Come distribuire F5 tra due istanze dell'hub di Azure Stack

Questo articolo illustra come configurare un servizio di bilanciamento del carico esterno in due ambienti dell'hub di Azure Stack. È possibile usare questa configurazione per gestire carichi di lavoro diversi. In questo articolo si distribuirà F5 come soluzione di bilanciamento del carico globale in due istanze indipendenti dell'hub di Azure Stack. Si distribuirà anche un'app Web con carico bilanciato in esecuzione in un server NGINX tra le due istanze. Verranno eseguite dietro una coppia di failover a disponibilità elevata di appliance virtuali F5.

I modelli di Azure Resource Manager sono disponibili nel repository GitHub f5-azurestack-gslb .

Panoramica del bilanciamento del carico con F5

L'hardware F5, il servizio di bilanciamento del carico, può essere esterno all'hub di Azure Stack e all'interno del data center che ospita l'hub di Azure Stack. L'hub di Azure Stack non ha una funzionalità nativa per bilanciare il carico dei carichi di lavoro tra due distribuzioni separate dell'hub di Azure Stack. L'edizione virtuale BIG-IP (VE) di F5 viene eseguita su entrambe le piattaforme. Questa configurazione supporta la parità tra le architetture dell'hub di Azure e Azure Stack tramite la replica dei servizi dell'applicazione di supporto. È possibile sviluppare un'app in un ambiente e spostarla in un'altra. È anche possibile eseguire il mirroring dell'intero hub di Azure Stack pronto per la produzione, incluse le stesse configurazioni BIG-IP, i criteri e i servizi dell'applicazione. L'approccio elimina la necessità di innumerevoli ore di refactoring e test delle applicazioni e consente di iniziare a scrivere codice.

La protezione delle applicazioni e dei relativi dati è spesso un problema per gli sviluppatori che spostano le app nel cloud pubblico. Non è necessario che questo sia il caso. È possibile creare un'app nell'ambiente hub di Azure Stack, mentre un progettista della sicurezza configura le impostazioni necessarie nel web application firewall (WAF) di F5. L'intero stack può essere replicato nell'hub di Azure Stack con la consapevolezza che l'applicazione sarà protetta dallo stesso WAF leader del settore. Con criteri e set di regole identici, non ci saranno problemi di sicurezza o vulnerabilità che potrebbero altrimenti essere generati usando waf diversi.

L'hub di Azure Stack ha un marketplace separato da Azure. Vengono aggiunti solo alcuni elementi. In questo caso, se si vuole creare un nuovo gruppo di risorse in ognuno degli hub di Azure Stack e distribuire l'appliance virtuale F5 già disponibile. Da qui si noterà che sarà necessario un indirizzo IP pubblico per consentire la connettività di rete tra entrambe le istanze dell'hub di Azure Stack. Essenzialmente, sono entrambe isole e l'IP pubblico consentirà loro di parlare in entrambe le posizioni.

Prerequisiti per BIG-IP VE

• Scaricare F5 BIG-IP VE - ALL (BYOL, 2 percorsi di avvio) in ogni Marketplace dell'hub di Azure Stack. Se non sono disponibili nel portale, contattare l'operatore cloud.

• È possibile trovare il modello di Azure Resource Manager nel repository GitHub seguente: https://github.com/Mikej81/f5-azurestack-gslb.

Distribuire F5 BIG-IP VE in ogni istanza

Eseguire la distribuzione nell'istanza dell'hub di Azure Stack A e nell'istanza B.

1. Accedere al portale utenti dell'hub di Azure Stack.

2. Selezionare + Crea una risorsa.

3. Cercare nel marketplace digitando F5.

4. Selezionare F5 BIG-IP VE - ALL (BYOL, 2 percorsi di avvio).

   

5. Nella parte inferiore della pagina successiva selezionare Crea.

   

6. Creare un nuovo gruppo di risorse denominato F5-GSLB.

7. Usare i valori seguenti come esempio per completare la distribuzione:

   

8. Verificare che la distribuzione venga completata correttamente.

   

   Nota

   Ogni distribuzione BIG-IP richiede circa 20 minuti.

Configurare appliance BIG-IP

Seguire questa procedura per l'hub di Azure Stack A e B.

1. Accedere al portale utenti dell'hub di Azure Stack nell'istanza dell'hub di Azure Stack A per esaminare le risorse create dalla distribuzione del modello BIG-IP.

   

2. Seguire le istruzioni in F5 per gli elementi di configurazione BIG-IP.

3. Configurare l'elenco di indirizzi IP wide BIG-IP per l'ascolto tra entrambe le appliance distribuite nell'istanza dell'hub di Azure Stack A e B. Per istruzioni, vedere Configurazione GTM BIG-IP.

4. Convalidare il failover di appliance BIG-IP. In un sistema di test configurare i server DNS per usare quanto segue:

   • Istanza dell'hub di Azure Stack A = f5stack1-ext indirizzo IP pubblico
   • Istanza dell'hub di Azure Stack B = f5stack1-ext indirizzo IP pubblico

5. Passare a www.contoso.com e il browser carica la pagina predefinita NGINX.

Creare un gruppo di sincronizzazione DNS

1. Abilitare l'account radice per stabilire l'attendibilità. Seguire le istruzioni riportate in Modifica delle password dell'account di manutenzione di sistema (11.x - 15.x). Dopo aver impostato l'attendibilità (scambio di certificati), disabilitare l'account radice.

