Självstudie: Migrera ett WebLogic Server-kluster till Azure med Azure Application Gateway som lastbalanserare

Den här självstudien beskriver hur du distribuerar WebLogic Server (WLS) med Azure Application Gateway. Den beskriver de specifika stegen för att skapa ett Key Vault, lagra ett TLS/SSL-certifikat i Key Vault och använda certifikatet för TLS/SSL-avslutning. Även om alla dessa element är väldokumenterade i sig själva, visar den här självstudien hur alla dessa element samlas för att skapa en enkel men ändå kraftfull belastningsutjämningslösning för WLS i Azure.

Belastningsutjämning är en viktig del av migreringen av Oracle WebLogic Server-klustret till Azure. Den enklaste lösningen är att använda det inbyggda stödet för Azure Application Gateway. App Gateway ingår som en del av WebLogic-klustersupporten i Azure. En översikt över stöd för WebLogic-kluster i Azure finns i Vad är Oracle WebLogic Server på Azure?.

I den här självstudien lär du dig att:

• Välj hur du anger TLS/SSL-certifikatet till App Gateway
• Distribuera WebLogic Server med Azure Application Gateway till Azure
• Verifiera lyckad distribution av WLS och App Gateway

Förutsättningar

• OpenSSL på en dator som kör en UNIX-liknande kommandoradsmiljö.

  Det kan finnas andra verktyg för certifikathantering, men i den här självstudien används OpenSSL. Du hittar OpenSSL paketerat med många GNU/Linux-distributioner, till exempel Ubuntu.

• En aktiv Azure-prenumeration.

  • Om du inte har någon Azure-prenumeration kan du skapa ett kostnadsfritt konto.

• Möjligheten att distribuera ett av de WLS Azure-program som anges i Oracle WebLogic Server Azure Applications.

Migreringskontext

Här följer några saker att tänka på när du migrerar lokala WLS-installationer och Azure Application Gateway. Stegen i den här självstudien är det enklaste sättet att ställa upp en lastbalanserare framför ditt WebLogic Server-kluster i Azure, men det finns många andra sätt att göra det på. Den här listan visar några andra saker att tänka på.

• Om du har en befintlig belastningsutjämningslösning kontrollerar du att dess funktioner uppfylls eller överskrids av Azure Application Gateway. En sammanfattning av funktionerna i Azure Application Gateway jämfört med andra Azure-belastningsutjämningslösningar finns i Översikt över alternativ för belastningsutjämning i Azure.
• Om din befintliga belastningsutjämningslösning ger säkerhetsskydd mot vanliga sårbarheter och sårbarheter, har Application Gateway du gått igenom. Application Gateways inbyggda brandvägg för webbprogram (WAF) implementerar huvudregeluppsättningarna OWASP (Open Web Application Security Project). Mer information om WAF-stöd i Application Gateway finns i avsnittet Brandvägg för webbprogram i Azure Application Gateway-funktioner.
• Om din befintliga belastningsutjämningslösning kräver TLS/SSL-kryptering från slutpunkt till slutpunkt måste du göra ytterligare konfiguration efter att ha följt stegen i den här guiden. Se avsnittet TLS-kryptering från slutpunkt till slutpunkt i Översikt över TLS-avslutning och TLS från slutpunkt till slutpunkt med Application Gateway och Oracle-dokumentationen om konfiguration av SSL i Oracle Fusion Middleware.
• Om du optimerar för molnet visar den här guiden hur du börjar från början med Azure App Gateway och WLS.
• En omfattande undersökning av migrering av WebLogic Server till Virtuella Azure-datorer finns i Migrera WebLogic Server-program till Azure Virtual Machines.

Distribuera WebLogic Server med Application Gateway till Azure

Det här avsnittet visar hur du etablerar ett WLS-kluster med Azure Application Gateway som skapas automatiskt som lastbalanserare för klusternoderna. Application Gateway använder det angivna TLS/SSL-certifikatet för TLS/SSL-avslutning. Mer information om TLS/SSL-avslutning med Application Gateway finns i Översikt över TLS-avslutning och TLS från slutpunkt till slutpunkt med Application Gateway.

