Tutorial: Migrar um cluster do WebLogic Server para o Azure com o Gateway de Aplicativo do Azure como um balanceador de carga

Este tutorial explica o processo de implantação do WLS (WebLogic Server) com o Gateway de Aplicativo do Azure. Ele aborda as etapas específicas para criar um Key Vault, armazenar um certificado TLS/SSL no Key Vault e usar esse certificado para terminação TLS/SSL. Embora todos esses elementos estejam bem documentados por si só, este tutorial mostra a maneira específica de todos esses elementos se unirem para criar uma solução simples, mas poderosa de balanceamento de carga para o WLS no Azure.

O balanceamento de carga é uma parte essencial da migração do cluster do Oracle WebLogic Server para o Azure. A solução mais fácil é usar o suporte interno para o Gateway de Aplicativo do Azure. O Gateway de Aplicativo é incluído como parte do suporte ao Cluster WebLogic no Azure. Para obter uma visão geral do suporte ao Cluster WebLogic no Azure, consulte O que é o Oracle WebLogic Server no Azure?.

Neste tutorial, você aprenderá a:

• Escolha como fornecer o certificado TLS/SSL para o Gateway de Aplicativo
• Implantar o WebLogic Server com o Gateway de Aplicação do Azure no Azure
• Validar a implantação bem-sucedida do WLS e do Gateway de Aplicativo

Pré-requisitos

• OpenSSL em um computador que executa um ambiente de linha de comando semelhante a UNIX.

  Embora possa haver outras ferramentas disponíveis para o gerenciamento de certificados, este tutorial usa o OpenSSL. Você pode encontrar o OpenSSL empacotado com muitas distribuições GNU/Linux, como o Ubuntu.

• Uma assinatura ativa do Azure.

  • Se você não tiver uma assinatura do Azure, crie uma conta gratuita.

• A capacidade de implantar um dos Aplicativos Azure do WLS listados em Aplicativos Azure do Oracle WebLogic Server.

Contexto de migração

Aqui estão algumas coisas a serem consideradas sobre a migração de instalações locais do WLS e do Gateway de Aplicativo do Azure. Embora as etapas deste tutorial sejam a maneira mais fácil de colocar um balanceador de carga na frente do Cluster do WebLogic Server no Azure, há muitas outras maneiras de fazer isso. Esta lista mostra algumas outras coisas a serem consideradas.

• Se você tiver uma solução de balanceamento de carga existente, verifique se seus recursos são atendidos ou excedidos pelo Gateway de Aplicativo do Azure. Para obter um resumo dos recursos do Gateway de Aplicativo do Azure em comparação com outras soluções de balanceamento de carga do Azure, consulte Visão geral das opções de balanceamento de carga no Azure.
• Se sua solução de balanceamento de carga existente fornecer proteção contra explorações e vulnerabilidades comuns, o Gateway de Aplicativo oferecerá a cobertura necessária. O WAF (firewall do aplicativo Web) do Gateway de Aplicativo implementa os conjuntos de regras principais do OWASP (Open Web Application Security Project). Para saber mais sobre o suporte do WAF no Gateway de Aplicativo, confira a seção Firewall de Aplicativo Web dos recursos do Gateway de aplicativo do Azure.
• Se sua solução de balanceamento de carga existente exigir criptografia TLS/SSL de ponta a ponta, você precisará fazer uma configuração adicional depois de seguir as etapas neste guia. Confira a seção de criptografia TLS de ponta a ponta da Visão geral da terminação TLS e TLS de ponta a ponta com Gateway de Aplicativo e a documentação da Oracle sobre a Configuração do SSL no Oracle Fusion Middleware.
• Se você estiver otimizando para a nuvem, este guia mostrará como começar do zero com o Gateway de Aplicativo do Azure e o WLS.
• Para obter uma pesquisa abrangente sobre como migrar o WebLogic Server para máquinas virtuais do Azure, consulte Migrar aplicativos WebLogic Server para máquinas virtuais do Azure.

