在 Azure 中部署 F5 BIG-IP Virtual Edition VM

在本教學課程中,瞭解如何在 Azure 基礎結構即服務中部署 BIG-IP Vitural Edition (VE) (IaaS) 。 在教學課程結束時,您將擁有: 備妥的 BIG-IP 虛擬機器 (VM) ,以建立安全混合式存取模型 (SHA) 概念證明 用來測試新 BIG-IP 系統更新和 Hotfix 的預備實例


















在本教學課程中,瞭解如何在 Azure 基礎結構即服務中部署 BIG-IP Vitural Edition (VE) (IaaS) 。 在教學課程結束時,您將擁有:

  • 備妥的 BIG-IP 虛擬機器 (VM) ,以建立安全混合式存取模型 (SHA) 概念證明
  • 用來測試新 BIG-IP 系統更新和 Hotfix 的預備實例

深入瞭解 :SHA:使用 Azure Active Directory 保護繼承應用程式

必要條件

不需要先前的 F5 BIG-IP 體驗或知識。 不過,我們建議您在 F5 詞彙中檢閱業界標準術語。

在適用於 SHA 的 Azure 中部署 BIG-IP 需要:

  • 付費 Azure 訂用帳戶
  • 下列任一個 F5 BIG-IP 授權 SKU:
    • F5 BIG-IP® Best 搭售方案
    • F5 BIG-IP Access Policy Manager™ (APM) 獨立授權
    • F5 BIG-IP 存取原則管理員™ (APM) BIG-IP F5 BIG-IP® 本機流量管理員™ (LTM) 
    • 90 天 BIG-IP 完整功能試用版授權
  • 萬用字元或主體別名 (SAN) 憑證,透過安全通訊端層發佈 Web 應用程式 (SSL)
    • 移至 letsencrypt.org 以查看供應專案。 選取 [馬上開始] 。
  • 用來保護 BIG-IP 管理介面的 SSL 憑證。 如果憑證的主體對應至 BIG-IP 完整功能變數名稱,您可以使用憑證來發佈 Web 應用程式, (FQDN) 。 例如,您可以使用萬用字元憑證搭配 的 https://big-ip-vm.contoso.com:8443 主體 *.contoso.com 。

VM 部署和基底系統設定大約需要 30 分鐘,然後 BIG-IP 是在整合 F5 BIG-IP 與 Azure Active Directory中實作 SHA 案例。

測試案例

當您測試案例時,本教學課程假設:

  • BIG-IP 會部署至具有 Active Directory (AD) 環境的 Azure 資源群組
  • 環境是由網域控制站 (DC) 和 Internet Information Services (IIS) Web 主機 VM 所組成
  • 如果 BIG-IP 看到支援案例所需的角色,則無法接受與 BIG-IP VM 位於相同位置的伺服器
  • 支援透過 VPN 連線到另一個環境的 BIG-IP VM

如果您沒有先前的測試專案,您可以使用 Cloud Identity Lab上的腳本,將 AD 網域環境部署至 Azure。 您可以使用 示範套件上的腳本自動化,以程式設計方式將範例測試應用程式部署至 IIS Web 主機。

 ⚠︎注意
本教學課程中的某些步驟可能與Azure 入口網站中的版面配置不同。

Azure 部署

您可以在不同的拓撲中部署 BIG-IP。 本指南著重于 NIC) 部署 (網路介面卡。 不過,如果您的 BIG-IP 部署需要多個網路介面以取得高可用性、網路隔離或超過 1 GB 的輸送量,請考慮使用 F5 預先編譯的Azure Resource Manager (ARM) 範本

若要從Azure Marketplace部署 BIG-IP VE。

  1. 使用具有建立 VM 許可權的帳戶登入Azure 入口網站。 例如,參與者。
  2. 在頂端功能區搜尋方塊中,輸入 Marketplace
  3. 選取 Enter
  4. 在 Marketplace 篩選準則中輸入 F5 。
  5. 選取 Enter
  6. 從頂端功能區中,選取 [+ 新增]。
  7. 針對 Marketplace 篩選準則,輸入 F5
  8. 選取 Enter
  9. 選取F5 BIG-IP Virtual Edition (BYOL) >選取軟體方案>F5 BIG-IP VE – 所有 (BYOL,2 個開機位置) 
  10. 選取 [建立]。
software-plan