Använd följande steg för att skapa WLS-klustret och Application Gateway.

Börja först med att distribuera ett WebLogic Server-konfigurerat eller dynamiskt kluster enligt beskrivningen i Oracle-dokumentationen, men kom tillbaka till den här sidan när du når Azure Application Gateway, som du ser här.

Välj hur du anger TLS/SSL-certifikatet till App Gateway

Du har flera alternativ för att ange TLS/SSL-certifikatet till programgatewayen, men kan bara välja ett. I det här avsnittet beskrivs varje alternativ så att du kan välja det bästa alternativet för distributionen.

Alternativ ett: Ladda upp ett TLS/SSL-certifikat

Det här alternativet är lämpligt för produktionsarbetsbelastningar där App Gateway står inför det offentliga Internet eller för intranätarbetsbelastningar som kräver TLS/SSL. Genom att välja det här alternativet etableras ett Azure Key Vault automatiskt för att innehålla TLS/SSL-certifikatet som används av App Gateway.

Om du vill ladda upp ett befintligt, signerat TLS/SSL-certifikat använder du följande steg:

1. Följ stegen från certifikatutfärdaren för att skapa ett lösenordsskyddat TLS/SSL-certifikat och ange DNS-namnet för certifikatet. Hur du väljer jokertecken jämfört med certifikat med ett enda namn ligger utanför omfånget för det här dokumentet. Båda kommer att fungera här.
2. Exportera certifikatet från utfärdaren med pfx-filformatet och ladda ned det till den lokala datorn. Om utfärdaren inte stöder export som PFX finns det verktyg för att konvertera många certifikatformat till PFX-format.
3. Välj avsnittet Azure Application Gateway .
4. Bredvid Anslut till Azure Application Gateway väljer du Ja.
5. Välj Ladda upp ett SSL-certifikat.
6. Välj filwebbläsareikonen för fältet SSL-certifikat. Gå till det nedladdade PFX-formatcertifikatet och välj Öppna.
7. Ange lösenordet för certifikatet i rutorna Lösenord och Bekräfta lösenord .
8. Välj om du vill neka offentlig trafik direkt till noderna på de hanterade servrarna. Om du väljer Ja blir det så att de hanterade servrarna endast är tillgängliga via App Gateway.

Välj DNS-konfiguration

TLS/SSL-certifikat associeras med ett DNS-domännamn när de utfärdas av certifikatutfärdaren. Följ stegen i det här avsnittet för att konfigurera distributionen med DNS-namnet för certifikatet. Du kan använda en DNS-zon som du redan har skapat eller tillåta att distributionen skapar en åt dig. Välj avsnittet DNS-konfiguration för att fortsätta.

Använda en befintlig Azure DNS-zon

Använd följande steg för att använda en befintlig Azure DNS-zon med App Gateway:

1. Bredvid Konfigurera anpassat DNS-alias väljer du Ja.
2. Bredvid Använd en befintlig Azure DNS-zon väljer du Ja.
3. Ange namnet på Azure DNS-zonen bredvid DNS-zonnamnet.
4. Ange den resursgrupp som innehåller Azure DNS-zonen från föregående steg.

Tillåt distributionen att skapa en ny Azure DNS-zon

Använd följande steg för att skapa en Azure DNS-zon som ska användas med App Gateway:

1. Bredvid Konfigurera anpassat DNS-alias väljer du Ja.
2. Bredvid Använd en befintlig Azure DNS-zon väljer du Nej.
3. Ange namnet på Azure DNS-zonen bredvid DNS-zonnamnet. En ny DNS-zon skapas i samma resursgrupp som WLS.

