如何跨兩個 Azure Stack Hub 實例部署 F5
本文將逐步引導您在兩個 Azure Stack Hub 環境中設定外部負載平衡器。 您可以使用此設定來管理不同的工作負載。 在本文中,您會將 F5 部署為跨兩個獨立 Azure Stack Hub 實例的全域負載平衡解決方案。 您也會在兩個實例的 NGINX 伺服器中部署負載平衡的 Web 應用程式。 他們會在高可用性、故障轉移配對的 F5 虛擬設備後方執行。
您可以在 f5-azurestack-gslb GitHub 存放庫中找到 Azure Resource Manager 範本。
使用 F5 進行負載平衡的概觀
F5 硬體負載平衡器可能位於 Azure Stack Hub 外部,且位於裝載 Azure Stack Hub 的數據中心內。 Azure Stack Hub 沒有原生功能可在兩個不同的 Azure Stack Hub 部署之間負載平衡工作負載。 F5 的 BIG-IP 虛擬版本 (VE) 會在這兩個平台上執行。 此設定透過復寫支援的應用程式服務,支援 Azure 與 Azure Stack Hub 架構之間的同位。 您可以在某個環境中開發應用程式,並將其移至另一個環境。 您也可以鏡像整個生產就緒的 Azure Stack Hub,包括相同的 BIG-IP 組態、原則和應用程式服務。 此方法不需要無數小時的應用程式重構和測試,並可讓您繼續撰寫程序代碼。
保護應用程式及其數據通常是開發人員將應用程式移至公用雲端時所關心的問題。 情況不一定如此。 您可以在 Azure Stack Hub 環境中建置應用程式,而安全性架構設計人員會在 F5 的 Web 應用程式防火牆 (WAF) 上設定必要的設定。 整個堆疊可以在 Azure Stack Hub 中複寫,並瞭解應用程式將受到相同領先業界的 WAF 保護。 使用相同的原則和規則集,不會有任何安全性漏洞或弱點,否則可能會由使用不同的 WAF 產生。
Azure Stack Hub 有與 Azure 不同的市集。 只會新增特定專案。 在此情況下,如果您想要在每個 Azure Stack Hub 上建立新的資源群組,並部署已可用的 F5 虛擬設備。 您會從該處看到,必須有公用IP位址,才能允許兩個 Azure Stack Hub 實例之間的網路連線。 基本上,它們都是島嶼, 而公用IP 將允許他們跨這兩個位置進行交談。
BIG-IP VE 的必要條件
將 F5 BIG-IP VE - 全部 (BYOL, 2 個開機位置) 下載到每個 Azure Stack Hub Marketplace。 如果您在入口網站中沒有可用的帳戶,請連絡您的雲端操作員。
您可以在下列 GitHub 存放庫中找到 Azure Resource Manager 範本: https://github.com/Mikej81/f5-azurestack-gslb。
在每個實例上部署 F5 BIG-IP VE
部署至 Azure Stack Hub 實例 A 和實例 B。
登入 Azure Stack Hub 使用者入口網站。
選取 [+ 建立資源]。
輸入
F5來搜尋市集。選取 F5 BIG-IP VE – ALL (BYOL, 2 開機位置) 。
![[儀錶板 > 新 > Marketplace > 所有 > 專案 F5 BIG-IP VE – ALL (BYOL, 2 開機位置)] 對話框會在搜尋方塊中顯示 f5。單一搜尋結果為 “F5 BIG-IP VE – ALL (BYOL, 2 開機位置)”。](media/network-howto-f5/image1.png?view=azs-2408)
在下一頁底部,選取 [ 建立]。
![[F5 BIG-IP VE – ALL (BYOL, 2 開機位置)] 對話框會根據授權提供 BIG-IP VE 和您可以部署的模組資訊。有 [建立] 按鈕。](media/network-howto-f5/image2.png?view=azs-2408)
建立名為 F5-GSLB 的新資源群組。
使用下列值作為範例來完成部署:
![[Microsoft.Template] 對話方塊的 [輸入] 頁面會顯示 15 個文字框,例如 VIRTUALMACHINENAME 和 ADMINUSERNAME,其中包含範例部署的值。](media/network-howto-f5/image3.png?view=azs-2408)
驗證您的部署是否順利完成。
![[Microsoft.Template] 對話方塊的 [概觀] 頁面會報告「您的部署已完成」,並提供部署的詳細數據。](media/network-howto-f5/image4.png?view=azs-2408)
注意
每個 BIG-IP 部署大約需要 20 分鐘的時間。
設定 BIG-IP 設備
請遵循 Azure Stack Hub A 和 B 所需的這些步驟。
登入 Azure Stack Hub 實例 A 上的 Azure Stack Hub 使用者入口網站,以檢閱從 BIG-IP 範本部署建立的資源。
![F5-GSLB 對話框的 [概觀] 頁面會列出已部署的資源和相關信息。](media/network-howto-f5/image18.png?view=azs-2408)
請依照 F5 的 指示進行 BIG-IP 組態專案。
設定 BIG-IP Wide IP List,以接聽部署至 Azure Stack Hub 實例 A 和 B 的兩個設備。如需指示,請參閱 BIG-IP GTM 組態。
驗證 BIG-IP 設備的故障轉移。 在測試系統上,將您的 DNS 伺服器設定為使用下列專案:
- Azure Stack Hub 實例 A =
f5stack1-ext公用 IP 位址 - Azure Stack Hub 實例 B =
f5stack1-ext公用 IP 位址
- Azure Stack Hub 實例 A =
流覽至
www.contoso.com並載入 NGINX 預設頁面。
建立 DNS 同步群組
啟用根帳戶以建立信任。 請遵循變更系統維護帳戶密碼 (11.x - 15.x) 的指示。 設定信任之後(憑證交換),請停用根帳戶。
登入 BIG-IP 並建立 DNS 同步群組。 如需指示,請參閱 建立 BIG-IP DNS 同步群組。
注意
您可以在 F5-GSLB 資源群組中找到 BIP-IP 設備的本機 IP。 網路介面是 「f5stack1-ext」,而且您想要連線到公用或私人 IP(視存取而定)。
![[DNS >> GSLB : 資料中心 : 資料中心清單] 對話框會列出資料中心和狀態。針對選取的數據中心,有 [啟用]、[停用] 和 [刪除] 按鈕。](media/network-howto-f5/image5.png?view=azs-2408)
![[DNS >> GSLB : 伺服器 : 伺服器清單] 對話框會列出伺服器和狀態。有 [啟用]、[停用]、[刪除] 和 [重新連線] 按鈕,以套用至選取的伺服器。](media/network-howto-f5/image6.png?view=azs-2408)
選取新的資源群組 F5-GSLB,然後選取 f5stack1 虛擬機,在 [設定] 底下選取 [網络]。
安裝後設定
安裝之後,您必須設定 Azure Stack Hub NSG 並鎖定來源 IP 位址。
在建立信任之後停用埠 22。
當系統上線時,請封鎖來源 NSG。 管理 NSG 應鎖定至管理來源,外部 (4353/TCP) NSG 應鎖定至其他實例以進行同步處理。在部署具有虛擬伺服器的應用程式之前,也應該鎖定 443。
GTM_DNS規則設定為允許埠 53 (DNS) 流量,而 BIG-IP 解析程式將會開始運作一次。 會建立接聽程式。
![[網络介面] 對話框的 fStack1-ext 頁面會顯示 fstack1-ext 介面的相關信息,以及其 NSG、fstack1-ext-nsg 的相關信息。有索引標籤可選取檢視輸入埠規則或輸出埠規則。](media/network-howto-f5/image7.png?view=azs-2408)
