在 Azure 中部署 F5 BIG-IP Virtual Edition VM

在本教學課程中,瞭解如何在 Azure 基礎結構即服務 (IaaS) 中部署 BIG-IP Vitural Edition (VE)。 在教學課程結束時,您將有:

  • 備妥的 BIG-IP 虛擬機器 (VM) 來建立安全的混合式存取模型 (SHA) 概念證明
  • 用來測試新 BIG-IP 系統更新和 Hotfix 的預備實例

深入瞭解: SHA:使用 Microsoft Entra ID 保護繼承應用程式

必要條件

不需要先前的 F5 BIG-IP 體驗或知識。 不過,建議您在 F5 詞彙中檢閱業界標準術語

在 Azure 中部署適用于 SHA 的 BIG-IP 需要:

  • 付費 Azure 訂用帳戶
  • 下列任何 F5 BIG-IP 授權 SKU:
    • F5 BIG-IP® 最佳套件組合
    • F5 BIG-IP 存取原則管理員™ (APM) 獨立授權
    • F5 BIG-IP 存取原則管理員™ (APM) BIG-IP 本機流量管理員 (LTM) 上的 BIG-IP F5 BIG-IP® 本機授權™附加元件授權
    • 90 天 BIG-IP 完整功能 試用版授權
  • 萬用字元或主體別名 (SAN) 憑證,可透過安全通訊端層發佈 Web 應用程式 (SSL)
    • 移至 letsencrypt.org 以查看供應專案。 選取開始使用
  • 用來保護 BIG-IP 管理介面的 SSL 憑證。 如果憑證的主體與 BIG-IP 完整功能變數名稱 (FQDN) 相對應,您可以使用憑證來發佈 Web 應用程式。 例如,您可以使用萬用字元憑證搭配 的 https://big-ip-vm.contoso.com:8443 主體 *.contoso.com

VM 部署和基底系統設定大約需要 30 分鐘,然後 BIG-IP 會在整合 F5 BIG-IP 與 Microsoft Entra ID 實作 SHA 案例。

測試案例

當您測試案例時,本教學課程假設:

  • BIG-IP 會部署至具有 Active Directory (AD) 環境的 Azure 資源群組
  • 環境是由網域控制站 (DC) 和 網際網路資訊服務 (IIS) Web 主機 VM 所組成
  • 如果 BIG-IP 看到支援案例所需的角色,則無法接受與 BIG-IP VM 位於相同位置的伺服器
  • 支援透過 VPN 連線至另一個環境的 BIG-IP VM

如果您沒有先前用於測試的專案,您可以使用 Cloud Identity Lab 上的 腳本,將 AD 網域環境部署至 Azure。 您可以使用 Demo Suite 上的 腳本自動化,以程式設計方式將範例測試應用程式部署至 IIS Web 主機。

注意

本教學課程中的某些步驟可能與 Microsoft Entra 系統管理中心的版面配置不同。

Azure 部署

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

您可以在不同的拓撲中部署 BIG-IP。 本指南著重于網路介面卡 (NIC) 部署。 不過,如果您的 BIG-IP 部署需要多個網路介面才能達到高可用性、網路隔離或超過 1 GB 的輸送量,請考慮使用 F5 預先編譯的 Azure Resource Manager (ARM) 範本

Azure Marketplace 部署 BIG-IP VE。

  1. 使用具有建立 VM 許可權的帳戶登入 Microsoft Entra 系統管理中心 ,例如 Global 管理員istrator。

  2. 在頂端功能區搜尋方塊中,輸入 Marketplace

  3. 選取 [輸入]

  4. 在 Marketplace 篩選準則中輸入 F5

  5. 選取 [輸入]

  6. 從頂端功能區,選取 [+ 新增 ]。

  7. 針對市集篩選準則,輸入 F5

  8. 選取 [輸入]

  9. 選取 F5 BIG-IP Virtual Edition (BYOL) > 選取軟體方案 > F5 BIG-IP VE - ALL (BYOL, 2 開機位置)。

  10. 選取 建立

    Screenshot of software plan selections.