Slutligen anger du namnen för de underordnade DNS-zonerna. Distributionen skapar två underordnade DNS-zoner för användning med WLS: en för administratörskonsolen och en för App Gateway. Om ditt DNS-zonnamn till exempel var "contoso.net" kan du ange administratör och app som värden. Administratörskonsolen skulle vara tillgänglig på "admin.contoso.net" och appgatewayen skulle vara tillgänglig på "app.contoso.net". Glöm inte att konfigurera DNS-delegering enligt beskrivningen i Delegering av DNS-zoner med Azure DNS.

De andra alternativen för att tillhandahålla ett TLS/SSL-certifikat till App Gateway beskrivs i följande avsnitt. Om du är nöjd med det valda alternativet kan du gå vidare till avsnittet Fortsätt med distribution.

Alternativ två: Identifiera ett Azure Key Vault

Det här alternativet är lämpligt för produktions- eller icke-produktionsarbetsbelastningar, beroende på vilket TLS/SSL-certifikat som tillhandahålls. Om du inte vill att distributionen ska skapa ett Azure Key Vault kan du identifiera ett befintligt eller skapa ett själv. Det här alternativet kräver att du lagrar certifikatet och dess lösenord i Azure Key Vault innan du fortsätter. Om du har ett befintligt Key Vault som du vill använda går du vidare till avsnittet Skapa ett TLS/SSL-certifikat. Annars fortsätter du till nästa avsnitt.

Skapa ett Azure Key Vault

Det här avsnittet visar hur du använder Azure-portalen för att skapa ett Azure Key Vault.

1. På Menyn i Azure-portalen eller på sidan Start väljer du Skapa en resurs.
2. Skriv Key Vault i sökrutan.
3. Välj Key Vault i listan med resultat.
4. Välj Skapa i avsnittet Key Vault.
5. I avsnittet Skapa nyckelvalv anger du följande information:
   • Prenumeration: Välj en prenumeration.
   • Under Resursgrupp väljer du Skapa ny och anger ett resursgruppsnamn. Anteckna namnet på nyckelvalvet. Du behöver det senare när du distribuerar WLS.
   • Key Vault-namn: Ett unikt namn krävs. Anteckna namnet på nyckelvalvet. Du behöver det senare när du distribuerar WLS.

   Kommentar

   Du kan använda samma namn för både Resursgrupp och Nyckelvalvnamn.

   • Välj en plats i listrutan Plats.
   • Lämna standardvärdena för de andra alternativen.
6. Välj Nästa: Åtkomstprincip.
7. Under Aktivera åtkomst till väljer du Azure Resource Manager för malldistribution.
8. Välj Granska + skapa.
9. Välj Skapa.

Skapande av nyckelvalv är ganska enkelt och slutförs vanligtvis på mindre än två minuter. När distributionen är klar väljer du Gå till resurs och fortsätter till nästa avsnitt.

Skapa ett TLS/SSL-certifikat

Det här avsnittet visar hur du skapar ett självsignerat TLS/SSL-certifikat i ett format som är lämpligt för användning av Application Gateway som distribuerats med WebLogic Server i Azure. Certifikatet måste ha ett lösenord som inte är tomt. Om du redan har ett giltigt, icke-tomt lösenords-TLS/SSL-certifikat i .pfx-format kan du hoppa över det här avsnittet och gå vidare till nästa. Om ditt befintliga, giltiga, icke-tomma lösenords-TLS/SSL-certifikat inte är i .pfx-formatet , konverterar du det först till en .pfx-fil innan du hoppar över till nästa avsnitt. Annars öppnar du ett kommandogränssnitt och anger följande kommandon.

Kommentar

Det här avsnittet visar hur du baserar 64-koda certifikatet innan du lagrar det som en hemlighet i Key Vault. Detta krävs av den underliggande Azure-distributionen som skapar WebLogic Server och Application Gateway.

