Udostępnij za pośrednictwem

Samouczek: migrowanie klastra serwera WebLogic na platformę Azure przy użyciu usługi Azure Application Gateway jako modułu równoważenia obciążenia

  • Artykuł

Ten samouczek przeprowadzi Cię przez proces wdrażania serwera WebLogic (WLS) za pomocą usługi Azure Application Gateway. Obejmuje on konkretne kroki tworzenia magazynu kluczy, przechowywania certyfikatu TLS/SSL w usłudze Key Vault oraz używania tego certyfikatu na potrzeby kończenia żądań TLS/SSL. Chociaż wszystkie te elementy są dobrze udokumentowane we własnym zakresie, ten samouczek przedstawia konkretny sposób, w jaki wszystkie te elementy łączą się w celu utworzenia prostego, ale zaawansowanego rozwiązania do równoważenia obciążenia na platformie Azure.

Diagram przedstawiający relację między usługami WLS, App Gateway i Key Vault.

Równoważenie obciążenia jest istotną częścią migracji klastra Oracle WebLogic Server na platformę Azure. Najprostszym rozwiązaniem jest użycie wbudowanej obsługi usługi Azure Application Gateway. Usługa App Gateway jest uwzględniona w ramach obsługi klastra WebLogic na platformie Azure. Aby zapoznać się z omówieniem obsługi klastra WebLogic na platformie Azure, zobacz Co to jest serwer Oracle WebLogic na platformie Azure?.

Z tego samouczka dowiesz się, jak wykonywać następujące działania:

  • Wybieranie sposobu podawania certyfikatu TLS/SSL w usłudze App Gateway
  • Wdrażanie serwera WebLogic za pomocą usługi Azure Application Gateway na platformie Azure
  • Weryfikowanie pomyślnego wdrożenia usług WLS i App Gateway

Warunki wstępne

  • OpenSSL na komputerze z uruchomionym środowiskiem wiersza polecenia przypominającym system UNIX.

    Chociaż w tym samouczku mogą być dostępne inne narzędzia do zarządzania certyfikatami, w tym samouczku jest używana biblioteka OpenSSL. Pakiet OpenSSL można znaleźć w wielu dystrybucjach GNU/Linux, takich jak Ubuntu.

  • Aktywna subskrypcja platformy Azure.

  • Możliwość wdrożenia jednej z aplikacji platformy Azure WLS wymienionych na stronie Oracle WebLogic Server Azure Applications.

Kontekst migracji

Poniżej przedstawiono kilka kwestii, które należy wziąć pod uwagę podczas migrowania lokalnych instalacji ZLS i usługi Azure Application Gateway. Chociaż kroki tego samouczka to najprostszy sposób na uruchomienie równoważnika obciążenia przed klastrem serwera WebLogic na platformie Azure, istnieje wiele innych sposobów, aby to zrobić. Ta lista zawiera kilka innych kwestii, które należy wziąć pod uwagę.

Wdrażanie serwera WebLogic za pomocą usługi Application Gateway na platformie Azure

W tej sekcji pokazano, jak aprowizować klaster WLS za pomocą usługi Azure Application Gateway automatycznie utworzonej jako moduł równoważenia obciążenia dla węzłów klastra. Usługa Application Gateway będzie używać dostarczonego certyfikatu TLS/SSL do terminacji TLS/SSL. Aby uzyskać szczegółowe informacje na temat kończenia żądań protokołu TLS/SSL w usłudze Application Gateway, zobacz Omówienie kończenia żądań protokołu TLS i szyfrowania TLS od końca do końca przy użyciu usługi Application Gateway.

Aby utworzyć klaster WLS i usługę Application Gateway, wykonaj następujące kroki.

Najpierw rozpocznij proces wdrażania skonfigurowanego serwera WebLogic lub klastra dynamicznego zgodnie z opisem w dokumentacji Oracle, ale wróć do tej strony po osiągnięciu usługi Azure Application Gateway, jak pokazano tutaj.

zrzut ekranu witryny Azure Portal przedstawiający usługę Azure Application Gateway.

Wybieranie sposobu podawania certyfikatu TLS/SSL w usłudze App Gateway

Istnieje kilka opcji udostępniania certyfikatu TLS/SSL bramie aplikacji, ale można wybrać tylko jeden. W tej sekcji opisano każdą opcję, aby można było wybrać najlepszą opcję dla danego wdrożenia.