  11. 針對 基本概念

  • 用帳戶:BIG-IP VM 部署的目標訂用帳戶
  • 資源群組 :將部署 BIG-IP VM 的 Azure RG,或建立一個。 這是您的 DC 和 IIS VM 資源群組
  1. 如需 實例詳細資料
  • VM 名稱 範例 BIG-IP-VM
  • 區域 :以 AZURE 地理位置為目標進行 BIG-IP-VM
  • 可用性選項 啟用是否在生產環境中使用 VM
  • 圖片 :F5 BIG-IP VE - ALL (BYOL, 2 開機位置)
  • Azure Spot 實例 :否,但視需要加以啟用
  • 大小 :最小規格為 2 個 vCPU 和 8 GB 記憶體
  1. 針對 管理員istrator 帳戶
  • 驗證類型 :立即選取密碼,稍後切換至金鑰組
  • 使用者 名稱:要建立為 BIG-IP 本機帳戶的身分識別,以存取其管理介面。 使用者名稱區分大小寫。
  • 密碼 :使用強式密碼保護系統管理員存取
  1. 輸入連接埠規則 :公用輸入埠、無。
  2. 完成時,選取 [下一步: 磁碟]。 保留預設值。
  3. 選取 [下一步:網路]
  4. 針對 網路功能
  • 虛擬網路 :DC 和 IIS VM 所使用的 Azure VNet,或建立一個
  • 子網 :與您的 DC 和 IIS VM 相同的 Azure 內部子網,或建立一個
  • 公用 IP :無
  • NIC 網路安全性群組:如果選取的 Azure 子網與網路安全性群組 (NSG) 相關聯,請選取 [無];否則選取 [基本]
  • 加速網路 :關閉
  1. 針對 負載平衡 :負載平衡 VM,否。
  2. 選取 [下一步:管理 ],然後完成設定:
  • 詳細監視 :關閉
  • 開機診斷 使用自訂儲存體帳戶啟用。 此功能允許透過 Microsoft Entra 系統管理中心的序列主控台選項,連線到 BIG-IP 安全殼層 (SSH) 介面。 選取可用的 Azure 儲存體帳戶。
  1. 針對身 識別:
  • 系統指派的受控識別 :關閉
  • Microsoft Entra ID :BIG-IP 不支援此選項
  1. 針對 Autoshutdown :啟用或測試,您可以將 BIG-IP-VM 設定為每日關閉
  2. 選取 [下一步:進階 ],保留預設值。
  3. 選取 [下一步:標記]
  4. 若要檢閱您的 BIG-IP-VM 設定,請選取 [ 下一步:檢閱 + 建立 ]。
  5. 選取 建立。 部署 BIG-IP VM 的時間通常是 5 分鐘。
  6. 完成時,展開 [Microsoft Entra 系統管理中心] 左側功能表。
  7. 選取 [資源群組 ],然後流覽至 BIG-IP-VM。

注意

如果 VM 建立失敗,請選取 [上 一步] 和 [ 下一步 ]。

網路組態

當 BIG-IP VM 啟動時,其 NIC 會 以 Azure 子網的動態主機設定通訊協定 (DHCP) 服務所簽發的主要 私人 IP 進行布建。 BIG-IP 流量管理作業系統 (TMOS) 會使用 IP 與下列通訊:

  • 主機和服務
  • 公用網際網路的輸出存取
  • BIG-IP Web 組態和 SSH 管理介面的輸入存取

向網際網路公開管理介面會增加 BIG-IP 攻擊面。 此風險是為何在部署期間未使用公用 IP 布建 BIG-IP 主要 IP 的原因。 相反地,會布建次要內部 IP 和相關聯的公用 IP 來發佈。 VM 公用 IP 與私人 IP 之間的此一對一對應可讓外部流量觸達 VM。 不過,需要 Azure NSG 規則才能允許流量,類似于防火牆。

下圖顯示 Azure 中 BIG-IP VE 的 NIC 部署,並已針對一般作業和管理設定主要 IP。 發佈服務有個別的虛擬伺服器 IP。 NSG 規則允許目的地 intranet.contoso.com 為的遠端流量路由傳送至已發佈服務的公用 IP,再轉送至 BIG-IP 虛擬伺服器。

Diagram of the single NIC deployment.

