Поделиться через

Как выполнить развертывание F5 на двух экземплярах Azure Stack Hub

В этой статье описано, как настроить внешний балансировщик нагрузки в двух средах Azure Stack Hub. Эту конфигурацию можно использовать для управления разными рабочими нагрузками. В этой статье описано, как развернуть F5 в качестве глобального решения для балансировки нагрузки между двумя независимыми экземплярами Azure Stack Hub. Вы также развернете веб-приложение с балансировкой нагрузки на сервере NGINX, распределенном между двумя экземплярами. В ряду за ними будет работать пара виртуальных устройств F5 с высокой доступностью и функцией резервирования на случай отказа.

Примеры шаблонов Azure Resource Manager можно найти в репозитории f5-azurestack-gslb на GitHub.

Общие сведения о балансировке нагрузки с использованием F5

Оборудование для балансировки нагрузки F5 может располагаться за пределами Azure Stack Hub в центре обработки данных, где размещается Azure Stack Hub. Azure Stack Hub не имеет встроенных функций для распределения рабочих нагрузок между двумя отдельными развертываниями Azure Stack Hub. Виртуальная редакция BIG-IP от F5 работает на обеих платформах. Такая конфигурация обеспечивает соответствие между архитектурами Azure и Azure Stack Hub за счет репликации вспомогательных служб приложений. Вы можете разрабатывать приложение в одной среде, а затем переместить его в другую. Вы также можете продублировать полный комплект подготовленного к эксплуатации Azure Stack Hub, включая единообразные конфигурации BIG-IP, политики и службы приложений. Такой подход позволяет не тратить много времени на рефакторинг и тестирование приложения, а сосредоточиться на написании кода.

Обеспечение защиты приложений и связанных данных часто становится проблемой для разработчиков, которые переносят приложения в общедоступное облако. Но это не должно быть проблемой. Вы можете создавать приложение в среде Azure Stack Hub, а архитектор безопасности будет настраивать необходимые параметры в брандмауэре веб-приложения (WAF) для F5. Тогда вы сможете полностью реплицировать стек в Azure Stack Hub, полагаясь на защиту приложения тем же WAF, который является отраслевым эталоном. Идентичные политики и наборы правил предотвратят появление рисков безопасности или уязвимостей, что характерно при применении разных WAF.

Для Azure Stack Hub используется отдельный Marketplace (не относящийся к Azure). В него добавляются только избранные элементы. В этом случае, если вы хотите создать новую группу ресурсов в каждом из Azure Stack Hub и развернуть уже доступное виртуальное устройство F5. Вы увидите, что для организации сетевого подключения между экземплярами Azure Stack Hub требуется общедоступный IP-адрес. По сути, они обе являются "островами", а общедоступный IP-адрес позволит им взаимодействовать между двумя локациями.

Требования для виртуального выпуска BIG-IP VE

  • Скачайте F5 BIG-IP VE - ALL (BYOL, 2 Boot Locations) в каждое представление магазина Azure Stack Hub. Если вы не видите их на своем портале, обратитесь к оператору облака.

  • Шаблон Azure Resource Manager можно найти в репозитории https://github.com/Mikej81/f5-azurestack-gslb на GitHub.

Разверните виртуальную версию F5 BIG-IP на каждом экземпляре

Выполните развертывание в экземплярах Azure Stack Hub A и B.

  1. Войдите на портал пользователя Azure Stack Hub.

  2. Выберите + Создать ресурс.

  3. Выполните поиск на рынке, вводя F5.

  4. Выберите вариант F5 BIG-IP VE – ALL (BYOL, 2 Boot Locations).

    Диалоговое окно

  5. В нижней части следующей страницы нажмите кнопку "Создать".

    Диалоговое окно

  6. Создайте новую группу ресурсов с именем F5-GSLB.

  7. Укажите следующие значения, чтобы завершить этот пример развертывания:

    На странице входных данных диалогового окна Microsoft.Template отображаются 15 текстовых полей, таких как VIRTUALMACHINENAME и ADMINUSERNAME, которые содержат значения для примера развертывания.

  8. Убедитесь, что развертывание завершилось успешно.

    Страница обзора диалогового окна Microsoft.Template сообщает

    Примечание.

    Каждое развертывание BIG-IP занимает примерно 20 минут.

Настройка устройств BIG-IP

Выполните необходимые шаги для Azure Stack Hub A и B.

  1. Войдите на пользовательский портал Azure Stack Hub в экземпляре Azure Stack Hub A, чтобы проверить ресурсы, созданные при развертывании шаблона BIG-IP.

    На странице обзора диалогового окна F5-GSLB перечислены развернутые ресурсы и связанные сведения.

  2. Следуйте инструкциями на F5 для элементов конфигурации BIG-IP.

  3. Настройте широкий список IP-адресов для BIG-IP, чтобы прослушивать оба устройства, развернутых в экземплярах Azure Stack Hub A и B, согласно описанию конфигурации BIG-IP GTM.

  4. Проверьте корректность отработки отказа для оборудования BIG-IP. В тестовой системе настройте следующие параметры для DNS-серверов:

    • Инстанс Azure Stack Hub A = f5stack1-ext общедоступный IP-адрес
    • экземпляр Azure Stack Hub B — f5stack1-ext общедоступный IP-адрес.

  5. В браузере перейдите по адресу www.contoso.com и убедитесь, что отображается стандартная страница NGINX.

