Nasazení virtuálního počítače F5 BIG-IP Virtual Edition v Azure

V tomto kurzu se naučíte nasadit BIG-IP Virtual Edition (VE) v infrastruktuře Azure jako službu (IaaS). Na konci kurzu budete mít:

• Připravený virtuální počítač BIG-IP pro modelování zabezpečeného hybridního přístupu (SHA) pro testování konceptu
• Přípravná instance pro testování nových aktualizací systému BIG-IP a oprav hotfix

Další informace: SHA: Zabezpečení starších aplikací pomocí Microsoft Entra ID

Požadavky

Předchozí zkušenosti nebo znalosti F5 BIG-IP nejsou nezbytné. Doporučujeme ale zkontrolovat standardní terminologii oboru v glosáři F5.

Nasazení VELKÉ IP adresy v Azure pro SHA vyžaduje:

• Placené předplatné Azure
  • Pokud ho nemáte, můžete získat bezplatnou zkušební verzi Azure.
• Některé z následujících skladových položek licencí F5 BIG-IP:
  • F5 BIG-IP® Nejlepší balíček
  • Samostatná licence F5 BIG-IP Access Policy Manager™ (APM)
  • Doplněk licence F5 BIG-IP Access Policy Manager™ (APM) na F5 BIG-IP® Local Traffic Manager™ (LTM)
  • Úplná 90denní zkušební licence BIG-IP
• Zástupný znak nebo certifikát alternativního názvu subjektu (SAN) pro publikování webových aplikací přes protokol SSL (Secure Socket Layer)
  • Pokud chcete zobrazit nabídky, přejděte na letsencrypt.org. Vyberte Začínáme.
• Certifikát SSL pro zabezpečení rozhraní pro správu BIG-IP. Certifikát můžete použít k publikování webových aplikací, pokud jeho předmět odpovídá plně kvalifikovanému názvu domény (FQDN) BIG-IP. Můžete například použít zástupný certifikát s předmětem *.contoso.com pro https://big-ip-vm.contoso.com:8443.

Nasazení virtuálního počítače a základní konfigurace systému zaberou přibližně 30 minut, pak BIG-IP implementuje scénáře SHA v Integraci F5 BIG-IP s Microsoft Entra ID.

Testovací scénáře

Při testování scénářů předpokládá tento kurz:

• BIG-IP je nasazen do skupiny prostředků Azure s prostředím Active Directory (AD).
• Prostředí se skládá z řadiče domény (DC) a virtuálních počítačů pro webhosting Internetových informačních služeb (IIS).
• Servery, které nejsou na stejných místech jako virtuální počítač BIG-IP, jsou přijatelné, pokud BIG-IP identifikuje role potřebné pro podporu scénáře.
• Podporuje se virtuální počítač BIG-IP připojený k jinému prostředí přes připojení VPN.

Pokud nemáte předchozí položky pro testování, můžete do Azure nasadit doménové prostředí AD pomocí skriptu v Cloud Identity Labu. Ukázkové testovací aplikace můžete programově nasadit na webového hostitele služby IIS pomocí skriptované automatizace v demo sadě.

Poznámka:

Některé kroky v tomto kurzu se můžou lišit od rozložení v Centru pro správu Microsoft Entra.

Nasazení Azure

Big-IP adresu můžete nasadit v různých topologiích. Tato příručka se zaměřuje na nasazení síťové karty (NIC). Pokud ale vaše nasazení BIG-IP vyžaduje více síťových rozhraní pro vysokou dostupnost, oddělení sítě nebo více než 1 GB propustnosti, zvažte použití předem zkompilovaných šablon Azure Resource Manageru (ARM) F5.

Nasazení BIG-IP VE z Azure Marketplace

1. Přihlaste se k Centru pro správu Microsoft Entra pomocí účtu s oprávněními k vytváření virtuálních počítačů, jako je správce aplikací.

