Självstudie: Migrera ett WebLogic Server-kluster till Azure med Azure Application Gateway som lastbalanserare

Den här självstudien beskriver hur du distribuerar WebLogic Server (WLS) med Azure Application Gateway. Den beskriver de specifika stegen för att skapa ett Key Vault, lagra ett TLS/SSL-certifikat i Key Vault och använda certifikatet för TLS/SSL-avslutning. Även om alla dessa element är väldokumenterade i sig själva, visar den här självstudien hur alla dessa element samlas för att skapa en enkel men ändå kraftfull belastningsutjämningslösning för WLS i Azure.

Belastningsutjämning är en viktig del av migreringen av Oracle WebLogic Server-klustret till Azure. Den enklaste lösningen är att använda det inbyggda stödet för Azure Application Gateway. App Gateway ingår som en del av WebLogic-klustersupporten i Azure. En översikt över stöd för WebLogic-kluster i Azure finns i Vad är Oracle WebLogic Server på Azure?.

I den här handledningen lär du dig hur du:

• Välj hur du anger TLS/SSL-certifikatet till App Gateway
• Distribuera WebLogic Server med Azure Application Gateway till Azure
• Verifiera lyckad distribution av WLS och App Gateway

Förutsättningar

• OpenSSL- på en dator som kör en UNIX-liknande kommandoradsmiljö.

  Det kan finnas andra verktyg för certifikathantering, men i den här självstudien används OpenSSL. Du hittar OpenSSL paketerat med många GNU/Linux-distributioner, till exempel Ubuntu.

• En aktiv Azure-prenumeration.

  • Om du inte har en Azure-prenumeration skapa ett kostnadsfritt konto.

• Möjligheten att distribuera ett av de WLS Azure-program som anges i Oracle WebLogic Server Azure Applications.

Migreringskontext

Här följer några saker att tänka på när du migrerar lokala WLS-installationer och Azure Application Gateway. Stegen i den här självstudien är det enklaste sättet att ställa upp en lastbalanserare framför ditt WebLogic Server-kluster i Azure, men det finns många andra sätt att göra det på. Den här listan visar några andra saker att tänka på.

• Om du har en befintlig belastningsutjämningslösning kontrollerar du att dess funktioner uppfylls eller överskrids av Azure Application Gateway. En sammanfattning av funktionerna i Azure Application Gateway jämfört med andra Azure-belastningsutjämningslösningar finns i Översikt över alternativ för belastningsutjämning i Azure.
• Om din befintliga belastningsutjämningslösning ger säkerhetsskydd mot vanliga exploateringar och sårbarheter, är du skyddad med Application Gateway. Application Gateways inbyggda brandvägg för webbaserade program (WAF) implementerar OWASP-huvudregeluppsättningar (Open Web Application Security Project). Mer information om WAF-stöd i Application Gateway finns i avsnittet Web Application Firewall i Azure Application Gateway-funktioner.
• Om din befintliga belastningsutjämningslösning kräver TLS/SSL-kryptering från slutpunkt till slutpunkt måste du göra ytterligare konfiguration efter att ha följt stegen i den här guiden. Se avsnittet Slut-till-slut TLS-kryptering i Översikt över TLS-avslutning och slut-till-slut TLS med Application Gateway och i Oracle-dokumentationen om Konfigurera SSL i Oracle Fusion Middleware.
• Om du optimerar för molnet visar den här guiden hur du börjar från början med Azure App Gateway och WLS.
• En omfattande undersökning av migrering av WebLogic Server till Virtuella Azure-datorer finns i Migrera WebLogic Server-program till Azure Virtual Machines.

Distribuera WebLogic Server med Application Gateway till Azure

Det här avsnittet visar hur du etablerar ett WLS-kluster med Azure Application Gateway som skapas automatiskt som lastbalanserare för klusternoderna. Application Gateway använder det angivna TLS/SSL-certifikatet för TLS/SSL-avslutning. Mer information om TLS/SSL-avslutning med Application Gateway finns i Översikt över TLS-avslutning och TLS från slutpunkt till slutpunkt med Application Gateway.

