Partilhar via


Implantar a VM F5 BIG-IP Virtual Edition no Azure

Neste tutorial, aprenda a implantar o BIG-IP Vitural Edition (VE) na infraestrutura como serviço (IaaS) do Azure. No final do tutorial, você terá:

  • Uma máquina virtual (VM) BIG-IP preparada para modelar uma prova de conceito de acesso híbrido seguro (SHA)
  • Uma instância de preparo para testar novas atualizações e hotfixes do sistema BIG-IP

Saiba mais: SHA: Proteja aplicativos herdados com o Microsoft Entra ID

Pré-requisitos

Não é necessária experiência ou conhecimento prévio do F5 BIG-IP. No entanto, recomendamos que você revise a terminologia padrão do setor no Glossário F5.

A implantação de um BIG-IP no Azure para SHA exige:

  • Uma subscrição paga do Azure
  • Qualquer um dos seguintes SKUs de licença F5 BIG-IP:
    • F5 BIG-IP® Melhor pacote
    • Licença autónoma F5 BIG-IP Access Policy Manager™ (APM)
    • F5 BIG-IP Access Policy Manager™ (APM) licença complementar em um BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
    • Licença de avaliação completa de 90 dias do BIG-IP
  • Um curinga ou certificado SAN (Nome Alternativo da Entidade) para publicar aplicativos Web sobre SSL (Secure Socket Layer)
    • Aceda a letsencrypt.org para ver as ofertas. Selecione Começar.
  • Um certificado SSL para proteger a interface de gerenciamento BIG-IP. Você pode usar um certificado para publicar aplicativos Web, se o assunto corresponder ao FQDN (nome de domínio totalmente qualificado) do BIG-IP. Por exemplo, você pode usar um certificado curinga com um assunto *.contoso.com para https://big-ip-vm.contoso.com:8443.

A implantação da VM e as configurações do sistema base levam aproximadamente 30 minutos, então o BIG-IP deve implementar cenários SHA em Integrar F5 BIG-IP com o Microsoft Entra ID.

Cenários de teste

Quando você testa os cenários, este tutorial pressupõe:

  • O BIG-IP é implantado em um grupo de recursos do Azure com um ambiente do Ative Directory (AD)
  • O ambiente consiste em um controlador de domínio (DC) e VMs de host da Web do IIS (Serviços de Informações da Internet)
  • Servidores que não estão nos mesmos locais que a VM BIG-IP são aceitáveis, se o BIG-IP vê as funções necessárias para dar suporte a um cenário
  • BIG-IP VM conectado a outro ambiente, através de uma conexão VPN, é suportado

Se você não tiver os itens anteriores para teste, poderá implantar um ambiente de domínio do AD no Azure, usando um script no Cloud Identity Lab. Você pode implantar programaticamente aplicativos de teste de exemplo em um host da Web do IIS usando uma automação com script no Demo Suite.

Nota

Algumas etapas neste tutorial podem diferir do layout no centro de administração do Microsoft Entra.

Implantação do Azure

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Você pode implantar um BIG-IP em topologias diferentes. Este guia se concentra em uma implantação de placa de interface de rede (NIC). No entanto, se sua implantação do BIG-IP exigir várias interfaces de rede para alta disponibilidade, segregação de rede ou taxa de transferência de mais de 1 GB, considere usar modelos F5 pré-compilados do Azure Resource Manager (ARM).

Para implantar o BIG-IP VE do Azure Marketplace.

  1. Entre no centro de administração do Microsoft Entra com uma conta com permissões para criar VMs, como um Administrador de Aplicativos.

  2. Na caixa de pesquisa da faixa de opções superior, digite marketplace

  3. Selecione Enter.

  4. Digite F5 no filtro do Marketplace.

  5. Selecione Enter.

  6. Na faixa de opções superior, selecione + Adicionar.

  7. Para o filtro de mercado, digite F5.

  8. Selecione Enter.

  9. Selecione F5 BIG-IP Virtual Edition (BYOL)>Selecione um plano>de software F5 BIG-IP VE - ALL (BYOL, 2 locais de inicialização).

  10. Selecione Criar.

    Captura de ecrã das seleções de planos de software.