2. Do vyhledávacího pole na horním pásu karet zadejte marketplace

3. Stiskněte klávesu Enter.

4. Do filtru Marketplace zadejte F5 .

5. Stiskněte klávesu Enter.

6. Na horním pásu karet vyberte + Přidat.

7. Jako filtr marketplace zadejte F5.

8. Stiskněte klávesu Enter.

9. Vyberte F5 BIG-IP Virtual Edition (BYOL)>Vyberte softwarový plán>F5 BIG-IP VE - ALL (BYOL, 2 spouštěcí místa).

10. Vyberte Vytvořit.

    

11. Základy:

• Předplatné: Cílové předplatné pro nasazení virtuálního počítače BIG-IP
• Skupina prostředků Azure: Virtuální počítač BIG-IP v Azure bude nasazen do existující skupiny prostředků, nebo bude vytvořena nová. Jedná se o vaši skupinu prostředků pro DC a IIS VM.

12. Podrobnosti k instanci:

• Příklad názvu virtuálního počítače BIG-IP-VM
• Oblast: Cílení na geografickou oblast Azure pro virtuální počítač BIG-IP
• Možnosti dostupnosti Povolení, pokud používáte virtuální počítač v produkčním prostředí
• Obrázek: F5 BIG-IP VE – ALL (BYOL, 2 spouštěcí místa)
• Azure Spot instance: Ne, ale v případě potřeby ho povolte.
• Velikost: Minimální specifikace jsou 2 virtuální procesory a 8 GB paměti

13. Pro účet správce:

• Typ ověřování: Prozatím vyberte heslo a později přepněte na pár klíčů.
• Uživatelské jméno: Identita, která se má vytvořit jako místní účet BIG-IP pro přístup k jeho rozhraním pro správu. V uživatelském jménu se rozlišují malá a velká písmena.
• Heslo: Zabezpečení přístupu správce pomocí silného hesla

14. Pravidla portů pro příchozí spojení: Veřejné příchozí porty, Žádné.
15. Vyberte Další: Disky. Ponechte výchozí hodnoty.
16. Vyberte Další: Sítě.
17. Pro síťování:

• Virtuální síť: Azure VNet používaná virtuálními počítači DC a IIS nebo vytvoření nové.
• Podsíť: Stejná interní podsíť Azure jako u vašich virtuálních počítačů DC a IIS, nebo vytvořte novou.
• Veřejná IP adresa: Žádná
• Skupina zabezpečení sítě NIC: Vyberte Žádné, pokud je vybraná podsíť Azure spojená se skupinou zabezpečení sítě (NSG); jinak vyberte Základní.
• Zrychlení sítí: Vypnuto

18. Pro vyrovnávání zatížení: Vyrovnávání zatížení virtuálního počítače, ne.
19. Vyberte Další: Správa a dokončete nastavení:

• Podrobné monitorování: Vypnuto
• Diagnostika spuštění povolena s vlastním účtem úložiště Tato funkce umožňuje připojení k rozhraní SSH (Big-IP Secure Shell) prostřednictvím možnosti Sériové konzoly v Centru pro správu Microsoft Entra. Vyberte dostupný účet úložiště Azure.

20. Pro identitu:

• Systémem přiřazená spravovaná identita: Vypnuto
• Microsoft Entra ID: BIG-IP nepodporuje tuto možnost.

21. Pro funkci Autoshutdown: Povolte, nebo pokud testujete, můžete nastavit BIG-IP-VM tak, aby se vypínal každý den.
22. Vyberte Další: Upřesnit. Ponechte výchozí hodnoty.
23. Vyberte Další: Značky.
24. Pokud chcete zkontrolovat konfiguraci virtuálního počítače BIG-IP, vyberte Další: Zkontrolovat a vytvořit.
25. Vyberte Vytvořit. Doba nasazení virtuálního počítače BIG-IP je obvykle 5 minut.
26. Po dokončení rozbalte levou nabídku Centra pro správu Microsoft Entra.
27. Vyberte skupiny prostředků a přejděte na BIG-IP-VM.

Poznámka:

Pokud se vytvoření virtuálního počítače nezdaří, vyberte Zpět a Další.