Använd följande steg för att skapa WLS-klustret och Application Gateway.

Börja först med att distribuera ett WebLogic Server-konfigurerat eller dynamiskt kluster enligt beskrivningen i Oracle-dokumentationen, men kom tillbaka till den här sidan när du når Azure Application Gateway, som du ser här.

Välj hur du anger TLS/SSL-certifikatet till App Gateway

Du har flera alternativ för att ange TLS/SSL-certifikatet till programgatewayen, men kan bara välja ett. I det här avsnittet beskrivs varje alternativ så att du kan välja det bästa alternativet för distributionen.

Alternativ ett: Ladda upp ett TLS/SSL-certifikat

Det här alternativet är lämpligt för produktionsarbetsbelastningar där App Gateway står inför det offentliga Internet eller för intranätarbetsbelastningar som kräver TLS/SSL. Genom att välja det här alternativet etableras ett Azure Key Vault automatiskt för att innehålla TLS/SSL-certifikatet som används av App Gateway.

Om du vill ladda upp ett befintligt, signerat TLS/SSL-certifikat använder du följande steg:

1. Följ stegen från certifikatutfärdaren för att skapa ett lösenordsskyddat TLS/SSL-certifikat och ange DNS-namnet för certifikatet. Hur du väljer wildcard-certifikat eller enkelnamncertifikat ligger utanför omfånget för det här dokumentet. Båda kommer att fungera här.
2. Exportera certifikatet från utfärdaren med pfx-filformatet och ladda ned det till den lokala datorn. Om utfärdaren inte stöder export som PFX finns det verktyg för att konvertera många certifikatformat till PFX-format.
3. Välj avsnittet Azure Application Gateway.
4. Bredvid Anslut till Azure Application Gatewayväljer du Ja.
5. Välj Ladda upp ett SSL-certifikat.
6. Välj filwebbläsareikonen för fältet SSL-certifikat. Gå till det nedladdade PFX-formatcertifikatet och välj Öppna.
7. Ange lösenordet för certifikatet i rutorna Lösenord och Bekräfta lösenord.
8. Välj om du vill neka offentlig trafik direkt till noderna på de hanterade servrarna. Om du väljer Ja gör det så att de hanterade servrarna endast är tillgängliga via App Gateway.

Välj DNS-konfiguration

TLS/SSL-certifikat associeras med ett DNS-domännamn när de utfärdas av certifikatutfärdaren. Följ stegen i det här avsnittet för att konfigurera distributionen med DNS-namnet för certifikatet. Du kan använda en DNS-zon som du redan har skapat eller tillåta att distributionen skapar en åt dig. Välj avsnittet DNS-konfiguration för att fortsätta.

Använda en befintlig Azure DNS-zon

Använd följande steg för att använda en befintlig Azure DNS-zon med App Gateway:

1. Bredvid Konfigurera anpassat DNS-aliasväljer du Ja.
2. Bredvid Använd en befintlig Azure DNS-zon välj Ja.
3. Ange namnet på Azure DNS-zonen bredvid DNS-zonnamn.
4. Ange den resursgrupp som innehåller Azure DNS-zonen från föregående steg.

Tillåt distributionen att skapa en ny Azure DNS-zon

Använd följande steg för att skapa en Azure DNS-zon som ska användas med App Gateway:

1. Bredvid Konfigurera anpassat DNS-aliasväljer du Ja.
2. Bredvid Använd en befintlig Azure DNS-zon välj Nej.
3. Ange namnet på Azure DNS-zonen bredvid DNS-zonnamn. En ny DNS-zon skapas i samma resursgrupp som WLS.