  11. Para noções básicas:

  • Assinatura: assinatura de destino para a implantação de VM BIG-IP
  • Grupo de recursos: o RG do Azure no qual a VM BIG-IP será implantada ou criará uma. É o seu grupo de recursos de VMs DC e IIS
  1. Por exemplo, detalhes:
  • Exemplo de nome da VM BIG-IP-VM
  • Região: Target Azure geo for BIG-IP-VM
  • Opções de disponibilidade Habilitar se estiver usando VM em produção
  • Imagem: F5 BIG-IP VE - ALL (BYOL, 2 locais de inicialização)
  • Instância do Azure Spot: Não, mas habilite-a, se necessário
  • Tamanho: As especificações mínimas são 2 vCPUs e 8 GB de memória
  1. Para a conta de administrador:
  • Tipo de autenticação: selecione uma senha por enquanto e alterne para um par de chaves mais tarde
  • Nome de usuário: A identidade a ser criada como uma conta local BIG-IP para acessar suas interfaces de gerenciamento. O nome de usuário diferencia maiúsculas de minúsculas.
  • Palavra-passe: Acesso de administrador seguro com uma palavra-passe forte
  1. Regras de porta de entrada: Portas de entrada públicas, Nenhuma.
  2. Selecione Next: Disks. Deixe os padrões.
  3. Selecione Next: Networking.
  4. Para Networking:
  • Rede virtual: a VNet do Azure usada por suas VMs de DC e IIS ou crie uma
  • Sub-rede: a mesma sub-rede interna do Azure que suas VMs DC e IIS ou crie uma
  • IP público: Nenhum
  • Grupo de Segurança de Rede NIC: selecione Nenhum, se a sub-rede do Azure selecionada estiver associada a um NSG (grupo de segurança de rede); caso contrário, selecione Básico
  • Acelere a rede: Desligado
  1. Para balanceamento de carga: VM de balanceamento de carga, Não.
  2. Selecione Next: Management e conclua as configurações:
  • Monitorização detalhada: Desligado
  • Diagnóstico de inicialização Habilite com uma conta de armazenamento personalizada. Este recurso permite a conexão com a interface de shell seguro (SSH) BIG-IP através da opção Serial Console no centro de administração do Microsoft Entra. Selecione uma conta de armazenamento do Azure disponível.
  1. Para a identidade:
  • Identidade gerenciada atribuída ao sistema: Desativado
  • Microsoft Entra ID: BIG-IP não suporta esta opção
  1. Para Desligamento automático: habilite ou, se estiver testando, você pode definir o BIG-IP-VM para desligar diariamente
  2. Selecione Next: Advanced, deixe os padrões.
  3. Selecione Next: Tags.
  4. Para rever a configuração do BIG-IP-VM, selecione Seguinte: Rever + criar.
  5. Selecione Criar. O tempo para implantar uma VM BIG-IP normalmente é de 5 minutos.
  6. Quando terminar, expanda o menu à esquerda do centro de administração do Microsoft Entra.
  7. Selecione Grupos de recursos e navegue até a BIG-IP-VM.

Nota

Se a criação da VM falhar, selecione Voltar e Avançar.

Configuração de rede

Quando a VM BIG-IP é iniciada, sua NIC é provisionada com um IP privado primário emitido pelo serviço DHCP (Dynamic Host Configuration Protocol) da sub-rede do Azure à qual está conectado. O BIG-IP Traffic Management Operating System (TMOS) usa o IP para se comunicar com:

  • Anfitriões e serviços
  • Acesso de saída à Internet pública
  • Acesso de entrada à configuração da Web do BIG-IP e interfaces de gerenciamento SSH

Expor as interfaces de gerenciamento à internet aumenta a superfície de ataque BIG-IP. Esse risco é o motivo pelo qual o IP primário do BIG-IP não foi provisionado com um IP público durante a implantação. Em vez disso, um IP interno secundário e um IP público associado são provisionados para publicação. Esse mapeamento um-para-um entre um IP público de VM e um IP privado permite que o tráfego externo alcance uma VM. No entanto, uma regra NSG do Azure é necessária para permitir o tráfego, semelhante a um firewall.

O diagrama a seguir mostra uma implantação de NIC de um BIG-IP VE no Azure, configurado com um IP primário para operações e gerenciamento gerais. Há um IP de servidor virtual separado para serviços de publicação. Uma regra NSG permite que o tráfego remoto destinado intranet.contoso.com a ser encaminhado para o IP público do serviço publicado, antes de ser encaminhado para o servidor virtual BIG-IP.