Konfigurace sítě

Když se virtuální počítač BIG-IP spustí, zřídí se jeho síťová karta s primární privátní IP adresou vystavenou službou DHCP (Dynamic Host Configuration Protocol) podsítě Azure, ke které je připojená. Operační systém TMOS (BIG-IP Traffic Management) používá IP adresu ke komunikaci s:

• Hostitelé a služby
• Odchozí přístup k veřejnému internetu
• Příchozí přístup k webové konfiguraci BIG-IP a rozhraní pro správu SSH

Zveřejnění rozhraní pro správu na internetu zvyšuje prostor pro útoky BIG-IP. Toto riziko je důvod, proč se primární IP adresa BIG-IP nezřídila s veřejnou IP adresou během nasazování. Místo toho se pro publikování zřizuje sekundární interní IP adresa a přidružená veřejná IP adresa. Toto mapování 1:1 mezi veřejnou IP adresou virtuálního počítače a privátní IP adresou umožňuje externí provoz do virtuálního počítače. Je ale potřebné pravidlo NSG Azure k povolení provozu, podobným způsobem jako firewall.

Následující diagram znázorňuje nasazení síťové karty BIG-IP VE v Azure nakonfigurované s primární IP adresou pro obecné operace a správu. Pro služby publikování existuje samostatná IP adresa virtuálního serveru. Pravidlo NSG umožňuje, aby vzdálený provoz určený pro intranet.contoso.com byl směrován na veřejnou IP adresu publikované služby, než je přesměrován na virtuální server BIG-IP.

Privátní a veřejné IP adresy vydané pro virtuální počítače Azure jsou ve výchozím nastavení dynamické, takže se můžou změnit při restartování virtuálního počítače. Vyhněte se problémům s připojením změnou IP adresy pro správu BIG-IP na statickou. Stejnou akci proveďte u sekundárních IP adres pro služby publikování.

1. V nabídce virtuálního počítače BIG-IP přejděte na Nastavení>sítě.

2. V zobrazení sítě vyberte odkaz napravo od síťového rozhraní.

   

Poznámka:

Názvy virtuálních počítačů se generují náhodně během nasazování.

3. V levém podokně vyberte konfigurace IP adres.
4. Vyberte řádek ipconfig1.
5. Nastavte možnost Přiřazení IP adresy na Statická. V případě potřeby změňte primární IP adresu virtuálního počítače BIG-IP.
6. Zvolte Uložit.
7. Zavřete nabídku ipconfig1.

Poznámka:

K připojení a správě virtuálního počítače BIG-IP-V použijte primární IP adresu.

8. Na horním pásu karet vyberte + Přidat.
9. Zadejte název sekundární privátní IP adresy, například ipconfig2.
10. Pro nastavení privátní IP adresy nastavte možnost Přidělení na Static. Poskytnutí další nebo nižší IP adresy pomáhá zachovat pořadí.
11. Nastavte veřejnou IP adresu na Přidružit.
12. Vyberte Vytvořit.
13. Pro novou veřejnou IP adresu zadejte název, například BIG-IP-VM_ipconfig2_Public.
14. Pokud se zobrazí výzva, nastavte skladovou položku na Standard.
15. Pokud se zobrazí výzva, nastavte úroveň na Globální.
16. Nastavte možnost Přiřazení na statickou.
17. Dvakrát vyberte OK .

Váš virtuální počítač BIG-IP-V je připravený pro:

• Primární privátní IP adresa: Vyhrazená pro správu virtuálního počítače BIG-IP-V prostřednictvím nástroje pro konfiguraci webu a SSH. Systém BIG-IP jej používá jako svou Self-IP adresu k připojení k publikovaným back-endovým službám. Připojuje se k externím službám:
  • Protokol NTP (Network Time Protocol)
  • Active Directory (AD)
  • Protokol LDAP (Lightweight Directory Access Protocol)
• Sekundární privátní IP adresa: Slouží k vytvoření virtuálního serveru BIG-IP APM pro naslouchání příchozím požadavkům na publikované služby.
• Veřejná IP adresa: Je přidružená k sekundární privátní IP adrese; umožňuje klientskému provozu z veřejného internetu přístup k virtuálnímu serveru BIG-IP pro publikované služby.

Příklad znázorňuje vztah 1:1 mezi veřejnými a privátními IP adresami virtuálního počítače. Síťová karta virtuálního počítače Azure má jednu primární IP adresu a další IP adresy jsou sekundární.