根據預設,發給 Azure VM 的私人和公用 IP 是動態的,因此可以在 VM 重新開機時變更。 將 BIG-IP 管理 IP 變更為靜態,以避免連線問題。 針對發佈服務對次要 IP 執行相同的動作。

  1. 從您的 BIG-IP VM 功能表中,移至 [設定>][網络]。

  2. 在網路檢視中,選取網路介面右側的連結。

    Screenshot of networking configurations.

注意

VM 名稱會在部署期間隨機產生。

  1. 在左側窗格中,選取 [ IP 組態]。
  2. 選取 ipconfig1 數據列。
  3. 將 [ IP 指派 ] 選項設定為 [靜態]。 如有必要,請變更 BIG-IP VM 主要 IP 位址。
  4. 選取 [儲存]。
  5. 關閉 ipconfig1 功能表。

注意

使用主要IP連線和管理 BIG-IP-VM。

  1. 在頂端功能區上,選取 [+ 新增]。
  2. 提供次要私人IP名稱,例如ipconfig2。
  3. 針對私人IP位址設定,將 [配置 ] 選項設定為 [靜態]。 提供下一個較高或較低的IP有助於保留訂單線。
  4. 將 [公用 IP 位址] 設定為 [關聯]。
  5. 選取 建立
  6. 針對新的公用IP位址,提供名稱,例如 BIG-IP-VM_ipconfig2_Public。
  7. 如果出現提示,請將 SKU 設定為 [標準]。
  8. 如果出現提示,請將 [ 階層 ] 設定為 [全域]。
  9. 將 [ 指派] 選項設定為 [靜態]。
  10. 選取 [確定 ] 兩次。

您的 BIG-IP-VM 已準備好:

  • 主要私人IP:專用於透過其Web設定公用程式和SSH管理 BIG-IP-VM。 BIG-IP 系統會將其作為自我IP使用,以連線到已發佈的後端服務。 它會連線到外部服務:
    • 網路時間通訊協定 (NTP)
    • Active Directory (AD)
    • 輕量型目錄存取通訊協定 (LDAP)
  • 次要私人IP:用來建立 BIG-IP APM 虛擬伺服器,以接聽已發行服務的輸入要求
  • 公用IP:它與次要私人IP相關聯;它可讓來自公用因特網的用戶端流量連線到已發佈服務的 BIG-IP 虛擬伺服器

此範例說明 VM 公用 IP 與私人 IP 之間的一對一關聯性。 Azure VM NIC 有一個主要IP,而其他IP則為次要IP。

注意

您需要次要IP對應,才能發佈 BIG-IP 服務。

Screenshot of IP configurations.

若要使用 BIG-IP 存取引導式設定實作 SHA,請重複步驟,為透過 BIG-IP APM 發佈的服務建立更多私人和公用 IP 組。 使用 BIG-IP 進階設定來發佈服務的相同方法。 不過,使用 伺服器名稱指標 (SNI) 設定來避免公用IP額外負荷:BIG-IP 虛擬伺服器接受接收的用戶端流量,並將其傳送至其目的地。

DNS 組態

若要將已發佈的 SHA 服務解析為 BIG-IP-VM 公用 IP,請設定用戶端的 DNS。 下列步驟假設您的SHA服務的公用網域 DNS 區域是在 Azure 中管理。 無論您的 DNS 區域位於何處,都適用建立定位器的 DNS 原則。

  1. 展開入口網站左側功能表。

  2. 使用 [ 資源群組] 選項,流覽至您的 BIG-IP-VM。

  3. 從 [BIG-IP VM] 功能表,移至 [設定>][網络]。

  4. 在 BIG-IP-VM 網路檢視中,從下拉式 IP 組態清單中選取第一個次要 IP。

  5. 選取 [NIC 公用IP] 連結。

    Scrrenshot of NIC public IP.

