Compartilhar via

Como implantar F5 em duas instâncias do Azure Stack Hub

  • Artigo

Este artigo orienta você na configuração de um balanceador de carga externo em dois ambientes do Azure Stack Hub. Você pode usar essa configuração para gerenciar diferentes cargas de trabalho. Neste artigo, você implantará o F5 como uma solução de balanceamento de carga global em duas instâncias independentes do Azure Stack Hub. Você também implantará um aplicativo Web com balanceamento de carga em execução em um servidor NGINX em suas duas instâncias. Eles serão executados por trás de um par de dispositivos virtuais F5 de failover de alta disponibilidade.

Você pode encontrar os modelos do Azure Resource Manager no repositório GitHub f5-azurestack-gslb.

Visão geral do balanceamento de carga com F5

O hardware F5, o balanceador de carga, pode estar fora do Azure Stack Hub e dentro do datacenter que hospeda o Azure Stack Hub. O Azure Stack Hub não tem uma capacidade nativa para balancear a carga de cargas de trabalho em duas implantações separadas do Azure Stack Hub. A edição virtual (VE) BIG-IP do F5 é executada em ambas as plataformas. Essa configuração dá suporte à paridade entre as arquiteturas do Azure e do Azure Stack Hub por meio da replicação dos serviços de aplicativo de suporte. Você pode desenvolver um aplicativo em um ambiente e movê-lo para outro. Você também pode espelhar todo o Azure Stack Hub pronto para produção, incluindo as mesmas configurações, políticas e serviços de aplicativo do BIG-IP. A abordagem elimina a necessidade de inúmeras horas de refatoração e teste de aplicativos e permite que você continue escrevendo código.

Proteger aplicativos e seus dados geralmente é uma preocupação para os desenvolvedores que movem aplicativos para a nuvem pública. Isso não precisa ser o caso. Você pode criar um aplicativo em seu ambiente do Azure Stack Hub, enquanto um arquiteto de segurança define as configurações necessárias no WAF (firewall do aplicativo Web) da F5. A pilha inteira pode ser replicada no Azure Stack Hub com o conhecimento de que o aplicativo será protegido pelo mesmo WAF líder do setor. Com políticas e conjuntos de regras idênticos, não haverá brechas ou vulnerabilidades de segurança que possam ser geradas pelo emprego de WAFs diferentes.

O Azure Stack Hub tem um marketplace separado do Azure. Apenas alguns itens são adicionados. Nesse caso, se você quiser criar um novo grupo de recursos em cada um dos Azure Stack Hubs e implantar a solução de virtualização F5 que já está disponível. A partir daí, você verá que um endereço IP público será necessário para permitir a conectividade de rede entre as duas instâncias do Azure Stack Hub. Essencialmente, ambas são ilhas e o IP público permitirá que eles conversem em ambos os locais.

Pré-requisitos para o BIG-IP VE

  • Baixe F5 BIG-IP VE – ALL (BYOL, 2 Locais de Inicialização) em cada Azure Stack Hub Marketplace. Se você não os tiver disponíveis em seu portal, entre em contato com seu operador de nuvem.

  • Você pode encontrar o modelo do Azure Resource Manager no seguinte repositório GitHub: https://github.com/Mikej81/f5-azurestack-gslb.

Implantar o F5 BIG-IP VE em cada instância

Implante na instância A e na instância B do Azure Stack Hub.

  1. Entre no portal do usuário do Azure Stack Hub.

  2. Selecione + Criar um Recurso.

  3. Pesquise no mercado digitando F5.

  4. Selecione F5 BIG-IP VE – ALL (BYOL, 2 locais de inicialização).

    A caixa de diálogo

  5. Na parte inferior da próxima página, selecione Criar.

    A caixa de diálogo

  6. Crie um novo grupo de recursos chamado F5-GSLB.

  7. Use os seguintes valores como exemplo para concluir a implantação:

    A página Entradas da caixa de diálogo Microsoft.Template mostra 15 caixas de texto, como VIRTUALMACHINENAME e ADMINUSERNAME, que contêm valores para uma implantação de exemplo.

  8. Valide se a implantação foi concluída com êxito.

    A página Visão geral da caixa de diálogo Microsoft.Template relata

    Observação

    Cada implantação do BIG-IP deve levar cerca de 20 minutos.

Configurar dispositivos BIG-IP

Siga estas etapas necessárias para o Azure Stack Hub A e B.

  1. Entre no portal do usuário do Azure Stack Hub na instância A do Azure Stack Hub para examinar os recursos criados a partir da implantação do modelo do BIG-IP.

    A página Visão geral da caixa de diálogo F5-GSLB lista os recursos implantados e as informações associadas.

  2. Siga as instruções em F5 para itens de configuração do BIG-IP.

  3. Configure a Lista de IPs Largos do BIG-IP para escutar em ambos os dispositivos implantados nas instâncias A e B do Azure Stack Hub. Para obter instruções, consulte Configuração do BIG-IP GTM.

  4. Valide o failover de dispositivos BIG-IP. Em um sistema de teste, configure seus servidores DNS para usar o seguinte:

    • Instância A do Azure Stack Hub = f5stack1-ext Endereço IP público
    • Instância B do Azure Stack Hub = f5stack1-ext Endereço IP público

  5. Navegue até e www.contoso.com seu navegador carrega a página padrão do NGINX.

Criar um grupo de sincronização DNS

  1. Habilite a conta raiz para estabelecer confiança. Siga as instruções em Alterando senhas de conta de manutenção do sistema (11.x - 15.x). Depois de definir a confiança (troca de certificados), desative a conta raiz.