Poznámka:

Pro publikování služeb BIG-IP potřebujete sekundární mapování IP adres.

Pokud chcete implementovat SHA pomocí konfigurace s asistencí pro přístup BIG-IP, opakujte kroky pro vytvoření více privátních a veřejných párů IP adres pro služby, které publikujete prostřednictvím APM BIG-IP. Stejný přístup použijte pro publikování služeb pomocí rozšířené konfigurace BIG-IP. Vyhněte se ale režijním nákladům na veřejné IP adresy pomocí konfigurace SNI (Server Name Indicator): Virtuální server BIG-IP přijímá klientský provoz, který přijímá, a odesílá ho do cíle.

Konfigurace DNS

Pokud chcete přeložit publikované služby SHA na veřejné IP adresy virtuálních počítačů BIG-IP, nakonfigurujte DNS pro klienty. Následující postup předpokládá, že zóna DNS veřejné domény pro vaše služby SHA je spravovaná v Azure. Použijte zásady DNS pro vytváření lokátoru bez ohledu na to, kde je vaše zóna DNS spravovaná.

1. Rozbalte levou nabídku portálu.

2. Prostřednictvím možnosti Skupiny prostředků přejděte na váš virtuální počítač BIG-IP-VM.

3. V nabídce virtuálního počítače BIG-IP přejděte na Nastavení>sítě.

4. V zobrazení sítě BIG-IP-VMs v rozevíracím seznamu konfigurace IP vyberte první sekundární IP adresu.

5. Vyberte odkaz veřejné IP adresy NIC.

   

6. V levém podokně pod částí Nastavení vyberte Konfigurace.

7. Zobrazí se nabídka vlastností veřejné IP adresy a DNS.

8. Vyberte a vytvořte záznam aliasu.

9. V rozevírací nabídce vyberte svoji zónu DNS. Pokud neexistuje žádná zóna DNS, můžete ji spravovat mimo Azure nebo ji vytvořit pro příponu domény a ověřit ji v MICROSOFT Entra ID.

10. Vytvoření prvního záznamu aliasu DNS:

    • Předplatné: Stejné předplatné jako virtuální počítač BIG-IP-V
    • Zóna DNS: Autoritativní zóna DNS pro ověřenou příponu domény, kterou publikované weby používají, například www.contoso.com
    • Název: Zadaný název hostitele se přeloží na veřejnou IP adresu přidruženou k vybrané sekundární IP adrese. Definujte mapování DNS na IP adresy. Například intranet.contoso.com na 11.22.333.444
    • TTL: 1
    • Jednotky TTL: Hodiny

11. Vyberte Vytvořit.

12. Ponechte popisek názvu DNS (volitelný).

13. Zvolte Uložit.

14. Zavřete nabídku Veřejné IP adresy.

Poznámka:

Pokud chcete vytvořit další záznamy DNS pro služby, které budete publikovat pomocí konfigurace s asistencí BIG-IP, opakujte kroky 1 až 6.

Se záznamy DNS můžete použít nástroje, jako je DNS checker, abyste ověřili, že se vytvořený záznam rozšířil mezi globální veřejné servery DNS. Pokud spravujete obor názvů domény DNS pomocí externího poskytovatele, jako je GoDaddy, vytvořte záznamy pomocí svého zařízení pro správu DNS.

Poznámka:

Pokud testujete a často přepínáte záznamy DNS, můžete použít soubor místních hostitelů počítače: Vyberte Win + R.Do pole Spustit zadejte ovladače. Záznam místního hostitele poskytuje překlad DNS pro místní počítač, ne pro ostatní klienty.

Provoz klienta

Ve výchozím nastavení virtuální sítě Azure a přidružené podsítě nejsou privátní sítě schopny přijímat internetový provoz. Připojte síťovou kartu virtuálního počítače BIG-IP k NSG zadanému během nasazování. Aby se externí webový provoz dostal k virtuálnímu počítači BIG-IP-V, definujte příchozí pravidlo NSG pro povolení portů 443 (HTTPS) a 80 (HTTP) z veřejného internetu.

