Så här distribuerar du F5 över två Azure Stack Hub-instanser

Artikel
12/01/2023

Den här artikeln beskriver steg för steg hur du konfigurerar en extern lastbalanserare i två Azure Stack Hub-miljöer. Du kan använda den här konfigurationen för att hantera olika arbetsbelastningar. I den här artikeln distribuerar du F5 som en global belastningsutjämningslösning över två oberoende Azure Stack Hub-instanser. Du distribuerar också en belastningsutjäxad webbapp som körs på en NGINX-server över dina två instanser. De körs bakom ett redundanspar med virtuella F5-installationer med hög tillgänglighet.

Du hittar Azure Resource Manager-mallarna på GitHub-lagringsplatsen f5-azurestack-gslb.

Översikt över belastningsutjämning med F5

F5-maskinvaran, lastbalanseraren, kan finnas utanför Azure Stack Hub och i det datacenter som är värd för Azure Stack Hub. Azure Stack Hub har ingen inbyggd funktion för att belastningsutjäxla arbetsbelastningar mellan två separata Azure Stack Hub-distributioner. F5:s BIG-IP virtual edition (VE) körs på båda plattformarna. Den här konfigurationen stöder paritet mellan Azure- och Azure Stack Hub-arkitekturer genom replikering av de stödande programtjänsterna. Du kan utveckla en app i en miljö och flytta den till en annan. Du kan också spegla hela produktionsklara Azure Stack Hub, inklusive samma BIG-IP-konfigurationer, principer och programtjänster. Metoden eliminerar behovet av otaliga timmar av programrefaktorisering och testning och gör att du kan fortsätta med att skriva kod.

Att skydda program och deras data är ofta ett problem för utvecklare som flyttar appar till det offentliga molnet. Detta behöver inte vara fallet. Du kan skapa en app i din Azure Stack Hub-miljö, medan en säkerhetsarkitekt konfigurerar de nödvändiga inställningarna i F5:s brandvägg för webbaserade program (WAF). Hela stacken kan replikeras i Azure Stack Hub med vetskapen om att programmet kommer att skyddas av samma branschledande WAF. Med identiska principer och regeluppsättningar finns det inga säkerhetshål eller sårbarheter som annars kan genereras genom att använda olika WAF:er.

Azure Stack Hub har en separat marknadsplats från Azure. Endast vissa objekt läggs till. I det här fallet, om du vill skapa en ny resursgrupp på var och en av Azure Stack Hubs och distribuera den virtuella F5-installationen som redan är tillgänglig. Därifrån ser du att en offentlig IP-adress krävs för att tillåta nätverksanslutning mellan båda Azure Stack Hub-instanserna. I huvudsak är de båda öarna och den offentliga IP-adressen gör det möjligt för dem att prata på båda platserna.

Krav för BIG-IP VE

Ladda ned F5 BIG-IP VE – ALLA (BYOL, 2 startplatser) till varje Azure Stack Hub Marketplace. Kontakta molnoperatören om du inte har dem tillgängliga för dig i portalen.
Du hittar Azure Resource Manager-mallen på följande GitHub-lagringsplats: https://github.com/Mikej81/f5-azurestack-gslb.

Distribuera F5 BIG-IP VE på varje instans

Distribuera till Azure Stack Hub-instans A och instans B.

Logga in på Azure Stack Hub-användarportalen.
Välj + Skapa en resurs.
Sök på Marketplace genom att F5skriva .
Välj F5 BIG-IP VE – ALLA (BYOL, 2 startplatser).
Längst ned på nästa sida väljer du Skapa.
Skapa en ny resursgrupp med namnet F5-GSLB.
Använd följande värden som exempel för att slutföra distributionen:
Kontrollera att distributionen har slutförts.

Anteckning

Varje BIG-IP-distribution bör ta cirka 20 minuter.

Konfigurera BIG-IP-apparater

Följ dessa steg för både Azure Stack Hub A och B.

Logga in på Azure Stack Hub-användarportalen på Azure Stack Hub-instans A för att granska resurserna som skapats från distributionen av BIG-IP-mallen.
Följ anvisningarna i F5 för BIG-IP-konfigurationsobjekt.
Konfigurera EN STOR IP-bred IP-lista för att lyssna på båda enheterna som distribueras till Azure Stack Hub-instans A och B. Anvisningar finns i BIG-IP GTM-konfiguration.
Verifiera redundans för BIG-IP-apparater. Konfigurera DNS-servrarna så att de använder följande i ett testsystem:
- Azure Stack Hub-instans A = f5stack1-ext offentlig IP-adress
- Azure Stack Hub-instans B = f5stack1-ext offentlig IP-adress
Bläddra till www.contoso.com och webbläsaren läser in NGINX-standardsidan.

