Tutoriel : Migrer un cluster WebLogic Server vers Azure avec Azure Application Gateway en tant qu’équilibreur de charge

Ce tutoriel vous guide tout au long du processus de déploiement de WebLogic Server (WLS) avec Azure Application Gateway. Il décrit les étapes spécifiques de création d’un coffre de clés, le stockage d’un certificat TLS/SSL dans le coffre de clés et l’utilisation de ce certificat pour l’arrêt TLS/SSL. Bien que tous ces éléments soient bien documentés dans leur propre droit, ce tutoriel montre la façon spécifique de tous ces éléments de se réunir pour créer une solution d’équilibrage de charge simple et puissante pour WLS sur Azure.

L’équilibrage de charge est un élément essentiel de la migration de votre cluster Oracle WebLogic Server vers Azure. La solution la plus simple consiste à utiliser la prise en charge intégrée pour Azure Application Gateway. App Gateway est inclus dans le cadre de la prise en charge du cluster WebLogic sur Azure. Pour obtenir une vue d’ensemble de la prise en charge du cluster WebLogic sur Azure, consultez Qu’est-ce qu’Oracle WebLogic Server sur Azure ?.

Dans ce tutoriel, vous allez apprendre à :

• Choisir comment fournir le certificat TLS/SSL à App Gateway
• Déployer WebLogic Server avec Azure Application Gateway sur Azure
• Valider le déploiement réussi de WLS et App Gateway

Conditions préalables

• OpenSSL sur un ordinateur exécutant un environnement de ligne de commande de type UNIX.

  Bien qu’il existe d’autres outils disponibles pour la gestion des certificats, ce didacticiel utilise OpenSSL. Vous pouvez trouver OpenSSL groupé avec de nombreuses distributions GNU/Linux, telles que Ubuntu.

• Un abonnement Azure actif.

  • Si vous n’avez pas d’abonnement Azure, créer un compte gratuit.

• La possibilité de déployer l’une des applications Azure WLS répertoriées dans Oracle WebLogic Server Azure Applications.

Contexte de migration

Voici quelques éléments à prendre en compte pour migrer des installations WLS locales et Azure Application Gateway. Bien que les étapes de ce didacticiel soient le moyen le plus simple de mettre en place un équilibreur de charge devant votre cluster WebLogic Server sur Azure, il existe de nombreuses autres façons de le faire. Cette liste présente d’autres éléments à prendre en compte.

• Si vous disposez d’une solution d’équilibrage de charge existante, vérifiez que ses fonctionnalités sont remplies ou dépassées par Azure Application Gateway. Pour obtenir un résumé des fonctionnalités d’Azure Application Gateway par rapport à d’autres solutions d’équilibrage de charge Azure, consultez Vue d’ensemble des options d’équilibrage de charge dans Azure.
• Si votre solution d’équilibrage de charge existante offre une protection de sécurité contre les attaques et vulnérabilités courantes, Application Gateway vous a couvert. Le pare-feu d’applications web (WAF) intégré d’Application Gateway implémente les ensembles de règles de base OWASP (Open Web Application Security Project). Pour plus d’informations sur la prise en charge de WAF dans Application Gateway, consultez la section Pare-feu d’applications web dans Fonctionnalités d’Azure Application Gateway.
• Si votre solution d’équilibrage de charge existante nécessite un chiffrement TLS/SSL de bout en bout, vous devez effectuer une configuration supplémentaire après avoir suivi les étapes décrites dans ce guide. Consultez la section Chiffrement TLS de bout en bout de Présentation de la terminaison TLS et du chiffrement TLS de bout en bout avec Application Gateway et la documentation Oracle relative à la configuration de SSL dans Oracle Fusion Middleware.
• Si vous optimisez le cloud, ce guide vous montre comment commencer à partir de zéro avec Azure App Gateway et WLS.
• Pour obtenir une enquête complète sur la migration de WebLogic Server vers des machines virtuelles Azure, consultez Migrer des applications WebLogic Server vers des machines virtuelles Azure.