1. V hlavní nabídce Přehled virtuálního počítače BIG-IP vyberte Sítě.
2. Vyberte Přidat příchozí pravidlo.
3. Zadejte vlastnosti pravidla NSG:

• Zdroj: Libovolný
• Rozsahy zdrojových portů: *|
• Cílové IP adresy: Seznam sekundárních privátních IP adres virtuálních počítačů BIG-IP-VM oddělený čárkami
• Cílové porty: 80, 443
• Protokol: TCP
• Akce: Povolit
• Priorita: Nejnižší dostupná hodnota mezi 100 a 4096
• Název: Popisný název, například: BIG-IP-VM_Web_Services_80_443

4. Vyberte Přidat.
5. Zavřete nabídku sítě.

Provoz HTTP a HTTPS se může dostat do sekundárních rozhraní virtuálních počítačů BIG-IP. Povolení portu 80 umožňuje APM BIG-IP automaticky přesměrovat uživatele z HTTP na HTTPS. Upravte toto pravidlo a přidejte nebo odeberte cílové IP adresy.

Správa BIG-IP

Systém BIG-IP se spravuje pomocí uživatelského rozhraní pro webovou konfiguraci. Přístup k uživatelskému rozhraní z:

• Počítač v interní síti BIG-IP
• Klient VPN připojený k interní síti virtuálního počítače BIG-IP
• Publikováno prostřednictvím proxy aplikace Microsoft Entra

Poznámka:

Než budete pokračovat ve zbývajících konfiguracích, vyberte jednu ze tří předchozích metod. V případě potřeby se připojte přímo k konfiguraci webu z internetu tak, že nakonfigurujete primární IP adresu BIG-IP s veřejnou IP adresou. Pak přidejte pravidlo NSG, které povolí provoz 8443 do této primární IP adresy. Omezte zdroj na vaši vlastní důvěryhodnou IP adresu, jinak se může připojit kdokoli.

Potvrzení připojení

Ověřte, že se můžete připojit k webové konfiguraci virtuálního počítače BIG-IP a přihlásit se pomocí přihlašovacích údajů zadaných během nasazování virtuálního počítače:

• Pokud se připojujete z virtuálního počítače v interní síti nebo přes SÍŤ VPN, připojte se k primární IP adrese BIG-IP a portu konfigurace webu. Například https://<BIG-IP-VM_Primary_IP:8443. V prohlížeči se může zobrazit stav, že je připojení nezabezpečené. Tuto výzvu ignorujte, dokud se nenakonfiguruje big-IP adresa. Pokud prohlížeč zablokuje přístup, vymažte jeho mezipaměť a zkuste to znovu.
• Pokud jste webovou konfiguraci publikovali prostřednictvím proxy aplikací, použijte adresu URL definovanou pro externí přístup k konfiguraci webu. Nepřidávejte port, například https://big-ip-vm.contoso.com. Definujte interní adresu URL pomocí portu konfigurace webu, https://big-ip-vm.contoso.com:8443například .

Poznámka:

Systém BIG-IP můžete spravovat s jeho prostředím SSH, který se obvykle používá pro úlohy příkazového řádku (CLI) a přístup na úrovni kořenové úrovně.

Připojení k rozhraní příkazového řádku:

• Služba Azure Bastion: Připojení k virtuálním počítačům ve virtuální síti z libovolného umístění
• Klient SSH, jako je PowerShell s přístupem za běhu (JIT)
• Sériová konzola: Na portálu v nabídce virtuálního počítače v části Podpora a řešení potíží. Nepodporuje přenosy souborů.
• Z internetu: Nakonfigurujte primární IP adresu BIG-IP s veřejnou IP adresou. Přidejte pravidlo NSG, které povolí provoz SSH. Omezte důvěryhodný zdroj IP adres.

Licence BIG-IP

Než bude možné nakonfigurovat služby publikování a SHA, aktivujte a zřiďte pomocí modulu APM systém BIG-IP.

1. Přihlaste se k konfiguraci webu.
2. Na stránce Obecné vlastnosti vyberte Aktivovat.
3. Do pole Základní registrační klíč zadejte klíč rozlišující velká a malá písmena poskytovaný klávesou F5.
4. Ponechte metodu aktivace nastavenou na Hodnotu Automatická.
5. Vyberte Další.
6. BIG-IP ověří licenci a zobrazí licenční smlouvu s koncovým uživatelem (EULA).
7. Vyberte Přijmout a počkejte na dokončení aktivace.
8. Zvolte Pokračovat.
9. V dolní části stránky souhrnu licencí se přihlaste.
10. Vyberte Další.
11. Zobrazí se seznam modulů požadovaných pro SHA.