Diagrama da implantação de NIC única.

Por padrão, os IPs privados e públicos emitidos para VMs do Azure são dinâmicos, portanto, podem ser alterados quando uma VM é reiniciada. Evite problemas de conectividade alterando o IP de gerenciamento BIG-IP para estático. Faça a mesma ação em IPs secundários para serviços de publicação.

  1. No menu BIG-IP VM, vá para Configurações>de rede.

  2. Na visualização de rede, selecione o link à direita de Interface de Rede.

    Captura de tela das configurações de rede.

Nota

Os nomes de VM são gerados aleatoriamente durante a implantação.

  1. No painel esquerdo, selecione Configurações de IP.
  2. Selecione a linha ipconfig1 .
  3. Defina a opção Atribuição de IP como Estática. Se necessário, altere o endereço IP primário da VM BIG-IP.
  4. Selecione Guardar.
  5. Feche o menu ipconfig1 .

Nota

Use o IP principal para conectar e gerenciar o BIG-IP-VM.

  1. No friso superior, selecione + Adicionar.
  2. Forneça um nome IP privado secundário, por exemplo, ipconfig2.
  3. Para a configuração de endereço IP privado, defina a opção Alocação como Estática. Fornecer o IP mais alto ou mais baixo ajuda a preservar a ordem.
  4. Defina o endereço IP público como Associado.
  5. Selecione Criar.
  6. Para o novo endereço IP público, forneça um nome, por exemplo, BIG-IP-VM_ipconfig2_Public.
  7. Se solicitado, defina o SKU como Padrão.
  8. Se solicitado, defina a Camada como Global.
  9. Defina a opção Atribuição como Estática.
  10. Selecione OK duas vezes.

Seu BIG-IP-VM está pronto para:

  • IP privado primário: Dedicado ao gerenciamento do BIG-IP-VM através de seu utilitário de configuração da Web e SSH. Ele é usado pelo sistema BIG-IP, como seu Self-IP, para se conectar a serviços de back-end publicados. Liga-se a serviços externos:
    • NTP (Network Time Protocol)
    • Ative Directory (AD)
    • LDAP (Lightweight Directory Access Protocol)
  • IP privado secundário: use para criar um servidor virtual BIG-IP APM para ouvir a solicitação de entrada para um serviço publicado
  • IP público: Está associado ao IP privado secundário, permitindo que o tráfego de clientes da Internet pública chegue ao servidor virtual BIG-IP para o(s) serviço(s) publicado(s)

O exemplo ilustra a relação um-para-um entre uma VM pública e privada IPs. Uma NIC de VM do Azure tem um IP primário e outros IPs são secundários.

Nota

Você precisa dos mapeamentos de IP secundários para publicar serviços BIG-IP.

Captura de tela das configurações de IP.

Para implementar o SHA usando a Configuração Guiada de Acesso BIG-IP, repita as etapas para criar mais pares de IP privados e públicos para os serviços que você publica por meio do BIG-IP APM. Use a mesma abordagem para serviços de publicação usando a Configuração Avançada do BIG-IP. No entanto, evite a sobrecarga de IP público usando uma configuração SNI (Server Name Indicator): um servidor virtual BIG-IP aceita o tráfego de cliente que recebe e o envia para seu destino.

Configuração do DNS

Para resolver os serviços SHA publicados para o(s) IP(s) público(s) BIG-IP-VM, configure o DNS para clientes. As etapas a seguir pressupõem que a zona DNS de domínio público para seus serviços SHA é gerenciada no Azure. Aplique os princípios DNS de criação de um localizador, independentemente de onde sua zona DNS é gerenciada.

  1. Expanda o menu esquerdo do portal.

  2. Com a opção Grupos de Recursos , navegue até sua BIG-IP-VM.

  3. No menu BIG-IP VM, vá para Configurações>de rede.

  4. Na visualização de rede BIG-IP-VMs, na lista suspensa Configuração de IP, selecione o primeiro IP secundário.

  5. Selecione o link IP público da NIC.

    Scrrenshot do IP público da NIC.

  6. No painel esquerdo, abaixo da seção Configurações , selecione Configuração.

  7. O menu de propriedades públicas de IP e DNS é exibido.

  8. Selecione e crie um registro de alias.

  9. No menu suspenso, selecione sua zona DNS. Se não houver zona DNS, ela poderá ser gerenciada fora do Azure ou criar uma para o sufixo de domínio a ser verificado na ID do Microsoft Entra.

