Så här distribuerar du F5 över två Azure Stack Hub-instanser

Artikel
11/23/2024

Den här artikeln beskriver hur du konfigurerar en extern lastbalanserare i två Azure Stack Hub-miljöer. Du kan använda den här konfigurationen för att hantera olika arbetsbelastningar. I den här artikeln distribuerar du F5 som en global belastningsutjämningslösning över två oberoende Azure Stack Hub-instanser. Du distribuerar också en belastningsutjäxad webbapp som körs på en NGINX-server över dina två instanser. De körs bakom ett redundanspar med hög tillgänglighet med virtuella F5-installationer.

Du hittar Azure Resource Manager-mallarna på GitHub-lagringsplatsen f5-azurestack-gslb .

Översikt över belastningsutjämning med F5

F5-maskinvaran, lastbalanseraren, kan finnas utanför Azure Stack Hub och i det datacenter som är värd för Azure Stack Hub. Azure Stack Hub har ingen intern funktion för att belastningsutjäxla arbetsbelastningar i två separata Azure Stack Hub-distributioner. F5:s virtuella BIG-IP-version (VE) körs på båda plattformarna. Den här konfigurationen stöder paritet mellan Azure- och Azure Stack Hub-arkitekturer genom replikering av de stödande programtjänsterna. Du kan utveckla en app i en miljö och flytta den till en annan. Du kan också spegla hela den produktionsklara Azure Stack Hub, inklusive samma BIG-IP-konfigurationer, principer och programtjänster. Metoden eliminerar behovet av otaliga timmar av programrefaktorisering och testning och gör att du kan fortsätta med att skriva kod.

Att skydda program och deras data är ofta ett problem för utvecklare som flyttar appar till det offentliga molnet. Detta behöver inte vara fallet. Du kan skapa en app i din Azure Stack Hub-miljö, medan en säkerhetsarkitekt konfigurerar de nödvändiga inställningarna i F5:s brandvägg för webbprogram (WAF). Hela stacken kan replikeras i Azure Stack Hub med vetskapen om att programmet kommer att skyddas av samma branschledande WAF. Med identiska principer och regeluppsättningar kommer det inte att finnas några säkerhetshål eller säkerhetsrisker som annars kan genereras genom att använda olika WAF:er.

Azure Stack Hub har en separat marknadsplats från Azure. Endast vissa objekt läggs till. I det här fallet om du vill skapa en ny resursgrupp på var och en av Azure Stack Hubs och distribuera den virtuella F5-installationen som redan är tillgänglig. Därifrån ser du att en offentlig IP-adress krävs för att tillåta nätverksanslutning mellan båda Azure Stack Hub-instanserna . I huvudsak är de båda öarna och den offentliga IP-adressen gör det möjligt för dem att prata på båda platserna.

Förutsättningar för BIG-IP VE

Ladda ned F5 BIG-IP VE – ALLA (BYOL, 2 startplatser) till varje Azure Stack Hub Marketplace. Kontakta molnoperatören om du inte har dem tillgängliga för dig i portalen.
Du hittar Azure Resource Manager-mallen på följande GitHub-lagringsplats: https://github.com/Mikej81/f5-azurestack-gslb.

Distribuera F5 BIG-IP VE på varje instans

Distribuera till Azure Stack Hub-instans A och instans B.

Logga in på Azure Stack Hub-användarportalen.
Välj + Skapa en resurs.
Sök på marketplace genom att F5skriva .
Välj F5 BIG-IP VE – ALLA (BYOL, 2 startplatser).
Längst ned på nästa sida väljer du Skapa.
Skapa en ny resursgrupp med namnet F5-GSLB.
Använd följande värden som exempel för att slutföra distributionen:
Kontrollera att distributionen har slutförts.

Kommentar

Varje BIG-IP-distribution bör ta cirka 20 minuter.

Konfigurera BIG-IP-enheter

Följ dessa steg för både Azure Stack Hub A och B.

Logga in på Azure Stack Hub-användarportalen på Azure Stack Hub-instansen A för att granska resurserna som skapats från big-IP-malldistributionen.
Följ anvisningarna i F5 för BIG-IP-konfigurationsobjekt.
Konfigurera BIG-IP Wide IP-listan så att den lyssnar på båda enheterna som distribueras till Azure Stack Hub-instansen A och B. Anvisningar finns i BIG-IP GTM-konfiguration.
Verifiera redundans för BIG-IP-enheter. I ett testsystem konfigurerar du DNS-servrarna så att de använder följande:
- Azure Stack Hub-instans A = f5stack1-ext offentlig IP-adress
- Azure Stack Hub-instans B = f5stack1-ext offentlig IP-adress
Bläddra till www.contoso.com och webbläsaren läser in NGINX-standardsidan.