Poznámka:

Pokud se seznam nezobrazí, na hlavní kartě přejděte na systém>zřizování prostředků. Zkontrolujte sloupec nasazení pro zásady přístupu (APM)

12. Vyberte položku Odeslat.
13. Přijměte upozornění.
14. Počkejte na dokončení inicializace.
15. Zvolte Pokračovat.
16. Na kartě O produktu vyberte Spustit instalační nástroj.

Důležité

Licence F5 je určená pro jednu instanci BIG-IP VE. Pokud chcete migrovat licenci z jedné instance do jiné, přečtěte si článek AskF5, K41458656: Opětovné využití licence BIG-IP VE v jiném systému BIG-IP VE. Před vyřazením aktivní instance z provozu zrušte zkušební licenci, jinak licence bude nenávratně ztracena.

Zřízení BIG-IP adresy

Je důležité zabezpečit správní provoz k a od konfigurace webu BIG-IP. Pokud chcete chránit kanál konfigurace webu před ohrožením, nakonfigurujte certifikát pro správu zařízení.

1. Na levém navigačním panelu přejděte na System>Správa certifikátů>Správa certifikátů pro provoz>Seznam certifikátů SSL>Import.

2. V rozevíracím seznamu Typ importu vyberte PKCS 12(IIS) a zvolte Soubor.

3. Vyhledejte webový certifikát SSL s názvem subjektu nebo sítí SAN, která pokrývá plně kvalifikovaný název domény, který později přiřadíte virtuálnímu počítači BIG-IP-VM.

4. Zadejte heslo certifikátu.

5. Vyberte Importovat.

6. V levém navigačním panelu přejděte na Systémovou>platformu.

7. V části Obecné vlastnosti zadejte kvalifikovaný název hostitele a časové pásmo prostředí.

   

8. Vyberte Aktualizovat.

9. V levém navigačním panelu přejděte na Systém>Konfigurace>Zařízení>NTP.

10. Zadejte zdroj NTP.

11. Vyberte Přidat.

12. Vyberte Aktualizovat. Například time.windows.com

K překladu plně kvalifikovaného doménového názvu BIG-IP na jeho primární privátní IP adresu, kterou jste zadali v předchozích krocích, potřebujete záznam DNS. Přidejte záznam do interního DNS vašeho prostředí nebo do souboru místního hostitele počítače pro připojení ke konfiguraci webu BIG-IP. Když se připojíte k webové konfiguraci, upozornění prohlížeče se již nezobrazí, a to ani s aplikačním proxy, ani jiným reverzním proxy serverem.

Profil SSL

Jako reverzní proxy server je systém BIG-IP služba předávání, jinak označovaná jako transparentní proxy server nebo úplný proxy server, který se účastní výměn mezi klienty a servery. Úplný proxy server vytvoří dvě připojení: front-endové připojení klienta TCP a back-endové připojení serveru TCP s měkkou mezerou uprostřed. Klienti se připojují k naslouchacímu proxy serveru na jednom konci, což je virtuální server, a proxy server vytvoří samostatné, nezávislé připojení k back-endovému serveru. Tato konfigurace je obousměrná na obou stranách. V tomto režimu úplného proxy serveru může systém F5 BIG-IP kontrolovat provoz a interagovat s požadavky a odpověďmi. Tyto funkce využívají funkce, jako je vyrovnávání zatížení a optimalizace výkonu webu a pokročilé služby pro správu provozu (zabezpečení aplikační vrstvy, akcelerace webu, směrování stránek a zabezpečený vzdálený přístup). Při publikování služeb založených na SSL zajišťují profily BIG-IP SSL dešifrování a šifrování provozu mezi klienty a zákulisními službami.