Implantar o WebLogic Server com o Gateway de Aplicativo no Azure

Esta seção mostrará como provisionar um cluster WLS com o Gateway de Aplicativo do Azure criado automaticamente como o balanceador de carga para os nós de cluster. O Gateway de Aplicativo usa o certificado TLS/SSL fornecido para a terminação TLS/SSL. Para obter detalhes avançados sobre a terminação TLS/SSL com o Gateway de Aplicativo, confira Visão geral da terminação TLS e do TLS de ponta a ponta com o Gateway de Aplicativo.

Para criar o cluster WLS e o Gateway de Aplicações, siga as etapas a seguir.

Primeiro, inicie o processo de implantação de um servidor WebLogic configurado ou de um cluster dinâmico, conforme descrito na documentação da Oracle, mas volte para esta página quando você chegar em Gateway de Aplicativo do Azure, como mostrado aqui.

Escolha como fornecer o certificado TLS/SSL para o Gateway de Aplicativo

Você tem várias opções para fornecer o certificado TLS/SSL ao gateway de aplicativo, mas só pode escolher um. Esta seção explica cada opção para que você possa escolher a melhor para sua implantação.

Opção um: carregar um certificado TLS/SSL

Essa opção é adequada para cargas de trabalho de produção em que o Gateway de Aplicativo enfrenta a Internet pública ou para cargas de trabalho de intranet que exigem TLS/SSL. Ao escolher essa opção, um Azure Key Vault é provisionado automaticamente para conter o certificado TLS/SSL usado pelo Gateway de Aplicativo.

Para carregar um certificado TLS/SSL existente, assinado, use as seguintes etapas:

1. Siga as etapas do emissor do certificado para criar um certificado TLS/SSL protegido por senha e especificar o nome DNS para o certificado. Como escolher o caractere curinga vs. o certificado de nome único está além do escopo deste documento. Qualquer um deles funcionará aqui.
2. Exporte o certificado do emissor usando o formato de arquivo PFX e baixe-o no computador local. Se o emissor não der suporte à exportação como PFX, existirão ferramentas para converter muitos formatos de certificado no formato PFX.
3. Selecione a seção Gateway de Aplicativo do Azure.
4. Ao lado de Conectar-se ao Gateway de Aplicativo do Azure, selecione Sim.
5. Selecione Carregar um certificado SSL.
6. Selecione o ícone do navegador de arquivos para o campo Certificado SSL. Navegue até o certificado de formato PFX baixado e selecione Abrir.
7. Insira a senha do certificado nas caixas Senha e Confirmar senha.
8. Escolha se deseja ou não negar o tráfego público diretamente para os nós dos servidores gerenciados. Selecionar Sim fará com que os servidores gerenciados só fiquem acessíveis por meio do Gateway de Aplicativo.

Selecionar Configuração de DNS

Os certificados TLS/SSL são associados a um nome de domínio DNS no momento em que são emitidos pelo emissor do certificado. Siga as etapas nesta seção para configurar a implantação com o nome DNS do certificado. Você pode usar uma Zona DNS que você já criou ou permitir que a implantação crie uma para você. Selecione a seção Configuração de DNS para continuar.

Usar uma zona DNS do Azure existente

Para usar uma zona DNS do Azure existente com o Gateway de Aplicativo, use as seguintes etapas:

1. Ao lado de Configurar Alias de DNS personalizado, selecione Sim.
2. Ao lado de Usar uma zona DNS do Azure existente, selecione Sim.
3. Insira o nome da Zona DNS do Azure ao lado de Nome da Zona DNS.
4. Insira o grupo de recursos que contém a Zona DNS do Azure da etapa anterior.

