Jak wdrożyć język F5 w dwóch wystąpieniach usługi Azure Stack Hub

W tym artykule opisano konfigurowanie zewnętrznego modułu równoważenia obciążenia w dwóch środowiskach usługi Azure Stack Hub. Za pomocą tej konfiguracji można zarządzać różnymi obciążeniami. W tym artykule wdrożysz rozwiązanie F5 jako globalne rozwiązanie do równoważenia obciążenia w dwóch niezależnych wystąpieniach usługi Azure Stack Hub. Wdrożysz również aplikację internetową ze zrównoważonym obciążeniem działającą na serwerze NGINX w dwóch wystąpieniach. Będą one działać za wysoką dostępnością, parą urządzeń wirtualnych F5 w trybie failover.

Szablony usługi Azure Resource Manager można znaleźć w repozytorium GitHub f5-azurestack-gslb .

Omówienie równoważenia obciążenia za pomocą F5

Sprzęt F5, moduł równoważenia obciążenia, może znajdować się poza usługą Azure Stack Hub i w centrum danych hostujących usługę Azure Stack Hub. Usługa Azure Stack Hub nie ma natywnej możliwości równoważenia obciążenia między dwoma oddzielnymi wdrożeniami usługi Azure Stack Hub. Wersja wirtualna BIG-IP (VE) F5 działa na obu platformach. Ta konfiguracja obsługuje parzystość między architekturami platformy Azure i usługi Azure Stack Hub przez replikację pomocniczych usług aplikacji. Możesz opracować aplikację w jednym środowisku i przenieść ją do innego. Możesz również zdublować całą gotową do produkcji usługę Azure Stack Hub, w tym te same konfiguracje, zasady i usługi aplikacji BIG-IP. Takie podejście eliminuje potrzebę niezliczonych godzin refaktoryzacji i testowania aplikacji oraz umożliwia pisanie kodu.

Zabezpieczanie aplikacji i ich danych jest często problemem dla deweloperów przenosząc aplikacje do chmury publicznej. Nie trzeba tego robić. Aplikację można utworzyć w środowisku usługi Azure Stack Hub, podczas gdy architekt zabezpieczeń konfiguruje niezbędne ustawienia zapory aplikacji internetowej (WAF) platformy F5. Cały stos można replikować w usłudze Azure Stack Hub z wiedzą, że aplikacja będzie chroniona przez tę samą wiodącą w branży zaporę aplikacji internetowej. W przypadku identycznych zasad i zestawów reguł nie będzie żadnych luk w zabezpieczeniach ani luk w zabezpieczeniach, które w przeciwnym razie mogą być generowane przez zastosowanie różnych funkcji WAFs.

Usługa Azure Stack Hub ma oddzielną platformę handlową od platformy Azure. Dodawane są tylko niektóre elementy. W takim przypadku, jeśli chcesz utworzyć nową grupę zasobów na każdym z usług Azure Stack Hubs i wdrożyć urządzenie wirtualne F5, które jest już dostępne. W tym miejscu zobaczysz, że publiczny adres IP będzie wymagany do umożliwienia łączności sieciowej między obydwoma wystąpieniami usługi Azure Stack Hub. Zasadniczo są to wyspy, a publiczny adres IP umożliwi im rozmowę w obu lokalizacjach.

Wymagania wstępne dotyczące protokołu BIG-IP VE

• Pobierz plik F5 BIG-IP VE — WSZYSTKIE (BYOL, 2 lokalizacje rozruchu) w każdej witrynie Azure Stack Hub Marketplace. Jeśli nie masz ich dostępnych w portalu, skontaktuj się z operatorem chmury.

• Szablon usługi Azure Resource Manager można znaleźć w następującym repozytorium GitHub: https://github.com/Mikej81/f5-azurestack-gslb.

Wdrażanie F5 BIG-IP VE w każdym wystąpieniu

Wdrażanie w wystąpieniu usługi Azure Stack Hub A i wystąpieniu B.