  6. 在左側窗格中,選取 [設定] 區段下方的 [設定]。

  7. [公用 IP] 和 [DNS 屬性] 功能表隨即出現。

  8. 選取並 建立 別名記錄。

  9. 從下拉功能表中,選取您的 DNS 區域。 如果沒有 DNS 區域,則可以在 Azure 外部進行管理,或為網域後綴建立一個網域後綴,以在 Microsoft Entra ID 中驗證。

  10. 若要建立第一個 DNS 別名記錄:

    • 用帳戶:與 BIG-IP-VM 相同的訂用帳戶
    • DNS 區域:已驗證網域後綴的 DNS 區域授權,例如, www.contoso.com
    • 名稱:您指定的主機名會解析為與所選次要IP相關聯的公用IP。 定義 DNS 對 IP 對應。 例如,intranet.contoso.com 至 13.77.148.215
    • TTL:1
    • TTL 單位:小時
  11. 選取 建立

  12. 保留 DNS 名稱標籤 (選擇性)

  13. 選取 [儲存]。

  14. 關閉 [公用 IP] 選單。

注意

若要使用 BIG-IP 引導式設定來建立您發佈之服務的其他 DNS 記錄,請重複步驟 1 到 6。

使用已備妥 DNS 記錄,您可以使用 DNS 檢查工具工具來驗證跨全域公用 DNS 伺服器傳播的已建立記錄。 如果您使用 GoDaddy 之類的外部提供者來管理 DNS 網域命名空間,請使用其 DNS 管理功能建立記錄。

注意

如果測試和經常切換 DNS 記錄,您可以使用電腦本機主機檔案:選取 [Win + R]。在 [執行] 方塊中,輸入驅動程式。 本機主機記錄會提供本機計算機的 DNS 解析,而非其他用戶端。

用戶端流量

根據預設,Azure 虛擬網路 (VNet) 和相關聯的子網是無法接收因特網流量的專用網。 將您的 BIG-IP-VM NIC 連結至部署期間指定的 NSG。 若要讓外部 Web 流量連線到 BIG-IP-VM,請定義輸入 NSG 規則,以允許來自公用因特網的埠 443 (HTTPS) 和 80 (HTTP)。

  1. 從 BIG-IP VM 主要 [概觀] 功能表中,選取 [網络]。
  2. 選取 [ 新增 輸入規則]。
  3. 輸入 NSG 規則屬性:
  • 來源:任何
  • 來源埠範圍:*|
  • 目的地 IP 位址:BIG-IP-VM 次要 IP 的逗號分隔清單
  • 目的地埠:80、443
  • 通訊協定: TCP
  • 動作:允許
  • 優先順序:100 到 4096 之間的最低可用值
  • 名稱:描述性名稱,例如: BIG-IP-VM_Web_Services_80_443
  1. 選取新增
  2. 關閉 [ 網络] 功能表。

HTTP 和 HTTPS 流量可以連線到您的 BIG-IP-VM 次要介面。 允許埠 80 允許 BIG-IP APM 將使用者從 HTTP 自動重新導向至 HTTPS。 編輯此規則以新增或移除目的地IP。

管理 BIG-IP

BIG-IP 系統會使用其 Web 設定 UI 進行管理。 從下列項目存取 UI:

注意

在您繼續進行其餘設定之前,請先選取上述三種方法之一。 如有必要,請使用公用IP設定 BIG-IP 主要IP,直接從因特網聯機到Web設定。 然後新增 NSG 規則,以允許該主要 IP 的 8443 流量。 將來源限制為您自己的受信任 IP,否則任何人都可以連線。

確認連線

確認您可以連線到 BIG-IP VM Web 組態,並使用 VM 部署期間指定的認證登入:

  • 如果從內部網路上的 VM 或透過 VPN 進行連線,請連線到 BIG-IP 主要 IP 和 Web 組態埠。 例如: https://<BIG-IP-VM_Primary_IP:8443 。 您的瀏覽器提示可能會指出連線不安全。 請忽略提示,直到設定 BIG-IP 為止。 如果瀏覽器封鎖存取,請清除其快取,然後再試一次。
  • 如果您透過 應用程式 Proxy 發佈 Web 組態,請使用定義的 URL 來存取外部的 Web 組態。 請勿附加埠,例如 https://big-ip-vm.contoso.com。 使用 Web 組態連接埠定義內部 URL, 例如 https://big-ip-vm.contoso.com:8443

注意

您可以使用其 SSH 環境來管理 BIG-IP 系統,通常用於命令行 (CLI) 工作和根層級存取。

若要連線到 CLI:

  • Azure Bastion 服務:從任何位置 連線 至 VNet 中的 VM
  • SSH 用戶端,例如使用 Just-In-Time (JIT) 方法的 PowerShell
  • 序列主控台:在入口網站中,於 VM 功能表的 [支援和疑難解答] 區段中。 它不支援檔案傳輸。
  • 從因特網:使用公用IP設定 BIG-IP 主要IP。 新增 NSG 規則以允許 SSH 流量。 限制信任的IP來源。

BIG-IP 授權

在設定發佈服務和 SHA 之前,請先啟用並布建具有 APM 模組的 BIG-IP 系統。

  1. 登入 Web 設定。
  2. 在 [ 一般屬性] 頁面上,選取 [ 啟用]。
  3. 在 [ 基底註冊金鑰 ] 字段中,輸入 F5 所提供的區分大小寫密鑰。
  4. 將 [ 啟用方法 ] 設定為 [ 自動]。
  5. 選取 [下一步] 。
  6. BIG-IP 會驗證授權,並顯示使用者許可協定 (EULA)。
  7. 選取 [ 接受 ] 並等候啟用完成。
  8. 選取繼續
  9. 在 [授權摘要] 頁面底部,登入。
  10. 選取 [下一步] 。
  11. SHA 所需的模組清單隨即出現。

注意

如果清單未出現,請在主要索引標籤中,移至 [系統>資源布建]。 檢查存取原則的布建資料行 (APM)

Screenshot of access provisioning.

  1. 選取送出
  2. 接受警告。
  3. 等候初始化完成。
  4. 選取繼續
  5. 在 [ 關於] 索引標籤上,選取 [ 執行安裝公用程式]。

重要

F5 授權適用於一個 BIG-IP VE 實例。 若要將授權從某個實例移轉至另一個實例,請參閱 AskF5 一文, K41458656:在不同的 BIG-IP VE 系統上重複使用 BIG-IP VE 授權。 在您解除委任之前,請先撤銷作用中實例上的試用授權,否則授權將會永久遺失。

布建 BIG-IP

保護來自 BIG-IP Web 組態的管理流量很重要。若要協助保護 Web 設定通道免於入侵,請設定裝置管理憑證。

  1. 從左側導覽列中,移至 [系統>憑證管理流量憑證管理>>SSL 憑證清單>匯入]。

  2. 從 [ 匯入類型 ] 下拉式清單中,選取 [ PKCS 12(IIS] 並選擇 [檔案]。

  3. 找出具有主體名稱或 SAN 的 SSL Web 憑證,其中包含您稍後指派 BIG-IP-VM 的 FQDN。

  4. 提供憑證密碼。

  5. 選取匯入

  6. 從左側導覽列,移至 [系統>平臺]。

  7. 在 [一般屬性] 下,輸入合格的 主機名 和環境 時區

    Screenshot of general properties.