Permitir que a implantação crie uma nova Zona DNS do Azure

Para criar uma Zona DNS do Azure para usar com o Gateway de Aplicativo, use as seguintes etapas:

1. Ao lado de Configurar Alias de DNS personalizado, selecione Sim.
2. Ao lado de Usar uma zona DNS do Azure existente, selecione Não.
3. Insira o nome da Zona DNS do Azure ao lado de Nome da Zona DNS. Uma nova zona DNS será criada no mesmo grupo de recursos que o WLS.

Por fim, especifique os nomes para as zonas DNS filho. A implantação criará duas zonas DNS filho para uso com o WLS: uma para o console de administração e outra para o Gateway de Aplicativo. Por exemplo, se nome da zona DNS foi contoso.net, você poderá inserir admin e app como os valores. O console de administração estaria disponível em admin.contoso.net e o gateway de aplicativo estaria disponível em app.contoso.net. Não se esqueça de configurar a delegação de DNS, conforme descrito em Delegação de zonas de DNS com DNS do Azure.

As outras opções para fornecer um certificado TLS/SSL ao Gateway de Aplicativo são detalhadas nas seções a seguir. Se você estiver satisfeito com a opção escolhida, pule para a seção Continuar com a implantação.

Opção dois: identificar um Azure Key Vault

Essa opção é adequada para cargas de trabalho de produção ou não de produção, dependendo do certificado TLS/SSL fornecido. Se você não quiser que a implantação crie um Azure Key Vault, você poderá identificar um existente ou criar um por conta própria. Essa opção exige que você armazene o certificado e sua senha no Azure Key Vault antes de continuar. Se você tiver um Key Vault existente que deseja usar, vá para a seção Criar um certificado TLS/SSL. Caso contrário, continue para a próxima seção.

Criar um Azure Key Vault

Esta seção mostra como usar o portal do Azure para criar um Azure Key Vault.

1. No menu do portal do Azure ou na página Página Inicial, selecione Criar um recurso.
2. Digite Key Vault na caixa Pesquisar.
3. Na lista de resultados, escolha Key Vault.
4. Na seção Key Vault, escolha Criar.
5. Na seção Criar cofre de chaves, forneça as seguintes informações:
   • Assinatura: escolha uma assinatura.
   • Em Grupo de Recursos, escolha Criar e digite um nome para o grupo de recursos. Anote o nome do cofre de chaves. Você precisará dele mais tarde ao implantar o WLS.
   • Nome do cofre de chaves: é necessário um nome exclusivo. Anote o nome do cofre de chaves. Você precisará dele mais tarde ao implantar o WLS.

   Nota

   Você pode usar o mesmo nome tanto para o grupo de recursos quanto para o nome do cofre de chaves .

   • No menu suspenso Local, escolha um local.
   • Deixe as outras opções nos seus valores padrão.
6. Selecione Próximo: Política de acesso.
7. Em Habilitar o Acesso à, selecione Azure Resource Manager para implantação de modelo.
8. Selecione Examinar + criar.
9. Selecione Criar.

A criação do cofre de chaves é razoavelmente leve, normalmente concluída em menos de dois minutos. Quando a implantação for concluída, selecione Ir para o recurso e continue para a próxima seção.

Criar um certificado TLS/SSL

Esta seção mostra como criar um certificado TLS/SSL autoassinado em um formato adequado para uso pelo Gateway de Aplicativo implantado com o WebLogic Server no Azure. O certificado deve ter uma senha não vazia. Se você já tiver um certificado TLS/SSL de senha válido e não vazio no formato de .pfx, ignore esta seção e vá para a próxima. Se o certificado TLS/SSL de senha existente, válido e não vazio não estiver no formato de .pfx , primeiro converta-o em um arquivo .pfx antes de pular para a próxima seção. Caso contrário, abra um shell de comando e insira os comandos a seguir.

Nota

Esta seção mostra como codificar o certificado em base 64 antes de armazená-lo como um segredo no Key Vault. Isso é exigido pela implantação subjacente do Azure que cria o WebLogic Server e o Gateway de Aplicativo.

Siga estas etapas para criar e codificar o certificado em base 64:

1. Criar uma RSA PRIVATE KEY

   openssl genrsa 2048 > private.pem
   

2. Crie uma chave pública correspondente.

   openssl req -x509 -new -key private.pem -out public.pem
   

   Você precisará responder a várias perguntas quando solicitado pela ferramenta OpenSSL. Esses valores serão incluídos no certificado. Este tutorial usa um certificado autoassinado, portanto, os valores são irrelevantes. Os valores literais a seguir são adequados.

   1. Para Nome do País, insira um código de duas letras.
   2. Para o nome do estado ou província , insira WA.
   3. Para Nome da Organização, insira Contoso. Para Nome da Unidade Organizacional, insira cobrança.
   4. Para Nome Comum, insira Contoso.
   5. Para o endereço de Email , insira billing@contoso.com.

3. Exportar o certificado como um arquivo de .pfx

   openssl pkcs12 -export -in public.pem -inkey private.pem -out mycert.pfx
   

   Insira a senha duas vezes. Anote a senha. Você precisará dele mais tarde ao implantar o WLS.

4. Codificar o arquivo mycert.pfx em base 64

   base64 mycert.pfx > mycert.txt
   

Agora que você tem um Key Vault e um certificado TLS/SSL válido com uma senha não vazia, você pode armazenar o certificado no Key Vault.

Armazenar o certificado TLS/SSL no Key Vault

Esta seção mostra como armazenar o certificado e sua senha no Key Vault criado nas seções anteriores.

Para armazenar o certificado, siga estas etapas:

1. No portal do Azure, coloque o cursor na barra de pesquisa na parte superior da página e digite o nome do Key Vault criado anteriormente no tutorial.
2. Seu Key Vault deve aparecer na seção Recursos. Selecione-o.
3. Na seção Configurações, selecione Segredos.
4. Selecione Gerar/Importar.
5. Em Opções de upload, mantenha o valor padrão.
6. Em Nome, insira myCertSecretData ou qualquer nome que desejar.
7. Em Valor, insira o conteúdo do arquivo mycert.txt. O comprimento do valor e a presença de novas linhas não são um problema para o campo de texto.
8. Deixe os valores restantes em seus padrões e selecione Criar.

Para armazenar a senha do certificado, siga estas etapas:

1. Você retornará à página Segredos. Selecione Gerar/Importar.
2. Em Opções de upload, mantenha o valor padrão.
3. Em Nome, insira myCertSecretPassword, ou qualquer nome que desejar.
4. Em Valor, insira a senha do certificado.
5. Deixe os valores restantes em seus padrões e selecione Criar.
6. Você retornará à página Segredos.

Identificar o Key Vault

Agora que você tem um Key Vault com um certificado TLS/SSL assinado e a senha dele armazenada como segredos, retorne à seção Gateway de Aplicativo do Azure para identificar o Key Vault para a implantação.

1. Em Nome do grupo de recursos na assinatura atual que contém o Cofre de Chaves, insira o nome do grupo de recursos que contém o Cofre de Chaves que você criou anteriormente.
2. Em Nome do Cofre de Chaves do Azure que contém segredos para o certificado de terminação SSL, insira o nome do Cofre de Chaves.
3. Em O nome do segredo no KeyVault especificado cujo valor corresponde aos dados do certificado SSL, digite myCertSecretData ou qualquer nome que você tenha inserido anteriormente.
4. Em O nome do segredo no KeyVault especificado cujo valor é a senha do Certificado SSL, insira myCertSecretDataou qualquer nome inserido anteriormente.
5. Selecione Examinar + criar.
6. Selecione Criar. Isso fará uma validação de que o certificado pode ser obtido no Key Vault e que sua senha corresponde ao valor armazenado para a senha no Key Vault. Se essa etapa de validação falhar, examine as propriedades do Key Vault, verifique se o certificado foi inserido corretamente e verifique se a senha foi inserida corretamente.
7. Quando você vir Validação aprovada, selecione Criar.