Opcja pierwsza: przekazywanie certyfikatu TLS/SSL

Ta opcja jest odpowiednia dla obciążeń produkcyjnych, w których usługa App Gateway stoi przed publicznym Internetem lub w przypadku obciążeń intranetowych wymagających protokołu TLS/SSL. Po wybraniu tej opcji usługa Azure Key Vault jest automatycznie aprowizowana tak, aby zawierała certyfikat TLS/SSL używany przez usługę App Gateway.

Aby przekazać istniejący, podpisany certyfikat TLS/SSL, wykonaj następujące kroki:

  1. Wykonaj kroki od wystawcy certyfikatu, aby utworzyć certyfikat TLS/SSL chroniony hasłem i określić nazwę DNS certyfikatu. Wybór pomiędzy certyfikatem wieloznacznym a certyfikatem o pojedynczej nazwie wykracza poza zakres tego dokumentu. Obie opcje będą działać tutaj.
  2. Wyeksportuj certyfikat z wystawcy przy użyciu formatu pliku PFX i pobierz go na komputer lokalny. Jeśli wystawca nie obsługuje eksportowania jako PFX, istnieją narzędzia do konwertowania wielu formatów certyfikatów na format PFX.
  3. Wybierz sekcję Azure Application Gateway.
  4. Obok opcji Połącz z usługą Azure Application Gatewaywybierz pozycję Tak.
  5. Wybierz pozycję Przekaż certyfikat SSL.
  6. Wybierz ikonę przeglądarki plików dla pola certyfikatu SSL. Przejdź do pobranego certyfikatu formatu PFX i wybierz Otwórz.
  7. Wprowadź hasło dla certyfikatu w polu Hasło i Potwierdź hasło.
  8. Wybierz, czy chcesz zablokować ruch publiczny bezpośrednio do węzłów serwerów znajdujących się pod zarządem. Wybranie Tak spowoduje, że serwery zarządzane będą dostępne tylko za pośrednictwem usługi App Gateway.

Wybierz Konfiguracja DNS

Certyfikaty TLS/SSL są skojarzone z nazwą domeny DNS w momencie ich wystawienia przez wystawcę certyfikatu. Wykonaj kroki opisane w tej sekcji, aby skonfigurować wdrożenie przy użyciu nazwy DNS certyfikatu. Możesz użyć strefy DNS, którą już utworzyłeś, lub zezwolić wdrożeniu na utworzenie jej dla Ciebie. Wybierz sekcję Konfiguracja DNS, aby kontynuować.

Korzystanie z istniejącej strefy usługi Azure DNS

Aby użyć istniejącej strefy usługi Azure DNS z usługą App Gateway, wykonaj następujące kroki:

  1. Obok Skonfiguruj niestandardowy alias DNSwybierz opcję Tak.
  2. Obok Użyj istniejącej strefy DNS platformy Azure wybierz opcję Tak.
  3. Wprowadź nazwę strefy DNS platformy Azure obok nazwa strefy DNS.
  4. Wprowadź grupę zasobów zawierającą strefę usługi Azure DNS z poprzedniego kroku.

Pozwól na wdrożenie, aby utworzyć nową strefę Azure DNS

Aby utworzyć strefę usługi Azure DNS do użycia z usługą App Gateway, wykonaj następujące kroki:

  1. Obok Skonfiguruj niestandardowy alias DNS, wybierz Tak.
  2. Obok Użyj istniejącej strefy DNS platformy Azure wybierz opcję Nie.
  3. Wprowadź nazwę strefy DNS Azure obok nazwa strefy DNS. Nowa strefa DNS zostanie utworzona w tej samej grupie zasobów co WLS.

Na koniec określ nazwy podrzędnych stref DNS. Wdrożenie utworzy dwie podrzędne strefy DNS dla WLS: jedną dla konsoli administracyjnej i jedną dla bramy aplikacji (App Gateway). Jeśli na przykład nazwa strefy DNS została contoso.net, możesz wprowadzić admin i app jako wartości. Konsola administracyjna będzie dostępna w admin.contoso.net, a brama aplikacji będzie dostępna pod adresem app.contoso.net. Nie zapomnij skonfigurować delegowania DNS zgodnie z opisem w Delegowanie stref DNS za pomocą usługi Azure DNS.

zrzut ekranu witryny Azure Portal przedstawiający pola dla podrzędnych stref DNS.

Inne opcje udostępniania certyfikatu TLS/SSL w usłudze App Gateway zostały szczegółowo opisane w poniższych sekcjach. Jeśli wybrana opcja jest satysfakcjonująca, możesz przejść do sekcji Kontynuuj wdrażanie.