  10. Para criar o primeiro registro de alias DNS:

    • Assinatura: mesma assinatura que o BIG-IP-VM
    • Zona DNS: a zona DNS autoritativa para o sufixo de domínio verificado que seus sites publicados usam, por exemplo, www.contoso.com
    • Nome: O nome do host especificado é resolvido para o IP público associado ao IP secundário selecionado. Defina mapeamentos DNS para IP. Por exemplo, intranet.contoso.com para 11.22.333.444
    • TTL: 1
    • Unidades TTL: Horas
  11. Selecione Criar.

  12. Deixe o rótulo do nome DNS (opcional).

  13. Selecione Guardar.

  14. Feche o menu IP público.

Nota

Para criar registros DNS adicionais para os serviços que você publicará usando a Configuração Guiada BIG-IP, repita as etapas 1 a 6.

Com os registros DNS instalados, você pode usar ferramentas como o verificador de DNS para verificar um registro criado propagado em servidores DNS públicos globais. Se você gerencia seu namespace de domínio DNS usando um provedor externo como a GoDaddy, crie registros usando seu recurso de gerenciamento de DNS.

Nota

Se testar e mudar frequentemente de registos DNS, pode utilizar um ficheiro de anfitriões locais do PC: Selecione Win + R. Na caixa Executar, insira drivers. Um registro de host local fornece resolução DNS para o PC local, não para outros clientes.

Tráfego de clientes

Por padrão, as redes virtuais do Azure (VNets) e as sub-redes associadas são redes privadas que não conseguem receber tráfego da Internet. Conecte sua NIC BIG-IP-VM ao NSG especificado durante a implantação. Para que o tráfego externo da Web alcance o BIG-IP-VM, defina uma regra NSG de entrada para permitir as portas 443 (HTTPS) e 80 (HTTP) da Internet pública.

  1. No menu Visão geral principal da VM BIG-IP, selecione Rede.
  2. Selecione Adicionar regra de entrada.
  3. Insira as propriedades da regra NSG:
  • Fonte: Qualquer
  • Intervalos de portas de origem: *|
  • Endereços IP de destino: lista separada por vírgulas de IPs privados secundários BIG-IP-VM
  • Portos de destino: 80, 443
  • Protocolo: TCP
  • Ação: Permitir
  • Prioridade: Menor valor disponível entre 100 e 4096
  • Nome: Um nome descritivo, por exemplo: BIG-IP-VM_Web_Services_80_443
  1. Selecione Adicionar.
  2. Feche o menu Rede .

O tráfego HTTP e HTTPS pode alcançar suas interfaces secundárias BIG-IP-VMs. Permitir a porta 80 permite que o BIG-IP APM redirecione automaticamente os usuários de HTTP para HTTPS. Edite esta regra para adicionar ou remover IPs de destino.

Gerenciar BIG-IP

Um sistema big-IP é administrado com sua interface do usuário de configuração da web. Aceda à IU a partir de:

Nota

Selecione um dos três métodos anteriores antes de prosseguir com as configurações restantes. Se necessário, conecte-se diretamente à configuração da Web a partir da Internet configurando o IP primário BIG-IP com um IP público. Em seguida, adicione uma regra NSG para permitir o tráfego 8443 para esse IP primário. Restrinja a fonte ao seu próprio IP confiável, caso contrário, qualquer pessoa pode se conectar.

Confirmar ligação

Confirme se você pode se conectar à configuração da Web da VM BIG-IP e entrar com as credenciais especificadas durante a implantação da VM:

  • Se estiver se conectando a partir de uma VM em sua rede interna ou via VPN, conecte-se ao IP primário do BIG-IP e à porta de configuração da Web. Por exemplo, https://<BIG-IP-VM_Primary_IP:8443. O prompt do navegador pode indicar que a conexão é insegura. Ignore o prompt até que o BIG-IP esteja configurado. Se o navegador bloquear o acesso, limpe o cache e tente novamente.
  • Se você publicou a configuração da Web via Proxy de Aplicativo, use a URL definida para acessar a configuração da Web externamente. Não anexe a porta, por exemplo, https://big-ip-vm.contoso.com. Defina a URL interna usando a porta de configuração da Web, por exemplo, https://big-ip-vm.contoso.com:8443.

