Condividi tramite

Esercitazione: Eseguire la migrazione di un cluster WebLogic Server ad Azure con Azure Application Gateway come bilanciatore del carico

  • Articolo

Questa esercitazione illustra il processo di distribuzione di WebLogic Server (WLS) con Azure Application Gateway. Vengono illustrati i passaggi specifici per la creazione di un Key Vault, l'archiviazione di un certificato TLS/SSL nel Key Vault e l'uso di tale certificato per la terminazione TLS/SSL. Anche se tutti questi elementi sono ben documentati in modo autonomo, questa esercitazione illustra il modo specifico in cui tutti questi elementi si riuniscono per creare una soluzione di bilanciamento del carico semplice ma potente per WLS in Azure.

Diagramma che mostra la relazione tra WLS, Gateway app e Key Vault.

Il bilanciamento del carico è una parte essenziale della migrazione del cluster Oracle WebLogic Server ad Azure. La soluzione più semplice consiste nell'usare il supporto predefinito per Application Gateway di Azure. App Gateway è incluso come parte del supporto del WebLogic Cluster in Azure. Per una panoramica del supporto di WebLogic Cluster in Azure, vedere Che cos'è Oracle WebLogic Server in Azure?.

In questa esercitazione si apprenderà come:

  • Scegliere come fornire il certificato TLS/SSL al gateway app
  • Distribuire WebLogic Server con Azure Application Gateway in Azure
  • Convalidare la corretta distribuzione di WLS e Gateway App

Prerequisiti

  • OpenSSL in un computer che esegue un ambiente della riga di comando simile a UNIX.

    Anche se potrebbero essere disponibili altri strumenti per la gestione dei certificati, questa esercitazione usa OpenSSL. È possibile trovare OpenSSL in bundle con molte distribuzioni GNU/Linux, ad esempio Ubuntu.

  • Una sottoscrizione di Azure attiva.

  • La possibilità di distribuire una delle applicazioni di Azure WLS elencate in Oracle WebLogic Server Azure Applications.

Contesto di migrazione

Ecco alcuni aspetti da considerare sulla migrazione delle installazioni di WLS on-premise e dell'Application Gateway di Azure. Sebbene i passaggi di questa esercitazione siano il modo più semplice per configurare un bilanciamento del carico di fronte al tuo cluster WebLogic Server su Azure, esistono molti altri modi per farlo. Questo elenco mostra altre cose da considerare.

  • Se si dispone di una soluzione di bilanciamento del carico esistente, assicuratevi che le relative funzionalità vengano soddisfatte o superate dal Gateway Applicazione di Azure. Per un riepilogo delle funzionalità di Azure Application Gateway rispetto a quelle delle altre soluzioni di bilanciamento del carico di Azure, vedere Panoramica sulle opzioni di bilanciamento del carico in Azure.
  • Se la tua soluzione di bilanciamento del carico esistente fornisce protezione di sicurezza da exploit e vulnerabilità comuni, il gateway applicativo ti offre copertura. Il Web Application Firewall (WAF) integrato del gateway dell'applicazione implementa i set di regole fondamentali OWASP (Open Web Application Security Project). Per ulteriori informazioni sul supporto WAF nell'Application Gateway, vedere la sezione Web Application Firewall di Funzionalità del Azure Application Gateway.
  • Se la soluzione di bilanciamento del carico esistente richiede la crittografia TLS/SSL end-to-end, sarà necessario eseguire una configurazione aggiuntiva dopo aver seguito i passaggi descritti in questa guida. Vedere la sezione crittografia TLS end-to-end di Panoramica della terminazione TLS e TLS end-to-end con Application Gateway e la documentazione di Oracle su Configurazione di SSL in Oracle Fusion Middleware.
  • Se si sta ottimizzando per il cloud, questa guida illustra come iniziare da zero con Gateway app di Azure e WLS.
  • Per un sondaggio completo sulla migrazione di WebLogic Server a macchine virtuali di Azure, vedere Eseguire la migrazione di applicazioni WebLogic Server alle macchine virtuali di Azure.

Distribuire WebLogic Server con Application Gateway in Azure

Questa sezione mostra come effettuare il provisioning di un cluster WLS con Application Gateway di Azure, creato automaticamente come bilanciatore del carico per i nodi del cluster. Il gateway applicativo userà il certificato TLS/SSL fornito per la terminazione TLS/SSL. Per informazioni dettagliate sulla terminazione TLS/SSL con Application Gateway, vedere Panoramica della terminazione TLS e del TLS end-to-end con Application Gateway.

Per creare il cluster WLS e il gateway applicazioni, seguire i seguenti passaggi.

Innanzitutto, avviare il processo di distribuzione di un cluster configurato o dinamico di WebLogic Server, come descritto nella documentazione di Oracle, quindi tornare a questa pagina quando si raggiunge Azure Application Gateway, come illustrato di seguito.

screenshot del portale Azure che mostra il gateway applicativo di Azure.

Scegliere come fornire il certificato TLS/SSL al gateway app

Sono disponibili diverse opzioni per fornire il certificato TLS/SSL al gateway dell'applicazione, ma può sceglierne solo una. Questa sezione illustra ogni opzione in modo da poter scegliere quella migliore per la distribuzione.

Opzione 1: Caricare un certificato TLS/SSL

Questa opzione è adatta ai carichi di lavoro di produzione in cui il gateway app affronta la rete Internet pubblica o per i carichi di lavoro Intranet che richiedono TLS/SSL. Scegliendo questa opzione, viene eseguito automaticamente il provisioning di un Azure Key Vault per contenere il certificato TLS/SSL usato dall'App Gateway.

Per caricare un certificato TLS/SSL esistente firmato, seguire questa procedura:

  1. Seguire i passaggi dell'autorità di certificazione per creare un certificato TLS/SSL protetto da password e specificare il nome DNS per il certificato. Come scegliere un certificato wildcard rispetto a un certificato a nome singolo non rientra nell'ambito di questo documento. Qualsiasi delle due andrà bene qui.
  2. Esportare il certificato dall'autorità emittente usando il formato di file PFX e scaricarlo nel computer locale. Se l'autorità emittente non supporta l'esportazione come PFX, esistono strumenti per convertire molti formati di certificato in formato PFX.
  3. Selezionare la sezione Gateway Applicazione di Azure.
  4. Accanto a Azure Application Gateway, selezionare .
  5. Selezionare Caricare un certificato SSL.
  6. Selezionare l'icona del browser file per il campo certificato SSL. Accedere al certificato in formato PFX scaricato e selezionare Apri.
  7. Immettere la password per il certificato nelle caselle Password e Conferma password.
  8. Scegliere se negare o meno il traffico pubblico direttamente ai nodi dei server gestiti. Se si seleziona , i server gestiti saranno accessibili solo attraverso l'App Gateway.

Selezionare Configurazione DNS

I certificati TLS/SSL sono associati a un nome di dominio DNS al momento in cui vengono rilasciati dall'emittente del certificato. Seguire la procedura descritta in questa sezione per configurare la distribuzione con il nome DNS per il certificato. È possibile usare una zona DNS già creata o consentire la distribuzione per crearne una automaticamente. Selezionare la sezione Configurazione DNS per continuare.

Usare una zona DNS di Azure esistente

Per usare una zona DNS di Azure esistente con il gateway app, seguire questa procedura:

  1. Accanto a Configura alias DNS personalizzato, seleziona .
  2. Accanto a Usare una zona DNS di Azure esistente selezionare .
  3. Immettere il nome della zona DNS di Azure accanto a Nome zona DNS.
  4. Immettere il gruppo di risorse che contiene la zona DNS di Azure del passaggio precedente.

Consentire alla distribuzione di creare una nuova zona DNS di Azure

Per creare una zona DNS di Azure da usare con il gateway app, seguire questa procedura:

  1. Accanto a Configura alias DNS personalizzato, selezionare .
  2. Accanto a Usa una zona DNS di Azure esistente, seleziona No.
  3. Immettere il nome della zona DNS di Azure accanto a nome zona DNS. Verrà creata una nuova zona DNS nello stesso gruppo di risorse di WLS.

Infine, specificare i nomi delle zone DNS figlio. La distribuzione creerà due zone DNS secondarie da utilizzare con WLS: una per la console di amministrazione e una per il Gateway delle applicazioni. Ad esempio, se nome zona DNS è stato contoso.net, è possibile inserire amministratore e app come valori. La console di amministrazione sarà disponibile in admin.contoso.net e il gateway app sarà disponibile in app.contoso.net. Non dimenticare di configurare la delega DNS come descritto in Delega delle zone DNS con Azure DNS.

screenshot del portale di Azure che mostra i campi per le zone DNS figlie.

Le altre opzioni per fornire un certificato TLS/SSL al gateway app sono descritte in dettaglio nelle sezioni seguenti. Se siete soddisfatti dell'opzione scelta, potete passare alla sezione Continuare con la distribuzione.

Opzione due: Identificare un Azure Key Vault

Questa opzione è adatta per carichi di lavoro di produzione o non di produzione, a seconda del certificato TLS/SSL fornito. Se non si vuole che la distribuzione crei un Azure Key Vault, è possibile identificarne uno esistente oppure crearne uno da sé. Questa opzione richiede di archiviare il certificato e la relativa password in Azure Key Vault prima di continuare. Se hai un Key Vault esistente che vuoi usare, passa alla sezione Crea un certificato TLS/SSL. In caso contrario, continuare con la sezione successiva.

Creare un Azure Key Vault

Questa sezione illustra come usare il portale di Azure per creare un Azure Key Vault.

  1. Nel menu del portale di Azure o nella pagina Home selezionare Crea una risorsa.
  2. Nella casella di ricerca, inserisci Key Vault.
  3. Nell'elenco dei risultati scegliere Key Vault.
  4. Nella sezione Key Vault, scegli Crea.
  5. Nella sezione Crea un Key Vault, specificare le informazioni seguenti:
    • Sottoscrizione: Scegliere una sottoscrizione.
    • In gruppo di risorsescegliere Crea nuovo e immettere un nome di gruppo di risorse. Prendere nota del nome del Key Vault. Avrai bisogno di questo più tardi durante la distribuzione di WLS.
    • Nome della cassetta delle chiavi: è necessario un nome univoco. Prendere nota del nome del key vault. Sarà necessario successivamente durante la distribuzione di WLS.

    Nota

    È possibile usare lo stesso nome sia per il Gruppo di risorse che per il Key Vault.

    • Nel menu a discesa Posizione selezionare una posizione.
    • Lascia le altre opzioni nelle loro impostazioni predefinite.
  6. selezionare Avanti: Criteri di accesso.
  7. In Abilita l'accesso a, seleziona Azure Resource Manager per la distribuzione dei modelli.
  8. Selezionare Rivedi e crea.
  9. Selezionare Crea.

La creazione del Key Vault è piuttosto veloce, in genere si completa in meno di due minuti. Al termine della distribuzione, selezionare Vai alla risorsa e seguire la sezione successiva.

Creare un certificato TLS/SSL

Questa sezione illustra come creare un certificato TLS/SSL autofirmato in un formato adatto per l'uso da parte di Application Gateway implementato con WebLogic Server in Azure. Il certificato deve avere una password non vuota. Se disponi già di un certificato TLS/SSL con password valida e non vuota in formato .pfx, puoi ignorare questa sezione e passare alla successiva. Se il vostro certificato TLS/SSL esistente, valido e non vuoto, non è nel formato .pfx, convertilo prima in un file .pfx prima di passare alla sezione successiva. In caso contrario, aprire una shell dei comandi e inserire i seguenti comandi.

Nota

Questa sezione illustra come codificare in base 64 il certificato prima di archiviarlo come segreto nel Key Vault. Questa operazione è necessaria per la distribuzione sottostante di Azure che crea il WebLogic Server e l'Application Gateway.

Seguire questa procedura per creare e codificare il certificato in base 64:

  1. Crea un RSA PRIVATE KEY

    openssl genrsa 2048 > private.pem

  2. Creare una chiave pubblica corrispondente.

    openssl req -x509 -new -key private.pem -out public.pem

    Sarà necessario rispondere a diverse domande quando richiesto dallo strumento OpenSSL. Questi valori verranno inclusi nel certificato. Questa esercitazione usa un certificato autofirmato, pertanto i valori sono irrilevanti. I valori letterali seguenti sono validi.

    1. Per Nome del paese, immettere un codice di due lettere.
    2. Per Nome dello stato o della provincia, inserire WA.
    3. Per Nome organizzazione, immettere Contoso. Per Nome unità organizzativa immettere fatturazione.
    4. Per Nome comune, inserire Contoso.
    5. Per Indirizzo di posta elettronica, immettere billing@contoso.com.

  3. Esportare il certificato come file .pfx

    openssl pkcs12 -export -in public.pem -inkey private.pem -out mycert.pfx

    Immettere la password due volte. Prendere nota della password. Ne avrai bisogno in un secondo momento durante la distribuzione di WLS.

  4. Codificare in base 64 il file mycert.pfx

    base64 mycert.pfx > mycert.txt

Ora che si dispone di un Key Vault e di un certificato TLS/SSL valido con una password non vuota, è possibile archiviare il certificato nel Key Vault.

Archiviare il certificato TLS/SSL nel Key Vault

Questa sezione illustra come archiviare il certificato e la relativa password nel Key Vault creato nelle sezioni precedenti.

Per archiviare il certificato, seguire questa procedura:

  1. Nel portale di Azure, posizionare il cursore nella barra di ricerca in alto nella pagina e digitare il nome del Key Vault creato in precedenza nella guida.
  2. Il tuo Key Vault dovrebbe apparire sotto l'intestazione risorse. Seleziona.
  3. Nella sezione Impostazioni, selezionare Segreti.
  4. Selezionare Genera/Importa.
  5. In Opzioni di caricamento, lascia il valore predefinito.
  6. Nel campo Nome , inserisci myCertSecretDatao un nome a tua scelta.
  7. Nel campo Valore, immettere il contenuto del file mycert.txt. La lunghezza del valore e la presenza di nuove righe non sono un problema per il campo di testo.
  8. Lascia i valori rimanenti ai loro valori predefiniti e seleziona Crea.

Per archiviare la password per il certificato, seguire questa procedura:

  1. Verrai riportato alla pagina Segreti. Selezionare Genera/Importa.
  2. In Opzioni di caricamentolasciare il valore predefinito.
  3. Nel campo Nome, inserisci myCertSecretPasswordo qualsiasi nome tu preferisca.
  4. In Valoreimmettere la password per il certificato.
  5. Lascia i valori rimanenti sui valori predefiniti e seleziona Crea.
  6. Verrai reindirizzato alla pagina Segreti di .

Identificare il Key Vault

Dopo aver creato un Key Vault con un certificato TLS/SSL firmato e la relativa password archiviati come segreti, tornare alla sezione Gateway Applicazione di Azure per identificare il Key Vault per la distribuzione.

screenshot del portale di Azure che mostra i campi di Azure Key Vault.

  1. In nome del gruppo di risorse nella sottoscrizione corrente contenente il Key Vault, inserisci il nome del gruppo di risorse contenente il Key Vault creato in precedenza.
  2. In Nome dell'Azure KeyVault contenente i segreti per il certificato di terminazione SSL, inserire il nome del Key Vault.
  3. In , il nome del segreto nel KeyVault specificato il cui valore è i dati del certificato SSL, inserisci myCertSecretData, o qualsiasi nome inserito in precedenza.
  4. In inserire il nome del segreto nel KeyVault specificato, il cui valore è la password per il certificato SSL, immettere myCertSecretDatao il nome immesso in precedenza.
  5. Selezionare Rivedi e crea.
  6. Selezionare Crea. Verrà eseguita una convalida per garantire che il certificato possa essere ottenuto dal Key Vault e che la sua password corrisponda al valore memorizzato come password nel Key Vault. Se questo passaggio di convalida non riesce, esaminare le proprietà del Key Vault, verificare che il certificato sia stato immesso correttamente e che la password sia stata inserita correttamente.
  7. Dopo aver visualizzato Convalida superata, selezionare Crea.

Il processo di creazione del cluster WLS e del gateway applicativo front-end verrà avviato e potrebbe richiedere circa 15 minuti. Al termine della distribuzione, cliccare su Vai al gruppo di risorse. Selezionare myAppGatewaydall'elenco delle risorse nel gruppo di risorse.

L'opzione finale per fornire un certificato TLS/SSL al gateway app è descritta in dettaglio nella sezione successiva. Se sei soddisfatto dell'opzione scelta, puoi passare alla sezione Continuare con la distribuzione.

Opzione tre: Generare un certificato autofirmato

Questa opzione è adatta solo per le distribuzioni di test e sviluppo. Con questa opzione, vengono creati automaticamente un insieme di credenziali delle chiavi di Azure e un certificato autofirmato e il certificato viene fornito al gateway app.

Per richiedere la distribuzione per eseguire queste azioni, seguire questa procedura:

  1. Nella sezione Applicazione Gateway di Azure, selezionare Generare un certificato, autofirmato.
  2. Selezionare un'identità gestita assegnata dall'utente. Questa operazione è necessaria per consentire alla distribuzione di creare l'Azure Key Vault e il certificato.
  3. Se non hai già un'identità gestita assegnata dall'utente, seleziona Aggiungi per iniziare il processo di creazione.
  4. Per creare un'identità gestita assegnata dall'utente, seguire la procedura descritta nella sezione creare un'identità gestita assegnata dall'utente di Creare, elencare, eliminare o assegnare un ruolo a un'identità gestita assegnata dall'utente usando il portale di Azure. Dopo aver selezionato l'identità gestita assegnata dall'utente, assicurarsi che la casella di controllo accanto all'identità gestita assegnata dall'utente sia selezionata.

schermata del portale di Azure che mostra i campi per la generazione di un certificato autofirmato.

Continuare con la distribuzione

È ora possibile continuare con gli altri aspetti della distribuzione WLS, come descritto nella documentazione di Oracle.

Convalidare la corretta distribuzione di WLS e gateway app

Questa sezione illustra una tecnica per convalidare rapidamente con successo la distribuzione del cluster WLS e dell'Application Gateway.

Se hai selezionato Vai al gruppo di risorse e quindi myAppGateway alla fine della sezione precedente, stai guardando la pagina di panoramica del gateway applicazione. In caso contrario, è possibile trovare questa pagina digitando myAppGateway nella casella di testo nella parte superiore del portale di Azure e quindi selezionando quella corretta visualizzata. Assicurarsi di selezionare quello all'interno del gruppo di risorse creato per il cluster WLS. Completare quindi i passaggi seguenti.

  1. Nel riquadro sinistro della pagina di panoramica per myAppGateway, scorrere verso il basso fino alla sezione Monitoraggio e selezionare Stato del back-end.
  2. Dopo che il caricamento messaggio scompare, verrà visualizzata una tabella al centro della schermata che mostra i nodi del cluster configurati come nodi nel pool back-end.
  3. Verificare che lo stato mostri Integro per ogni nodo.

Pulire le risorse

Se non si intende continuare a usare il cluster WLS, eliminare il Key Vault e il cluster WLS seguendo i passaggi seguenti:

  1. Visitare la pagina di riepilogo di myAppGateway , come illustrato nella sezione precedente.
  2. Nella parte superiore della pagina, sotto il testo Gruppo di risorseselezionare il gruppo di risorse.
  3. Selezionare Elimina gruppo di risorse.
  4. Il focus dell'input verrà impostato sul campo etichettato DIGITARE IL NOME DEL GRUPPO DI RISORSE. Digitare il nome del gruppo di risorse come richiesto.
  5. In questo modo, il pulsante Elimina diventa abilitato. Selezionare il pulsante Elimina. Questa operazione richiederà del tempo, ma è possibile continuare con il passaggio successivo durante l'elaborazione dell'eliminazione.
  6. Trova il Key Vault seguendo il primo passaggio della sezione Memorizzare il certificato TLS/SSL nel Key Vault.
  7. Selezionare Elimina.
  8. Selezionare Elimina nel riquadro visualizzato.

Passaggi successivi

Continuare a esplorare le opzioni per eseguire WLS in Azure.

Altre informazioni su Oracle WebLogic Server in Azure