  8. 選取更新

  9. 從左側導覽列中,移至 [系統>設定>裝置>NTP]。

  10. 指定 NTP 來源。

  11. 選取新增

  12. 選取更新。 例如,time.windows.com

您需要 DNS 記錄,才能將 BIG-IP FQDN 解析為其主要私人 IP,您在先前的步驟中指定此記錄。 將記錄新增至環境內部 DNS,或新增至電腦 localhost 檔案,以連線到 BIG-IP Web 組態。當您連線到 Web 設定時,瀏覽器警告不再出現,不會再出現 應用程式 Proxy 或任何其他反向 Proxy。

SSL 設定檔

作為反向 Proxy,BIG-IP 系統是轉送服務,也稱為透明 Proxy,或參與客戶端與伺服器之間交換的完整 Proxy。 完整 Proxy 會建立兩個連線:前端 TCP 用戶端連線和後端 TCP 伺服器連線,中間有軟間距。 用戶端會連線到一端的 Proxy 接聽程式、虛擬伺服器,而 Proxy 會建立與後端伺服器的個別獨立連線。 此組態在兩側都是雙向的。 在此完整 Proxy 模式中,F5 BIG-IP 系統可以檢查流量,並與要求和響應互動。 負載平衡和 Web 效能優化等功能,以及進階流量管理服務(應用層安全性、Web 加速、頁面路由和安全遠端訪問)都依賴這項功能。 當您發佈 SSL 型服務時,BIG-IP SSL 配置檔會處理用戶端與後端服務之間的流量解密和加密。

設定檔案類型有兩種:

  • 用戶端 SSL:建立此設定檔是設定 BIG-IP 系統以使用 SSL 發佈內部服務最常見的方式。 使用用戶端 SSL 配置檔時,BIG-IP 系統會先解密輸入用戶端要求,再將其傳送至下流服務。 它會加密輸出後端回應,然後將它們傳送至用戶端。
  • 伺服器 SSL:針對針對 HTTPS 設定的後端服務,您可以設定 BIG-IP 以使用伺服器 SSL 配置檔。 使用此配置檔時,BIG-IP 會重新加密用戶端要求,然後將它傳送至目的地後端服務。 當伺服器傳回加密的回應時,BIG-IP 系統會解密並重新加密回應,然後透過設定的用戶端 SSL 配置檔將其傳送至用戶端。

若要讓 BIG-IP 預先設定並準備好用於 SHA 案例,請布建用戶端和伺服器 SSL 配置檔。

  1. 從左側導覽中,移至 [系統>憑證管理流量憑證管理>>SSL 憑證列表>匯入]。

  2. 從 [ 匯入類型 ] 下拉式清單中,選取 [PKCS 12 (IIS)]。

  3. 針對匯入的憑證,輸入名稱,例如 ContosoWildcardCert

  4. 選取選擇檔案

  5. 流覽至 SSL Web 憑證,其主體名稱對應至已發佈服務的網域後綴。

  6. 針對匯入的憑證,請提供 密碼

  7. 選取匯入

  8. 從左側導覽中,移至 [本機流量>配置檔>SSL>用戶端]。

  9. 選取 建立

  10. 在 [ 新增用戶端 SSL 配置檔] 頁面中,輸入唯一且易記 的名稱

  11. 確定父配置檔已設定為 clientsl

    Screenshot of name and parent profile selections.

  12. 在 [ 憑證金鑰鏈結 ] 資料列中,選取最右邊的複選框。

  13. 選取新增

  14. 從 [ 憑證]、 [金鑰] 和 [鏈結 ] 下拉式清單中,選取您未使用複雜密碼匯入的通配符憑證。

  15. 選取新增

  16. 選取 [已完成]。

    Screenshot of certificate, key, and chain selections.

  17. 重複步驟以建立 SSL 伺服器證書設定檔

  18. 從頂端功能區中,選取 [SSL>伺服器>建立]。

  19. 在 [ 新增伺服器 SSL 配置檔] 頁面中,輸入唯一且易記 的名稱

  20. 確定父配置檔已設定為 serverssl

  21. 選取 [憑證金鑰] 資料列的極右複選框

  22. 從 [ 憑證金鑰 ] 下拉式清單中,選取您匯入的憑證。

  23. 選取 [已完成]。

    Screenshot of general properties and configuration selections.