Déployer WebLogic Server avec Application Gateway sur Azure

Cette section vous montre comment provisionner un cluster WLS avec Azure Application Gateway automatiquement créé en tant qu’équilibreur de charge pour les nœuds de cluster. Application Gateway utilisera le certificat TLS/SSL fourni pour l’arrêt TLS/SSL. Pour plus d’informations sur l’arrêt TLS/SSL avec Application Gateway, consultez Vue d’ensemble de l’arrêt TLS et du protocole TLS de bout en bout avec Application Gateway.

Pour créer le cluster WLS et Application Gateway, procédez comme suit.

Commencez tout d’abord par commencer le processus de déploiement d’un cluster WebLogic Server configuré ou dynamique, comme décrit dans la documentation Oracle, mais revenez à cette page lorsque vous atteignez Azure Application Gateway, comme illustré ici.

Choisir comment fournir le certificat TLS/SSL à App Gateway

Vous avez plusieurs options pour fournir le certificat TLS/SSL à la passerelle d’application, mais vous ne pouvez en choisir qu’une. Cette section explique chaque option pour vous permettre de choisir la meilleure option pour votre déploiement.

Option 1 : Charger un certificat TLS/SSL

Cette option convient aux charges de travail de production où App Gateway fait face à l’Internet public ou aux charges de travail intranet qui nécessitent TLS/SSL. En choisissant cette option, un coffre de clés Azure est automatiquement approvisionné pour contenir le certificat TLS/SSL utilisé par la passerelle App Gateway.

Pour charger un certificat TLS/SSL existant, signé, procédez comme suit :

1. Suivez les étapes de votre émetteur de certificat pour créer un certificat TLS/SSL protégé par mot de passe et spécifier le nom DNS du certificat. Comment choisir entre un certificat wildcard et un certificat à nom unique est hors du champ de ce document. L’une ou l’autre travaillera ici.
2. Exportez le certificat à partir de votre émetteur à l’aide du format de fichier PFX et téléchargez-le sur votre ordinateur local. Si votre émetteur ne prend pas en charge l’exportation en tant que PFX, les outils existent pour convertir de nombreux formats de certificat au format PFX.
3. Sélectionnez la section Azure Application Gateway .
4. En regard de Se connecter à Azure Application Gateway, sélectionnez Oui.
5. Sélectionnez Charger un certificat SSL.
6. Sélectionnez l’icône de l'explorateur de fichiers pour le champ certificat SSL. Accédez au certificat de format PFX téléchargé et sélectionnez Ouvrir.
7. Entrez le mot de passe du certificat dans les zones Mot de passe et Confirmer le mot de passe.
8. Indiquez si le trafic public doit être refusé directement aux nœuds des serveurs managés. Si vous sélectionnez Oui, les serveurs managés ne sont accessibles que par le biais de la passerelle App Gateway.

Sélectionner la configuration DNS

Les certificats TLS/SSL sont associés à un nom de domaine DNS au moment où ils sont émis par l’émetteur de certificat. Suivez les étapes décrites dans cette section pour configurer le déploiement avec le nom DNS du certificat. Vous pouvez utiliser une zone DNS que vous avez déjà créée ou autoriser le déploiement à en créer un pour vous. Sélectionnez la section configuration DNS pour continuer.

Utiliser une zone Azure DNS existante

Pour utiliser une zone Azure DNS existante avec App Gateway, procédez comme suit :

1. À côté de Configurer un alias DNS personnalisé, sélectionnez Oui.
2. En regard de Utiliser une zone Azure DNS existante sélectionnez Oui.
3. Entrez le nom de la zone Azure DNS à côté de nom de zone DNS.
4. Entrez le groupe de ressources qui contient la zone Azure DNS de l’étape précédente.

Autoriser le déploiement à créer une zone Azure DNS

Pour créer une zone Azure DNS à utiliser avec App Gateway, procédez comme suit :

1. En regard de Configurer un alias DNS personnalisé, sélectionnez Oui.
2. En regard de Utiliser une zone Azure DNS existante, sélectionnez Non.
3. Entrez le nom de la zone DNS Azure à côté de Nom de Zone DNS. Une nouvelle zone DNS sera créée dans le même groupe de ressources que WLS.