  2. Entre no BIG-IP e crie um Grupo de Sincronização DNS. Para obter instruções, consulte Criando o grupo de sincronização DNS do BIG-IP.

    Observação

    Você pode encontrar o IP local do dispositivo BIP-IP em seu grupo de recursos F5-GSLB . A interface de rede é "f5stack1-ext" e você deseja se conectar ao IP público ou privado (dependendo do acesso).

    A caixa de diálogo

    A caixa de diálogo

  3. Selecione o novo grupo de recursos F5-GSLB e selecione a máquina virtual f5stack1 , em Configurações , selecione Rede.

Configurações pós-instalação

Depois de instalar, você precisará configurar seus NSGs do Azure Stack Hub e bloquear os endereços IP de origem.

  1. Desative a porta 22 depois que a confiança for estabelecida.

  2. Quando o sistema estiver online, bloqueie os NSGs de origem. O NSG de gerenciamento deve ser bloqueado para a fonte de gerenciamento, o NSG externo (4353/TCP) deve ser bloqueado para a outra instância para sincronização. 443 também deve ser bloqueado até que os aplicativos com servidores virtuais sejam implantados.

  3. GTM_DNS regra é definida para permitir a entrada da porta 53 (DNS) Os ouvintes são criados.

    A página fStack1-ext da caixa de diálogo Interface de rede mostra informações sobre a interface fstack1-ext e sobre seu NSG, fstack1-ext-nsg. Há guias para selecionar exibindo as regras de porta de entrada ou as regras de porta de saída.

  4. Implante uma carga de trabalho básica de aplicativo Web em seu ambiente do Azure Stack Hub no Balanceamento de Carga por trás do BIG-IP. Você pode encontrar um exemplo de uso do servidor NGNIX em Implantando o NGINX e o NGINX Plus no Docker.

    Observação

    Implante uma instância do NGNIX no Azure Stack Hub A e no Azure Stack Hub B.

  5. Depois que o NGINX for implantado em um contêiner do Docker em uma VM do Ubuntu em cada uma das instâncias do Azure Stack Hub, valide se você pode acessar a página da Web padrão nos servidores.

    A página

  6. Entre na interface de gerenciamento do dispositivo BIG-IP. Neste exemplo, use o endereço IP público f5-stack1-ext .

    A tela de login do Utilitário de Configuração do BIG-IP requer Nome de usuário e Senha.

  7. Publique o acesso ao NGINX por meio do BIG-IP.

    • Nesta tarefa, você configurará o BIG-IP com um servidor virtual e um pool para permitir o acesso de entrada à Internet ao aplicativo WordPress. Primeiro, você precisa identificar o endereço IP privado para a instância NGINX.

  8. Entre no portal do usuário do Azure Stack Hub.

  9. Selecione sua interface de rede NGINX.

    A página Visão geral da caixa de diálogo

  10. No console do BIG-IP, vá para Lista de pools de pools > de tráfego > local e selecione + . Configure o pool usando os valores na tabela. Deixe todos os outros campos com seus padrões.

    O painel esquerdo fornece a capacidade de navegar para criar um novo pool. O painel direito é intitulado

    Chave Valor
    Nome NGINX_Pool
    Monitor de Integridade HTTPS
    Nome do Nó NGINX
    Address <seu endereço IP privado NGINX>
    Porta de serviço 443

  11. Selecione Concluído. Quando configurado corretamente, o status do pool é verde.

    O painel direito é intitulado

    Agora você precisa configurar o servidor virtual. Para fazer isso, primeiro você precisa encontrar o IP privado do seu F5 BIG-IP.

  12. No console do BIG-IP, vá para Network > Self IPs e anote o endereço IP.

    O painel esquerdo fornece a capacidade de navegar para mostrar IPs próprios. O painel direito é intitulado

  13. Crie um servidor virtual acessando Tráfego >Local Servidores Virtuais Lista de Servidores Virtuais>e selecione .+ Configure o pool usando os valores na tabela. Deixe todos os outros campos com seus padrões.

    Chave Valor
    Nome NGINX
    Endereço de destino <Endereço IP próprio do BIG-IP>
    Porta de serviço 443
    Perfil SSL (Cliente) clientes
    Tradução de endereço de origem Mapa Automático

    O painel esquerdo é usado para navegar no painel direito até

    Esta página fornece a capacidade de inserir informações adicionais. Existem botões Atualizar e Excluir.

  14. Agora você concluiu a configuração do BIG-IP para o aplicativo NGINX. Para verificar a funcionalidade adequada, navegue no site e verifique as estatísticas do F5.

  15. Abra um navegador e certifique-se de https://<F5-public-VIP-IP> que ele exiba sua página padrão do NGINX.

    A página

  16. Agora verifique as estatísticas do seu servidor virtual para verificar o fluxo de tráfego, navegando até Estatísticas do módulo de estatísticas > Tráfego >local.

  17. Em Tipo de estatística, selecione Servidores virtuais.

    O painel esquerdo navegou pelo painel direito até

Para obter mais informações

Você pode encontrar alguns artigos de referência sobre o uso de F5:

Próximas etapas

Diferenças e considerações para a rede do Azure Stack Hub