11. 針對 基本概念

  • 用帳戶:BIG-IP VM 部署的目標訂用帳戶
  • 資源群組:將部署 BIG-IP VM 的 Azure RG,或建立一個 VM。 它是您的 DC 和 IIS VM 資源群組
  1. 如需 實例詳細資料
  • VM 名稱 範例 BIG-IP-VM
  • 區域:以 BIG-IP-VM 的 Azure 地理位置為目標
  • 可用性選項 如果在生產環境中使用 VM,請啟用
  • 映射:F5 BIG-IP VE – 所有 (BYOL、2 個開機位置) 
  • Azure Spot 實例:否,但視需要加以啟用
  • 大小:最小規格為 2 個 vCPU 和 8 GB 記憶體
  1. 針對 系統管理員帳戶
  • 驗證類型:立即選取密碼,稍後切換至金鑰組
  • 使用者名稱:要建立為 BIG-IP 本機帳戶的身分識別,以存取其管理介面。 使用者名稱會區分大小寫。
  • 密碼:使用強式密碼保護系統管理員存取
  1. 輸入連接埠規則:公用輸入埠、無。
  2. 完成時,選取 [下一步: 磁碟]。 保留預設值。
  3. 選取 [下一步:網路]
  4. 針對 網路功能:
  • 虛擬網路:DC 和 IIS VM 所使用的 Azure VNet,或建立一個
  • 子網:與您的 DC 和 IIS VM 相同的 Azure 內部子網,或建立一個
  • 公用 IP:無
  • NIC 網路安全性群組:如果您選取的 Azure 子網與網路安全性群組相關聯, (NSG) ,請選取 [無];否則,請選取 [基本]
  • 加速網路:關閉
  1. 針對 負載平衡:負載平衡 VM,否。
  2. 選取 [下一步:管理 ],然後完成設定:
  • 詳細監視:關閉
  • 開機診斷 使用自訂儲存體帳戶啟用 。 這項功能允許透過 Azure 入口網站 中的 [序列主控台] 選項,連線至 BIG-IP 安全殼層 (SSH) 介面。 選取可用的 Azure 儲存體帳戶。
  1. 針對 身分識別
  • 系統指派的受控識別:關閉
  • Azure Active Directory:BIG-IP 不支援此選項
  1. 針對 Autoshutdown:啟用或測試,您可以將 BIG-IP-VM 設定為每日關閉
  2. 選取 [下一步:進階] ;保留預設值。
  3. 完成時,選取 [下一步:標籤]。
  4. 若要檢閱 BIG-IP-VM 設定,請選取 [下一步:檢閱 + 建立]。
  5. 選取 [建立]。 部署 BIG-IP VM 的時間通常是 5 分鐘。
  6. 完成時,展開左側功能表Azure 入口網站。
  7. 選取 [資源群組 ],然後流覽至 BIG-IP-VM。

⚠︎ 注意
如果 VM 建立失敗,請選取 [返回] 和 [下一步]。

網路組態

當 BIG-IP VM 啟動時,其 NIC 會透過動態主機組態通訊協定所發出 的主要 私人 IP 布建, (DHCP) 其所連線之 Azure 子網的服務。 BIG-IP 流量管理作業系統 (TMOS) 會使用 IP 與下列通訊:

  • 主機和服務
  • 對公共網路網路的輸出存取
  • BIG-IP Web 設定和 SSH 管理介面的輸入存取

向網際網路公開管理介面會增加 BIG-IP 攻擊面。 此風險是為何 BIG-IP 主要 IP 在部署期間未以公用 IP 布建。 相反地,系統會布建次要內部 IP 和相關聯的公用 IP 來發佈。 VM 公用 IP 與私人 IP 之間的此一對一對應可讓外部流量連線到 VM。 不過,需要 Azure NSG 規則才能允許流量,類似于防火牆。

下圖顯示 Azure 中 BIG-IP VE 的 NIC 部署,已針對一般作業和管理設定主要 IP。 有個別的虛擬伺服器 IP 可用於發佈服務。 NSG 規則允許目的地為 的遠端流量 intranet.contoso.com ,在轉送至 BIG-IP 虛擬伺服器之前,先路由傳送至已發佈服務的公用 IP。

single-nic-deployment

根據預設,發出給 Azure VM 的私人和公用 IP 是動態的,因此可以在 VM 重新開機時變更。 將 BIG-IP 管理 IP 變更為靜態,以避免連線問題。 對發佈服務的次要 IP 執行相同的動作。

  1. 從您的 BIG-IP VM 功能表,移至 [設定>網路]。
  2. 在網路檢視中,選取 網路介面右側的連結。
network-config

⚠︎ 注意
VM 名稱會在部署期間隨機產生。

  1. 在左側窗格中,選取 [IP 組態]。
  2. 選取 ipconfig1 資料列。
  3. 將 [IP 指派] 選項設定為 [靜態]。 如有必要,請變更 BIG-IP VM 主要 IP 位址。
  4. 選取 [儲存]。
  5. 關閉 ipconfig1 功能表。

⚠︎ 注意
使用主要 IP 連線和管理 BIG-IP-VM。

  1. 在頂端功能區上,選取 [+ 新增]。
  2. 提供次要私人 IP 名稱,例如 ipconfig2。
  3. 針對私人 IP 位址設定,將 [ 配置 ] 選項設定為 [靜態]。 提供下一個較高或較低的 IP 有助於保留順序線。
  4. 將 [公用 IP 位址] 設定為 [關聯]。
  5. 選取 [建立]。
  6. 針對新的公用 IP 位址,請提供名稱,例如 BIG-IP-VM_ipconfig2_Public。
  7. 如果出現提示,請將 SKU 設定為 [標準]。
  8. 如果出現提示,請將 [層 ] 設定為 [全域]。
  9. 將 [ 指派] 選項設定為 [靜態]。
  10. 選取 [確定] 兩次。

您的 BIG-IP-VM 已準備好:

  • 主要私人 IP:專用於透過其 Web 設定公用程式和 SSH 管理 BIG-IP-VM。 BIG-IP 系統會使用它作為其自我 IP,以連線到已發佈的後端服務。 它會連線到外部服務:
    • 網路時間通訊協定 (NTP)
    • Active Directory (AD)
    • 輕量型目錄存取通訊協定 (LDAP)
  • 次要私人 IP:用來建立 BIG-IP APM 虛擬伺服器,以接聽已發佈服務的輸入要求, (s) 
  • 公用 IP:它與次要私人 IP 相關聯;它可讓來自公用網際網路的用戶端流量連線到已發佈服務的 BIG-IP 虛擬伺服器, (s) 

此範例說明 VM 公用和私人 IP 之間的一對一關聯性。 Azure VM NIC 有一個主要 IP,而其他 IP 是次要 IP。

⚠︎ 注意
您需要發佈 BIG-IP 服務的次要 IP 對應。

secondary-ips

若要使用 BIG-IP 存取引導式設定來實作 SHA,請重複步驟,為透過 BIG-IP APM 發佈的服務建立更多私人和公用 IP 配對。 使用 BIG-IP 進階設定發佈服務的相同方法。 不過,使用 伺服器名稱指標 (SNI) 組態來避免公用 IP 額外負荷:BIG-IP 虛擬伺服器接受接收的用戶端流量,並將其傳送至目的地。

DNS 組態

若要將已發佈的 SHA 服務解析為 BIG-IP-VM 公用 IP (s) ,請為用戶端設定 DNS。 下列步驟假設您的 SHA 服務的公用網域 DNS 區域是在 Azure 中管理。 套用建立定位器的 DNS 原則,不論您的 DNS 區域在何處受到管理。

  1. 展開入口網站左側功能表。
  2. 使用 [資源群組] 選項,流覽至您的 BIG-IP-VM。
  3. 從 [BIG-IP VM] 功能表,移至 [設定>網路]。
  4. 在 BIG-IP-VM 網路檢視中,從下拉式 IP 組態清單中選取第一個次要 IP。
  5. 選取 [NIC 公用 IP] 連結。NIC 公用 IP 的 Scrrenshot。
  6. 在左側窗格中的 [ 設定 ] 區段下方,選取 [ 組態]。
  7. 公用 IP 和 DNS 屬性功能表隨即出現。
  8. 選取並 建立 別名記錄。
  9. 從下拉式功能表中,選取您的 DNS 區域。 如果沒有 DNS 區域,則可以在 Azure 外部管理,或為網域尾碼建立一個,以在 Azure AD 中驗證。
  10. 若要建立第一個 DNS 別名記錄:
    • 用帳戶:與 BIG-IP-VM 相同的訂用帳戶
    • DNS 區域:已驗證網域的 DNS 區域授權尾碼,例如, www.contoso.com
    • 名稱:您指定的主機名稱會解析為與所選次要 IP 相關聯的公用 IP。 定義 DNS 對 IP 對應。 例如,intranet.contoso.com 至 13.77.148.215
    • TTL:1
    • TTL 單位:小時
  11. 選取 [建立]。
  12. 將 DNS 名稱標籤保留 (選擇性) 
  13. 選取 [儲存]。
  14. 關閉 [公用 IP] 功能表。

⚠︎  注意
若要為您使用 BIG-IP 引導式設定發佈的服務建立其他 DNS 記錄,請重複步驟 1 到 6。

有了 DNS 記錄,您可以使用 DNS 檢查工具 之類的工具來確認已建立的記錄傳播到全域公用 DNS 伺服器。 如果您使用 GoDaddy等外部提供者來管理 DNS 網域命名空間,請使用其 DNS 管理功能來建立記錄。

⚠︎  注意
如果測試和經常切換 DNS 記錄,您可以使用電腦本機主機檔案:選取[Win + R]。在 [執行] 方塊中,輸入驅動程式。 本機主機記錄會提供本機電腦的 DNS 解析,而不是其他用戶端。

用戶端流量

根據預設,Azure 虛擬網路 (VNet) 和相關聯的子網是無法接收網際網路流量的私人網路。 將您的 BIG-IP-VM NIC 連結至部署期間指定的 NSG。 若要讓外部 Web 流量連線到 BIG-IP-VM,請定義輸入 NSG 規則,以允許埠 443 (HTTPS) 和 80 (HTTP) 來自公用網際網路。

  1. 從 [BIG-IP VM] 主要 [ 概觀 ] 功能表中,選取 [ 網路]。
  2. 選取 [新增 輸入規則]。
  3. 輸入 NSG 規則屬性:
  • 來源:任何
  • 來源埠範圍:*|
  • 目的地 IP 位址:BIG-IP-VM 次要私人 IP 的逗號分隔清單
  • 目的地埠:80、443
  • 通訊協定:TCP
  • 動作:允許
  • 優先順序:100 到 4096 之間的最低可用值
  • 名稱:描述性名稱,例如: BIG-IP-VM_Web_Services_80_443
  1. 選取 [新增]。
  2. 關閉 [ 網路] 功能表。

HTTP 和 HTTPS 流量可以觸達您的 BIG-IP-VM 次要介面。 允許埠 80 可讓 BIG-IP APM 將使用者從 HTTP 自動重新導向至 HTTPS。 編輯此規則以新增或移除目的地 IP。

管理 BIG-IP

BIG-IP 系統會使用其 Web 設定 UI 來管理。 從下列來源存取 UI:

⚠︎  注意
在您繼續進行其餘組態之前,請先選取上述三個方法的其中一個。 如有必要,請使用公用 IP 設定 BIG-IP 主要 IP,直接從網際網路連線到 Web 設定。 然後新增 NSG 規則,以允許該主要 IP 的 8443 流量。 將來源限制為您自己的受信任 IP,否則任何人都可以連線。

確認連線

確認您可以連線到 BIG-IP VM Web 設定,並使用 VM 部署期間指定的認證登入:

  • 如果從內部網路上的 VM 或透過 VPN 進行連線,請連線到 BIG-IP 主要 IP 和 Web 組態埠。 例如: https://<BIG-IP-VM_Primary_IP:8443 。 瀏覽器提示可能會指出連線不安全。 忽略提示,直到設定 BIG-IP 為止。 如果瀏覽器封鎖存取權,請清除其快取,然後再試一次。
  • 如果您透過 應用程式 Proxy 發佈 Web 設定,請使用定義的 URL 來存取外部的 Web 組態。 請勿附加埠,例如 https://big-ip-vm.contoso.com 。 使用 Web 組態埠定義內部 URL,例如 https://big-ip-vm.contoso.com:8443 。

⚠︎  注意
您可以使用其 SSH 環境來管理 BIG-IP 系統,通常用於命令列 (CLI) 工作和根層級存取。

若要連線到 CLI:

  • Azure Bastion 服務:從任何位置連線到 VNet 中的 VM
  • SSH 用戶端,例如使用 Just-In-Time (JIT) 方法的 PowerShell
  • 序列主控台:在入口網站中,于 VM 功能表的 [支援和疑難排解] 區段中。 其不支援檔案傳輸。
  • 從網際網路:使用公用 IP 設定 BIG-IP 主要 IP。 新增 NSG 規則以允許 SSH 流量。 限制信任的 IP 來源。

BIG-IP 授權

在設定發佈服務和 SHA 之前,請先使用 APM 模組啟用和布建 BIG-IP 系統。

  1. 登入 Web 組態。
  2. 在 [ 一般屬性 ] 頁面上,選取 [ 啟用]。
  3. 在 [ 基本註冊金鑰 ] 欄位中,輸入 F5 所提供的區分大小寫金鑰。
  4. 將 [ 啟用方法 ] 設定為 [自動]。
  5. 選取 [下一步]。
  6. BIG-IP 會驗證授權,並顯示使用者授權合約 (EULA) 。
  7. 選取 [接受 ],並等候啟用完成。
  8. 選取 [繼續]。
  9. 在 [授權摘要] 頁面底部,登入。
  10. 選取 [下一步]。
  11. SHA 所需的模組清單隨即出現。

⚠︎  注意
如果清單未出現,請在主要索引標籤中,移至[系統>資源布建]。 檢查存取原則 (APM) 的佈建資料行

存取布建的螢幕擷取畫面。
  1. 選取 [提交] 。
  2. 接受警告。
  3. 等候初始化完成。
  4. 選取 [繼續]。
  5. 在 [ 關於] 索引 標籤上,選取 [ 執行安裝公用程式]。

⚠︎  重要
F5 授權適用于一個 BIG-IP VE 實例。 若要將授權從某個實例移轉至另一個實例,請參閱 AskF5 文章 K41458656:在不同的 BIG-IP VE 系統上重複使用 BIG-IP VE 授權。 在您解除委任之前,請先撤銷作用中實例上的試用授權,否則授權將會永久遺失。

佈建 BIG-IP

請務必保護來自 BIG-IP Web 組態的管理流量。若要協助保護 Web 設定通道免于入侵,請設定裝置管理憑證。

  1. 從左側導覽列中,移至[系統>憑證管理] [流量憑證管理>>SSL 憑證清單>匯入]。
  2. 從 [ 匯入類型 ] 下拉式清單中,選取 [PKCS 12 (IIS) ], 然後選擇 [檔案]。
  3. 找出具有主體名稱或 SAN 的 SSL Web 憑證,其中涵蓋您稍後指派 BIG-IP-VM 的 FQDN。
  4. 提供憑證密碼。
  5. 選取 [匯入]。
  6. 從左側導覽列中,移至[系統>平臺]。
  7. 在 [一般屬性] 下,輸入合格的 主機名稱 和環境 時區一般屬性的螢幕擷取畫面。
  8. 選取 [更新]。
  9. 從左側導覽列中,移至[系統>> 設定裝置>NTP]。
  10. 指定 NTP 來源。
  11. 選取 [新增]。
  12. 選取 [更新]。 例如, time.windows.com

您需要 DNS 記錄,才能將 FQDN BIG-IPs解析為其主要私人 IP,您在先前步驟中指定的 IP。 將記錄新增至您的環境內部 DNS,或新增至電腦 localhost 檔案以連線到 BIG-IP Web 組態。當您連線到 Web 設定時,瀏覽器警告不會再出現,不會再出現應用程式 Proxy或任何其他反向 Proxy。

SSL 設定檔

作為反向 Proxy,BIG-IP 系統是轉送服務,也稱為透明 Proxy,或參與用戶端與伺服器之間交換的完整 Proxy。 完整 Proxy 會建立兩個連線:前端 TCP 用戶端連線和後端 TCP 伺服器連線,中間有虛間距。 用戶端會在一端連線到 Proxy 接聽程式、虛擬伺服器,而 Proxy 會建立與後端伺服器的個別獨立連線。 此設定在兩端都是雙向的。 在這個完整的 Proxy 模式中,F5 BIG-IP 系統可以檢查流量,並與要求和回應互動。 負載平衡和 Web 效能優化,以及進階流量管理服務 (應用層安全性、Web 加速、頁面路由和安全遠端存取等功能,) 依賴此功能。 當您發佈 SSL 型服務時,BIG-IP SSL 設定檔會將用戶端與後端服務之間的流量解密和加密。

配置檔案類型有兩種:

  • 用戶端 SSL:建立此設定檔是設定 BIG-IP 系統以使用 SSL 發佈內部服務最常見的方式。 使用用戶端 SSL 設定檔時,BIG-IP 系統會先解密輸入用戶端要求,再將它們傳送至下流服務。 它會加密輸出後端回應,然後將其傳送至用戶端。
  • 伺服器 SSL:針對針對 HTTPS 設定的後端服務,您可以將 BIG-IP 設定為使用伺服器 SSL 設定檔。 使用此設定檔時,BIG-IP 會重新加密用戶端要求,然後將它傳送至目的地後端服務。 當伺服器傳回加密的回應時,BIG-IP 系統會解密並重新加密回應,然後透過設定的用戶端 SSL 設定檔將它傳送給用戶端。

若要讓 BIG-IP 預先設定並準備好用於 SHA 案例,請布建用戶端和伺服器 SSL 設定檔。

  1. 從左側導覽中,移至[系統>憑證管理流量憑證管理>>SSL 憑證清單>匯入]。
  2. 從 [ 匯入類型 ] 下拉式清單中,選取 [PKCS 12 (IIS) 
  3. 針對匯入的憑證,輸入名稱,例如 ContosoWildcardCert 。
  4. 選取 [選擇檔案]。
  5. 流覽至 SSL Web 憑證,其主體名稱對應至已發佈服務的網域尾碼。
  6. 針對匯入的憑證,請提供 密碼
  7. 選取 [匯入]。
  8. 從左側導覽,移至 [本機流量>設定檔>SSL>用戶端]。
  9. 選取 [建立]。
  10. 在 [ 新增用戶端 SSL 設定檔] 頁面中,輸入唯一且易記 的名稱
  11. 確定父設定檔已設定為 clientsl名稱和父設定檔選取專案的螢幕擷取畫面。
  12. 在 [ 憑證金鑰鏈結] 列中,選取最右邊的核取方塊。
  13. 選取 [新增]。
  14. 從 [ 憑證]、[ 金鑰] 和 [ 鏈結 ] 下拉式清單中,選取您匯入且沒有複雜密碼的萬用字元憑證。
  15. 選取 [新增]。
  16. 選取 [完成]。憑證、金鑰和鏈結選取專案的螢幕擷取畫面。
  17. 重複步驟以建立 SSL 伺服器憑證設定檔
  18. 從頂端功能區中,選取 [SSL]> [伺服器]> [建立]。
  19. 在 [ 新增伺服器 SSL 設定檔] 頁面中,輸入唯一且易記 的名稱
  20. 確定父設定檔已設定為 serverssl
  21. 針對 [ 憑證 和 金鑰 ] 資料列選取最右邊的核取方塊
  22. 從 [ 憑證 和 金鑰 ] 下拉式清單中,選取您匯入的憑證。
  23. 選取 [完成]。一般屬性和組態選取專案的螢幕擷取畫面。

⚠︎  注意
如果您無法購買 SSL 憑證,請使用整合式自我簽署 BIG-IP 伺服器和用戶端 SSL 憑證。 憑證錯誤會出現在瀏覽器中。

找出資源

若要為 SHA 準備 BIG-IP,請找出其發佈的資源,以及其依賴 SSO 的目錄服務。 BIG-IP 有兩個名稱解析來源,從其本機/…/hosts 檔案開始。 如果找不到記錄,BIG-IP 系統會使用它設定的 DNS 服務。 hosts 檔案方法不適用於使用 FQDN 的 APM 節點和集區。

  1. 在 Web 設定中,移至[系統>> 設定裝置>DNS]。
  2. 在 [DNS 查閱伺服器清單] 中,輸入環境 DNS 伺服器的 IP 位址。
  3. 選取 [新增]。
  4. 選取 [更新]。

選擇性步驟是 LDAP 組  ,可對 Active Directory 驗證 BIG-IP 系統管理員,而不是管理本機 BIG-IP 帳戶。

更新 BIG-IP

如需更新相關指引,請參閱下列清單。 更新指示如下。

  • 若要檢查流量管理作業系統 (TMOS) 版本:
    • 在主頁面左上方,將游標停留在 BIG-IP 主機名稱上方
  • 執行 v15.x 和更新版本。 請參閱 F5 下載。 需要登入。
  • 若要更新主要 TMOS,請參閱 F5 文章 K34745165:管理 BIG-IP 系統上的軟體映射
    • 如果您無法更新主要 TMOS,您可以升級引導式設定。 請使用下列步驟。
  • 另請參閱 案例型指引
  1. 在 BIG-IP Web 組態的 [主要] 索引標籤上,移至[存取>引導式設定]。
  2. 在 [引導式設定 ] 頁面上,選取 [ 升級引導式設定]。引導設定頁面的螢幕擷取畫面。
  3. 在 [ 升級引導式組態 ] 對話方塊中,選取 [選擇檔案]。
  4. 選取 [上傳並安裝]。
  5. 等候升級完成。
  6. 選取 [繼續]。

備份 BIG-IP

布建 BIG-IP 系統時,建議您進行完整組態備份。

  1. 移至[系統>封存>建立]。
  2. 提供唯一的 檔案名
  3. 使用複雜密碼啟用 加密 。
  4. 將 [私密金鑰 ] 選項設定為 [包含 ] 來備份裝置和 SSL 憑證。
  5. 選取 [完成]。
  6. 請等候此流程完成。
  7. 訊息隨即出現,其中包含結果。
  8. 選取 [確定]。
  9. 選取備份連結。
  10. 將使用者組態集儲存在本機 (UCS) 封存。
  11. 選取 [下載]。

您可以使用 Azure 快照集建立整個系統磁片的備份。 此工具提供 TMOS 版本之間測試的應變措施,或回復至全新的系統。

PowerShell複製

# Install modules
Install-module Az
Install-module AzureVMSnapshots

# Authenticate to Azure
Connect-azAccount

# Set subscription by Id
Set-AzContext -SubscriptionId ‘<Azure_Subscription_ID>’

#Create Snapshot
New-AzVmSnapshot -ResourceGroupName '<E.g.contoso-RG>' -VmName '<E.g.BIG-IP-VM>'

#List Snapshots
#Get-AzVmSnapshot -ResourceGroupName ‘<E.g.contoso-RG>'

#Get-AzVmSnapshot -ResourceGroupName ‘<E.g.contoso-RG>' -VmName '<E.g.BIG-IP-VM>' | Restore-AzVmSnapshot -RemoveOriginalDisk 

還原 BIG-IP

還原 BIG-IP 類似于備份程式,可用來在 BIG-IP VM 之間移轉設定。 匯入備份之前,請先確認支援的升級路徑。

  1. 移至系統>封存
  • 選取備份連結, 
  • 選取 [上傳] 並流覽至未在清單中儲存的 UCS 封存
  1. 提供備份複雜密碼。
  2. 選取 [還原]

PowerShell複製

# Authenticate to Azure
Connect-azAccount

# Set subscription by Id
Set-AzContext -SubscriptionId ‘<Azure_Subscription_ID>’

#Restore Snapshot
Get-AzVmSnapshot -ResourceGroupName '<E.g.contoso-RG>' -VmName '<E.g.BIG-IP-VM>' | Restore-AzVmSnapshot

⚠︎  注意
目前,AzVmSnapshot Cmdlet 可以根據日期還原最新的快照集。 快照集會儲存在 VM 資源群組根目錄中。 還原快照集會重新開機 Azure VM,因此請確定工作的最佳時機。






文章來源:Microsoft