Enfin, spécifiez les noms des zones DNS enfants. Le déploiement crée deux zones DNS enfants à utiliser avec WLS : une pour la console d’administration et une pour app Gateway. Par exemple, si nom de zone DNS était contoso.net, vous pouvez entrer administrateur et application comme valeurs. La console d’administration serait disponible à admin.contoso.net et la passerelle d’application serait disponible à app.contoso.net. N’oubliez pas de configurer la délégation DNS comme décrit dans délégation de zones DNS avec azure DNS.

Une capture d’écran

Les autres options permettant de fournir un certificat TLS/SSL à App Gateway sont détaillées dans les sections suivantes. Si vous êtes satisfait de votre option choisie, vous pouvez passer à la section Continuer avec le déploiement.

Option 2 : Identifier un coffre de clés Azure

Cette option convient pour les charges de travail de production ou de non-production, en fonction du certificat TLS/SSL fourni. Si vous ne souhaitez pas que le déploiement crée un coffre de clés Azure, vous pouvez identifier un coffre existant ou en créer un vous-même. Cette option vous oblige à stocker le certificat et son mot de passe dans Azure Key Vault avant de continuer. Si vous disposez d’un coffre de clés existant que vous souhaitez utiliser, passez à la section Créer un certificat TLS/SSL. Sinon, passez à la section suivante.

Créer un coffre de clés Azure

Cette section montre comment utiliser le portail Azure pour créer un coffre de clés Azure.

1. Dans le menu du portail Azure ou dans la page Accueil, sélectionnez Créer une ressource.
2. Dans la zone de recherche, entrez Key Vault.
3. Dans la liste des résultats, choisissez Key Vault.
4. Dans la section Key Vault, choisissez Créer.
5. Dans la section Créer un coffre de clés, renseignez les informations suivantes :
   • Abonnement: Choisissez un abonnement.
   • Sous Groupe de ressources, sélectionnez Créer et entrez le nom du groupe de ressources. Notez le nom du coffre de clés. Vous en aurez besoin ultérieurement lors du déploiement de WLS.
   • nom du coffre de clés: un nom unique est requis. Notez le nom du coffre de clés. Vous en aurez besoin ultérieurement lors du déploiement de WLS.

   Remarque

   Vous pouvez utiliser le même nom pour groupe de ressources et nom du coffre de clés.

   • Dans le menu déroulant Emplacement, choisissez un emplacement.
   • Conservez les autres options par défaut.
6. Sélectionnez Suivant : Stratégie d’accès.
7. Sous Activer l’accès à, sélectionnez Azure Resource Manager pour le déploiement de modèles.
8. Sélectionnez Vérifier + créer.
9. Sélectionnez Créer.

La création d’un coffre de clés est relativement simple et se fait généralement en moins de deux minutes. Une fois le déploiement terminé, sélectionnez Accéder à la ressource et passez à la section suivante.

Créer un certificat TLS/SSL

Cette section montre comment créer un certificat TLS/SSL auto-signé dans un format adapté à une utilisation par Application Gateway déployée avec WebLogic Server sur Azure. Le certificat doit avoir un mot de passe non vide. Si vous disposez déjà d’un certificat TLS/SSL avec mot de passe non vide valide au format .pfx, vous pouvez ignorer cette section et passer à la suivante. Si votre certificat TLS/SSL de mot de passe valide et non vide n’est pas au format .pfx, commencez par le convertir en fichier .pfx avant de passer à la section suivante. Sinon, ouvrez un interpréteur de commandes et entrez les commandes suivantes.

Remarque

Cette section montre comment encoder le certificat en base 64 avant de le stocker en tant que secret dans le coffre de clés. Cela est requis par le déploiement Azure sous-jacent qui crée webLogic Server et Application Gateway.

Pour créer et encoder le certificat en base 64, procédez comme suit :

1. Créer un RSA PRIVATE KEY

   openssl genrsa 2048 > private.pem
   

2. Créez une clé publique correspondante.

   openssl req -x509 -new -key private.pem -out public.pem
   

   Vous devrez répondre à plusieurs questions lorsque vous y êtes invité par l’outil OpenSSL. Ces valeurs seront incluses dans le certificat. Ce didacticiel utilise un certificat auto-signé. Par conséquent, les valeurs ne sont pas pertinentes. Les valeurs littérales suivantes sont correctes.