1. Zaloguj się do portalu użytkowników usługi Azure Stack Hub.

2. Wybierz pozycję + Utwórz zasób.

3. Przeszukaj witrynę Marketplace, wpisując .F5

4. Wybierz pozycję F5 BIG-IP VE — WSZYSTKIE (BYOL, 2 lokalizacje rozruchu).

   

5. W dolnej części następnej strony wybierz pozycję Utwórz.

   

6. Utwórz nową grupę zasobów o nazwie F5-GSLB.

7. Aby ukończyć wdrożenie, użyj następujących wartości:

   

8. Sprawdź, czy wdrożenie zakończy się pomyślnie.

   

   Uwaga

   Każde wdrożenie BIG-IP powinno potrwać około 20 minut.

Konfigurowanie urządzeń BIG-IP

Wykonaj następujące kroki, aby spełnić wymagania zarówno usługi Azure Stack Hub A, jak i B.

1. Zaloguj się do portalu użytkowników usługi Azure Stack Hub w wystąpieniu usługi Azure Stack Hub A, aby przejrzeć zasoby utworzone na podstawie wdrożenia szablonu BIG-IP.

   

2. Postępuj zgodnie z instrukcjami w sekcji F5 dla elementów konfiguracji BIG-IP.

3. Skonfiguruj listę adresów IP dla całego adresu IP big-IP, aby nasłuchiwać na obu urządzeniach wdrożonych w wystąpieniu usługi Azure Stack Hub A i B. Aby uzyskać instrukcje, zobacz Konfiguracja BIG-IP GTM.

4. Zweryfikuj tryb failover urządzeń BIG-IP. W systemie testowym skonfiguruj serwery DNS tak, aby używały następujących elementów:

   • Wystąpienie usługi Azure Stack Hub A = f5stack1-ext publiczny adres IP
   • Wystąpienie usługi Azure Stack Hub B = f5stack1-ext publiczny adres IP

5. Przejdź do www.contoso.com witryny i przeglądarka ładuje domyślną stronę serwera NGINX.

Tworzenie grupy synchronizacji DNS

1. Włącz konto główne, aby ustanowić relację zaufania. Postępuj zgodnie z instrukcjami w sekcji Zmienianie haseł konta konserwacji systemu (11.x - 15.x). Po ustawieniu zaufania (wymiana certyfikatów) wyłącz konto główne.

2. Zaloguj się do big-IP i utwórz grupę synchronizacji DNS. Aby uzyskać instrukcje, zobacz Tworzenie grupy synchronizacji DNS BIG-IP.

   Uwaga

   Lokalny adres IP urządzenia BIP-IP można znaleźć w grupie zasobów F5-GSLB . Interfejs sieciowy to "f5stack1-ext" i chcesz nawiązać połączenie z publicznym lub prywatnym adresem IP (w zależności od dostępu).

   

   

3. Wybierz nową grupę zasobów F5-GSLB i wybierz maszynę wirtualną f5stack1 w obszarze Ustawienia wybierz pozycję Sieć.

Po zainstalowaniu konfiguracji

Po zainstalowaniu należy skonfigurować sieciowe grupy zabezpieczeń usługi Azure Stack Hub i zablokować źródłowe adresy IP.

1. Wyłącz port 22 po ustanowieniu zaufania.

2. Gdy system jest w trybie online, zablokuj źródłowe sieciowe grupy zabezpieczeń. Sieciowa grupa zabezpieczeń zarządzania powinna być zablokowana w źródle zarządzania, zewnętrzna sieciowa grupa zabezpieczeń (4353/TCP) powinna być zablokowana w innym wystąpieniu na potrzeby synchronizacji. 443 należy również zablokować do momentu wdrożenia aplikacji z serwerami wirtualnymi.

3. GTM_DNS reguła jest ustawiona tak, aby zezwalać na ruch na porcie 53 (DNS), a rozpoznawanie big-IP zacznie działać raz. Odbiorniki są tworzone.