Opcja druga: identyfikowanie usługi Azure Key Vault

Ta opcja jest odpowiednia dla obciążeń produkcyjnych lub nieprodukcyjnych, w zależności od dostarczonego certyfikatu TLS/SSL. Jeśli nie chcesz, aby wdrożenie utworzyło usługę Azure Key Vault, możesz zidentyfikować istniejącą usługę lub utworzyć je samodzielnie. Ta opcja wymaga przechowywania certyfikatu i jego hasła w usłudze Azure Key Vault przed kontynuowaniem. Jeśli masz istniejącą usługę Key Vault, której chcesz użyć, przejdź do sekcji Utwórz certyfikat TLS/SSL. W przeciwnym razie przejdź do następnej sekcji.

Tworzenie usługi Azure Key Vault

W tej sekcji pokazano, jak utworzyć usługę Azure Key Vault przy użyciu witryny Azure Portal.

  1. W menu witryny Azure Portal lub na stronie Strona główna wybierz pozycję Utwórz zasób.
  2. W polu wyszukiwania wprowadź Key Vault.
  3. Z listy wyników wybierz pozycję Key Vault.
  4. W sekcji Key Vault wybierz pozycję Utwórz.
  5. W sekcji Tworzenie kluczy podaj następujące informacje:
    • Subskrypcja: wybierz subskrypcję.
    • W obszarze grupy zasobówwybierz opcję Utwórz nową i wprowadź nazwę grupy zasobów. Zanotuj nazwę magazynu kluczy. Będzie to potrzebne później podczas wdrażania WLS.
    • Nazwa magazynu kluczy: Wymagana jest unikatowa nazwa. Zanotuj nazwę skrytki kluczy. Będzie potrzebne później podczas wdrażania WLS.

    Notatka

    Możesz użyć tej samej nazwy zarówno dla grupy zasobów, jak i dla nazwy magazynu kluczy.

    • W menu rozwijanym Lokalizacja wybierz lokalizację.
    • Pozostaw wartości domyślne pozostałych opcji.
  6. Wybierz pozycję Dalej: Zasady dostępu.
  7. W obszarze Włącz dostęp dowybierz pozycję Azure Resource Manager w celu wdrożenia szablonu.
  8. Wybierz Przejrzyj i utwórz.
  9. Wybierz pozycję Utwórz.

Tworzenie skarbca kluczy jest stosunkowo szybkie, zazwyczaj trwa mniej niż dwie minuty. Po zakończeniu wdrażania wybierz pozycję Przejdź do zasobu i przejdź do następnej sekcji.

Tworzenie certyfikatu TLS/SSL

W tej sekcji pokazano, jak utworzyć certyfikat TLS/SSL z podpisem własnym w formacie odpowiednim do użycia przez usługę Application Gateway wdrożona z serwerem WebLogic na platformie Azure. Certyfikat musi mieć niepuste hasło. Jeśli masz już prawidłowy, niepusty certyfikat TLS/SSL w formacie .pfx, możesz pominąć tę sekcję i przejść do następnej. Jeśli istniejący, prawidłowy, niepusty certyfikat TLS/SSL hasła nie znajduje się w formacie pfx, najpierw przekonwertuj go na plik pfx przed przejściem do następnej sekcji. W przeciwnym razie otwórz konsolę poleceń i wprowadź następujące polecenia.

Notatka

W tej sekcji pokazano, jak zakodować certyfikat za pomocą kodowania Base64 przed zapisaniem go jako sekret w usłudze Key Vault. Jest to wymagane przez bazowe wdrożenie platformy Azure, które tworzy serwer WebLogic i usługę Application Gateway.

Wykonaj następujące kroki, aby utworzyć i zakodować certyfikat w formacie base 64:

  1. Utwórz RSA PRIVATE KEY

    openssl genrsa 2048 > private.pem

  2. Utwórz odpowiedni klucz publiczny.

    openssl req -x509 -new -key private.pem -out public.pem

    Po wyświetleniu monitu przez narzędzie OpenSSL będziesz musiał odpowiedzieć na kilka pytań. Te wartości zostaną uwzględnione w certyfikacie. W tym samouczku zostaje użyty certyfikat z podpisem własnym, dlatego wartości są nieistotne. Poniższe wartości dosłowne są poprawne.

    1. W Nazwa krajuwprowadź dwuliterowy kod.
    2. W nazwę prowincji lub stanuwprowadź WA.
    3. W polu Nazwa organizacjiwprowadź Contoso. W polu Nazwa jednostki organizacyjnej wprowadź rozliczenie.
    4. Dla nazwy pospolitejwprowadź wartość Contoso.
    5. Dla adresu e-mail, wprowadź billing@contoso.com.