Создание группы синхронизации DNS

  1. Войдя в учетную запись суперпользователя, настройте отношения доверия. См. инструкции по изменению паролей учетной записи обслуживания системы (11.x–15.x). Настроив обмен сертификатами (отношения доверия), отключите учетную запись root.

  2. Войдите в систему BIG-IP и создайте группу синхронизации DNS. См. инструкции по созданию группы синхронизации DNS для BIG-IP.

    Примечание.

    Локальный IP-адрес устройства BIG-IP можно найти в группе ресурсов F5-GSLB. Выберите сетевой интерфейс f5stack1-ext и подключитесь к общедоступному или частному IP-адресу (в зависимости от способа получения доступа).

    Диалоговое окно

    В диалоговом окне

  3. Выберите новую группу ресурсов F5-GSLB и виртуальную машину f5stack1, а затем в разделе Параметры выберите Сети.

Настройка после установки

После установки необходимо настроить группы безопасности сети Azure Stack Hub и заблокировать исходные IP-адреса.

  1. Отключите порт 22 после установки отношений доверия.

  2. Когда ваша система подключена к сети, заблокируйте исходные группы безопасности сети (NSG). Группа безопасности сети управления должна быть заблокирована для источника управления, внешняя (4353/TCP) NSG должна быть заблокирована для другой инстанции для синхронизации. Порт 443 также следует заблокировать до развертывания приложений с виртуальными серверами.

  3. Правило GTM_DNS настроено для разрешения трафика по порту 53 (DNS), и резолвер BIG-IP начнет работать. Итак, прослушиватели созданы.

    На странице fStack1-ext диалогового окна сетевого интерфейса отображаются сведения об интерфейсе fstack1-ext и о его NSG, fstack1-ext-nsg. Существуют вкладки, которые можно выбрать для просмотра правил входящего порта или правил исходящего порта.

  4. Разверните базовую рабочую нагрузку веб-приложения в среде Azure Stack Hub для балансировки нагрузки за BIG-IP. См. пример использования сервера NGINX в руководстве по развертыванию NGINX и NGINX Plus в Docker.

    Примечание.

    Разверните экземпляр NGINX в обоих экземплярах Azure Stack Hub (A и B).

  5. Развернув NGINX в контейнере Docker на виртуальной машине Ubuntu в каждом из экземпляров Azure Stack Hub, попробуйте открыть стандартную веб-страницу на обоих серверах.

    Страница

  6. Войдите в интерфейс управления для устройства BIG-IP. В нашем примере используйте для этого общедоступный IP-адрес f5-stack1-ext.

    На экране входа для служебной программы конфигурации BIG-IP требуется имя пользователя и пароль.

  7. Опубликуйте доступ к NGINX через BIG-IP.

    • В нашем примере описано, как настроить для BIG-IP виртуальный сервер и пул, чтобы разрешить входящий доступ из Интернета к приложению WordPress. Для начала необходимо узнать частный IP-адрес экземпляра NGINX.

  8. Войдите на портал пользователя Azure Stack Hub.

  9. Выберите сетевой интерфейс NGINX.

    На странице обзора диалогового окна

  10. В консоли BIG-IP перейдите в > пулов локальных пулов > трафика и выберите+. Настройте пул, используя значения из этой таблицы. Для других полей сохраните значения по умолчанию.

    В левой области можно перейти к созданию нового пула. Правая область озаглавлена

    Ключ Значение
    Имя. NGINX_Pool
    Монитор здоровья HTTPS
    Имя узла NGINX
    Адрес <ваш частный IP-адрес NGINX>
    Порт службы 443

  11. Щелкните Готово. Если все настроено правильно, состояние пула будет отображаться зеленым цветом.

    Справа панель называется

    Теперь осталось настроить виртуальный сервер. Для этого в первую очередь найдите частный IP-адрес вашего F5 BIG-IP.

  12. В консоли BIG-IP перейдите к Сеть > Собственные IP и запишите IP-адрес.

    В левой области можно перейти к показу ip-адресов. В правой области имеется название

  13. Создайте новый виртуальный сервер. Для этого перейдите в раздел Локальный трафик>Виртуальные серверы>Список виртуальных серверов, а затем щелкните +. Настройте пул, используя значения из этой таблицы. Для других полей сохраните значения по умолчанию.

    Ключ Значение
    Имя. NGINX
    Адрес назначения <Самостоятельный IP-адрес BIG-IP>
    Порт службы 443
    Профиль SSL (клиент) clientssl
    Преобразование исходных адресов Автоматическая карта

    Левая панель используется для навигации по правой области к

    Эта страница предоставляет возможность ввести дополнительные сведения. Есть кнопки

  14. Итак, вы завершили настройку BIG-IP для приложения NGINX. Чтобы проверить правильность работы, просмотрите сайт и проверьте статистику F5.

  15. Перейдите в браузере по адресу https://<F5-public-VIP-IP> и убедитесь, что отображается стандартная страница NGINX.

    Страница

  16. Теперь проверьте статистику виртуального сервера, чтобы проверить поток трафика, перейдя к статистике статистики модуля статистики >> локального трафика.

  17. В поле Тип статистики выберите значение Виртуальные серверы.

    Левая панель навигации открыла правую панель на

Больше информации

Дополнительные справочные материалы по использованию F5:

Следующие шаги

Сети Azure Stack Hub: различия и рекомендации