Руководство по переносу кластера WebLogic Server в Azure с помощью шлюза приложений Azure в качестве подсистемы балансировки нагрузки

В этом руководстве описан процесс развертывания WebLogic Server (WLS) с помощью шлюза приложений Azure. В ней рассматриваются конкретные действия по созданию Хранилища ключей, хранению СЕРТИФИКАТА TLS/SSL в Key Vault и использованию этого сертификата для завершения TLS/SSL. Хотя все эти элементы хорошо документированы, в этом руководстве показан конкретный способ, как они объединяются для создания простого и мощного решения для балансировки нагрузки для WLS в Azure.

Балансировка нагрузки является важной частью миграции кластера Oracle WebLogic Server в Azure. Проще всего использовать встроенную поддержку шлюза приложений Azure. Шлюз приложений входит в состав поддержки кластера WebLogic в Azure. Общие сведения о поддержке кластера WebLogic в Azure см. в статье Что такое Oracle WebLogic Server в Azure?.

В этом руководстве описано, как:

• Выбор способа предоставления TLS/SSL-сертификата шлюзу приложений
• Развертывание WebLogic Server с помощью Шлюза приложений Azure в Azure
• Проверка успешного развертывания WLS и шлюза приложений

Необходимые условия

• OpenSSL на компьютере, работающем в UNIX-подобной среде командной строки.

  Хотя для управления сертификатами могут быть доступны другие средства, в этом руководстве используется OpenSSL. OpenSSL можно найти в комплекте с множеством дистрибутивов GNU/Linux, таких как Ubuntu.

• Активная подписка Azure.

  • Если у вас нет подписки Azure, создать бесплатную учетную запись.

• Возможность развертывания одного из приложений Oracle WebLogic Server Azure, перечисленных в .

Контекст миграции

Ниже приведены некоторые сведения о переносе локальных установок WLS и шлюза приложений Azure. Хотя шаги этого руководства являются самым простым способом создания подсистемы балансировки нагрузки перед кластером WebLogic Server в Azure, существует множество других способов его выполнения. В этом списке показаны некоторые другие аспекты, которые следует учитывать.

• Если у вас есть существующее решение для балансировки нагрузки, убедитесь, что его возможности выполняются или превышаются шлюзом приложений Azure. Сводка возможностей шлюза приложений Azure по сравнению с другими решениями балансировки нагрузки Azure см. в разделе Обзор параметров балансировки нагрузки в Azure.
• Если ваше текущее решение для балансировки нагрузки обеспечивает защиту от распространенных эксплойтов и уязвимостей, то шлюз приложений гарантирует защиту. Шлюз приложений со встроенным брандмауэром веб-приложений (WAF) внедряет базовые наборы правил OWASP (Open Web Application Security Project). Дополнительные сведения о поддержке WAF в шлюзе приложений см. в разделе Брандмауэр веб-приложенийфункции шлюза приложений Azure.
• Если существующее решение для балансировки нагрузки требует сквозного шифрования TLS/SSL, необходимо выполнить дополнительную настройку после выполнения действий, описанных в этом руководстве. Ознакомьтесь с разделом сквозного шифрования TLS в разделе Обзор прекращения TLS и сквозного TLS с использованием Application Gateway, а также с документацией Oracle по настройке SSL в Oracle Fusion Middleware.
• Если вы оптимизируете облако, в этом руководстве показано, как начать с нуля с шлюза приложений Azure и WLS.
• Полный обзор миграции webLogic Server на виртуальные машины Azure см. в статье Перенос приложений WebLogic Server на виртуальные машины Azure.

Развертывание webLogic Server с помощью шлюза приложений в Azure

В этом разделе показано, как подготовить кластер WLS с автоматически созданным шлюзом приложений Azure в качестве подсистемы балансировки нагрузки для узлов кластера. Шлюз приложений будет использовать предоставленный TLS/SSL-сертификат для завершения TLS/SSL. Дополнительные сведения о завершении TLS/SSL с помощью шлюза приложений см. в статье Обзор завершения TLS и завершение TLS с помощью шлюза приложений.

Чтобы создать кластер WLS и шлюз приложений, выполните следующие действия.

Сначала начните процесс развертывания настроенного или динамического кластера WebLogic Server, как описано в документации Oracle, но вернитесь на эту страницу, когда вы достигнете шлюза приложений Azure, как показано здесь.

Выбор способа предоставления TLS/SSL-сертификата шлюзу приложений

У вас есть несколько вариантов предоставления TLS/SSL-сертификата шлюзу приложений, но можно выбрать только один. В этом разделе описываются все варианты, чтобы выбрать наиболее подходящий вариант для развертывания.