  3. Eksportowanie certyfikatu jako pliku .pfx

    openssl pkcs12 -export -in public.pem -inkey private.pem -out mycert.pfx

    Wprowadź hasło dwa razy. Zanotuj hasło. Będzie potrzebna później podczas wdrażania WLS.

  4. Zakoduj w Base64 plik mycert.pfx

    base64 mycert.pfx > mycert.txt

Teraz, gdy masz magazyn kluczy i prawidłowy certyfikat TLS/SSL z niepustym hasłem, możesz przechowywać certyfikat w usłudze Key Vault.

Przechowywanie certyfikatu TLS/SSL w usłudze Key Vault

W tej sekcji przedstawiono sposób przechowywania certyfikatu i jego hasła w usłudze Key Vault utworzonej w poprzednich sekcjach.

Aby zapisać certyfikat, wykonaj następujące kroki:

  1. W portalu Azure umieść kursor na pasku wyszukiwania u góry strony i wpisz nazwę Key Vault utworzonego wcześniej w ramach samouczka.
  2. Usługa Key Vault powinna zostać wyświetlona pod nagłówkiem Resources. Wybierz to.
  3. W sekcji Ustawienia wybierz pozycję Wpisy tajne.
  4. Wybierz Generuj/Importuj.
  5. W obszarze Opcje przekazywaniapozostaw wartość domyślną.
  6. W obszarze Nazwawprowadź myCertSecretDatalub dowolną nazwę.
  7. W obszarze Wartośćwprowadź zawartość pliku mycert.txt. Długość wartości i obecność nowych linii nie są problemem dla pola tekstowego.
  8. Pozostaw pozostałe wartości ustawione domyślnie i wybierz pozycję Utwórz.

Aby zapisać hasło dla certyfikatu, wykonaj następujące kroki:

  1. Zostaniesz przeniesiony na stronę Secrets. Wybierz Generuj/Importuj.
  2. W sekcji Opcje przekazywaniapozostaw wartość domyślną.
  3. W obszarze Nazwawprowadź myCertSecretPasswordlub dowolną nazwę.
  4. W obszarze Wartośćwprowadź hasło certyfikatu.
  5. Pozostaw pozostałe wartości domyślne i wybierz Utwórz.
  6. Zostaniesz przeniesiony z powrotem na stronę Secrets.

Identyfikowanie usługi Key Vault

Teraz, gdy masz usługę Key Vault z podpisanym certyfikatem TLS/SSL i jego hasłem przechowywanym jako wpisy tajne, wróć do sekcji usługi Azure Application Gateway, aby zidentyfikować usługę Key Vault na potrzeby wdrożenia.

zrzut ekranu witryny Azure Portal przedstawiający pola usługi Azure Key Vault.

  1. W polu Nazwa grupy zasobów w bieżącej subskrypcji, która zawiera Key Vault, wprowadź nazwę grupy zasobów, która zawiera utworzony wcześniej Key Vault.
  2. W obszarze Nazwa usługi Azure KeyVault zawierającej wpisy tajne dla certyfikatu na potrzeby kończenia żądań SSLwprowadź nazwę usługi Key Vault.
  3. W obszarze Nazwa tajnego w określonym KeyVault, którego wartością są dane certyfikatu SSL, wprowadź myCertSecretDatalub dowolną nazwę wprowadzoną wcześniej.
  4. W polu Nazwa sekretu w określonym KeyVault, którego wartością jest hasło do certyfikatu SSL, wprowadź myCertSecretDatalub nazwę, którą wprowadziłeś wcześniej.
  5. Wybierz Przejrzyj i utwórz.
  6. Wybierz pozycję Utwórz. Spowoduje to weryfikację, że certyfikat można uzyskać z usługi Key Vault oraz że jego hasło jest zgodne z wartością przechowywaną dla hasła w usłudze Key Vault. Jeśli ten krok weryfikacji zakończy się niepowodzeniem, przejrzyj właściwości usługi Key Vault, upewnij się, że certyfikat został wprowadzony poprawnie i upewnij się, że hasło zostało wprowadzone poprawnie.
  7. Po wyświetleniu komunikatu Weryfikacja pomyślnie zakończonawybierz pozycję Utwórz.

Spowoduje to rozpoczęcie procesu tworzenia klastra WLS oraz jego przedniej usługi Application Gateway, co może potrwać około 15 minut. Po zakończeniu wdrażania wybierz pozycję Przejdź do grupy zasobów. Z listy zasobów w grupie zasobów wybierz pozycję myAppGateway.