在 Azure Stack Hub 環境中部署基本 Web 應用程式工作負載,以在 BIG-IP 後方進行負載平衡。 您可以在 Docker 上部署 NGINX 和 NGINX Plus 找到使用 NGNIX 伺服器的範例。
注意
在 Azure Stack Hub A 和 Azure Stack Hub B 上部署 NGNIX 的實例。
NGINX 部署在每個 Azure Stack Hub 實例內的 Ubuntu VM 上的 Docker 容器之後,請驗證您是否可以在伺服器上連線到預設網頁。
登入 BIG-IP 設備的管理介面。 在此範例中 ,請使用 f5-stack1-ext 公用IP位址。
透過 BIG-IP 發佈 NGINX 的存取權。
- 在這項工作中,您將使用虛擬伺服器和集區設定 BIG-IP,以允許輸入因特網存取 WordPress 應用程式。 首先,您必須識別 NGINX 實例的私人 IP 位址。
登入 Azure Stack Hub 使用者入口網站。
選取您的 NGINX 網路介面。
![[儀錶板 > 資源群組 > NGINX > ubuntu2673] 對話方塊的 [概觀] 頁面會顯示 ubuntu2673 網络介面的相關信息。](media/network-howto-f5/image10.png?view=azs-2408)
從 BIG-IP 控制台,移至 [ 本機流量 > 集區集區 > 清單 ],然後選取 +。 使用數據表中的值來設定集區。 將所有其他欄位保留為預設值。
![左窗格可讓您瀏覽以建立新的集區。右窗格標題為「本機流量 >> 集區:集區清單 >> 新集區」,並提供功能來指定新集區的相關信息。[已完成] 按鈕。](media/network-howto-f5/image11.png?view=azs-2408)
機碼 值 名稱 NGINX_Pool 狀況監控 HTTPS 節點名稱 NGINX 位址 <您的 NGINX 私人 IP 位址> 服務埠 443 選取 [完成]。 正確設定時,集區狀態為綠色。
您現在必須設定虛擬伺服器。 若要這樣做,您必須先尋找 F5 BIG-IP 的私人 IP。
從 BIG-IP 控制台,移至 [ 網路 > 自我 IP ],並記下 IP 位址。
![左窗格可讓您瀏覽以顯示 [自我IP]。右窗格標題為「網路 >> 自我IP」。列出兩個自我IP,並醒目提示第一個self_2nic。](media/network-howto-f5/image13.png?view=azs-2408)
移至 [本機流量>虛擬伺服器>] [虛擬伺服器清單] 並選取 +,以建立虛擬伺服器。 使用數據表中的值來設定集區。 將所有其他欄位保留為預設值。
機碼 值 名稱 NGINX 目的地位址 <BIG-IP 的自我IP位址> 服務埠 443 SSL 設定檔 (用戶端) clientssl 來源地址轉譯 自動對應 ![左窗格用來巡覽右窗格至[本機流量 >> 虛擬伺服器:虛擬伺服器清單 >> NGINX],其中輸入必要的資訊。](media/network-howto-f5/image14.png?view=azs-2408)
![此頁面提供輸入其他資訊的功能。有 [更新] 和 [刪除] 按鈕。](media/network-howto-f5/image15.png?view=azs-2408)
您現在已完成 NGINX 應用程式的 BIG-IP 組態。 若要確認適當的功能,請瀏覽網站並確認 F5 統計數據。
開啟瀏覽器,
https://<F5-public-VIP-IP>並確定它會顯示您的 NGINX 預設頁面。
現在,流覽至 [統計數據 > 模組統計數據 > 本機流量],以檢查虛擬伺服器的統計數據,以確認流量流量。
在 [統計數據類型] 底下,選取 [虛擬伺服器]。
![左窗格已巡覽右窗格至 [統計數據 >> 模組統計數據:本機流量 >> 虛擬伺服器],清單會顯示 NGINX 虛擬伺服器和其他。NGINX 已醒目提示。](media/network-howto-f5/image17.png?view=azs-2408)
如需相關資訊
您可以找到一些有關使用 F5 的參考文章: