Como implantar o F5 em duas instâncias do Azure Stack Hub

  • Artigo

Este artigo explica como configurar um balanceador de carga externo em dois ambientes do Azure Stack Hub. Você pode usar essa configuração para gerenciar cargas de trabalho diferentes. Neste artigo, você implantará o F5 como uma solução global de balanceamento de carga em duas instâncias independentes do Azure Stack Hub. Você também implantará um aplicativo Web com balanceamento de carga em execução em um servidor NGINX em suas duas instâncias. Eles serão executados atrás de um par de dispositivos virtuais F5 de alta disponibilidade e failover.

Você pode encontrar os modelos de Resource Manager do Azure no repositório do GitHub f5-azurestack-gslb.

Visão geral do balanceamento de carga com F5

O hardware F5, o balanceador de carga, pode estar fora do Azure Stack Hub e dentro do datacenter que hospeda o Azure Stack Hub. O Azure Stack Hub não tem uma funcionalidade nativa para balancear cargas de trabalho em duas implantações separadas do Azure Stack Hub. A VE (edição virtual) BIG-IP do F5 é executada em ambas as plataformas. Essa configuração dá suporte à paridade entre as arquiteturas do Azure e do Azure Stack Hub por meio da replicação dos serviços de aplicativo de suporte. Você pode desenvolver um aplicativo em um ambiente e movê-lo para outro. Você também pode espelho todo o Azure Stack Hub pronto para produção, incluindo as mesmas configurações de BIG-IP, políticas e serviços de aplicativos. A abordagem elimina a necessidade de inúmeras horas de refatoração e teste de aplicativo e permite que você comece a escrever código.

Proteger aplicativos e seus dados geralmente é uma preocupação para os desenvolvedores que movem aplicativos para a nuvem pública. Esse não precisa ser o caso. Você pode criar um aplicativo em seu ambiente do Azure Stack Hub, enquanto um arquiteto de segurança define as configurações necessárias no WAF (firewall do aplicativo Web) da F5. Toda a pilha pode ser replicada no Azure Stack Hub com o conhecimento de que o aplicativo será protegido pelo mesmo WAF líder do setor. Com políticas e conjuntos de regras idênticos, não haverá nenhuma brecha de segurança ou vulnerabilidades que possam ser geradas empregando WAFs diferentes.

O Azure Stack Hub tem um marketplace separado do Azure. Somente determinados itens são adicionados. Nesse caso, se você quiser criar um novo grupo de recursos em cada um dos Azure Stack Hubs e implantar o dispositivo virtual F5 que já estão disponíveis. A partir daí, você verá que um endereço IP público será necessário para permitir a conectividade de rede entre as duas instâncias do Azure Stack Hub. Essencialmente, ambas são ilhas e o IP público permitirá que eles falem em ambos os locais.

Pré-requisitos para BIG-IP VE

  • Baixe F5 BIG-IP VE - ALL (BYOL, 2 Locais de Inicialização) em cada Marketplace do Azure Stack Hub. Se você não os tiver disponível em seu portal, entre em contato com o operador de nuvem.

  • Você pode encontrar o modelo de Resource Manager do Azure no seguinte repositório GitHub: https://github.com/Mikej81/f5-azurestack-gslb.

Implantar f5 BIG-IP VE em cada instância

Implante na instância A do Azure Stack Hub e na instância B.

  1. Entre no portal do usuário do Azure Stack Hub.

  2. Selecione + Criar um Recurso.

  3. Pesquise no marketplace digitando F5.

  4. Selecione F5 BIG-IP VE – ALL (BYOL, 2 Locais de Inicialização).

    A caixa de diálogo

  5. Na parte inferior da próxima página, selecione Criar.

    A caixa de diálogo

  6. Crie um novo grupo de recursos chamado F5-GSLB.

  7. Use os seguintes valores como exemplo para concluir a implantação:

    A página Entradas da caixa de diálogo Microsoft.Template mostra 15 caixas de texto, como VIRTUALMACHINENAME e ADMINUSERNAME, que contêm valores para uma implantação de exemplo.

  8. Valide se a implantação foi concluída com êxito.

    A página Visão geral da caixa de diálogo Microsoft.Template informa

    Observação

    Cada implantação do BIG-IP deve levar cerca de 20 minutos.

Configurar dispositivos BIG-IP

Siga estas etapas necessárias para o Azure Stack Hub A e B.

  1. Entre no portal do usuário do Azure Stack Hub na instância A do Azure Stack Hub para examinar os recursos criados com base na implantação do modelo BIG-IP.

    A página Visão geral da caixa de diálogo F5-GSLB lista os recursos implantados e as informações associadas.

  2. Siga as instruções em F5 para itens de configuração do BIG-IP.

  3. Configure a Lista de IP em todo o BIG-IP para escutar em ambos os dispositivos implantados nas instâncias A e B do Azure Stack Hub. Para obter instruções, confira Configuração do GTM do BIG-IP.

  4. Validar o failover de dispositivos BIG-IP. Em um sistema de teste, configure seus servidores DNS para usar o seguinte:

    • Instância A do Azure Stack Hub = f5stack1-ext endereço IP público
    • Instância B do Azure Stack Hub = f5stack1-ext endereço IP público

  5. Navegue até www.contoso.com e o navegador carrega a página padrão do NGINX.

Criar um grupo de sincronização DNS

  1. Habilite a conta raiz para estabelecer confiança. Siga as instruções em Alterar senhas da conta de manutenção do sistema (11.x - 15.x). Depois de definir a relação de confiança (troca de certificados), desabilite a conta raiz.

  2. Entre no BIG-IP e crie um Grupo de Sincronização DNS. Para obter instruções, consulte Criando grupo de sincronização DNS big-IP.

    Observação

    Você pode encontrar o IP local do dispositivo BIP-IP em seu grupo de recursos F5-GSLB . O Adaptador de Rede é "f5stack1-ext" e você deseja se conectar ao IP público ou privado (dependendo do acesso).

    A caixa de diálogo

    A caixa de diálogo

  3. Selecione o novo grupo de recursos F5-GSLB e selecione a máquina virtual f5stack1 , em Configurações , selecione Rede.

Configurações pós-instalação

Depois de instalar, você precisará configurar os NSGs do Azure Stack Hub e bloquear os endereços IP de origem.

  1. Desabilite a porta 22 depois que a relação de confiança for estabelecida.

  2. Quando o sistema estiver online, bloqueie os NSGs de origem. O NSG de gerenciamento deve ser bloqueado para a origem do gerenciamento, o NSG externo (4353/TCP) deve ser bloqueado para a outra instância para sincronização. 443 também deve ser bloqueado até que os aplicativos com Servidores Virtuais sejam implantados.

  3. GTM_DNS Regra está definida para permitir o tráfego DNS (porta 53) e o resolvedor big-IP começará a funcionar uma vez. Os ouvintes são criados.

    A página fStack1-ext da caixa de diálogo Adaptador de Rede mostra informações sobre a interface fstack1-ext e sobre seu NSG, fstack1-ext-nsg. Há guias para selecionar a exibição das regras de porta de entrada ou as regras de porta de saída.

  4. Implante uma carga de trabalho básica do aplicativo Web em seu ambiente do Azure Stack Hub no Load Balance por trás do BIG-IP. Você pode encontrar um exemplo para usar o servidor NGNIX em Implantando NGINX e NGINX Plus no Docker.

    Observação

    Implante uma instância do NGNIX no Azure Stack Hub A e no Azure Stack Hub B.

  5. Depois que o NGINX for implantado em um contêiner do Docker em uma VM do Ubuntu em cada uma das instâncias do Azure Stack Hub, valide se você pode acessar a página da Web padrão nos servidores.

    A página

  6. Entre na interface de gerenciamento do dispositivo BIG-IP. Neste exemplo, use o endereço IP público f5-stack1-ext .

    A tela de logon do Utilitário de Configuração do BIG-IP requer Nome de usuário e Senha.

  7. Publique o acesso ao NGINX por meio do BIG-IP.

    • Nesta tarefa, você configurará o BIG-IP com um Servidor Virtual e um Pool para permitir o acesso à Internet de entrada ao aplicativo WordPress. Primeiro, você precisa identificar o endereço IP privado para a instância NGINX.

  8. Entre no portal do usuário do Azure Stack Hub.

  9. Selecione o adaptador de rede NGINX.

    A página Visão geral da caixa de diálogo

  10. No console do BIG-IP, acesse Lista de Pools de Pools > de Tráfego > Local e Selecione +. Configure o pool usando os valores na tabela. Deixe todos os outros campos para seus padrões.

    O painel esquerdo fornece a capacidade de navegar para criar um pool. O painel direito é intitulado

    Chave Valor
    Nome NGINX_Pool
    Monitor de integridade HTTPS
    Nome do Nó NGINX
    Endereço <seu endereço IP privado NGINX>
    Porta de serviço 443

  11. Selecione Concluído. Quando configurado corretamente, o pool status é verde.

    O painel direito é intitulado

    Agora você precisa configurar o servidor virtual. Para fazer isso, primeiro você precisa encontrar o IP privado do SEU F5 BIG-IP.

  12. No console do BIG-IP, acesse Auto-IPs de Rede > e anote o endereço IP.

    O painel esquerdo fornece a capacidade de navegar para mostrar Auto-IPs. O painel direito é intitulado

  13. Crie um servidor virtual acessando Lista deServidores Virtuais de Servidores>Virtuais de Tráfego> Local e Selecione +. Configure o pool usando os valores na tabela. Deixe todos os outros campos para seus padrões.

    Chave Valor
    Nome NGINX
    Endereço de destino <Endereço IP próprio do BIG-IP>
    Porta de serviço 443
    Perfil SSL (Cliente) clientssl
    Conversão de endereço de origem Mapa Automático

    O painel esquerdo é usado para navegar pelo painel direito até

    Esta página fornece a capacidade de inserir informações adicionais. Há botões Atualizar e Excluir.

  14. Agora você concluiu a configuração big-IP para o aplicativo NGINX. Para verificar a funcionalidade adequada, navegue pelo site e verifique as estatísticas de F5.

  15. Abra um navegador para https://<F5-public-VIP-IP> e verifique se ele exibe a página padrão do NGINX.

    A página

  16. Agora marcar as estatísticas do servidor virtual para verificar o fluxo de tráfego navegando até Estatísticas Módulo Estatísticas >> Tráfego Local.

  17. Em Tipo de Estatística, selecione Servidores Virtuais.

    O painel esquerdo navegou pelo painel direito até

Para obter mais informações

Você pode encontrar alguns artigos de referência sobre como usar F5:

Próximas etapas

Diferenças e considerações para a rede do Azure Stack Hub