Existují dva typy profilů:

• Ssl klienta: Vytvoření tohoto profilu je nejběžnější způsob, jak nastavit systém BIG-IP pro publikování interních služeb pomocí PROTOKOLU SSL. V profilu SSL klienta systém BIG-IP dešifruje příchozí požadavky klientů před jejich odesláním do služby down-stream. Zašifruje odchozí back-endové odpovědi a pak je pošle klientům.
• Protokol SSL serveru: Pro back-endové služby nakonfigurované pro PROTOKOL HTTPS můžete nakonfigurovat BIG-IP pro použití profilu SSL serveru. S tímto profilem big-IP znovu zašifruje požadavek klienta a pak ji odešle do cílové back-endové služby. Když server vrátí šifrovanou odpověď, systém BIG-IP tuto odpověď dešifruje a znovu zašifruje a pak ji odešle klientovi prostřednictvím nakonfigurovaného profilu SSL klienta.

Aby byla služba BIG-IP předem nakonfigurovaná a připravená pro scénáře SHA, zřiďte profily SSL klienta a serveru.

1. V levém navigačním panelu přejděte na Systém>Správa certifikátů>Správa certifikátů pro provoz>Seznam SSL certifikátů>Import.

2. V rozevíracím seznamu Typ importu vyberte PKCS 12 (IIS).

3. Pro importovaný certifikát zadejte název, například ContosoWildcardCert.

4. Vyberte Vybrat soubor.

5. Přejděte na webový certifikát SSL s názvem subjektu, který odpovídá příponě domény pro publikované služby.

6. Pro importovaný certifikát zadejte heslo.

7. Vyberte Importovat.

8. V levém navigačním panelu přejděte do Místní provoz>Profily>SSL>Klient.

9. Vyberte Vytvořit.

10. Na stránce Nový klientský SSL profil zadejte jedinečný a přátelský název.

11. Ujistěte se, že je nadřazený profil nastavený na clientssl.

    

12. Ve řádku Řetězu klíčů certifikátu zaškrtněte políčko úplně vpravo.

13. Vyberte Přidat.

14. V rozevíracích seznamech Certifikát, Klíč a Chain vyberte certifikát se zástupným znakem, který jste naimportovali bez přístupového hesla.

15. Vyberte Přidat.

16. Vyberte Dokončeno.

    

17. Opakováním kroků vytvořte profil certifikátu serveru SSL.

18. Na horním pásu karet vyberte SSL>Server>Vytvořit.

19. Na stránce nového serverového SSL profilu zadejte jedinečný název.

20. Ujistěte se, že je nadřazený profil nastavený na serverssl.

21. Zaškrtněte políčko úplně napravo ve sloupcích pro certifikát a klíč.

22. V rozevíracích seznamech Certifikát a klíč vyberte importovaný certifikát.

23. Vyberte Dokončeno.

    

Poznámka:

Pokud nemůžete získat certifikát SSL, použijte integrovaný server BIG-IP podepsaný svým držitelem a certifikáty SSL klienta. V prohlížeči se zobrazí chyba certifikátu.

Najděte prostředek

Pokud chcete připravit BIG-IP adresu pro SHA, vyhledejte prostředky, které publikuje, a adresářovou službu, na které se spoléhá pro jednotné přihlašování. BIG-IP má dva zdroje pro řešení názvů, počínaje svým místním souborem/.../hosts. Pokud se záznam nenajde, systém BIG-IP používá službu DNS, se kterým byl nakonfigurovaný. Metoda souboru hosts se nevztahuje na uzly a fondy APM, které používají plně kvalifikovaný název domény (FQDN).

1. Ve webové konfiguraci přejděte na Systém>Konfigurace>Zařízení>DNS.
2. V seznamu vyhledávacích serverů DNS zadejte IP adresu vašeho serveru DNS prostředí.
3. Vyberte Přidat.
4. Vyberte Aktualizovat.

Volitelný krok je konfigurace PROTOKOLU LDAP pro ověřování správců systému BIG-IP ve službě Active Directory místo správy místních účtů BIG-IP.

Aktualizace BIG-IP adresy

Pokyny související s aktualizacemi najdete v následujícím seznamu. Postupujte podle pokynů k aktualizaci.