Följ de här stegen för att skapa och basera 64-koda certifikatet:

1. Skapa en RSA PRIVATE KEY

   openssl genrsa 2048 > private.pem
   

2. Skapa en motsvarande offentlig nyckel.

   openssl req -x509 -new -key private.pem -out public.pem
   

   Du måste svara på flera frågor när du uppmanas av OpenSSL-verktyget. Dessa värden kommer att ingå i certifikatet. I den här självstudien används ett självsignerat certifikat, och därför är värdena irrelevanta. Följande literalvärden är bra.

   1. För Landsnamn anger du en kod med två bokstäver.
   2. För Namn på delstat eller provins anger du WA.
   3. Som Organisationsnamn anger du Contoso. För Organisationsenhetsnamn anger du fakturering.
   4. Som Gemensamt namn anger du Contoso.
   5. För E-postadress anger du billing@contoso.com.

3. Exportera certifikatet som en .pfx-fil

   openssl pkcs12 -export -in public.pem -inkey private.pem -out mycert.pfx
   

   Ange lösenordet två gånger. Anteckna lösenordet. Du behöver det senare när du distribuerar WLS.

4. Base 64-koda filen mycert.pfx

   base64 mycert.pfx > mycert.txt
   

Nu när du har ett Key Vault och ett giltigt TLS/SSL-certifikat med ett lösenord som inte är tomt kan du lagra certifikatet i Key Vault.

Lagra TLS/SSL-certifikatet i Key Vault

Det här avsnittet visar hur du lagrar certifikatet och dess lösenord i nyckelvalvet som skapades i föregående avsnitt.

Följ dessa steg för att lagra certifikatet:

1. Från Azure-portalen placerar du markören i sökfältet överst på sidan och skriver namnet på nyckelvalvet som du skapade tidigare i självstudien.
2. Ditt Key Vault bör visas under rubriken Resurser . Välj den.
3. I avsnittet Inställningar väljer du Hemligheter.
4. Välj Generera/Importera.
5. Under Uppladdningsalternativ lämnar du standardvärdet.
6. Under Namn anger du myCertSecretData, eller vilket namn du vill.
7. Under Värde anger du innehållet i filen mycert.txt . Värdets längd och förekomsten av nya linjer är inte ett problem för textfältet.
8. Låt de återstående värdena vara kvar som standardvärden och välj Skapa.

Följ dessa steg för att lagra lösenordet för certifikatet:

1. Du kommer att gå tillbaka till sidan Hemligheter . Välj Generera/Importera.
2. Under Uppladdningsalternativ lämnar du standardvärdet.
3. Under Namn anger du myCertSecretPassword, eller vilket namn du vill.
4. Under Värde anger du lösenordet för certifikatet.
5. Låt de återstående värdena vara kvar som standardvärden och välj Skapa.
6. Du kommer att gå tillbaka till sidan Hemligheter .

Identifiera Key Vault

Nu när du har ett Key Vault med ett signerat TLS/SSL-certifikat och dess lösenord som lagras som hemligheter går du tillbaka till avsnittet Azure Application Gateway för att identifiera Nyckelvalvet för distributionen.

1. Under Resursgruppsnamn i den aktuella prenumerationen som innehåller KeyVault anger du namnet på resursgruppen som innehåller nyckelvalvet som du skapade tidigare.
2. Under Namn på Azure KeyVault som innehåller hemligheter för certifikatet för SSL-avslutning anger du namnet på Nyckelvalvet.
3. Under Namnet på hemligheten i den angivna KeyVault vars värde är SSL-certifikatdata anger du myCertSecretData, eller vilket namn du angav tidigare.
4. Under Namnet på hemligheten i den angivna KeyVault vars värde är lösenordet för SSL-certifikatet anger du myCertSecretData, eller vilket namn du angav tidigare.
5. Välj Granska + skapa.
6. Välj Skapa. Detta gör en validering som certifikatet kan hämtas från Key Vault och att lösenordet matchar det värde som du lagrade i för lösenordet i Key Vault. Om det här verifieringssteget misslyckas granskar du egenskaperna för Nyckelvalvet, kontrollerar att certifikatet har angetts korrekt och kontrollerar att lösenordet har angetts korrekt.
7. När verifieringen har godkänts väljer du Skapa.