Nota

Você pode gerenciar um sistema BIG-IP com seu ambiente SSH, normalmente usado para tarefas de linha de comando (CLI) e acesso em nível raiz.

Para se conectar à CLI:

  • Azure Bastion service: Conecte-se a VMs em uma VNet, de qualquer local
  • Cliente SSH, como o PowerShell com a abordagem just-in-time (JIT)
  • Console serial: No portal, no menu VM, seção Suporte e solução de problemas. Não suporta transferências de ficheiros.
  • Da Internet: Configure o IP primário do BIG-IP com um IP público. Adicione uma regra NSG para permitir o tráfego SSH. Restrinja sua fonte de IP confiável.

Licença BIG-IP

Antes que ele possa ser configurado para serviços de publicação e SHA, ative e provisione um sistema BIG-IP com o módulo APM.

  1. Inicie sessão na configuração Web.
  2. Na página Propriedades gerais, selecione Ativar.
  3. No campo Chave de registro base, insira a chave que diferencia maiúsculas de minúsculas fornecida por F5.
  4. Deixe o Método de ativação definido como Automático.
  5. Selecione Seguinte.
  6. O BIG-IP valida a licença e mostra o contrato de licença de usuário final (EULA).
  7. Selecione Aceitar e aguarde a conclusão da ativação.
  8. Selecione Continuar.
  9. Na parte inferior da página Resumo da licença, inicie sessão.
  10. Selecione Seguinte.
  11. Uma lista de módulos, necessários para SHA, é exibida.

Nota

Se a lista não aparecer, na guia principal, vá para Provisionamento de Recursos do Sistema>. Verifique a coluna de provisionamento para Política de Acesso (APM)

Captura de tela do provisionamento de acesso.

  1. Selecione Submeter.
  2. Aceite o aviso.
  3. Aguarde a conclusão da inicialização.
  4. Selecione Continuar.
  5. Na guia Sobre, selecione Executar o utilitário de instalação.

Importante

Uma licença F5 é para uma instância BIG-IP VE. Para migrar uma licença de uma instância para outra, consulte o artigo AskF5, K41458656: Reutilizando uma licença BIG-IP VE em um sistema BIG-IP VE diferente. Revogue sua licença de avaliação na instância ativa antes de descomissioná-la, caso contrário, a licença será perdida permanentemente.

Provisionar BIG-IP

É importante proteger o tráfego de gerenciamento de e para a configuração da web do BIG-IP. Para ajudar a proteger o canal de configuração da Web contra comprometimento, configure um certificado de gerenciamento de dispositivos.

  1. Na barra de navegação à esquerda, vá para System>Certificate Management>Traffic Certificate Management>SSL Certificate List>Import.

  2. Na lista suspensa Tipo de importação , selecione PKCS 12(IIS) e escolha Arquivo.

  3. Localize um certificado da Web SSL com um nome de entidade ou SAN que cubra o FQDN, ao qual você atribui o BIG-IP-VM mais tarde.

  4. Forneça a senha do certificado.

  5. Selecione Importar.

  6. Na barra de navegação à esquerda, vá para Plataforma do sistema>.

  7. Em Propriedades Gerais, insira um Nome de Host qualificado e Fuso Horário do ambiente.

    Captura de tela das propriedades gerais.

  8. Selecione Atualizar.

  9. Na barra de navegação à esquerda, vá para System>Configuration>Device>NTP.

  10. Especifique uma fonte NTP.

  11. Selecione Adicionar.

  12. Selecione Atualizar. Por exemplo, time.windows.com

Você precisa de um registro DNS para resolver o FQDN de BIG-IPs para seu IP privado primário, que você especificou nas etapas anteriores. Adicione um registro ao DNS interno do seu ambiente ou a um arquivo localhost do PC para se conectar à configuração da Web do BIG-IP. Quando você se conecta à configuração da Web, o aviso do navegador não aparece mais, não com o Proxy de Aplicativo ou qualquer outro proxy reverso.