• Kontrola verze operačního systému řízení provozu (TMOS):
  • V levém horním rohu hlavní stránky najeďte myší na název hostitele BIG-IP.
• Spusťte verze v15.x a novější. Viz, F5 ke stažení. Vyžaduje se přihlášení.
• Pokud chcete aktualizovat hlavní systém TMOS, přečtěte si článek F5, K34745165: Správa imagí softwaru v systému BIG-IP
  • Pokud nemůžete aktualizovat hlavní systém TMOS, můžete aktualizovat řízenou konfiguraci. Použijte k tomu následující postup.
• Viz také pokyny založené na scénářích.

1. V konfiguraci webu BIG-IP přejděte na hlavní kartě do části Přístup>Asistovaná konfigurace.

2. Na stránce Konfigurace s asistencí vyberte možnost Aktualizace konfigurace s asistencí.

   

3. V dialogovém okně pro upgrade Konfigurace s asistencí vyberte Zvolit soubor.

4. Vyberte Nahrát a nainstalovat.

5. Počkejte na dokončení upgradu.

6. Zvolte Pokračovat.

Zálohování BIG-IP adresy

Při zřizování systému BIG-IP doporučujeme úplné zálohování konfigurace.

1. Přejděte na Systém>Archivy>Vytvořit.
2. Zadejte jedinečný název souboru.
3. Povolte šifrování pomocí přístupového hesla.
4. Nastavte možnost Privátní klíče na Zahrnout, aby se zálohovala zařízení a certifikáty SSL.
5. Vyberte Dokončeno.
6. Počkejte na dokončení procesu.
7. Zobrazí se zpráva s výsledky.
8. Vyberte OK.
9. Vyberte odkaz pro zálohování.
10. Uložte archiv konfigurační sady uživatelů (UCS) místně.
11. Vyberte položku Stáhnout.

Pomocí snímků Azure můžete vytvořit zálohu celého systémového disku. Tento nástroj poskytuje záložní řešení pro testování mezi verzemi TMOS nebo návrat k čerstvému systému.

# Install modules
Install-module Az
Install-module AzureVMSnapshots

# Authenticate to Azure
Connect-azAccount

# Set subscription by Id
Set-AzContext -SubscriptionId ‘<Azure_Subscription_ID>’

#Create Snapshot
New-AzVmSnapshot -ResourceGroupName '<E.g.contoso-RG>' -VmName '<E.g.BIG-IP-VM>'

#List Snapshots
#Get-AzVmSnapshot -ResourceGroupName ‘<E.g.contoso-RG>'

#Get-AzVmSnapshot -ResourceGroupName ‘<E.g.contoso-RG>' -VmName '<E.g.BIG-IP-VM>' | Restore-AzVmSnapshot -RemoveOriginalDisk 

Obnovení BIG-IP adresy

Obnovení BIG-IP je podobné procesu zálohování a může být použito k migraci konfigurací mezi virtuálními stroji BIG-IP. Před importem zálohy potvrďte podporované cesty upgradu.

1. Přejděte do Systému>Archivů.

• Vyberte záložní odkaz nebo
• Vyberte Nahrát a přejděte do uloženého archivu UCS, který není v seznamu.

2. Zadejte heslo zálohování.
3. vyberte Obnovit.

# Authenticate to Azure
Connect-azAccount

# Set subscription by Id
Set-AzContext -SubscriptionId ‘<Azure_Subscription_ID>’

#Restore Snapshot
Get-AzVmSnapshot -ResourceGroupName '<E.g.contoso-RG>' -VmName '<E.g.BIG-IP-VM>' | Restore-AzVmSnapshot

Poznámka:

V současné době může rutina AzVmSnapshot obnovit nejnovější snímek podle data. Snímky se ukládají v kořenovém adresáři skupiny prostředků virtuálního počítače. Obnovení snímků restartuje virtuální počítač Azure, proto se ujistěte, že je optimální časování úlohy.

Zdroje informací

• Resetování hesla BIG-IP VE v Azure
• Resetování hesla bez použití portálu
• Změna síťové karty používané ke správě BIG-IP VE
• O trasách v konfiguraci jedné síťové karty
• Microsoft Azure: Waagent

Další kroky

Vyberte scénář nasazení a spusťte implementaci.