Esercitazione: Eseguire la migrazione di un cluster WebLogic Server ad Azure con app Azure lication Gateway come servizio di bilanciamento del carico

Questa esercitazione illustra in modo dettagliato il processo di distribuzione di WebLogic Server (WLS) con Gateway applicazione di Azure. Vengono illustrati i passaggi specifici per la creazione di un insieme di credenziali delle chiavi, l'archiviazione di un certificato TLS/SSL nell'insieme di credenziali delle chiavi e l'uso di tale certificato per la terminazione TLS/SSL. Anche se per tutti questi elementi è disponibile documentazione specifica, questa esercitazione mostra in particolare il modo in cui è possibile combinare questi elementi per creare una soluzione semplice ma potente per il bilanciamento del carico per WLS in Azure.

Il bilanciamento del carico è una parte essenziale della migrazione del cluster Oracle WebLogic Server in Azure. La soluzione più semplice consiste nell'usare il supporto predefinito per Gateway applicazione di Azure. Gateway applicazione è incluso nel supporto dei cluster WebLogic in Azure. Per una panoramica del supporto dei cluster WebLogic in Azure, vedere Informazioni su Oracle WebLogic Server in Azure.

In questa esercitazione apprenderai a:

• Scegliere come fornire il certificato TLS/SSL al gateway app
• Distribuire WebLogic Server con Gateway applicazione di Azure in Azure
• Convalidare l'esito positivo della distribuzione di WLS e Gateway applicazione

Prerequisiti

• OpenSSL in un computer che esegue un ambiente della riga di comando analogo a UNIX.

  Sebbene siano disponibili altri strumenti per la gestione dei certificati, in questa esercitazione viene usato OpenSSL. È possibile trovare OpenSSL in aggregazione con molte distribuzioni di GNU/Linux, ad esempio Ubuntu.

• Una sottoscrizione di Azure attiva.

  • Se non hai una sottoscrizione di Azure, crea un account gratuito.

• La possibilità di distribuire una delle applicazioni Azure WLS incluse nell'elenco Applicazioni Azure Oracle WebLogic Server.

Contesto di migrazione

Ecco alcuni fattori da considerare per la migrazione di installazioni WLS locali e Gateway applicazione di Azure. Anche se i passaggi di questa esercitazione costituiscono la procedura più facile per configurare un servizio di bilanciamento del carico per il cluster WebLogic Server in Azure, sono disponibili molti altri approcci. L'elenco mostra altri aspetti da prendere in considerazione.

• Se esiste già una soluzione per il bilanciamento del carico, assicurarsi che Gateway applicazione di Azure soddisfi o superi le rispettive funzionalità. Per un riepilogo delle funzionalità di Gateway applicazione di Azure rispetto ad altre soluzioni di bilanciamento del carico di Azure, vedere Panoramica delle opzioni di bilanciamento del carico in Azure.
• Se la soluzione di bilanciamento del carico esistente fornisce una protezione dagli exploit e dalle vulnerabilità più comuni, Gateway applicazione offre tutte le funzionalità necessarie. La funzionalità Web application firewall (WAF) predefinita di Gateway applicazione implementa il set di regole OWASP (Open Web Application Security Project) di base. Per altre informazioni sul supporto waf in gateway applicazione, vedere la sezione Web application firewall delle funzionalità del gateway di app Azure lication.
• Se la soluzione di bilanciamento del carico esistente richiede la crittografia TLS/SSL end-to-end, sarà necessario eseguire una configurazione aggiuntiva dopo aver seguito i passaggi descritti in questa guida. Vedere la sezione Crittografia TLS end-to-end di Panoramica della terminazione TLS e TLS end-to-end con gateway applicazione e la documentazione di Oracle sulla configurazione di SSL in Oracle Fusion Middleware.
• Se si esegue l'ottimizzazione per il cloud, questa guida illustra come iniziare da zero con Gateway applicazione di Azure e WLS.
• Per una panoramica completa della migrazione di WebLogic Server a Macchine virtuali di Azure, vedere Eseguire la migrazione di applicazioni WebLogic alle macchine virtuali di Azure.

Distribuire WebLogic Server con Gateway applicazione in Azure

Questa sezione illustra come effettuare il provisioning di un cluster WLS con app Azure lication Gateway creato automaticamente come servizio di bilanciamento del carico per i nodi del cluster. Il gateway applicazione userà il certificato TLS/SSL fornito per la terminazione TLS/SSL. Per informazioni dettagliate sulla terminazione TLS/SSL con gateway applicazione, vedere Panoramica della terminazione TLS e TLS end-to-end con gateway applicazione.

Per creare il cluster WLS e gateway applicazione, seguire questa procedura.

Iniziare prima di tutto il processo di distribuzione di un cluster configurato o dinamico di WebLogic Server, come descritto nella documentazione di Oracle, ma tornare a questa pagina quando si raggiunge app Azure lication Gateway, come illustrato di seguito.

Scegliere come fornire il certificato TLS/SSL al gateway app

Sono disponibili diverse opzioni per fornire il certificato TLS/SSL al gateway applicazione, ma può sceglierne solo uno. Questa sezione illustra ogni opzione in modo da poter scegliere quella migliore per la distribuzione.

Opzione 1: Caricare un certificato TLS/SSL

Questa opzione è adatta ai carichi di lavoro di produzione in cui il gateway app affronta la rete Internet pubblica o per i carichi di lavoro Intranet che richiedono TLS/SSL. Scegliendo questa opzione, viene eseguito automaticamente il provisioning di un insieme di credenziali delle chiavi di Azure per contenere il certificato TLS/SSL usato dal gateway app.

Per caricare un certificato TLS/SSL esistente firmato, seguire questa procedura:

1. Seguire i passaggi dell'autorità di certificazione per creare un certificato TLS/SSL protetto da password e specificare il nome DNS per il certificato. Come scegliere il certificato con caratteri jolly e il certificato con nome singolo non rientra nell'ambito di questo documento. Una funzionerà qui.
2. Esportare il certificato dall'autorità emittente usando il formato di file PFX e scaricarlo nel computer locale. Se l'autorità emittente non supporta l'esportazione come PFX, esistono strumenti per convertire molti formati di certificato in formato PFX.
3. Selezionare la sezione gateway di app Azure lication.
4. Accanto a Connessione a app Azure lication Gateway selezionare Sì.
5. Selezionare Carica un certificato SSL.
6. Selezionare l'icona del browser file per il campo Certificato SSL. Passare al certificato in formato PFX scaricato e selezionare Apri.
7. Immettere la password per il certificato nelle caselle Password e Conferma password .
8. Scegliere se negare o meno il traffico pubblico direttamente ai nodi dei server gestiti. Se si seleziona Sì , i server gestiti saranno accessibili solo tramite il gateway app.

Selezionare Configurazione DNS

I certificati TLS/SSL sono associati a un nome di dominio DNS al momento in cui vengono rilasciati dall'emittente del certificato. Seguire la procedura descritta in questa sezione per configurare la distribuzione con il nome DNS per il certificato. È possibile usare una zona DNS già creata o consentire la distribuzione per crearne una automaticamente. Selezionare la sezione Configurazione DNS per continuare.

Usare una zona DNS di Azure esistente

Per usare una zona DNS di Azure esistente con il gateway app, seguire questa procedura:

1. Accanto a Configura alias DNS personalizzato selezionare Sì.
2. Accanto a Usa una zona DNS di Azure esistente selezionare Sì.
3. Immettere il nome della zona DNS di Azure accanto a Nome zona DNS.
4. Immettere il gruppo di risorse che contiene la zona DNS di Azure del passaggio precedente.

Consentire alla distribuzione di creare una nuova zona DNS di Azure

Per creare una zona DNS di Azure da usare con il gateway app, seguire questa procedura:

1. Accanto a Configura alias DNS personalizzato selezionare Sì.
2. Accanto a Usa una zona DNS di Azure esistente selezionare No.
3. Immettere il nome della zona DNS di Azure accanto a Nome zona DNS. Verrà creata una nuova zona DNS nello stesso gruppo di risorse di WLS.

Specificare infine i nomi per le zone DNS figlio. La distribuzione creerà due zone DNS figlio da usare con WLS: una per la console di amministrazione e una per il gateway app. Ad esempio, se il nome della zona DNS è "contoso.net", è possibile immettere admin e app come valori. La console di amministrazione sarà disponibile in "admin.contoso.net" e il gateway app sarà disponibile in "app.contoso.net". Non dimenticare di configurare la delega DNS come descritto in Delega delle zone DNS con DNS di Azure.

Le altre opzioni per fornire un certificato TLS/SSL al gateway app sono descritte in dettaglio nelle sezioni seguenti. Se si è soddisfatti dell'opzione scelta, è possibile passare alla sezione Continuare con la distribuzione.

Opzione due: Identificare un insieme di credenziali delle chiavi di Azure

Questa opzione è adatta per carichi di lavoro di produzione o non di produzione, a seconda del certificato TLS/SSL fornito. Se non si vuole che la distribuzione crei un'istanza di Azure Key Vault, è possibile identificarne una esistente o crearne una manualmente. Questa opzione richiede di archiviare il certificato e la relativa password in Azure Key Vault prima di continuare. Se si ha un insieme di credenziali delle chiavi esistente che si vuole usare, passare alla sezione Creare un certificato TLS/SSL. In caso contrario, continuare con la sezione successiva.

Creare un Azure Key Vault

Questa sezione mostra come usare il portale di Azure per creare un'istanza di Azure Key Vault.

1. Nel menu del portale di Azure o dalla pagina Home selezionare Crea una risorsa.
2. Nella casella di ricerca immettere Key Vault.
3. Nell'elenco dei risultati scegliere Key Vault.
4. Nella sezione Key Vault scegliere Crea.
5. Nella sezione Crea insieme di credenziali delle chiavi specificare le informazioni seguenti:
   • Abbonamento: Scegliere un abbonamento.
   • In Gruppo di risorse scegliere Crea nuovo e immettere il nome del gruppo di risorse. Prendere nota del nome dell'insieme di credenziali delle chiavi. Sarà necessario in seguito durante la distribuzione di WLS.
   • Nome dell'insieme di credenziali delle chiavi: è necessario un nome univoco. Prendere nota del nome dell'insieme di credenziali delle chiavi. Sarà necessario in seguito durante la distribuzione di WLS.

   Nota

   È possibile usare lo stesso nome per il Gruppo di risorse e il Nome dell'insieme di credenziali delle chiavi.

   • Scegliere un percorso nel menu a discesa Percorso.
   • Lasciare invariati i valori predefiniti delle altre opzioni.
6. Selezionare Avanti: Criteri di accesso.
7. In Abilita l'accesso a selezionare Azure Resource Manager per la distribuzione di modelli.
8. Selezionare Rivedi e crea.
9. Seleziona Crea.

La creazione di un insieme di credenziali delle chiavi è abbastanza semplice e viene in genere completata in meno di due minuti. Al termine della distribuzione, selezionare Vai alla risorsa e passare alla sezione successiva.

Creare un certificato TLS/SSL

Questa sezione illustra come creare un certificato TLS/SSL autofirmato in un formato adatto per l'uso da parte di gateway applicazione distribuito con WebLogic Server in Azure. Il certificato deve avere una password non vuota. Se si dispone già di un certificato TLS/SSL di password non vuoto valido in formato pfx , è possibile ignorare questa sezione e passare alla successiva. Se il certificato TLS/SSL della password esistente, valido e non vuoto non è nel formato pfx, convertirlo prima di saltare nella sezione successiva. In alternativa, aprire una shell dei comandi e immettere i comandi seguenti.

Nota

Questa sezione mostra come applicare la codifica Base 64 al certificato prima di archiviarlo come segreto nell'insieme di credenziali delle chiavi. Questa operazione è richiesta dalla distribuzione di Azure sottostante che crea WebLogic Server e Gateway applicazione.

Seguire questa procedura per creare e applicare la codifica Base 64 al certificato:

1. Creare una chiave RSA PRIVATE KEY

   openssl genrsa 2048 > private.pem
   

2. Creare una chiave pubblica corrispondente.

   openssl req -x509 -new -key private.pem -out public.pem
   

   Sarà necessario rispondere ad alcune domande quando richiesto dallo strumento OpenSSL. Questi valori verranno inclusi nel certificato. L'esercitazione usa un certificato autofirmato, quindi i valori sono irrilevanti. I valori letterali seguenti sono sufficienti.

   1. Per Nome paese immettere un codice di due lettere.
   2. Per Nome stato/regione/provincia immettere WA.
   3. Per Nome organizzazione immettere Contoso. Per Nome unità organizzativa immettere Fatturazione.
   4. Per Nome comune immettere Contoso.
   5. Per Indirizzo di posta elettronica immettere billing@contoso.com.

3. Esportare il certificato come file PFX

   openssl pkcs12 -export -in public.pem -inkey private.pem -out mycert.pfx
   

   Immettere due volte la password. Prendere nota della password. Sarà necessario in seguito durante la distribuzione di WLS.

4. Applicare la codifica Base 64 al file mycert.pfx

   base64 mycert.pfx > mycert.txt
   

Ora che si dispone di un insieme di credenziali delle chiavi e di un certificato TLS/SSL valido con una password non vuota, è possibile archiviare il certificato nell'insieme di credenziali delle chiavi.

Archiviare il certificato TLS/SSL nell'insieme di credenziali delle chiavi

Questa sezione mostra come archiviare il certificato e la rispettiva password nell'insieme di credenziali delle chiavi creato nelle sezioni precedenti.

Per archiviare il certificato, seguire questa procedura:

1. Dal portale di Azure posizionare il cursore nella barra di ricerca nella parte superiore della pagina e digitare il nome dell'insieme di credenziali delle chiavi creato in precedenza nell'esercitazione.
2. L'insieme di credenziali delle chiavi dovrebbe essere visualizzato sotto l'intestazione Risorse. Selezionarlo.
3. Nella sezione Impostazioni selezionare Segreti.
4. Seleziona Genera/Importa.
5. In Opzioni di caricamento lasciare il valore predefinito.
6. In Nome immettere myCertSecretData o il nome che si preferisce.
7. In Valore immettere il contenuto del file mycert.txt. La lunghezza del valore e la presenza di nuove righe non costituiscono un problema per il campo di testo.
8. Non modificare i valori predefiniti rimanenti e selezionare Crea.

Per archiviare la password per il certificato, seguire questa procedura:

1. Verrà visualizzata di nuovo la pagina Segreti. Seleziona Genera/Importa.
2. In Opzioni di caricamento lasciare il valore predefinito.
3. In Nome immettere myCertSecretPassword o il nome che si preferisce.
4. In Valore immettere la password per il certificato.
5. Non modificare i valori predefiniti rimanenti e selezionare Crea.
6. Verrà visualizzata di nuovo la pagina Segreti.

Identificare l'insieme di credenziali delle chiavi

Ora che si dispone di un insieme di credenziali delle chiavi con un certificato TLS/SSL firmato e la relativa password archiviati come segreti, tornare alla sezione app Azure lication Gateway per identificare l'insieme di credenziali delle chiavi per la distribuzione.

1. In Resource group name in current subscription containing the KeyVault (Nome del gruppo di risorse nella sottoscrizione corrente contenente l'insieme di credenziali delle chiavi) immettere il nome del gruppo di risorse contenente l'insieme di credenziali delle chiavi creato in precedenza.
2. In Name of the Azure KeyVault containing secrets for the Certificate for SSL Termination (Nome dell'istanza di Azure Key Vault contenente segreti per il certificato per la terminazione SSL) immettere il nome dell'insieme di credenziali delle chiavi.
3. In The name of the secret in the specified KeyVault whose value is the SSL Certificate Data (Nome del segreto nell'insieme di credenziali delle chiavi il cui valore corrisponde ai dati del certificato SSL) immettere myCertSecretData o il nome immesso in precedenza.
4. In The name of the secret in the specified KeyVault whose value is the password for the SSL Certificate (Nome del segreto nell'insieme di credenziali delle chiavi il cui valore corrisponde alla password del certificato SSL) immettere myCertSecretData o il nome immesso in precedenza.
5. Selezionare Rivedi e crea.
6. Seleziona Crea. Verrà verificato se è possibile ottenere il certificato dall'insieme di credenziali delle chiavi e se la rispettiva password corrisponde al valore archiviato per la password nell'insieme di credenziali delle chiavi. Se questo passaggio di convalida ha esito negativo, verificare le proprietà dell'insieme di credenziali delle chiavi, assicurarsi che il certificato sia stato immesso correttamente e assicurarsi che la password sia stata immessa correttamente.
7. Quando viene visualizzato il messaggio Convalida superata selezionare Crea.

Verrà avviato il processo di creazione del cluster WLS e del rispettivo Gateway applicazione front-end, che potrebbe richiedere circa 15 minuti. Al termine della distribuzione selezionare Vai al gruppo di risorse. Dall'elenco di risorse nel gruppo di risorse selezionare myAppGateway.

L'opzione finale per fornire un certificato TLS/SSL al gateway app è descritta in dettaglio nella sezione successiva. Se si è soddisfatti dell'opzione scelta, è possibile passare alla sezione Continuare con la distribuzione.

Opzione tre: Generare un certificato autofirmato

Questa opzione è adatta solo per le distribuzioni di test e sviluppo. Con questa opzione, vengono creati automaticamente un insieme di credenziali delle chiavi di Azure e un certificato autofirmato e il certificato viene fornito al gateway app.

Per richiedere la distribuzione per eseguire queste azioni, seguire questa procedura:

1. Nella sezione gateway di app Azure lication selezionare Genera un certificato autofirmato.
2. Selezionare un'identità gestita assegnata dall'utente. Questa operazione è necessaria per consentire alla distribuzione di creare l'insieme di credenziali delle chiavi di Azure e il certificato.
3. Se non si ha già un'identità gestita assegnata dall'utente, selezionare Aggiungi per iniziare il processo di creazione.
4. Per creare un'identità gestita assegnata dall'utente, seguire la procedura descritta nella sezione Creare un'identità gestita assegnata dall'utente di Creare, elencare, eliminare o assegnare un ruolo a un'identità gestita assegnata dall'utente usando il portale di Azure. Dopo aver selezionato l'identità gestita assegnata dall'utente, assicurarsi che la casella di controllo accanto all'identità gestita assegnata dall'utente sia selezionata.

Continuare con la distribuzione

È ora possibile continuare con gli altri aspetti della distribuzione WLS, come descritto nella documentazione di Oracle.

Convalidare l'esito positivo della distribuzione di WLS e Gateway applicazione

Questa sezione mostra una tecnica per convalidare rapidamente la distribuzione corretta del cluster WLS e di Gateway applicazione.

Se alla fine della sezione precedente è stato selezionato Vai al gruppo di risorse e quindi myAppGateway, verrà visualizzata una pagina di panoramica per Gateway applicazione. In caso contrario, è possibile trovare questa pagina digitando myAppGateway nella casella di testo nella parte superiore del portale di Azure e quindi selezionando la pagina corretta tra quelle visualizzate. Assicurarsi di selezionare la pagina inclusa nel gruppo di risorse creato per il cluster WLS. Completare quindi i passaggi seguenti.

1. Nel riquadro di sinistra della pagina di panoramica per myAppGateway scorrere verso il basso fino alla sezione Monitoraggio e selezionare Integrità back-end.
2. Quando il messaggio caricamento non viene più visualizzato, dovrebbe essere mostrata al centro dello schermo una tabella che illustra i nodi del cluster configurati come nodi nel pool back-end.
3. Assicurarsi che lo stato sia Integro per ogni nodo.

Pulire le risorse

Se non si intende continuare a usare il cluster WLS, eliminare l'insieme di credenziali delle chiavi e il cluster WLS seguendo questa procedura:

1. Visitare la pagina di panoramica per myAppGateway, come mostrato nella sezione precedente.
2. Nella parte superiore della pagina selezionare il gruppo di risorse sotto il testo Gruppo di risorse.
3. Selezionare Elimina gruppo di risorse.
4. Lo stato attivo per l'input sarà impostato sul campo con etichetta DIGITARE IL NOME DEL GRUPPO DI RISORSE. Digitare il nome del gruppo di risorse, come richiesto.
5. Il pulsante Elimina verrà abilitato. Seleziona il pulsante Elimina. L'operazione richiederà qualche minuto, ma è possibile procedere al passaggio successivo durante l'elaborazione dell'eliminazione.
6. Individuare l'insieme di credenziali delle chiavi seguendo il primo passaggio della sezione Archiviare il certificato TLS/SSL nell'insieme di credenziali delle chiavi.
7. Selezionare Elimina.
8. Selezionare Elimina nel riquadro visualizzato.

Passaggi successivi

Continuare a esplorare le opzioni per l'esecuzione di WLS in Azure.

Altre informazioni su Oracle WebLogic Server in Azure