Isso iniciará o processo de criação do Cluster do WLS e do respectivo Gateway de Aplicativo de front-end, o que pode levar cerca de 15 minutos. Quando a implantação for concluída, selecione Ir para o grupo de recursos. Na lista de recursos no grupo de recursos, selecione myAppGateway.

A opção final para fornecer um certificado TLS/SSL ao Gateway de Aplicativo é detalhada na próxima seção. Se você estiver satisfeito com a opção escolhida, pule para a seção Continuar com a implantação.

Opção três: gerar um certificado autoassinado

Essa opção é adequada apenas para implantações de teste e desenvolvimento. Com essa opção, um Azure Key Vault e um certificado autoassinado são criados automaticamente e o certificado é fornecido ao Gateway de Aplicativo.

Veja como solicitar a implantação para executar essas ações:

1. Na seção do Gateway de Aplicativo do Azure , selecione Gerar um certificado autoassinado.
2. Selecione uma identidade gerenciada atribuída pelo usuário. Isso é necessário para permitir que a implantação crie o Azure Key Vault e o certificado.
3. Se você ainda não tiver uma identidade gerenciada atribuída pelo usuário, selecione Adicionar para iniciar o processo de criação de uma.
4. Para criar uma identidade gerenciada atribuída pelo usuário, siga as etapas na seção Criar uma identidade gerenciada atribuída pelo usuário seção de Criar, listar, excluir ou atribuir uma função a uma identidade gerenciada atribuída pelo usuário usando o portal do Azure. Depois de selecionar a identidade gerenciada atribuída pelo usuário, verifique se a caixa de seleção ao lado da identidade gerenciada atribuída pelo usuário está marcada.

Continuar com a implantação

Agora você pode continuar com os outros aspectos da implantação do WLS, conforme descrito na documentação do Oracle.

Validar a implantação bem-sucedida do WLS e do App Gateway

Esta seção mostra uma técnica para validar rapidamente a implantação bem-sucedida do cluster WLS e do Gateway de Aplicativo.

Caso você tenha selecionado Ir para o grupo de recursos e, em seguida, myAppGateway ao final da seção anterior, você estará examinando a página de resumo do Gateway de Aplicações. Caso contrário, você poderá encontrar essa página digitando myAppGateway na caixa de texto na parte superior do portal do Azure e selecionando a correta exibida. Certifique-se de selecionar aquele dentro do grupo de recursos que você criou para o cluster WLS. Em seguida, conclua as etapas a seguir.

1. No painel esquerdo da página de visão geral para myAppGateway, role para baixo até a seção Monitoramento e selecione Integridade de back-end.
2. Depois que a mensagem carregando desaparecer, você deverá ver uma tabela no meio da tela mostrando os nós do cluster configurados como nós no pool de back-end.
3. Verifique se o status mostra Íntegro para cada nó.

Limpar recursos

Se você não quiser continuar a usar o cluster WLS, exclua o Key Vault e o Cluster WLS com as seguintes etapas:

1. Visite a página de visão geral para myAppGateway, conforme mostrado na seção anterior.
2. Na parte superior da página, sob o texto 'grupo de recursos', selecione o grupo de recursos.
3. Selecione Excluir grupo de recursos.
4. O foco do cursor será definido para o campo rotulado como DIGITE O NOME DO GRUPO DE RECURSOS. Digite o nome do grupo de recursos conforme solicitado.
5. Isso fará com que o botão Excluir seja habilitado. Selecione o botão Excluir. Essa operação levará algum tempo, mas você poderá continuar para a próxima etapa enquanto a exclusão estiver sendo processada.
6. Localize o Key Vault seguindo a primeira etapa da seção Armazene o certificado TLS/SSL no Key Vault.
7. Selecione Excluir.
8. Selecione Excluir no painel exibido.

Próximas etapas

Continue explorando as opções para executar o WLS no Azure.

Saiba mais sobre o Oracle WebLogic Server no Azure