2 つの Azure Stack Hub インスタンスに F5 をデプロイする方法
この記事では、2 つの Azure Stack Hub 環境に外部ロード バランサーを設定する手順について説明します。 この構成を使用して、さまざまなワークロードを管理できます。 この記事では、2 つの独立した Azure Stack Hub インスタンスにグローバルな負荷分散ソリューションとして F5 をデプロイします。 また、2 つのインスタンスを対象に NGINX サーバーで実行される負荷分散された Web アプリをデプロイします。 それらは、F5 仮想アプライアンスの高可用性のフェールオーバー ペアの内側で実行されます。
Azure Resource Manager テンプレートは、f5-azurestack-gslb GitHub リポジトリで入手できます。
F5 を使用した負荷分散の概要
F5 ハードウェア (ロード バランサー) は、Azure Stack Hub の外部にあっても、Azure Stack Hub がホストされるデータセンターの内部にあってもかまいません。 Azure Stack Hub には、2 つの異なる Azure Stack Hub デプロイ間でワークロードを負荷分散するためのネイティブな機能はありません。 F5 の BIG-IP 仮想エディション (VE) は、両方のプラットフォーム上で実行されます。 このセットアップにより、サポートするアプリケーション サービスのレプリケーションによって、Azure アーキテクチャと Azure Stack Hub アーキテクチャの間のパリティがサポートされます。 1 つの環境でアプリを開発し、別の環境に移動することができます。 また、同じ BIG-IP 構成、ポリシー、アプリケーション サービスを含む、運用対応の Azure Stack Hub 全体をミラー化することもできます。 このアプローチにより、アプリケーションのリファクタリングとテストに何時間もかかることがなくなり、コードの作成を進めることができます。
アプリケーションとそのデータをセキュリティで保護することは、多くの場合、アプリをパブリック クラウドに移動する開発者にとって重要なことです。 これを問題にする必要はありません。 開発者が Azure Stack Hub 環境でアプリを構築する一方で、セキュリティ アーキテクトは F5 の Web アプリケーション ファイアウォール (WAF) で必要な設定を構成します。 アプリケーションが業界をリードする同じ WAF によって保護されることはわかっており、スタック全体を Azure Stack Hub にレプリケートすることができます。 ポリシーとルールセットは同じであり、異なる WAF を採用すると発生する可能性がある、セキュリティの抜け道や脆弱性が発生することはありません。
Azure Stack Hub には、Azure とは別のマーケットプレースがあります。 特定の項目だけが追加されます。 この場合、各 Azure Stack Hub に新しいリソース グループを作成し、既に使用可能な F5 仮想アプライアンスをデプロイします。 それ以降、両方の Azure Stack Hub インスタンス間をネットワーク接続するためには、パブリック IP アドレスが必要です。 基本的に、これらはどちらもアイランドであり、パブリック IP アドレスにより両方の場所で通信できるようになります。
BIG-IP VE の前提条件
F5 BIG-IP VE - ALL (BYOL, 2 Boot Locations) を各 Azure Stack Hub Marketplace にダウンロードします。 それらをポータルで使用できない場合は、クラウド オペレーターに問い合わせてください。
Azure Resource Manager テンプレートは、次の GitHub リポジトリにあります: https://github.com/Mikej81/f5-azurestack-gslb。
F5 BIG-IP VE を各インスタンスにデプロイする
Azure Stack Hub インスタンス A とインスタンス B にデプロイします。
Azure Stack Hub ユーザー ポータルにサインインします。
[+ リソースの作成] を選択します。
「
F5
」と入力して、マーケットプレースを検索します。F5 BIG-IP VE – ALL (BYOL, 2 Boot Locations) を選択します。
次のページの下部にある [作成] を選択します。
F5-GSLB という名前で新しいリソース グループを作成します。
デプロイを完了します。次の値は例です。
デプロイが正常に完了したことを確認します。
Note
各 BIG-IP のデプロイには約 20 分かかります。
BIG-IP アプライアンスを構成する
Azure Stack Hub A と B の両方で、次の手順に従う必要があります。
Azure Stack Hub インスタンス A で Azure Stack Hub ユーザー ポータルにサインインし、BIG-IP テンプレートのデプロイから作成されたリソースを確認します。
BIG-IP の構成項目については F5 の指示に従います。
Azure Stack Hub インスタンス A と B にデプロイされた両方のアプライアンスでリッスンするように、BIG-IP Wide IP List を構成します。手順については、「BIG-IP GTM の構成」を参照してください。
BIG-IP アプライアンスのフェールオーバーを検証します。 テスト システムで、次のものを使用するように DNS サーバーを構成します。
- Azure Stack Hub インスタンス A =
f5stack1-ext
パブリック IP アドレス - Azure Stack Hub インスタンス B =
f5stack1-ext
パブリック IP アドレス
- Azure Stack Hub インスタンス A =
www.contoso.com