   1. Pour nom du pays, entrez un code de deux lettres.
   2. For Nom de l’État ou de la province, entrez WA.
   3. Pour Nom de l’organisation, entrez Contoso. Pour Nom de l’unité d’organisation, entrez facturation.
   4. Pour Nom commun, entrez Contoso.
   5. Pour Adresse e-mail, entrez billing@contoso.com.

3. Exporter le certificat en tant que fichier .pfx

   openssl pkcs12 -export -in public.pem -inkey private.pem -out mycert.pfx
   

   Entrez le mot de passe deux fois. Notez le mot de passe. Vous en aurez besoin ultérieurement lors du déploiement de WLS.

4. Encoder en base 64 le fichier mycert.pfx

   base64 mycert.pfx > mycert.txt
   

Maintenant que vous disposez d’un coffre de clés et d’un certificat TLS/SSL valide avec un mot de passe non vide, vous pouvez stocker le certificat dans le coffre de clés.

Stocker le certificat TLS/SSL dans le coffre de clés

Cette section montre comment stocker le certificat et son mot de passe dans le coffre de clés créé dans les sections précédentes.

Pour stocker le certificat, procédez comme suit :

1. À partir du portail Azure, placez le curseur dans la barre de recherche en haut de la page et tapez le nom du coffre de clés que vous avez créé précédemment dans le didacticiel.
2. Votre coffre de clés (Key Vault) devrait apparaître sous la rubrique Ressources. Sélectionnez-le.
3. Dans la section Paramètres, sélectionnez Secrets.
4. Sélectionnez Générer/Importer.
5. Sous Options de chargement, conservez la valeur par défaut.
6. Sous Nom, saisissez myCertSecretData, ou le nom de votre choix.
7. Sous valeur, entrez le contenu du fichier mycert.txt. La longueur de la valeur et la présence de lignes nouvelles ne sont pas un problème pour le champ de texte.
8. Conservez les valeurs restantes par défaut et sélectionnez Créer.

Pour stocker le mot de passe du certificat, procédez comme suit :

1. Vous êtes retourné à la page Secrets. Sélectionnez Générer/Importer.
2. Sous Options de chargement, conservez la valeur par défaut.
3. Sous Nom, saisissez myCertSecretPassword, ou le nom de votre choix.
4. Sous valeur, entrez le mot de passe du certificat.
5. Conservez les valeurs restantes par défaut et sélectionnez Créer.
6. Vous êtes retourné à la page Secrets.

Identifier le Key Vault

Maintenant que vous disposez d’un coffre de clés avec un certificat TLS/SSL signé et son mot de passe stocké en tant que secrets, revenez à la section Azure Application Gateway pour identifier le coffre de clés pour le déploiement.

capture d’écran

1. Sous nom du groupe de ressources dans l’abonnement actuel contenant le coffre de clés, entrez le nom du groupe de ressources contenant le coffre de clés que vous avez créé précédemment.
2. Sous Nom du coffre de clés Azure Key Vault contenant des secrets pour le certificat de la terminaison SSL, entrez le nom du coffre de clés.
3. Sous , entrez le nom du secret dans le coffre de clés spécifié, dont la valeur est les données du certificat SSL, ou saisissez myCertSecretData, selon le nom que vous avez utilisé précédemment.
4. Sous Le nom du secret dans le coffre de clés spécifié dont la valeur est le mot de passe du certificat SSL, entrez myCertSecretData, ou quel que soit le nom que vous avez entré précédemment.
5. Sélectionnez Vérifier + créer.
6. Sélectionnez Créer. Cette opération effectue une validation que le certificat peut être obtenu à partir du coffre de clés et que son mot de passe correspond à la valeur que vous avez stockée pour le mot de passe dans le coffre de clés. Si cette étape de validation échoue, passez en revue les propriétés du coffre de clés, vérifiez que le certificat a été entré correctement et que le mot de passe a été entré correctement.
7. Lorsque vous voyez Validation réussie, sélectionnez Créer.