Skapa en DNS-synkroniseringsgrupp

Aktivera rotkontot för att upprätta förtroende. Följ anvisningarna i Ändra lösenord för systemunderhållskonto (11.x–15.x). När du har angett förtroende (certifikatutbyte) inaktiverar du rotkontot.
Logga in på BIG-IP och skapa en DNS-synkroniseringsgrupp. Anvisningar finns i Skapa BIG-IP DNS-synkroniseringsgrupp.

Kommentar

Du hittar den lokala IP-adressen för BIP-IP-installationen i din F5-GSLB-resursgrupp . Nätverksgränssnittet är "f5stack1-ext" och du vill ansluta till den offentliga eller privata IP-adressen (beroende på åtkomst).
Välj den nya resursgruppen F5-GSLB och välj den virtuella datorn f5stack1 under Inställningar och välj Nätverk.

Konfigurationer efter installation

När du har installerat måste du konfigurera dina Azure Stack Hub-NSG:er och låsa källans IP-adresser.

Inaktivera port 22 när förtroendet har upprättats.
När systemet är online blockerar du NSG:erna för källan. Hanterings-NSG ska vara låst till hanteringskällan, extern (4353/TCP) NSG ska låsas till den andra instansen för synkronisering. 443 bör också låsas tills program med virtuella servrar har distribuerats.
GTM_DNS regeln är inställd på att tillåta port 53-trafik (DNS) och BIG-IP-matchare börjar fungera en gång. Lyssnare skapas.
Distribuera en grundläggande arbetsbelastning för webbprogram i din Azure Stack Hub-miljö för att lastbalansera bakom BIG-IP. Du hittar ett exempel för att använda NGNIX-servern i Distribuera NGINX och NGINX Plus på Docker.

Kommentar

Distribuera en instans av NGNIX på både Azure Stack Hub A och Azure Stack Hub B.
När NGINX har distribuerats i en dockercontainer på en virtuell Ubuntu-dator inom var och en av Azure Stack Hub-instanserna kontrollerar du att du kan nå standardwebbsidan på servrarna.
Logga in på hanteringsgränssnittet för BIG-IP-installationen. I det här exemplet använder du den offentliga IP-adressen f5-stack1-ext .
Publicera åtkomst till NGINX via BIG-IP.
- I den här uppgiften konfigurerar du BIG-IP med en virtuell server och pool för att tillåta inkommande Internetåtkomst till WordPress-programmet. Först måste du identifiera den privata IP-adressen för NGINX-instansen.
Logga in på Azure Stack Hub-användarportalen.
Välj NGINX-nätverksgränssnittet.
Från BIG-IP-konsolen går du till Listan över lokala trafikpooler > > och väljer +. Konfigurera poolen med hjälp av värdena i tabellen. Lämna alla andra fält till standardvärdena.

Tangent Värde

Name NGINX_Pool

Hälsoövervakare HTTPS

Nodnamn NGINX

Adress <din privata IP-adress för NGINX>

Tjänstport 443
Välj Slutförd. När poolstatusen är korrekt konfigurerad är den grön.

Nu måste du konfigurera den virtuella servern. För att göra detta måste du först hitta den privata IP-adressen för din F5 BIG-IP.
Från BIG-IP-konsolen går du till Själv-IP-adresser för nätverk > och noterar IP-adressen.
Skapa en virtuell server genom att gå till listan Virtuell server för lokal trafik>>och välj .+ Konfigurera poolen med hjälp av värdena i tabellen. Lämna alla andra fält till standardvärdena.

Tangent Värde

Name NGINX

Måladress <SJÄLV-IP-adress för BIG-IP>

Tjänstport 443

SSL-profil (klient) clientssl

Källadressöversättning Automatisk mappning
Nu har du slutfört BIG-IP-konfigurationen för NGINX-programmet. Om du vill verifiera rätt funktioner bläddrar du till webbplatsen och kontrollerar F5-statistiken.
Öppna en webbläsare för att se till att https://<F5-public-VIP-IP> den visar din NGINX-standardsida.
Kontrollera nu statistiken för den virtuella servern för att verifiera trafikflödet genom att gå till Statistikmodulens > statistik > lokal trafik.
Under Statistiktyp väljer du Virtuella servrar.