Perfil SSL

Como proxy reverso, um sistema BIG-IP é um serviço de encaminhamento, também conhecido como proxy transparente ou proxy completo que participa de trocas entre clientes e servidores. Um proxy completo cria duas conexões: uma conexão de cliente TCP front-end e uma conexão de servidor TCP back-end, com uma lacuna suave no meio. Os clientes se conectam ao ouvinte proxy em uma extremidade, um servidor virtual, e o proxy estabelece uma conexão separada e independente com o servidor back-end. Esta configuração é bidirecional em ambos os lados. Neste modo de proxy completo, o sistema F5 BIG-IP pode inspecionar o tráfego e interagir com solicitações e respostas. Funções como balanceamento de carga e otimização de desempenho da Web e serviços avançados de gerenciamento de tráfego (segurança da camada de aplicativo, aceleração da Web, roteamento de página e acesso remoto seguro) dependem dessa funcionalidade. Quando você publica serviços baseados em SSL, perfis BIG-IP SSL entregando o tráfego de descriptografia e criptografia entre clientes e serviços back-end.

Existem dois tipos de perfil:

  • SSL do cliente: Criar este perfil é a maneira mais comum de configurar um sistema BIG-IP para publicar serviços internos com SSL. Com um perfil SSL de cliente, um sistema BIG-IP descriptografa as solicitações de entrada do cliente, antes de enviá-las para um serviço downstream. Ele criptografa as respostas de back-end de saída e, em seguida, as envia aos clientes.
  • SSL do servidor: Para serviços back-end configurados para HTTPS, você pode configurar o BIG-IP para usar um perfil SSL do servidor. Com esse perfil, o BIG-IP criptografa novamente a solicitação do cliente e, em seguida, a envia para o serviço back-end de destino. Quando o servidor retorna uma resposta criptografada, o sistema BIG-IP descriptografa e criptografa novamente a resposta e, em seguida, envia-a para o cliente, através do perfil SSL do cliente configurado.

Para que o BIG-IP esteja pré-configurado e pronto para cenários SHA, provisione os perfis SSL de Cliente e Servidor.

  1. Na navegação à esquerda, vá para System>Certificate Management>Traffic Certificate Management>SSL Certificate List>Import.

  2. Na lista suspensa Tipo de importação, selecione PKCS 12 (IIS).

  3. Para o certificado importado, insira um nome como ContosoWildcardCert.

  4. Selecione Escolher Ficheiro.

  5. Navegue até o certificado da Web SSL com um nome de assunto que corresponde ao sufixo de domínio para serviços publicados.

  6. Para o certificado importado, forneça a senha.

  7. Selecione Importar.

  8. Na navegação à esquerda, vá para Local Traffic>Profiles>SSL>Client.

  9. Selecione Criar.

  10. Na página Novo Perfil SSL do Cliente, insira um Nome exclusivo e amigável.

  11. Verifique se o perfil pai está definido como clientssl.

    Captura de tela das seleções de nome e perfil pai.

  12. Na linha Cadeia de Chaves de Certificado , marque a caixa de seleção mais à direita.

  13. Selecione Adicionar.

  14. Nas listas suspensas Certificado, Chave e Cadeia, selecione o certificado curinga importado sem uma senha.

  15. Selecione Adicionar.

  16. Selecione Concluído.

    Captura de tela das seleções de certificado, chave e cadeia.

  17. Repita as etapas para criar um perfil de certificado de servidor SSL.

  18. Na faixa de opções superior, selecione Criar Servidor>SSL.>

  19. Na página Novo Perfil SSL do Servidor, insira um Nome exclusivo e amigável.

  20. Verifique se o perfil pai está definido como serverssl.

  21. Marque a caixa de seleção mais à direita para as linhas Certificado e Chave

  22. Nas listas suspensas Certificado e Chave, selecione o certificado importado.

  23. Selecione Concluído.

    Captura de tela de propriedades gerais e seleções de configuração.

Nota

Se você não conseguir obter um certificado SSL, use o servidor BIG-IP autoassinado integrado e os certificados SSL do cliente. Um erro de certificado aparece no navegador.

Localizar o recurso

Para preparar um BIG-IP para SHA, localize os recursos de sua publicação e o serviço de diretório no qual ele depende para SSO. Um big-IP tem duas fontes de resolução de nomes, começando com seu arquivo local/.../hosts. Se um registro não for encontrado, o sistema BIG-IP usará o serviço DNS com o qual foi configurado. O método de arquivo hosts não se aplica a nós e pools APM que usam um FQDN.