Detta startar processen med att skapa WLS-klustret och dess klientdels-Application Gateway, vilket kan ta cirka 15 minuter. När distributionen är klar väljer du Gå till resursgrupp. I listan över resurser i resursgruppen väljer du myAppGateway.

Det sista alternativet för att tillhandahålla ett TLS/SSL-certifikat till App Gateway beskrivs i nästa avsnitt. Om du är nöjd med det valda alternativet kan du gå vidare till avsnittet Fortsätt med distribution.

Alternativ tre: Generera ett självsignerat certifikat

Det här alternativet är endast lämpligt för test- och utvecklingsdistributioner. Med det här alternativet skapas både ett Azure Key Vault och ett självsignerat certifikat automatiskt och certifikatet tillhandahålls till App Gateway.

Använd följande steg för att begära distributionen för att utföra dessa åtgärder:

1. I avsnittet Azure Application Gateway väljer du Generera ett självsignerat certifikat.
2. Välj en användartilldelad hanterad identitet. Detta är nödvändigt för att distributionen ska kunna skapa Azure Key Vault och certifikatet.
3. Om du inte redan har en användartilldelad hanterad identitet väljer du Lägg till för att börja skapa en.
4. Om du vill skapa en användartilldelad hanterad identitet följer du stegen i avsnittet Skapa en användartilldelad hanterad identitet i Skapa, lista, ta bort eller tilldela en roll till en användartilldelad hanterad identitet med hjälp av Azure-portalen. När du har valt den användartilldelade hanterade identiteten kontrollerar du att kryssrutan bredvid den användartilldelade hanterade identiteten är markerad.

Fortsätt med distributionen

Nu kan du fortsätta med de andra aspekterna av WLS-distributionen enligt beskrivningen i Oracle-dokumentationen.

Verifiera lyckad distribution av WLS och App Gateway

Det här avsnittet visar en teknik för att snabbt verifiera en lyckad distribution av WLS-klustret och Application Gateway.

Om du hade valt Gå till resursgrupp och sedan myAppGateway i slutet av föregående avsnitt tittar du på översiktssidan för Application Gateway. Annars kan du hitta den här sidan genom att myAppGateway skriva i textrutan överst i Azure-portalen och sedan välja rätt som visas. Se till att välja den i resursgruppen som du skapade för WLS-klustret. Slutför sedan följande steg.

1. I den vänstra rutan på översiktssidan för myAppGateway rullar du ned till avsnittet Övervakning och väljer Serverdelshälsa.
2. När inläsningsmeddelandet försvinner bör du se en tabell mitt på skärmen som visar noderna i klustret som konfigurerats som noder i serverdelspoolen.
3. Kontrollera att statusen visar Felfri för varje nod.

Rensa resurser

Om du inte fortsätter att använda WLS-klustret tar du bort Key Vault och WLS-klustret med följande steg:

1. Besök översiktssidan för myAppGateway enligt föregående avsnitt.
2. Välj resursgruppen under texten Resursgrupp överst på sidan.
3. Välj Ta bort resursgrupp.
4. Indatafokus ställs in på fältet med etiketten TYP RESURSGRUPPENS NAMN. Ange resursgruppens namn enligt begäran.
5. Då aktiveras knappen Ta bort . Välj knappen Ta bort. Den här åtgärden tar lite tid, men du kan fortsätta till nästa steg medan borttagningen bearbetas.
6. Leta upp Key Vault genom att följa det första steget i avsnittet Lagra TLS/SSL-certifikatet i Key Vault.
7. Välj Ta bort.
8. Välj Ta bort i fönstret som visas.

Nästa steg

Fortsätt att utforska alternativ för att köra WLS i Azure.

Läs mer om Oracle WebLogic Server i Azure