Вариант 1. Отправка TLS/SSL-сертификата

Этот вариант подходит для рабочих нагрузок, в которых шлюз приложений сталкивается с общедоступным Интернетом или для рабочих нагрузок интрасети, требующих TLS/SSL. Выбрав этот параметр, Azure Key Vault автоматически подготавливается для хранения TLS/SSL-сертификата, используемого шлюзом приложений.

Чтобы отправить существующий подписанный сертификат TLS/SSL, выполните следующие действия.

1. Следуйте инструкциям издателя сертификата, чтобы создать защищенный паролем TLS/SSL-сертификат и указать DNS-имя сертификата. Выбор между подстановочным сертификатом и сертификатом с одним именем не рассматривается в рамках этого документа. Любой из них будет работать здесь.
2. Экспортируйте сертификат из издателя с помощью формата PFX-файла и скачайте его на локальный компьютер. Если ваш издатель не поддерживает экспорт как PFX, средства существуют для преобразования многих форматов сертификатов в формат PFX.
3. Выберите раздел шлюза приложений Azure.
4. Рядом с Подключитесь к шлюзу приложений Azureвыберите Да.
5. Выберите Отправить ssl-сертификат.
6. Выберите значок браузера файлов для поля SSL-сертификата. Перейдите к скачанному сертификату в формате PFX и выберите Открыть.
7. Введите пароль для сертификата в поле Пароль и поле Подтвердите пароль.
8. Выберите, следует ли запретить общедоступный трафик непосредственно узлам управляемых серверов. Если выбрать Да,, управляемые серверы станут доступны только через шлюз приложений.

Выбор конфигурации DNS

СЕРТИФИКАТЫ TLS/SSL связаны с DNS-доменным именем во время их выдачи издателем сертификата. Выполните действия, описанные в этом разделе, чтобы настроить развертывание с DNS-именем сертификата. Вы можете использовать уже созданную зону DNS или разрешить развертыванию создать её для вас. Выберите раздел «Конфигурация DNS», чтобы продолжить.

Использование существующей зоны Azure DNS

Чтобы использовать существующую зону Azure DNS с шлюзом приложений, выполните следующие действия.

1. Рядом с Настроить пользовательский псевдоним DNSвыберите Да.
2. Рядом с выберите да в пункте Использовать существующую зону Azure DNS.
3. Введите имя зоны Azure DNS рядом с имя зоны DNS.
4. Введите группу ресурсов, содержащую зону Azure DNS на предыдущем шаге.

Разрешить развертыванию создать новую зону Azure DNS

Чтобы создать зону Azure DNS для использования с шлюзом приложений, выполните следующие действия.

1. Рядом с Настроить собственный псевдоним DNSвыберите Да.
2. Рядом с Использование существующей зоны DNS Azure выберите Нет.
3. Введите имя зоны Azure DNS рядом с имя зоны DNS. Новая зона DNS будет создана в той же группе ресурсов, что и WLS.

Наконец, укажите имена дочерних зон DNS. Развертывание создаст две дочерние зоны DNS для использования с WLS: один для консоли администрирования и один для шлюза приложений. Например, если contoso.netимени зоны DNS, можно ввести администратора и приложения в качестве значений. Консоль администрирования будет доступна в admin.contoso.net, а шлюз приложений будет доступен в app.contoso.net. Не забудьте настроить делегирование DNS, как описано в Делегирование зон DNS с Azure DNS.

Другие варианты предоставления TLS/SSL-сертификата шлюзу приложений подробно описаны в следующих разделах. Если вы удовлетворены выбранным вариантом, можете перейти к разделу Продолжить развертывание.

Вариант второй: Определение Azure Key Vault

Этот параметр подходит для рабочих нагрузок или непроизводственных рабочих нагрузок в зависимости от предоставленного TLS/SSL-сертификата. Если вы не хотите, чтобы развертывание создавало Azure Key Vault, вы можете определить существующий или создать его самостоятельно. Для этого параметра необходимо сохранить сертификат и его пароль в Azure Key Vault, прежде чем продолжить. Если у вас есть существующее хранилище ключей, перейдите к разделу Создание сертификата TLS/SSL. В противном случае перейдите к следующему разделу.

Создание Azure Key Vault

В этом разделе показано, как использовать портал Azure для создания Azure Key Vault.

1. В меню портала Azure или на странице Главная выберите Создать ресурс.
2. В поле поиска введите Key Vault.
3. В списке результатов выберите Key Vault.
4. В разделе Key Vault выберите Создать.
5. В разделе Создание хранилища ключей укажите следующие сведения:
   • Подписка: выберите подписку.
   • В разделе группа ресурсоввыберите Создать новую и введите имя группы ресурсов. Запишите имя хранилища ключей. Вам потребуется позже при развертывании WLS.
   • имя хранилища ключей: необходимо уникальное имя. Запишите имя хранилища ключей. Вам потребуется позже при развертывании WLS.