Slutligen anger du namnen för de underordnade DNS-zonerna. Distributionen skapar två underordnade DNS-zoner för användning med WLS: en för administratörskonsolen och en för App Gateway. Till exempel, om DNS-domännamn var contoso.net, kan du ange admin och app som värden. Administratörskonsolen skulle vara tillgänglig på admin.contoso.net och appgatewayen skulle vara tillgänglig på app.contoso.net. Glöm inte att konfigurera DNS-delegering enligt beskrivningen i Delegering av DNS-zoner med Azure DNS-.

De andra alternativen för att tillhandahålla ett TLS/SSL-certifikat till App Gateway beskrivs i följande avsnitt. Om du är nöjd med det valda alternativet kan du gå vidare till avsnittet Fortsätt med distributionen.

Alternativ två: Identifiera ett Azure Key Vault

Det här alternativet är lämpligt för produktions- eller icke-produktionsarbetsbelastningar, beroende på vilket TLS/SSL-certifikat som tillhandahålls. Om du inte vill att distributionen ska skapa ett Azure Key Vault kan du identifiera ett befintligt eller skapa ett själv. Det här alternativet kräver att du lagrar certifikatet och dess lösenord i Azure Key Vault innan du fortsätter. Om du har ett befintligt Key Vault som du vill använda går du vidare till avsnittet Skapa ett TLS/SSL-certifikat. Annars fortsätter du till nästa avsnitt.

Skapa ett Azure Key Vault

Det här avsnittet visar hur du använder Azure-portalen för att skapa ett Azure Key Vault.

1. På menyn i Azure-portalen eller på sidan Start väljer du Skapa en resurs.
2. I sökrutan, ange Key Vault.
3. I resultatlistan väljer du Key Vault.
4. I avsnittet Key Vault väljer du Skapa.
5. I avsnittet Skapa nyckelvalv anger du följande information:
   • Prenumeration: Välj en prenumeration.
   • Under Resursgruppväljer du Skapa ny och anger ett resursgruppsnamn. Anteckna namnet på nyckelvalvet. Du behöver det senare när du distribuerar WLS.
   • Key Vault-namn: Ett unikt namn krävs. Anteckna namnet på nyckelvalvet. Du behöver det senare när du distribuerar WLS.

   Not

   Du kan använda samma namn för både Resursgrupp och Nyckelvalvsnamn.

   • Välj en plats från rullgardinsmenyn Plats.
   • Låt de andra alternativen vara kvar som standard.
6. Välj Nästa: Åtkomstprincip.
7. Under Aktivera åtkomst tillväljer du Azure Resource Manager för malldistribution.
8. Välj Granska + Skapa.
9. Välj Skapa.

Skapande av nyckelvalv är ganska enkelt och slutförs vanligtvis på mindre än två minuter. När distributionen är klar väljer du Gå till resurs och fortsätter till nästa avsnitt.

Skapa ett TLS/SSL-certifikat

Det här avsnittet visar hur du skapar ett självsignerat TLS/SSL-certifikat i ett format som är lämpligt för användning av Application Gateway som distribuerats med WebLogic Server i Azure. Certifikatet måste ha ett lösenord som inte är tomt. Om du redan har ett giltigt, icke-tomt lösenords-TLS/SSL-certifikat i .pfx- format kan du hoppa över det här avsnittet och gå vidare till nästa. Om ditt befintliga, giltiga, icke-tomma lösenords-TLS/SSL-certifikat inte finns i formatet .pfx konverterar du det först till en .pfx--fil innan du hoppar över till nästa avsnitt. Annars öppnar du ett kommandogränssnitt och anger följande kommandon.

Not

Det här avsnittet visar hur du base64-kodar certifikatet innan du lagrar det som en dold hemlighet i Key Vaulten. Detta krävs av den underliggande Azure-distributionen som skapar WebLogic Server och Application Gateway.