2. Accedere a BIG-IP e creare un gruppo di sincronizzazione DNS. Per istruzioni, vedere Creazione di un gruppo di sincronizzazione DNS BIG-IP.

   Nota

   È possibile trovare l'indirizzo IP locale dell'appliance BIP-IP nel gruppo di risorse F5-GSLB . L'interfaccia di rete è "f5stack1-ext" e si vuole connettersi all'indirizzo IP pubblico o privato (a seconda dell'accesso).

   

   

3. Selezionare il nuovo gruppo di risorse F5-GSLB e selezionare la macchina virtuale f5stack1 in Impostazioni selezionare Rete.

Configurazioni post-installazione

Dopo aver installato, è necessario configurare i gruppi di sicurezza di rete dell'hub di Azure Stack e bloccare gli indirizzi IP di origine.

1. Disabilitare la porta 22 dopo aver stabilito il trust.

2. Quando il sistema è online, bloccare i gruppi di sicurezza di rete di origine. Il gruppo di sicurezza di rete di gestione deve essere bloccato nell'origine di gestione, il gruppo di sicurezza di rete esterno (4353/TCP) deve essere bloccato nell'altra istanza per la sincronizzazione. 443 deve essere bloccato anche fino a quando non vengono distribuite le applicazioni con server virtuali.

3. GTM_DNS Regola è impostata per consentire il traffico della porta 53 (DNS) e il sistema di risoluzione BIG-IP inizierà a funzionare una sola volta. I listener vengono creati.

   

4. Distribuire un carico di lavoro di applicazione Web di base nell'ambiente dell'hub di Azure Stack in Bilanciamento del carico dietro BIG-IP. È possibile trovare un esempio per l'uso del server NGNIX in Deploying NGINX and NGINX Plus on Docker (Distribuzione di NGINX e NGINX Plus in Docker).

   Nota

   Distribuire un'istanza di NGNIX nell'hub di Azure Stack A e nell'hub di Azure Stack B.

5. Dopo la distribuzione di NGINX in un contenitore Docker in una macchina virtuale Ubuntu all'interno di ognuna delle istanze dell'hub di Azure Stack, verificare che sia possibile raggiungere la pagina Web predefinita nei server.

   

6. Accedere all'interfaccia di gestione dell'appliance BIG-IP. In questo esempio usare l'indirizzo IP pubblico f5-stack1-ext .

   

7. Pubblicare l'accesso a NGINX tramite BIG-IP.

   • In questa attività si configurerà BIG-IP con un server virtuale e un pool per consentire l'accesso Internet in ingresso all'applicazione WordPress. Prima di tutto è necessario identificare l'indirizzo IP privato per l'istanza NGINX.

8. Accedere al portale utenti dell'hub di Azure Stack.

9. Selezionare l'interfaccia di rete NGINX.

   

10. Dalla console BIG-IP passare all'elenco Pool di > pool di traffico > locali e selezionare +. Configurare il pool usando i valori nella tabella. Lasciare i valori predefiniti per tutti gli altri campi.

    

    Chiave	valore
    Nome	NGINX_Pool
    Health Monitor	HTTPS
    Nome nodo	NGINX
    Address	<indirizzo IP privato NGINX>
    Porta del servizio	443

11. Selezionare Completato. Se configurato correttamente, lo stato del pool è verde.

    

    È ora necessario configurare il server virtuale. A tale scopo, è prima necessario trovare l'INDIRIZZO IP privato del big-IP F5.

12. Dalla console BIG-IP passare a Indirizzi IP di rete > e prendere nota dell'indirizzo IP.

    

13. Creare un server virtuale passando all'elenco Server>virtuali del traffico>locale e selezionare .+ Configurare il pool usando i valori nella tabella. Lasciare i valori predefiniti per tutti gli altri campi.

    Chiave	valore
    Nome	NGINX
    Indirizzo di destinazione	<Indirizzo IP self-ip del BIG-IP>
    Porta del servizio	443
    Profilo SSL (client)	clientssl
    Traduzione degli indirizzi di origine	Auto Map (Mapping automatico)

    

    

14. La configurazione BIG-IP per l'applicazione NGINX è stata completata. Per verificare le funzionalità appropriate, esplorare il sito e verificare le statistiche F5.

15. Aprire un browser per https://<F5-public-VIP-IP> e assicurarsi che visualizzi la pagina predefinita di NGINX.

    

16. Controllare ora le statistiche del server virtuale per verificare il flusso del traffico passando a Statistiche Modulo Statistiche > > Traffico locale.

17. In Tipo di statistiche selezionare Server virtuali.

    

Ulteriori informazioni

È possibile trovare alcuni articoli di riferimento sull'uso di F5:

• Servizi di disponibilità dei data center con DNS BIG-IP
• Distribuzione del sistema BIG-IP con applicazioni HTTP
• Creazione di un indirizzo IP wide per GSLB

Passaggi successivi

Differenze e considerazioni per la rete dell'hub di Azure Stack