   Заметка

   Вы можете использовать одинаковое имя для группы ресурсов и имени хранилища ключей.

   • В раскрывающемся меню расположение выберите расположение.
   • Оставьте другие параметры по умолчанию.
6. Выберите Далее: политика доступа.
7. В разделе Включить доступ квыберите Azure Resource Manager для развертывания шаблона.
8. Выберите Проверить и создать.
9. Выберите Создать.

Создание хранилища ключей довольно упрощено, обычно выполняется менее чем за две минуты. После завершения развертывания выберите Перейти к ресурсу и перейдите к следующему разделу.

Создание TLS/SSL-сертификата

В этом разделе показано, как создать самозаверяющий СЕРТИФИКАТ TLS/SSL в формате, подходящем для использования шлюзом приложений, развернутыми с помощью WebLogic Server в Azure. Сертификат должен иметь непустый пароль. Если у вас уже есть действительный, непустой сертификат TLS/SSL в формате .pfx, можно пропустить этот раздел и перейти к следующему. Если существующий, допустимый, непустый сертификат TLS/SSL не находится в формате PFX, сначала преобразуйте его в файл PFX, прежде чем пропускать следующий раздел. В противном случае откройте командную оболочку и введите следующие команды.

Заметка

В этом разделе показано, как закодировать сертификат в формат base64 перед его сохранением в качестве секрета в Key Vault. Это необходимо для базового развертывания Azure, создающего веб-сервер и шлюз приложений.

Выполните следующие действия, чтобы создать сертификат и закодировать его с помощью базового кодирования 64:

1. Создайте RSA PRIVATE KEY

   openssl genrsa 2048 > private.pem
   

2. Создайте соответствующий открытый ключ.

   openssl req -x509 -new -key private.pem -out public.pem
   

   Вам придется ответить на несколько вопросов, когда появится запрос от инструмента OpenSSL. Эти значения будут включены в сертификат. В этом руководстве используется самоподписанный сертификат, поэтому значения не важны. Следующие литеральные значения подходят.

   1. Для имени странывведите два буквы.
   2. Для штата или провинциивведите «WA».
   3. Для имени организациивведите Contoso. Для имени подразделения введите выставление счетов.
   4. Для общего именивведите Contoso.
   5. Для адреса электронной почты введите billing@contoso.com.

3. Экспортируйте сертификат как файл .pfx

   openssl pkcs12 -export -in public.pem -inkey private.pem -out mycert.pfx
   

   Дважды введите пароль. Запишите пароль. Вам потребуется позже при развертывании WLS.

4. Кодировать файл mycert.pfx в Base64

   base64 mycert.pfx > mycert.txt
   

Теперь, когда у вас есть хранилище ключей и действительный TLS/SSL сертификат с непустым паролем, вы можете сохранить сертификат в хранилище ключей.

Хранение TLS/SSL-сертификата в Key Vault

В этом разделе показано, как сохранить сертификат и его пароль в Key Vault, созданном в предыдущих разделах.

Чтобы сохранить сертификат, выполните следующие действия.

1. На портале Azure поместите курсор в строку поиска в верхней части страницы и введите имя хранилища ключей, созданного ранее в руководстве.
2. Ваше Хранилище ключей должно отображаться под заголовком ресурсов. Выберите его.
3. В разделе Настройки выберите Секреты.
4. Выберите Создать/Импортировать.
5. В разделе Параметры отправкиоставьте значение по умолчанию.
6. В разделе Имявведите myCertSecretDataили любое другое имя.
7. В разделе значениевведите содержимое файла mycert.txt. Длина значения и наличие новых линий не являются проблемой для текстового поля.
8. Оставьте оставшиеся значения по умолчанию и выберите Создать.

Чтобы сохранить пароль для сертификата, выполните следующие действия.

1. Вы вернетесь на страницу секретов. Выберите Сгенерировать/Импортировать.
2. В разделе Параметры отправкиоставьте значение по умолчанию.
3. В разделе Имявведите myCertSecretPasswordили любое имя, что вам нравится.
4. В разделе Значениевведите пароль для сертификата.
5. Оставьте оставшиеся значения по умолчанию и выберите Создать.
6. Вы вернетесь на страницу секретов.

Идентифицировать Хранилище ключей

Теперь, когда у вас есть Хранилище ключей с подписанным СЕРТИФИКАТом TLS/SSL и его паролем, хранящимся в виде секретов, вернитесь в раздел Шлюз приложений Azure, чтобы определить Хранилище ключей для развертывания.

