso iniciará o processo de criação do cluster WLS e seu Application Gateway front-end, que pode levar cerca de 15 minutos. Quando a implantação for concluída, selecione Ir para o grupo de recursos. Na lista de recursos no grupo de recursos, selecione myAppGateway.

A opção final para fornecer um certificado TLS/SSL ao App Gateway é detalhada na próxima seção. Se estiver satisfeito com a opção escolhida, pule para a seção Continuar com a implantação.

Opção três: Gerar um certificado autoassinado

Esta opção é adequada apenas para implantações de teste e desenvolvimento. Com essa opção, um Cofre de Chaves do Azure e um certificado autoassinado são criados automaticamente e o certificado é fornecido ao App Gateway.

Para solicitar a implantação para executar essas ações, use as seguintes etapas:

  1. Na seção Gateway de Aplicativo do Azure, selecione Gerar um certificado autoassinado.
  2. Selecione uma identidade gerenciada atribuída pelo usuário. Isso é necessário para permitir que a implantação crie o Cofre da Chave do Azure e o certificado.
  3. Se você ainda não tiver uma identidade gerenciada atribuída pelo usuário, selecione Adicionar para iniciar o processo de criação de uma.
  4. Para criar uma identidade gerenciada atribuída pelo usuário, siga as etapas na seção Criar uma identidade gerenciada atribuída pelo usuário de Criar, listar, excluir ou atribuir uma função a uma identidade gerenciada atribuída pelo usuário usando o portal do Azure. Depois de selecionar a identidade gerenciada atribuída pelo usuário, verifique se a caixa de seleção ao lado da identidade gerenciada atribuída pelo usuário está marcada.

Azure portal screenshot showing fields for generating a self-signed certificate.

Continuar com a implantação

Agora você pode continuar com os outros aspetos da implantação do WLS, conforme descrito na documentação do Oracle.

Validar a implantação bem-sucedida do WLS e do App Gateway

Esta seção mostra uma técnica para validar rapidamente a implantação bem-sucedida do cluster WLS e do Application Gateway.

Se você selecionou Ir para grupo de recursos e, em seguida, myAppGateway no final da seção anterior, você verá a página de visão geral do Application Gateway . Caso contrário, você pode encontrar esta página digitando myAppGateway na caixa de texto na parte superior do portal do Azure e, em seguida, selecionando a correta que aparece. Certifique-se de selecionar aquele dentro do grupo de recursos que você criou para o cluster WLS. Em seguida, conclua as etapas a seguir.

  1. No painel esquerdo da página de visão geral de myAppGateway, role para baixo até a seção Monitoramento e selecione Integridade do back-end.
  2. Depois que a mensagem de carregamento desaparecer, você verá uma tabela no meio da tela mostrando os nós do cluster configurados como nós no pool de back-end.
  3. Verifique se o status mostra Íntegro para cada nó.

Clean up resources (Limpar recursos)

Se você não vai continuar a usar o cluster WLS, exclua o Cofre da Chave e o Cluster WLS com as seguintes etapas:

  1. Visite a página de visão geral de myAppGateway , conforme mostrado na seção anterior.
  2. Na parte superior da página, sob o texto Grupo de recursos, selecione o grupo de recursos.
  3. Selecione Eliminar grupo de recursos.
  4. O foco de entrada será definido para o campo rotulado DIGITE O NOME DO GRUPO DE RECURSOS. Digite o nome do grupo de recursos conforme solicitado.
  5. Isso fará com que o botão Excluir fique habilitado. Selecione o botão Eliminar. Esta operação levará algum tempo, mas você pode continuar para a próxima etapa enquanto a exclusão está processando.
  6. Localize o Cofre da Chave seguindo a primeira etapa da seção Armazenar o certificado TLS/SSL no Cofre da Chave.
  7. Selecione Eliminar.
  8. Selecione Excluir no painel exibido.

Próximos passos

Continue a explorar as opções para executar o WLS no Azure.

Saiba mais sobre o Oracle WebLogic Server no Azure