Skapa en DNS-synkroniseringsgrupp

Aktivera rotkontot för att upprätta förtroende. Följ anvisningarna i Ändra lösenord för systemunderhållskonto (11.x–15.x). När du har angett förtroende (certifikatutbyte) inaktiverar du rotkontot.
Logga in på BIG-IP och skapa en DNS-synkroniseringsgrupp. Anvisningar finns i Skapa BIG-IP DNS-synkroniseringsgrupp.

Anteckning

Du hittar den lokala IP-adressen för BIP-IP-installationen i din F5-GSLB-resursgrupp . Nätverksgränssnittet är "f5stack1-ext" och du vill ansluta till den offentliga eller privata IP-adressen (beroende på åtkomst).
Välj den nya resursgruppen F5-GSLB och välj den virtuella datorn f5stack1 . Under Inställningar väljer du Nätverk.

Konfigurationer efter installation

När du har installerat måste du konfigurera dina Azure Stack Hub-NSG:er och låsa källans IP-adresser.

Inaktivera port 22 när förtroendet har upprättats.
När systemet är online blockerar du käll-NSG:erna. Hanterings-NSG bör vara låst till hanteringskällan. Extern (4353/TCP) NSG ska låsas till den andra instansen för synkronisering. 443 bör också låsas tills program med virtuella servrar distribueras.
GTM_DNS regeln är inställd på att tillåta port 53-trafik (DNS) i, och BIG-IP-matcharen börjar fungera en gång. Lyssnare skapas.
Distribuera en grundläggande arbetsbelastning för webbprogram i din Azure Stack Hub-miljö till Load Balance bakom BIG-IP. Du hittar ett exempel för att använda NGNIX-servern i Distribuera NGINX och NGINX Plus på Docker.

Anteckning

Distribuera en instans av NGNIX på både Azure Stack Hub A och Azure Stack Hub B.
När NGINX har distribuerats i en Docker-container på en virtuell Ubuntu-dator inom var och en av Azure Stack Hub-instanserna kontrollerar du att du kan nå standardwebbsidan på servrarna.
Logga in på hanteringsgränssnittet för BIG-IP-installationen. I det här exemplet använder du den offentliga IP-adressen f5-stack1-ext .
Publicera åtkomst till NGINX via BIG-IP.
- I den här uppgiften konfigurerar du BIG-IP med en virtuell server och pool för att tillåta inkommande Internetåtkomst till WordPress-programmet. Först måste du identifiera den privata IP-adressen för NGINX-instansen.
Logga in på Azure Stack Hub-användarportalen.
Välj NGINX-nätverksgränssnittet.
Från BIG-IP-konsolen går du till Listan med lokala trafikpooler >> och väljer +. Konfigurera poolen med hjälp av värdena i tabellen. Lämna standardvärdena för alla andra fält.

Tangent Värde

Namn NGINX_Pool

Hälsoövervakare HTTPS

Nodnamn NGINX

Adress <din privata IP-adress för NGINX>

Tjänstport 443
Välj Slutförd. När poolstatusen är korrekt konfigurerad är den grön.

Nu måste du konfigurera den virtuella servern. För att göra detta måste du först hitta den privata IP-adressen för din F5 BIG-IP.
Från BIG-IP-konsolen går du till Själv-IP-adresser för nätverk > och noterar IP-adressen.
Skapa en virtuell server genom att gå tilllistanVirtuell server för lokal trafik>> och välj +. Konfigurera poolen med hjälp av värdena i tabellen. Lämna standardvärdena för alla andra fält.

Tangent Värde

Namn NGINX

Måladress <Själv-IP-adress för BIG-IP>

Tjänstport 443

SSL-profil (klient) clientssl

Källadressöversättning Automatisk mappning
Nu har du slutfört BIG-IP-konfigurationen för NGINX-programmet. Om du vill kontrollera korrekt funktionalitet bläddrar du till webbplatsen och verifierar F5-statistiken.
Öppna en webbläsare till och se till att https://<F5-public-VIP-IP> den visar din NGINX-standardsida.
Kontrollera nu statistiken för den virtuella servern för att verifiera trafikflödet genom att gå till Statistikmodulens > statistik > Lokal trafik.
Under Statistiktyp väljer du Virtuella servrar.