1. Под в текущей подписке, где указано имя группы ресурсов, содержащей KeyVault, введите имя группы ресурсов, в которой находится ранее созданное хранилище ключей.
2. В разделе Имя Хранилища ключей Azure, содержащего секреты для SSL-терминации сертификата, введите имя Хранилища ключей.
3. В разделе Имя секрета в указанном KeyVault, значение которого — данные SSL-сертификата, введите myCertSecretDataили любое имя, введенное ранее.
4. В разделе Имя секрета в указанном KeyVault, значение которого является паролем для SSL-сертификата, введите myCertSecretDataили любое имя, введенное ранее.
5. Выберите Проверить и создать.
6. Выберите Создать. Это будет подтверждать, что сертификат можно получить из хранилища ключей, и что его пароль совпадает со значением, которое вы сохранили для пароля в этом хранилище. Если этот шаг проверки завершается ошибкой, просмотрите свойства Key Vault, убедитесь, что сертификат введен правильно, и убедитесь, что пароль введен правильно.
7. После того как проверка пройдена, выберите Создать.

Это приведет к созданию кластера WLS и его интерфейсного шлюза приложений, что может занять около 15 минут. После завершения развертывания выберите Перейти к группе ресурсов. В списке ресурсов в группе ресурсов выберите myAppGateway.

Окончательный вариант предоставления TLS/SSL-сертификата шлюзу приложений подробно описан в следующем разделе. Если вас устраивает выбранный вариант, вы можете перейти к разделу Продолжить развертывание.

Вариант 3. Создание самозаверяющего сертификата

Этот параметр подходит только для тестирования и развертывания разработки. С помощью этого параметра автоматически создается как Azure Key Vault, так и самозаверяющий сертификат, а сертификат предоставляется шлюзу приложений.

Чтобы запросить развертывание для выполнения этих действий, выполните следующие действия:

1. В разделе шлюза приложений Azure выберите Создать самозаверяющий сертификат.
2. Выберите управляемую идентичность, назначенную пользователем. Это необходимо для того, чтобы развертывание могло создать Azure Key Vault и сертификат.
3. Если у вас еще нет назначенного пользователем управляемого удостоверения, выберите Добавить, чтобы начать процесс создания.
4. Чтобы создать управляемое удостоверение, назначаемое пользователем, выполните действия, описанные в разделе Создание управляемого удостоверения, назначаемого пользователем из раздела Создание, перечисление, удаление или назначение роли управляемому удостоверению, назначаемому пользователем с помощью портала Azure. После выбора управляемого удостоверения, назначаемого пользователем, убедитесь, что отмечен флажок рядом с пользовательским управляемым удостоверением.

Продолжить развертывание

Теперь вы можете продолжить работу с другими аспектами развертывания WLS, как описано в документации Oracle.

Проверка успешного развертывания WLS и шлюза приложений

В этом разделе показано, как быстро проверить успешное развертывание кластера WLS и шлюза приложений.

Если вы выбрали Перейти к группе ресурсов, а затем myAppGateway в конце предыдущего раздела, вы увидите страницу обзора шлюза приложений. Если нет, вы можете найти эту страницу, введя myAppGateway в текстовое поле вверху портала Azure, а затем выбрав правильно отображающуюся страницу. Обязательно выберите одну из групп ресурсов, созданной для кластера WLS. Затем выполните следующие действия.

1. В левой области страницы обзора myAppGatewayпрокрутите вниз до раздела Мониторинг и выберите Работоспособность серверной части.
2. После исчезновения сообщения загрузки в середине экрана должна отображаться таблица с узлами вашего кластера, настроенными в качестве узлов в серверном пуле.
3. Убедитесь, что статус показывает исправный для каждого узла.

Очистка ресурсов

Если вы не собираетесь продолжать использовать кластер WLS, удалите Key Vault и кластер WLS, выполнив следующие действия:

1. Перейдите на страницу обзора myAppGateway, как показано в предыдущем разделе.
2. Под текстом Группа ресурсовв верхней части страницы выберите группу ресурсов.
3. Выберите Удалить группу ресурсов.
4. Фокус ввода будет установлен в поле с меткой ВВЕДИТЕ НАЗВАНИЕ ГРУППЫ РЕСУРСОВ. Введите имя группы ресурсов по запросу.
5. Это сделает кнопку "Удалить" активной. Нажмите кнопку Удалить. Эта операция займет некоторое время, но вы можете продолжить следующий шаг во время обработки удаления.
6. Найдите Key Vault, следуя первому шагу из раздела «Сохранение TLS/SSL-сертификата в Key Vault».
7. Выберите Удалить.
8. Выберите Удалить в показавшейся панели.

Дальнейшие действия

Продолжить изучение параметров запуска WLS в Azure.

Дополнительные сведения о Oracle WebLogic Server в Azure