   

4. Wdróż podstawowe obciążenie aplikacji internetowej w środowisku usługi Azure Stack Hub w celu równoważenia obciążenia za dużym adresem IP. Przykład użycia serwera NGNIX można znaleźć w temacie Deploying NGINX and NGINX Plus on Docker (Wdrażanie serwerów NGINX i NGINX Plus na platformie Docker).

   Uwaga

   Wdróż wystąpienie rozwiązania NGNIX zarówno w usłudze Azure Stack Hub A, jak i w usłudze Azure Stack Hub B.

5. Po wdrożeniu serwera NGINX w kontenerze platformy Docker na maszynie wirtualnej z systemem Ubuntu w każdym wystąpieniu usługi Azure Stack Hub sprawdź, czy możesz uzyskać dostęp do domyślnej strony internetowej na serwerach.

   

6. Zaloguj się do interfejsu zarządzania urządzenia BIG-IP. W tym przykładzie użyj publicznego adresu IP f5-stack1-ext .

   

7. Publikowanie dostępu do serwera NGINX za pośrednictwem adresu BIG-IP.

   • W tym zadaniu skonfigurujesz big-IP z serwerem wirtualnym i pulą, aby zezwolić na przychodzący dostęp do Internetu do aplikacji WordPress. Najpierw należy zidentyfikować prywatny adres IP wystąpienia serwera NGINX.

8. Zaloguj się do portalu użytkowników usługi Azure Stack Hub.

9. Wybierz interfejs sieciowy NGINX.

   

10. W konsoli BIG-IP przejdź do listy pul ruchu > > lokalnego i wybierz pozycję +. Skonfiguruj pulę przy użyciu wartości w tabeli. Pozostaw wartości domyślne wszystkich pozostałych pól.

    

    Key	Wartość
    Nazwisko	NGINX_Pool
    Monitor kondycji	HTTPS
    Nazwa węzła	NGINX
    Adres	<prywatny adres IP serwera NGINX>
    Port usługi	443

11. Wybierz pozycję Zakończono. Po poprawnym skonfigurowaniu stan puli jest zielony.

    

    Teraz należy skonfigurować serwer wirtualny. W tym celu należy najpierw znaleźć prywatny adres IP F5 BIG-IP.

12. W konsoli BIG-IP przejdź do pozycji Własne adresy IP sieci > i zanotuj adres IP.

    

13. Utwórz serwer wirtualny, przechodząc do listy serwerów wirtualnych>ruchu>lokalnego, a następnie wybierz pozycję +. Skonfiguruj pulę przy użyciu wartości w tabeli. Pozostaw wartości domyślne wszystkich pozostałych pól.

    Key	Wartość
    Nazwisko	NGINX
    Adres docelowy	<Własny adres IP big-IP>
    Port usługi	443
    Profil SSL (klient)	clientssl
    Tłumaczenie adresu źródłowego	Automapa

    

    

14. Konfiguracja BIG-IP dla aplikacji NGINX została ukończona. Aby zweryfikować odpowiednią funkcjonalność, przejrzyj witrynę i sprawdź statystyki F5.

15. Otwórz przeglądarkę https://<F5-public-VIP-IP> i upewnij się, że wyświetla domyślną stronę serwera NGINX.

    

16. Teraz sprawdź statystyki serwera wirtualnego, aby zweryfikować przepływ ruchu, przechodząc do strony Statystyka statystyka > > ruchu lokalnego.

17. W obszarze Typ statystyk wybierz pozycję Serwery wirtualne.

    

Więcej informacji

Artykuły referencyjne dotyczące używania języka F5 można znaleźć w kilku artykułach referencyjnych:

• Usługi dostępności centrum danych korzystające z systemu DNS BIG-IP
• Wdrażanie systemu BIG-IP przy użyciu aplikacji HTTP
• Tworzenie szerokiego adresu IP dla usługi GSLB

Następne kroki

Różnice i zagadnienia dotyczące sieci w usłudze Azure Stack Hub