Cela démarre le processus de création du cluster WLS et de sa passerelle Application Gateway frontale, ce qui peut prendre environ 15 minutes. Une fois le déploiement terminé, sélectionnez Accéder au groupe de ressources. Dans la liste des ressources du groupe de ressources, sélectionnez myAppGateway.

La dernière option permettant de fournir un certificat TLS/SSL à App Gateway est détaillée dans la section suivante. Si vous êtes satisfait de votre option choisie, vous pouvez passer à la section Continuer avec le déploiement.

Option 3 : Générer un certificat auto-signé

Cette option convient uniquement aux déploiements de test et de développement. Avec cette option, azure Key Vault et un certificat auto-signé sont créés automatiquement et le certificat est fourni à App Gateway.

Pour demander au déploiement d’effectuer ces actions, procédez comme suit :

1. Dans la section Azure Application Gateway, sélectionnez Générer un certificat auto-signé.
2. Sélectionnez une identité gérée assignée par l’utilisateur. Cela est nécessaire pour permettre au déploiement de créer azure Key Vault et le certificat.
3. Si vous n’avez pas encore d’identité managée affectée par l’utilisateur, sélectionnez Ajouter pour commencer le processus de création d’une identité managée.
4. Pour créer une identité managée affectée par l’utilisateur, suivez les étapes décrites dans la Créer une identité managée affectée par l’utilisateur section de Créer, lister, supprimer ou attribuer un rôle à une identité managée affectée par l’utilisateur à l’aide du portail Azure. Une fois que vous avez sélectionné l’identité managée affectée par l’utilisateur, vérifiez que la case à cocher en regard de l’identité managée affectée par l’utilisateur est cochée.

Poursuivre le déploiement

Vous pouvez maintenant continuer avec les autres aspects du déploiement WLS, comme décrit dans la documentation Oracle.

Valider le déploiement réussi de WLS et App Gateway

Cette section présente une technique permettant de valider rapidement le déploiement réussi du cluster WLS et d’Application Gateway.

Si vous avez sélectionné Accéder au groupe de ressources, puis myAppGateway à la fin de la section précédente, vous allez examiner la page vue d’ensemble de l’Application Gateway. Si ce n’est pas le cas, vous pouvez trouver cette page en tapant myAppGateway dans la zone de texte en haut du portail Azure, puis en sélectionnant celle qui s’affiche. Veillez à sélectionner celui du groupe de ressources que vous avez créé pour le cluster WLS. Effectuez ensuite les étapes suivantes.

1. Dans le volet gauche de la page de vue d’ensemble de myAppGateway, faites défiler jusqu’à la section Surveillance, puis sélectionnez État de santédu serveur principal.
2. Lorsque le message de chargement disparaît, vous devez voir un tableau au milieu de l’écran affichant les nœuds de votre cluster configurés en tant que nœuds dans le pool principal.
3. Vérifiez que l’état de chaque nœud indique Sain.

Nettoyer les ressources

Si vous ne souhaitez pas continuer à utiliser le cluster WLS, supprimez le coffre de clés et le cluster WLS en procédant comme suit :

1. Visitez la page vue d’ensemble de myAppGateway comme indiqué dans la section précédente.
2. En haut de la page, sous le texte groupe de ressources, sélectionnez le groupe de ressources.
3. Sélectionnez Supprimer le groupe de ressources.
4. Le focus d’entrée se trouve sur le champ nommé ENTRER LE NOM DU GROUPE DE RESSOURCES. Tapez le nom du groupe de ressources comme demandé.
5. Cela entraîne l’activation du bouton Supprimer. Sélectionnez le bouton Supprimer. Cette opération prend un certain temps, mais vous pouvez passer à l’étape suivante pendant le traitement de la suppression.
6. Recherchez le coffre de clés en suivant la première étape de la section Stocker le certificat TLS/SSL dans le coffre de clés.
7. Sélectionnez Supprimer.
8. Sélectionnez Supprimer dans le volet qui s’affiche.

Étapes suivantes

Continuez à explorer les options permettant d’exécuter WLS sur Azure.

En savoir plus sur Oracle WebLogic Server sur Azure