  1. Na configuração da Web, vá para DNS do Dispositivo>de Configuração do>Sistema.>
  2. Em Lista de Servidores de Pesquisa DNS, insira o endereço IP do servidor DNS do seu ambiente.
  3. Selecione Adicionar.
  4. Selecione Atualizar.

Uma etapa opcional é uma configuração LDAP para autenticar administradores de sistemas BIG-IP no Ative Directory, em vez de gerenciar contas BIG-IP locais.

Atualizar BIG-IP

Consulte a lista a seguir para obter orientações relacionadas à atualização. Siga as instruções de atualização.

  • Para verificar a versão do sistema operativo de gestão de tráfego (TMOS):
    • No canto superior esquerdo da página principal, passe o cursor sobre o nome do host BIG-IP
  • Execute v15.x e superior. Veja, F5 download. É necessário iniciar sessão.
  • Para atualizar o TMOS principal, consulte o artigo F5, K34745165: Managing software images on the BIG-IP system
    • Se não conseguir atualizar o TMOS principal, pode atualizar a Configuração Guiada. Siga os passos abaixo.
  • Consulte também orientações baseadas em cenários
  1. Na configuração da Web do BIG-IP, na guia principal, vá para Configuração guiada de acesso>.

  2. Na página Configuração Guiada, selecione Atualizar Configuração Guiada.

    Captura de ecrã da página de configuração guiada.

  3. Na caixa de diálogo Configuração guiada de atualização, selecione Escolher arquivo.

  4. Selecione Carregar e instalar.

  5. Aguarde a conclusão da atualização.

  6. Selecione Continuar.

Fazer backup do BIG-IP

Quando o sistema BIG-IP é provisionado, recomendamos um backup de configuração completa.

  1. Vá para System>Archives>Create.
  2. Forneça um Nome de Arquivo exclusivo.
  3. Habilite a criptografia com uma senha.
  4. Defina a opção Chaves Privadas como Incluir para fazer backup de certificados SSL e do dispositivo.
  5. Selecione Concluído.
  6. Aguarde a conclusão do processo.
  7. É apresentada uma mensagem com os resultados.
  8. Selecione OK.
  9. Selecione o link de backup.
  10. Salve o arquivo UCS (conjunto de configurações do usuário) localmente.
  11. Selecione Transferir.

Você pode criar um backup de todo o disco do sistema usando instantâneos do Azure. Esta ferramenta fornece contingência para testar entre versões do TMOS ou reverter para um novo sistema.

# Install modules
Install-module Az
Install-module AzureVMSnapshots

# Authenticate to Azure
Connect-azAccount

# Set subscription by Id
Set-AzContext -SubscriptionId ‘<Azure_Subscription_ID>’

#Create Snapshot
New-AzVmSnapshot -ResourceGroupName '<E.g.contoso-RG>' -VmName '<E.g.BIG-IP-VM>'

#List Snapshots
#Get-AzVmSnapshot -ResourceGroupName ‘<E.g.contoso-RG>'

#Get-AzVmSnapshot -ResourceGroupName ‘<E.g.contoso-RG>' -VmName '<E.g.BIG-IP-VM>' | Restore-AzVmSnapshot -RemoveOriginalDisk 

Restaurar BIG-IP

A restauração de um BIG-IP é semelhante ao processo de backup e pode ser usada para migrar configurações entre VMs BIG-IP. Antes de importar um backup, confirme os caminhos de atualização suportados.

  1. Vá para Arquivos do Sistema>.
  • Selecione um link de backup ou
  • Selecione Carregar e navegue até um arquivo UCS salvo que não esteja na lista
  1. Forneça a senha de backup.
  2. selecione Restaurar
# Authenticate to Azure
Connect-azAccount

# Set subscription by Id
Set-AzContext -SubscriptionId ‘<Azure_Subscription_ID>’

#Restore Snapshot
Get-AzVmSnapshot -ResourceGroupName '<E.g.contoso-RG>' -VmName '<E.g.BIG-IP-VM>' | Restore-AzVmSnapshot

Nota

Atualmente, o cmdlet AzVmSnapshot pode restaurar o instantâneo mais recente, com base na data. Os instantâneos são armazenados na raiz do grupo de recursos da VM. A restauração de instantâneos reinicia uma VM do Azure, portanto, garante o tempo ideal para a tarefa.

Recursos

Próximos passos

Selecione um cenário de implantação e inicie a implementação.