Följ de här stegen för att skapa och base64-koda certifikatet:

1. Skapa en RSA PRIVATE KEY

   openssl genrsa 2048 > private.pem
   

2. Skapa en motsvarande offentlig nyckel.

   openssl req -x509 -new -key private.pem -out public.pem
   

   Du måste svara på flera frågor när du uppmanas av OpenSSL-verktyget. Dessa värden kommer att ingå i certifikatet. I den här självstudien används ett självsignerat certifikat, därför är värdena irrelevanta. Följande literalvärden är bra.

   1. För Country Nameanger du en kod med två bokstäver.
   2. För delstat eller provinsnamnanger du WA.
   3. För organisationsnamnanger du Contoso. För Organisationsenhetsnamn anger du fakturering.
   4. För Common Name, ange Contoso.
   5. För e-postadressanger du billing@contoso.com.

3. Exportera certifikatet som en .pfx--fil

   openssl pkcs12 -export -in public.pem -inkey private.pem -out mycert.pfx
   

   Ange lösenordet två gånger. Anteckna lösenordet. Du behöver det senare när du distribuerar WLS.

4. Base64-koda filen mycert.pfx

   base64 mycert.pfx > mycert.txt
   

Nu när du har ett Key Vault och ett giltigt TLS/SSL-certifikat med ett lösenord som inte är tomt kan du lagra certifikatet i Key Vault.

Lagra TLS/SSL-certifikatet i Key Vault

Det här avsnittet visar hur du lagrar certifikatet och dess lösenord i nyckelvalvet som skapades i föregående avsnitt.

Följ dessa steg för att lagra certifikatet:

1. Från Azure-portalen placerar du markören i sökfältet överst på sidan och skriver namnet på nyckelvalvet som du skapade tidigare i självstudien.
2. Ditt nyckelvalv bör visas under rubriken Resurser. Välj den.
3. I avsnittet Inställningar väljer du Hemligheter.
4. Välj Generera/Importera.
5. Under Alternativ för uppladdninglämnar du standardvärdet.
6. Under Namnanger du myCertSecretDataeller vilket namn du vill.
7. Under Valueanger du innehållet i filen mycert.txt. Värdets längd och förekomsten av nya linjer är inte ett problem för textfältet.
8. Lämna de återstående värdena som standard och välj Skapa.

Följ dessa steg för att lagra lösenordet för certifikatet:

1. Du kommer att gå tillbaka till sidan Hemligheter. Välj Generera/importera.
2. Under Alternativ för uppladdninglämnar du standardvärdet.
3. Under Namnanger du myCertSecretPasswordeller vilket namn du vill.
4. Under Värdeanger du lösenordet för certifikatet.
5. Lämna de återstående värdena som standard och välj Skapa.
6. Du kommer att gå tillbaka till sidan Hemligheter.

Identifiera nyckelvalvet

Nu när du har ett Key Vault med ett signerat TLS/SSL-certifikat och dess lösenord som lagras som hemligheter går du tillbaka till avsnittet Azure Application Gateway för att identifiera nyckelvalvet för distributionen.

1. Under Resursgruppsnamn i den aktuella prenumerationen som innehåller KeyVault-anger du namnet på resursgruppen som innehåller nyckelvalvet som du skapade tidigare.
2. Under Namn på Azure KeyVault som innehåller hemligheter för certifikatet för SSL-avslutninganger du namnet på Nyckelvalvet.
3. Under Namnet på hemligheten i den angivna KeyVault vars värde är SSL-certifikatdataanger du myCertSecretDataeller det namn som du angav tidigare.
4. Under Namnet på hemligheten i den angivna KeyVault vars värde är lösenordet för SSL-certifikatetanger du myCertSecretDataeller det namn som du angav tidigare.
5. Välj Granska + Skapa.
6. Välj Skapa. Detta kommer att göra en validering av att certifikatet kan hämtas från "Key Vault" och att lösenordet matchar det värde du sparade för lösenordet i "Key Vault". Om det här verifieringssteget misslyckas granskar du egenskaperna för Nyckelvalvet, kontrollerar att certifikatet har angetts korrekt och kontrollerar att lösenordet har angetts korrekt.
7. När valideringen godkändesväljer du Skapa.