注意

如果您無法購買 SSL 憑證,請使用整合式自我簽署 BIG-IP 伺服器和用戶端 SSL 憑證。 瀏覽器中會出現憑證錯誤。

找出資源

若要準備適用於 SHA 的 BIG-IP,請找出其發佈的資源,以及其依賴 SSO 的目錄服務。 BIG-IP 有兩個名稱解析來源,從其本機/.../hosts 檔案開始。 如果找不到記錄,BIG-IP 系統會使用它設定的 DNS 服務。 hosts 檔案方法不適用於使用 FQDN 的 APM 節點和集區。

  1. 在 Web 設定中,移至 [系統>設定>裝置>DNS]。
  2. [DNS 查閱伺服器清單] 中,輸入您環境 DNS 伺服器的IP位址。
  3. 選取新增
  4. 選取更新

選擇性步驟是 LDAP 設定,可針對Active Directory驗證 BIG-IP 系統管理員,而不是管理本機 BIG-IP 帳戶。

更新 BIG-IP

如需更新相關指引,請參閱下列清單。 更新指示如下。

  1. 在 BIG-IP Web 組態的 [主要] 索引標籤上,移至 [存取>引導式設定]。

  2. 在 [ 引導式組態 ] 頁面上,選取 [ 升級引導式設定]。

    Screenshot of guided configuration page.

  3. 在 [ 升級引導式組態 ] 對話框中,選取 [ 選擇檔案]。

  4. 選取 [ 上傳並安裝]。

  5. 等候升級完成。

  6. 選取繼續

備份 BIG-IP

布建 BIG-IP 系統時,建議您進行完整組態備份。

  1. 移至 [系統>封存>建立]。
  2. 提供唯 一的檔名
  3. 使用複雜密碼啟用 加密
  4. [私鑰 ] 選項設定為 [包含 ] 以備份裝置和 SSL 憑證。
  5. 選取 [已完成]。
  6. 等候程式完成。
  7. 結果會出現一則訊息。
  8. 選取 [確定]。
  9. 選取備份連結。
  10. 將使用者組態集 (UCS) 封存盤儲存在本機。
  11. 選取 [下載]。

您可以使用 Azure 快照集來建立整個系統磁碟 備份。 此工具提供TMOS版本之間測試的應變,或回復至全新的系統。

# Install modules
Install-module Az
Install-module AzureVMSnapshots

# Authenticate to Azure
Connect-azAccount

# Set subscription by Id
Set-AzContext -SubscriptionId ‘<Azure_Subscription_ID>’

#Create Snapshot
New-AzVmSnapshot -ResourceGroupName '<E.g.contoso-RG>' -VmName '<E.g.BIG-IP-VM>'

#List Snapshots
#Get-AzVmSnapshot -ResourceGroupName ‘<E.g.contoso-RG>'

#Get-AzVmSnapshot -ResourceGroupName ‘<E.g.contoso-RG>' -VmName '<E.g.BIG-IP-VM>' | Restore-AzVmSnapshot -RemoveOriginalDisk 

還原 BIG-IP

還原 BIG-IP 類似於備份程式,可用來移轉 BIG-IP VM 之間的設定。 匯入備份之前,請先確認支持的升級路徑。

  1. 移至系統>封存。
  • 選取備份連結,
  • 選取 [上傳] 並瀏覽至不在清單中的已儲存的 UCS 封存
  1. 提供備份複雜密碼。
  2. 選取 [還原]
# Authenticate to Azure
Connect-azAccount

# Set subscription by Id
Set-AzContext -SubscriptionId ‘<Azure_Subscription_ID>’

#Restore Snapshot
Get-AzVmSnapshot -ResourceGroupName '<E.g.contoso-RG>' -VmName '<E.g.BIG-IP-VM>' | Restore-AzVmSnapshot

注意

目前,AzVmSnapshot Cmdlet 可以根據日期還原最新的快照集。 快照集會儲存在 VM 資源群組根目錄中。 還原快照集會重新啟動 Azure VM,因此確保工作的最佳時機。

資源

下一步

選取部署案例並啟動您的實作。