F5 implementeren in twee Azure Stack Hub-exemplaren

  • Artikel
  • 6 minuten om te lezen

In dit artikel wordt uitgelegd hoe u een externe load balancer instelt in twee Azure Stack Hub-omgevingen. U kunt deze configuratie gebruiken om verschillende workloads te beheren. In dit artikel implementeert u F5 als een globale taakverdelingsoplossing voor twee onafhankelijke Azure Stack Hub-exemplaren. U implementeert ook een web-app met gelijke taakverdeling die wordt uitgevoerd op een NGINX-server in uw twee exemplaren. Ze worden uitgevoerd achter een hoge beschikbaarheid, failoverpaar van virtuele F5-apparaten.

U vindt de Azure Resource Manager-sjablonen in de opslagplaats f5-azurestack-gslb GitHub.

Overzicht van taakverdeling met F5

De F5-hardware, de load balancer, bevindt zich mogelijk buiten Azure Stack Hub en in het datacenter dat als host fungeert voor Azure Stack Hub. Azure Stack Hub beschikt niet over een systeemeigen mogelijkheid om werkbelastingen te verdelen over twee afzonderlijke Azure Stack Hub-implementaties. De BIG-IP virtual edition (VE) van de F5 wordt op beide platforms uitgevoerd. Deze instelling ondersteunt pariteit tussen Azure- en Azure Stack Hub-architecturen via replicatie van de ondersteunende toepassingsservices. U kunt een app in de ene omgeving ontwikkelen en naar een andere omgeving verplaatsen. U kunt ook de volledige, productieklare Azure Stack Hub spiegelen, inclusief dezelfde BIG-IP-configuraties, beleidsregels en toepassingsservices. De aanpak elimineert de noodzaak voor talloze uren van het herstructureren en testen van toepassingen, en stelt u in staat om aan de slag te gaan met het schrijven van code.

Het beveiligen van toepassingen en hun gegevens is vaak een probleem voor ontwikkelaars die apps verplaatsen naar de openbare cloud. Dit hoeft niet het geval te zijn. U kunt een app bouwen in uw Azure Stack Hub-omgeving, terwijl een beveiligingsarchitect de benodigde instellingen configureert op de web application firewall (WAF) van F5. De volledige stack kan worden gerepliceerd in Azure Stack Hub met de kennis dat de toepassing wordt beveiligd door dezelfde toonaangevende WAF. Met identieke beleidsregels en regelsets zijn er geen beveiligingsgaten of beveiligingsproblemen die anders kunnen worden gegenereerd door verschillende WAF's te gebruiken.

Azure Stack Hub heeft een aparte marketplace van Azure. Alleen bepaalde items worden toegevoegd. Als u in dit geval een nieuwe resourcegroep wilt maken op elk van de Azure Stack Hubs en het virtuele F5-apparaat wilt implementeren dat al beschikbaar is. Hier ziet u dat een openbaar IP-adres vereist is om netwerkconnectiviteit tussen beide Azure Stack Hub-exemplaren toe te staan. Ze zijn in wezen beide eilanden en het openbare IP-adres stelt hen in staat om op beide locaties te praten.

Vereisten voor BIG-IP VE

  • Download F5 BIG-IP VE - ALL (BYOL, 2 Opstartlocaties) in elke Azure Stack Hub Marketplace. Als u ze niet beschikbaar hebt in uw portal, neemt u contact op met uw cloudoperator.

  • U vindt de Azure Resource Manager-sjabloon in de volgende GitHub opslagplaats: https://github.com/Mikej81/f5-azurestack-gslb.

F5 BIG-IP VE implementeren op elk exemplaar

Implementeren in Azure Stack Hub-exemplaar A en exemplaar B.

  1. Meld u aan bij de Azure Stack Hub-gebruikersportal.

  2. Selecteer + Een resource maken.

  3. Zoek in de marketplace door te typen F5.

  4. Selecteer F5 BIG-IP VE – ALL (BYOL, 2 Opstartlocaties).

    The

  5. Selecteer Onder aan de volgende pagina de optie Maken.

    The

  6. Maak een nieuwe resourcegroep met de naam F5-GSLB.

  7. Gebruik de volgende waarden als voorbeeld om de implementatie te voltooien:

    The Inputs page of the Microsoft.Template dialog box shows 15 text boxes, such as VIRTUALMACHINENAME and ADMINUSERNAME, that contain values for an example deployment.

  8. Controleer of de implementatie is voltooid.

    The Overview page of the Microsoft.Template dialog box reports

    Notitie

    Elke BIG-IP-implementatie duurt ongeveer 20 minuten.

BIG-IP-apparaten configureren

Volg deze stappen voor zowel Azure Stack Hub A als B.

  1. Meld u aan bij de Azure Stack Hub-gebruikersportal in Azure Stack Hub-exemplaar A om de resources te controleren die zijn gemaakt op basis van de implementatie van de BIG-IP-sjabloon.

    The Overview page of the F5-GSLB dialog box lists the deployed resources, and associated information.

  2. Volg de instructies op F5 voor BIG-IP-configuratie-items.

  3. Configureer BIG-IP Wide IP-lijst om te luisteren naar beide apparaten die zijn geïmplementeerd in Azure Stack Hub-exemplaar A en B. Zie BIG-IP GTM-configuratie voor instructies.

  4. Failover van BIG-IP-apparaten valideren. Configureer uw DNS-servers op een testsysteem om het volgende te gebruiken:

    • Azure Stack Hub-exemplaar A = f5stack1-ext openbaar IP-adres
    • Azure Stack Hub-exemplaar B = f5stack1-ext openbaar IP-adres

  5. Blader naar www.contoso.com en uw browser laadt de standaardpagina van NGINX.

Een DNS-synchronisatiegroep maken

  1. Schakel het hoofdaccount in om vertrouwen tot stand te brengen. Volg de instructies bij Het wijzigen van wachtwoorden voor systeemonderhoudsaccounts (11.x - 15.x). Nadat u de vertrouwensrelatie (certificaatuitwisseling) hebt ingesteld, schakelt u het hoofdaccount uit.