を参照すると、ブラウザーに NGINX の既定ページが読み込まれます。
DNS 同期グループを作成する
ルート アカウントを有効にして、信頼を確立します。 「システム メンテナンス アカウントのパスワードの変更 (11.x - 15.x)」の手順に従います。 信頼 (証明書交換) を設定した後、ルート アカウントを無効にします。
BIG-IP にサインインし、DNS 同期グループを作成します。 手順については、「BIG-IP DNS 同期グループの作成」を参照してください。
Note
BIP-IP アプライアンスのローカル IP アドレスは、F5-GSLB リソース グループにあります。 ネットワーク インターフェイスは "f5stack1-ext" であり、(アクセスに応じて) パブリック IP アドレスまたはプライベート IP アドレスに接続します。
新しいリソース グループ F5-GSLB を選択し、f5stack1 仮想マシンを選択して、[Settings]\(設定\) で [Networking]\(ネットワーク\) を選択します。
インストール後の構成
インストールした後は、Azure Stack Hub の NSG を構成し、ソース IP アドレスをロック ダウンする必要があります。
信頼が確立された後、ポート 22 を無効にします。
システムがオンラインになっている場合は、ソース NSG をブロックします。 管理 NSG は管理ソースにロックする必要があります。外部 (4353/TCP) NSG は同期のために他のインスタンスにロックする必要があります。仮想サーバーを使用するアプリケーションがデプロイされるまで、443 もロックする必要があります。
GTM_DNS のルールがポート 53 (DNS) の入力トラフィックを許可するように設定され、BIG-IP リゾルバーが 1 回動作を開始します。 リスナーが作成されます。
Azure Stack Hub 環境内に基本的な Web アプリケーション ワークロードをデプロイし、BIG-IP の内側の負荷を分散します。 NGNIX サーバーを使用する例については、「NGINX と NGINX Plus を Docker にデプロイする」を参照してください。
Note
Azure Stack Hub A と Azure Stack Hub B の両方に NGNIX のインスタンスをデプロイします。
各 Azure Stack Hub インスタンス内の Ubuntu VM 上 Docker コンテナーに NGINX をデプロイした後、サーバー上の既定の Web ページに接続できることを確認します。
BIG-IP アプライアンスの管理インターフェイスにサインインします。 この例では、f5-stack1-ext のパブリック IP アドレスを使用します。
BIG-IP 経由で NGINX へのアクセスを公開します。
- このタスクでは、WordPress アプリケーションへの受信インターネット アクセスを許可するように、仮想サーバーとプールで BIG-IP を構成します。 まず、NGINX インスタンスのプライベート IP アドレスを識別する必要があります。
Azure Stack Hub のユーザー ポータルにサインインします。
お使いの NGINX ネットワーク インターフェイスを選択します。
BIG-IP コンソールで、[Local traffic]\(ローカル トラフィック\) > [Pools]\(プール\) > [Pool List]\(プール リスト\) に移動し、[+] を選択します。 次の表の値を使用して、プールを構成します。 他のすべてのフィールドは既定値のままにします。
Key 値 名前 NGINX_Pool Health Monitor (正常性モニター) HTTPS Node Name (ノード名) NGINX 番地 <お使いの NGINX プライベート IP アドレス> Service Port (サービス ポート) 443 [完了] を選択します。 正しく構成すると、プールの状態が緑になります。
次に、仮想サーバーを構成する必要があります。 そのためには、まず、F5 BIG-IP のプライベート IP アドレスを確認する必要があります。
BIG-IP コンソールで、[Network]\(ネットワーク\) > [Self IPs]\(セルフ IP\) に移動し、IP アドレスを記録します。
[Local Traffic]\(ローカル トラフィック\)>[Virtual Servers]\(仮想サーバー\)>[Virtual Server List]\(仮想サーバー一覧\) に移動し、[+] を選択して、仮想サーバーを作成します。 次の表の値を使用して、プールを構成します。 他のすべてのフィールドは既定値のままにします。
Key 値 名前 NGINX Destination Address (宛先アドレス) <BIG-IP のセルフ IP アドレス> Service Port (サービス ポート) 443 SSL Profile (Client) (SSL プロファイル (クライアント)) clientssl Source Address Translation (ソース アドレス変換) Auto Map (自動マップ) これで、NGINX アプリケーション用の BIG-IP の構成は完了です。 適切な機能を確認するには、サイトを参照し、F5 の統計を確認します。
ブラウザーで
https://<F5-public-VIP-IP>
を開き、NGINX の既定のページが表示されることを確認します。次に、[Statistics]\(統計\) > [Module Statistics]\(モジュールの統計\) > [Local Traffic]\(ローカル トラフィック\) に移動し、仮想サーバーの統計情報を調べて、トラフィック フローを確認します。
[Statistics Type]\(統計の種類\) で、[Virtual Servers]\(仮想サーバー\) を選択します。
詳細情報
F5 の使用に関するリファレンス記事がいくつかあります。