Delen via

F5 implementeren in twee Azure Stack Hub-exemplaren

  • Artikel

Dit artikel helpt u bij het instellen van een externe load balancer in twee Azure Stack Hub-omgevingen. U kunt deze configuratie gebruiken om verschillende workloads te beheren. In dit artikel implementeert u F5 als een globale taakverdelingsoplossing voor twee onafhankelijke Azure Stack Hub-exemplaren. U implementeert ook een web-app met gelijke taakverdeling die wordt uitgevoerd op een NGINX-server in uw twee exemplaren. Ze worden uitgevoerd achter een hoge beschikbaarheid, failoverpaar van virtuele F5-apparaten.

U vindt de Azure Resource Manager-sjablonen in de GitHub-opslagplaats f5-azurestack-gslb .

Overzicht van taakverdeling met F5

De F5-hardware, de load balancer, bevindt zich mogelijk buiten Azure Stack Hub en binnen het datacenter dat als host fungeert voor Azure Stack Hub. Azure Stack Hub heeft geen systeemeigen mogelijkheid om workloads te verdelen over twee afzonderlijke Azure Stack Hub-implementaties. De VIRTUELE EDITIE (VE) van de F5 van de F5 wordt uitgevoerd op beide platforms. Deze instelling ondersteunt pariteit tussen Azure- en Azure Stack Hub-architecturen via replicatie van de ondersteunende toepassingsservices. U kunt een app in de ene omgeving ontwikkelen en naar een andere omgeving verplaatsen. U kunt ook de volledige azure Stack Hub spiegelen die gereed is voor productie, inclusief dezelfde BIG-IP-configuraties, beleidsregels en toepassingsservices. De aanpak elimineert de noodzaak van talloze uren aan het herstructureren en testen van toepassingen, en stelt u in staat om aan de slag te gaan met het schrijven van code.

Het beveiligen van toepassingen en hun gegevens is vaak een probleem voor ontwikkelaars die apps verplaatsen naar de openbare cloud. Dit hoeft niet het geval te zijn. U kunt een app bouwen in uw Azure Stack Hub-omgeving, terwijl een beveiligingsarchitect de benodigde instellingen configureert op de Web Application Firewall (WAF) van F5. De volledige stack kan worden gerepliceerd in Azure Stack Hub met de kennis dat de toepassing wordt beveiligd door dezelfde toonaangevende WAF. Met identieke beleidsregels en regelsets zijn er geen beveiligingslussen of beveiligingsproblemen die anders kunnen worden gegenereerd door verschillende WAF's te gebruiken.

Azure Stack Hub heeft een afzonderlijke marketplace van Azure. Alleen bepaalde items worden toegevoegd. Als u in dit geval een nieuwe resourcegroep wilt maken op elk van de Azure Stack Hubs en het virtuele F5-apparaat wilt implementeren dat al beschikbaar is. Van daaruit ziet u dat een openbaar IP-adres vereist is om netwerkconnectiviteit tussen beide Azure Stack Hub-exemplaren mogelijk te maken. In wezen zijn ze beide eilanden en het openbare IP-adres zorgt ervoor dat ze op beide locaties kunnen praten.

Vereisten voor BIG-IP VE

  • Download F5 BIG-IP VE - ALL (BYOL, 2 opstartlocaties) in elke Azure Stack Hub Marketplace. Neem contact op met uw cloudoperator als u deze niet beschikbaar hebt in uw portal.

  • U vindt de Azure Resource Manager-sjabloon in de volgende GitHub-opslagplaats: https://github.com/Mikej81/f5-azurestack-gslb.

F5 BIG-IP VE implementeren op elk exemplaar

Implementeren in Azure Stack Hub-exemplaar A en exemplaar B.

  1. Meld u aan bij de Azure Stack Hub-gebruikersportal.

  2. Selecteer + Een resource maken.

  3. Zoek in marketplace door te typen F5.

  4. Selecteer F5 BIG-IP VE – ALL (BYOL, 2 opstartlocaties).

    Het dialoogvenster 'Dashboard > New > Marketplace > Everything > F5 BIG-IP VE – ALL (BYOL, 2 Opstartlocaties)' toont f5 in het zoekvak. Het enkele zoekresultaat is 'F5 BIG-IP VE – ALL (BYOL, 2 Opstartlocaties)'.

  5. Selecteer Onder aan de volgende pagina de optie Maken.

    Het dialoogvenster F5 BIG-IP VE – ALL (BYOL, 2 Opstartlocaties)

  6. Maak een nieuwe resourcegroep met de naam F5-GSLB.

  7. Gebruik de volgende waarden als voorbeeld om de implementatie te voltooien:

    Op de pagina Invoer van het dialoogvenster Microsoft.Template worden 15 tekstvakken weergegeven, zoals VIRTUALMACHINENAME en ADMINUSERNAME, die waarden bevatten voor een voorbeeldimplementatie.

  8. Controleer of uw implementatie is voltooid.

    Op de pagina Overzicht van het dialoogvenster Microsoft.Template wordt 'Uw implementatie is voltooid' weergegeven en vindt u informatie over de implementatie.

    Notitie

    Elke BIG-IP-implementatie duurt ongeveer 20 minuten.

BIG-IP-apparaten configureren

Volg deze stappen voor zowel Azure Stack Hub A als B.

  1. Meld u aan bij de Azure Stack Hub-gebruikersportal in Azure Stack Hub-exemplaar A om de resources te controleren die zijn gemaakt op basis van de implementatie van big-IP-sjablonen.

    De pagina Overzicht van het dialoogvenster F5-GSLB bevat de geïmplementeerde resources en de bijbehorende informatie.

  2. Volg de instructies op F5 voor BIG-IP-configuratie-items.

  3. Configureer DE BREDE IP-lijst van BIG-IP om te luisteren naar beide apparaten die zijn geïmplementeerd in Azure Stack Hub-exemplaar A en B. Zie BIG-IP GTM-configuratie voor instructies.

  4. Valideer failover van BIG-IP-apparaten. Configureer uw DNS-servers op een testsysteem om het volgende te gebruiken:

    • Azure Stack Hub-exemplaar A = f5stack1-ext openbaar IP-adres
    • Azure Stack Hub-exemplaar B = f5stack1-ext openbaar IP-adres

  5. Blader naar www.contoso.com en uw browser laadt de standaardpagina van NGINX.

Een DNS-synchronisatiegroep maken

  1. Schakel het hoofdaccount in om een vertrouwensrelatie tot stand te brengen. Volg de instructies bij Het wijzigen van wachtwoorden voor systeemonderhoudsaccounts (11.x - 15.x). Nadat u de vertrouwensrelatie (certificaatuitwisseling) hebt ingesteld, schakelt u het hoofdaccount uit.

  2. Meld u aan bij het BIG-IP-adres en maak een DNS-synchronisatiegroep. Zie BIG-IP DNS-synchronisatiegroep maken voor instructies.

    Notitie

    U vindt het lokale IP-adres van het BIP-IP-apparaat in uw F5-GSLB-resourcegroep . De netwerkinterface is 'f5stack1-ext' en u wilt verbinding maken met het openbare of privé-IP-adres (afhankelijk van de toegang).

    Het dialoogvenster DNS >> GSLB : Datacenters : Data Center List bevat datacenters en status. Er zijn de knoppen Inschakelen, Uitschakelen en Verwijderen die moeten worden toegepast op geselecteerde datacenters.

    Het dialoogvenster DNS >> GSLB : Servers : Serverlijst bevat servers en status. Er zijn de knoppen Inschakelen, Uitschakelen, Verwijderen en Opnieuw verbinden die moeten worden toegepast op geselecteerde servers.

  3. Selecteer de nieuwe resourcegroep F5-GSLB en selecteer de virtuele machine f5stack1 , onder Instellingen selecteer Netwerken.

Configuraties na installatie

Nadat u de azure Stack Hub NSG's hebt geïnstalleerd, moet u uw NSG's voor Azure Stack Hub configureren en de bron-IP-adressen vergrendelen.

  1. Schakel poort 22 uit nadat de vertrouwensrelatie is ingesteld.

  2. Wanneer uw systeem online is, blokkeert u de bron-NSG's. Beheer-NSG moet zijn vergrendeld voor beheerbron, externe NSG (4353/TCP) moet worden vergrendeld voor het andere exemplaar voor synchronisatie. 443 moet ook worden vergrendeld totdat toepassingen met virtuele servers zijn geïmplementeerd.

  3. GTM_DNS regel is ingesteld om verkeer via poort 53 (DNS) toe te staan en de BIG-IP-resolver werkt eenmaal. Listeners worden gemaakt.

    Op de pagina fStack1-ext van het dialoogvenster Netwerkinterface ziet u informatie over de fstack1-ext-interface en over de NSG, fstack1-ext-nsg. Er zijn tabbladen om de regels voor binnenkomende poorten of uitgaande poortregels weer te geven.

  4. Implementeer een eenvoudige workload voor webtoepassingen in uw Azure Stack Hub-omgeving om de taakverdeling achter het BIG-IP-adres te verdelen. U vindt een voorbeeld voor het gebruik van de NGNIX-server bij NGINX en NGINX Plus op Docker.

    Notitie

    Implementeer een exemplaar van NGNIX op zowel Azure Stack Hub A als Azure Stack Hub B.

  5. Nadat NGINX is geïmplementeerd in een Docker-container op een Ubuntu-VM binnen elk van de Azure Stack Hub-exemplaren, controleert u of u de standaardwebpagina op de servers kunt bereiken.

    De pagina Welkom bij nginx! geeft aan dat de nginx-webserver is geïnstalleerd en dat verdere configuratie is vereist. Er zijn twee koppelingen die leiden tot ondersteuningsinformatie.

  6. Meld u aan bij de beheerinterface van het BIG-IP-apparaat. In dit voorbeeld gebruikt u het openbare IP-adres f5-stack1-ext .

    Voor het aanmeldingsscherm voor het BIG-IP-configuratiehulpprogramma is gebruikersnaam en wachtwoord vereist.

  7. Publiceer toegang tot NGINX via het BIG-IP-adres.

    • In deze taak configureert u het BIG-IP-adres met een virtuele server en pool om binnenkomende internettoegang tot de WordPress-toepassing toe te staan. Eerst moet u het privé-IP-adres voor het NGINX-exemplaar identificeren.

  8. Meld u aan bij de Azure Stack Hub-gebruikersportal.

  9. Selecteer uw NGINX-netwerkinterface.

    Op de pagina Overzicht van het dialoogvenster 'Dashboard > Resourcegroepen > NGINX > ubuntu2673' ziet u informatie over de ubuntu2673-netwerkinterface.

  10. Ga in de BIG-IP-console naar de lijst met groepen met lokale verkeersgroepen > > en selecteer +. Configureer de pool met behulp van de waarden in de tabel. Laat alle andere velden op de standaardwaarden staan.

    Het linkerdeelvenster biedt de mogelijkheid om te navigeren om een nieuwe pool te maken. Het rechterdeelvenster heet 'Lokale verkeersgroepen >> : Poollijst >> nieuwe pool', en biedt mogelijkheden om de informatie over de nieuwe pool op te geven. Er is een knop Voltooid.

    Sleutel Weergegeven als
    Naam NGINX_Pool
    Statusmonitor HTTPS
    Naam van knooppunt NGINX
    Adres <uw privé-IP-adres van NGINX>
    Servicepoort 443

  11. Selecteer Voltooid. Wanneer de pool correct is geconfigureerd, is de poolstatus groen.

    Het rechterdeelvenster heet 'Lokale verkeersgroepen >> : poollijst', en de zojuist gemaakte pool is de enige vermelding in de lijst.

    U moet nu de virtuele server configureren. Hiervoor moet u eerst het privé-IP-adres van uw F5 BIG-IP vinden.

  12. Ga vanuit de BIG-IP-console naar self-IP-adressen van het netwerk > en noteer het IP-adres.

    Het linkerdeelvenster biedt de mogelijkheid om te navigeren om self-IP-adressen weer te geven. Het rechterdeelvenster heet ' >> Self-IP's voor netwerken'. Er worden twee self-IP-adressen weergegeven en de eerste, self_2nic, is gemarkeerd.

  13. Maak een virtuele server door naar de lijst met virtuele servers>lokaal verkeer>te gaan en Selecteer .+ Configureer de pool met behulp van de waarden in de tabel. Laat alle andere velden op de standaardwaarden staan.

    Sleutel Weergegeven als
    Naam NGINX
    Doeladres <Zelf-IP-adres van het BIG-IP>
    Servicepoort 443
    SSL-profiel (client) clientssl
    Bronadresomzetting Auto Map

    Het linkerdeelvenster wordt gebruikt om door het rechterdeelvenster te navigeren naar 'Local Traffic >> Virtual Servers : Virtual Server List >> NGINX', waar de vereiste gegevens worden ingevoerd.

    Deze pagina biedt de mogelijkheid om aanvullende informatie in te voeren. Er zijn de knoppen Bijwerken en Verwijderen.

  14. U hebt nu de BIG-IP-configuratie voor de NGINX-toepassing voltooid. Als u de juiste functionaliteit wilt controleren, bladert u door de site en controleert u de F5-statistieken.

  15. Open een browser om ervoor te https://<F5-public-VIP-IP> zorgen dat uw NGINX-standaardpagina wordt weergegeven.

    De pagina Welkom bij nginx! geeft aan dat de nginx-webserver is geïnstalleerd en dat verdere configuratie is vereist. Er zijn twee koppelingen die leiden tot ondersteuningsinformatie.

  16. Controleer nu de statistieken van uw virtuele server om de verkeersstroom te controleren door te navigeren naar > statistiekenmodulestatistieken > lokaal verkeer.

  17. Selecteer onder Statistiekentype de optie Virtuele servers.

    In het linkerdeelvenster is het rechterdeelvenster genavigeerd naar Statistieken >> van modulestatistieken: Lokale verkeer >> virtuele servers en de lijst bevat de virtuele NGINX-server en andere. NGINX is gemarkeerd.

Voor meer informatie

U vindt enkele naslagartikelen over het gebruik van F5:

Volgende stappen

Verschillen en overwegingen voor Azure Stack Hub-netwerken