  2. Meld u aan bij het BIG-IP-adres en maak een DNS-synchronisatiegroep. Zie Big-IP DNS-synchronisatiegroep maken voor instructies.

    Notitie

    U vindt het lokale IP-adres van het BIP-IP-apparaat in uw F5-GSLB-resourcegroep . De netwerkinterface is 'f5stack1-ext' en u wilt verbinding maken met het openbare of privé-IP-adres (afhankelijk van de toegang).

    The

    The

  3. Selecteer de nieuwe resourcegroep F5-GSLB en selecteer de virtuele machine f5stack1 onder InstellingenNetwerk selecteren.

Configuraties na installatie

Nadat u de installatie hebt uitgevoerd, moet u uw Azure Stack Hub NSG's configureren en de bron-IP-adressen vergrendelen.

  1. Schakel poort 22 uit nadat de vertrouwensrelatie tot stand is gebracht.

  2. Wanneer uw systeem online is, blokkeert u de bron-NSG's. Beheer-NSG moet worden vergrendeld naar beheerbron, externe (4353/TCP) NSG moet worden vergrendeld naar het andere exemplaar voor synchronisatie. 443 moet ook worden vergrendeld totdat toepassingen met virtuele servers zijn geïmplementeerd.

  3. GTM_DNS regel is ingesteld om poort 53 (DNS)-verkeer toe te staan en de BIG-IP-resolver werkt eenmaal. Listeners worden gemaakt.

    The fStack1-ext page of the Network Interface dialog box shows information about the fstack1-ext interface, and about its NSG, fstack1-ext-nsg. There are tabs to select viewing either the Inbound port rules or the Outbound port rules.

  4. Implementeer een eenvoudige workload voor webtoepassingen in uw Azure Stack Hub-omgeving om taakverdeling achter het BIG-IP-adres te verdelen. U vindt een voorbeeld voor het gebruik van de NGNIX-server bij NGINX en NGINX Plus op Docker.

    Notitie

    Implementeer een exemplaar van NGNIX op zowel Azure Stack Hub A als Azure Stack Hub B.

  5. Nadat NGINX is geïmplementeerd in een Docker-container op een Ubuntu-VM binnen elk van de Azure Stack Hub-exemplaren, controleert u of u de standaardwebpagina op de servers kunt bereiken.

    The

  6. Meld u aan bij de beheerinterface van het BIG-IP-apparaat. Gebruik in dit voorbeeld het openbare IP-adres f5-stack1-ext .

    The login screen for the BIG-IP Configuration Utility requires Username and Password.

  7. Publiceer de toegang tot NGINX via het BIG-IP-adres.

    • In deze taak configureert u het BIG-IP met een virtuele server en pool om binnenkomende internettoegang tot de WordPress-toepassing toe te staan. Eerst moet u het privé-IP-adres voor het NGINX-exemplaar identificeren.

  8. Meld u aan bij de Azure Stack Hub-gebruikersportal.

  9. Selecteer uw NGINX-netwerkinterface.

    The Overview page of the

  10. Ga in de BIG-IP-console naar de lijst met pools voor lokaal verkeer >> en selecteer +. Configureer de pool met behulp van de waarden in de tabel. Laat alle andere velden op de standaardwaarden staan.

    The left pane provides the ability to navigate to create a new pool. The right pane is titled

    Sleutel Waarde
    Naam NGINX_Pool
    Health Monitor HTTPS
    Naam van knooppunt NGINX
    Adres <uw NGINX-privé-IP-adres>
    Servicepoort 443

  11. Selecteer Voltooid. Wanneer de poolstatus juist is geconfigureerd, is de status groen.

    The right pane is titled

    U moet nu de virtuele server configureren. Hiervoor moet u eerst het privé-IP-adres van uw F5 BIG-IP vinden.

  12. Ga vanuit de BIG-IP-console naar ip-adressen van het netwerk > en noteer het IP-adres.

    The left pane provides the ability to navigate to show Self IPs. The right pane is titled

  13. Maak een virtuele server door naar localTrafficVirtual>ServersVirtual Server> List en Select +te gaan. Configureer de pool met behulp van de waarden in de tabel. Laat alle andere velden op de standaardwaarden staan.

    Sleutel Waarde
    Naam NGINX
    Doeladres <Zelf-IP-adres van het BIG-IP>
    Servicepoort 443
    SSL-profiel (client) clientssl
    Bronadresomzetting Automatisch toewijzen

    The left pane is used to navigate the right pane to

    This page provides the capability to enter additional information. There are Update and Delete buttons.

  14. U hebt nu de BIG-IP-configuratie voor de NGINX-toepassing voltooid. Als u de juiste functionaliteit wilt controleren, bladert u door de site en controleert u de F5-statistieken.

  15. Open een browser om ervoor te https://<F5-public-VIP-IP> zorgen dat uw NGINX-standaardpagina wordt weergegeven.

    The

  16. Controleer nu de statistieken van uw virtuele server om de verkeersstroom te controleren door naar Lokaal verkeer van statistiekenmodulestatistieken >>te navigeren.

  17. Selecteer onder Type statistieken de optie Virtuele servers.

    The left pane has navigated the right pane to

Voor meer informatie

U vindt enkele naslagartikelen over het gebruik van F5:

Volgende stappen

Verschillen en overwegingen voor Azure Stack Hub-netwerken