Ostatnia opcja udostępniania certyfikatu TLS/SSL w usłudze App Gateway jest szczegółowa w następnej sekcji. Jeśli wybrana opcja jest satysfakcjonująca, możesz przejść do sekcji Kontynuuj wdrażanie.

Opcja trzecia: Generowanie certyfikatu z podpisem własnym

Ta opcja jest odpowiednia tylko w przypadku wdrożeń testowych i programistycznych. Dzięki tej opcji zarówno usługa Azure Key Vault, jak i certyfikat z podpisem własnym są tworzone automatycznie, a certyfikat jest dostarczany do usługi App Gateway.

Aby zażądać wdrożenia w celu wykonania tych akcji, wykonaj następujące kroki:

  1. W sekcji Azure Application Gateway wybierz pozycję Wygeneruj certyfikat z podpisem własnym.
  2. Wybierz tożsamość zarządzaną przypisaną przez użytkownika. Jest to konieczne, aby umożliwić wdrożeniu utworzenie usługi Azure Key Vault i certyfikatu.
  3. Jeśli nie masz jeszcze tożsamości zarządzanej przypisanej przez użytkownika, wybierz pozycję Dodaj, aby rozpocząć proces tworzenia.
  4. Aby utworzyć tożsamość zarządzaną przypisaną przez użytkownika, wykonaj kroki opisane w sekcji Tworzenie tożsamości zarządzanej przypisanej przez użytkownika, która znajduje się w sekcji Tworzenie, wyświetlanie listy, usuwanie lub przypisywanie roli do tożsamości zarządzanej przypisanej przez użytkownika przy użyciu portalu Azure. Po wybraniu tożsamości zarządzanej przypisanej przez użytkownika upewnij się, że pole wyboru obok tożsamości zarządzanej przypisanej przez użytkownika jest zaznaczone.

zrzut ekranu witryny Azure Portal przedstawiający pola służące do generowania certyfikatu z podpisem własnym.

Kontynuuj wdrażanie

Teraz możesz kontynuować pozostałe aspekty wdrażania WLS, jak opisano w dokumentacji Oracle.

Weryfikowanie pomyślnego wdrożenia usług WLS i App Gateway

W tej sekcji przedstawiono technikę szybkiego weryfikowania pomyślnego wdrożenia klastra WLS i usługi Application Gateway.

Jeśli wybrano Przejdź do grupy zasobów, a następnie myAppGateway na końcu poprzedniej sekcji, przyjrzysz się stronie przeglądu usługi Application Gateway. Jeśli tak nie jest, możesz znaleźć tę stronę, wpisując myAppGateway w polu tekstowym w górnej części witryny Azure Portal, a następnie wybierając odpowiednią, która zostanie wyświetlona. Pamiętaj, aby wybrać ten zasób w grupie zasobów, którą utworzyłeś dla klastra WLS. Następnie wykonaj następujące kroki.

  1. W lewym okienku strony przeglądu myAppGatewayprzewiń w dół do sekcji Monitorowanie i wybierz pozycję Stan backendu.
  2. Po zniknięciu komunikatu ładowania w środku ekranu powinna zostać wyświetlona tabela przedstawiająca węzły klastra skonfigurowane jako węzły w puli zaplecza.
  3. Sprawdź, czy dla każdego węzła stan wskazuje Zdrowy.

Czyszczenie zasobów

Jeśli nie zamierzasz nadal korzystać z klastra WLS, usuń usługę Key Vault i klaster WLS, wykonując następujące czynności:

  1. Odwiedź stronę przeglądu myAppGateway, jak pokazano w poprzedniej sekcji.
  2. W górnej części strony pod tekstem Grupa zasobówwybierz grupę zasobów.
  3. Wybierz pozycję Usuń grupę zasobów.
  4. Fokus wejściowy zostanie ustawiony na pole oznaczone WPISZ NAZWĘ GRUPY ZASOBÓW. Wpisz nazwę grupy zasobów zgodnie z żądaniem.
  5. Spowoduje to, że przycisk Usuń zostanie włączony. Wybierz przycisk Usuń. Ta operacja zajmie trochę czasu, ale można przejść do następnego kroku podczas przetwarzania usunięcia.
  6. Znajdź usługę Key Vault, wykonując pierwszy krok sekcji Przechowywanie certyfikatu TLS/SSL w usłudze Key Vault.
  7. Wybierz pozycję Usuń.
  8. Wybierz pozycję Usuń w wyświetlonym okienku.

Następne kroki

Kontynuuj eksplorowanie opcji uruchamiania WLS na platformie Azure.

Dowiedz się więcej o serwerze Oracle WebLogic Server na platformie Azure