Detta startar processen med att skapa WLS-klustret och dess klientdels-Application Gateway, vilket kan ta cirka 15 minuter. När distributionen är klar väljer du Gå till resursgrupp. I listan över resurser i resursgruppen väljer du myAppGateway.

Det sista alternativet för att tillhandahålla ett TLS/SSL-certifikat till App Gateway beskrivs i nästa avsnitt. Om du är nöjd med det valda alternativet kan du gå vidare till avsnittet Fortsätt med distributionen.

Alternativ tre: Generera ett självsignerat certifikat

Det här alternativet är endast lämpligt för test- och utvecklingsdistributioner. Med det här alternativet skapas både ett Azure Key Vault och ett självsignerat certifikat automatiskt och certifikatet tillhandahålls till App Gateway.

Använd följande steg för att begära distributionen för att utföra dessa åtgärder:

1. I avsnittet Azure Application Gateway väljer du Generera ett självsignerat certifikat.
2. Välj en användartilldelad hanterad identitet. Detta är nödvändigt för att distributionen ska kunna skapa Azure Key Vault och certifikatet.
3. Om du inte redan har en användartilldelad hanterad identitet väljer du Lägg till för att börja skapa en.
4. Om du vill skapa en användartilldelad hanterad identitet följer du stegen i avsnittet Skapa en användartilldelad hanterad identitet i Skapa, lista, ta bort eller tilldela en roll till en användartilldelad hanterad identitet med hjälp av Azure-portalen. När du har valt den användartilldelade hanterade identiteten kontrollerar du att kryssrutan bredvid den användartilldelade hanterade identiteten är markerad.

Fortsätt med distributionen

Nu kan du fortsätta med de andra aspekterna av WLS-distributionen enligt beskrivningen i Oracle-dokumentationen.

Verifiera lyckad distribution av WLS och App Gateway

Det här avsnittet visar en teknik för att snabbt verifiera en lyckad distribution av WLS-klustret och Application Gateway.

Om du hade valt Gå till resursgrupp och sedan myAppGateway i slutet av föregående avsnitt tittar du på översiktssidan för Application Gateway. Annars kan du hitta den här sidan genom att skriva myAppGateway i textrutan överst i Azure-portalen och sedan välja rätt som visas. Se till att välja den i resursgruppen som du skapade för WLS-klustret. Slutför sedan följande steg.

1. I den vänstra rutan på översiktssidan för myAppGatewayrullar du ned till avsnittet Övervakning och väljer Serverhälsa.
2. När inläsningsmeddelandet försvinner bör du se en tabell mitt på skärmen som visar noderna i klustret som konfigurerats som noder i backend-poolen.
3. Kontrollera att statusen visar Felfri för varje nod.

Rensa resurser

Om du inte fortsätter att använda WLS-klustret tar du bort Key Vault och WLS-klustret med följande steg:

1. Gå till översiktssidan för myAppGateway som visas i föregående avsnitt.
2. Välj resursgruppen under texten Resursgruppöverst på sidan.
3. Välj Ta bort resursgrupp.
4. Indatafokus ställs in på fältet med etiketten SKRIV RESURSGRUPPENS NAMN. Ange resursgruppens namn enligt begäran.
5. Detta gör att knappen Ta bort aktiveras. Välj knappen Ta bort. Den här åtgärden tar lite tid, men du kan fortsätta till nästa steg medan borttagningen bearbetas.
6. Leta upp Key Vault genom att följa det första steget i avsnittet Lagra TLS/SSL-certifikatet i Key Vault-.
7. Välj Ta bort.
8. Välj Ta bort i fönstret som visas.

Nästa steg

Fortsätt att utforska alternativ för att köra WLS i Azure.

Läs mer om Oracle WebLogic Server i Azure