Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Migrieren Sie einen F5 BIG-IP-Workload zu F5 BIG-IP VE in der AWS-Cloud
Erstellt von Will Bauer (AWS)
Übersicht
Organizations möchten zur Amazon Web Services (AWS) Cloud migrieren, um ihre Agilität und Widerstandsfähigkeit zu erhöhen. Nachdem Sie Ihre F5 BIG-IP-Sicherheits
Dieses Muster beschreibt, wie ein F5 BIG-IP-Workload auf einen F5 BIG-IP Virtual Edition (VE) -Workload
Dieses Muster richtet sich an Techniker- und Architekturteams, die Sicherheits- und Verkehrsmanagementlösungen von F5 migrieren, und ist Teil des Leitfadens Migration von F5 BIG-IP zu F5 BIG-IP VE in der AWS-Cloud auf der AWS Prescriptive Guidance-Website.
Voraussetzungen und Einschränkungen
Voraussetzungen
Ein vorhandener lokaler F5 BIG-IP-Workload.
Bestehende F5-Lizenzen für BIG-IP VE-Versionen.
Ein aktives AWS-Konto.
Eine bestehende Virtual Private Cloud (VPC), die mit einem Ausgang über ein NAT-Gateway oder eine Elastic IP-Adresse konfiguriert und mit Zugriff auf die folgenden Endpunkte konfiguriert ist: Amazon Simple Storage Service (Amazon S3), Amazon Elastic Compute Cloud (Amazon EC2), AWS Security Token Service (AWS STS) und Amazon. CloudWatch Sie können auch die modulare und skalierbare VPC-Architektur
Quick Start als Baustein für Ihre Bereitstellungen ändern. Eine oder zwei bestehende Availability Zones, je nach Ihren Anforderungen.
Drei bestehende private Subnetze in jeder Availability Zone.
CloudFormation AWS-Vorlagen, verfügbar im GitHub F5-Repository
.
Während der Migration können Sie je nach Ihren Anforderungen auch Folgendes verwenden:
Eine F5 Cloud Failover Extension
zur Verwaltung der Elastic IP-Adresszuweisung, der sekundären IP-Zuordnung und der Änderungen an der Routentabelle. Wenn Sie mehrere Availability Zones verwenden, müssen Sie die F5 Cloud Failover Extensions verwenden, um die Elastic IP-Zuordnung zu virtuellen Servern zu verwalten.
Sie sollten erwägen, F5 Application Services 3 (AS3)
, F5 Application Services Templates (FAST) oder ein anderes Infrastructure-as-Code-Modell (IaC) zur Verwaltung der Konfigurationen zu verwenden. Die Vorbereitung der Konfigurationen in einem IaC-Modell und die Verwendung von Code-Repositorys helfen Ihnen bei der Migration und Ihren laufenden Verwaltungsbemühungen.
Fachwissen
Dieses Muster setzt voraus, dass Sie wissen, wie ein oder mehrere Rechenzentren mit vorhandenen Rechenzentren verbunden werden VPCs können. Weitere Informationen dazu finden Sie unter Network-to-Amazon VPC-Konnektivitätsoptionen in der Amazon VPC-Dokumentation.
Außerdem sind Kenntnisse der Produkte und Module von F5 erforderlich, darunter Traffic Management Operating System (TMOS)
, Local Traffic Manager (LTM) , Global Traffic Manager (GTM), Access Policy Manager (APM) , Application Security Manager (ASM) , Advanced Firewall Manager ( AFM) und BIG-IQ.
Produktversionen
Wir empfehlen, F5 BIG-IP Version 13.1
oder höher zu verwenden, obwohl das Muster F5 BIG-IP Version 12.1 oder höher unterstützt.
Architektur
Quelltechnologie-Stack
F5 BIG-IP-Arbeitslast
Zieltechnologie-Stack
Amazon CloudFront
Amazon CloudWatch
Amazon EC2
Amazon S3
Amazon VPC
AWS Global Accelerator
AWS STS
AWS Transit Gateway
F5 BIG-IP VE
Zielarchitektur
Tools
AWS CloudFormation hilft Ihnen dabei, AWS-Ressourcen einzurichten, sie schnell und konsistent bereitzustellen und sie während ihres gesamten Lebenszyklus über AWS-Konten und Regionen hinweg zu verwalten.
Amazon CloudFront beschleunigt die Verteilung Ihrer Webinhalte, indem es sie über ein weltweites Netzwerk von Rechenzentren bereitstellt, was die Latenz senkt und die Leistung verbessert.
Amazon CloudWatch hilft Ihnen dabei, die Metriken Ihrer AWS-Ressourcen und der Anwendungen, die Sie auf AWS ausführen, in Echtzeit zu überwachen.
Amazon Elastic Compute Cloud (Amazon EC2) bietet skalierbare Rechenkapazität in der AWS-Cloud. Sie können so viele virtuelle Server wie nötig nutzen und sie schnell nach oben oder unten skalieren.
AWS Identity and Access Management (IAM) hilft Ihnen dabei, den Zugriff auf Ihre AWS-Ressourcen sicher zu verwalten, indem kontrolliert wird, wer authentifiziert und autorisiert ist, diese zu verwenden.
Amazon Simple Storage Service (Amazon S3) ist ein cloudbasierter Objektspeicherservice, der Sie beim Speichern, Schützen und Abrufen beliebiger Datenmengen unterstützt.
AWS Security Token Service (AWS STS) hilft Ihnen dabei, temporäre Anmeldeinformationen mit eingeschränkten Rechten für Benutzer anzufordern.
AWS Transit Gateway ist ein zentraler Hub, der virtuelle private Clouds (VPCs) und lokale Netzwerke verbindet.
Amazon Virtual Private Cloud (Amazon VPC) hilft Ihnen, AWS-Ressourcen in einem von Ihnen definierten virtuellen Netzwerk zu starten. Dieses virtuelle Netzwerk ähnelt einem herkömmlichen Netzwerk, das Sie in Ihrem eigenen Rechenzentrum betreiben würden, mit den Vorteilen der skalierbaren Infrastruktur von AWS.
Epen
| Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
|---|---|---|
Beurteilen Sie die Leistung von F5 BIG-IP. | Erfassen und notieren Sie die Leistungskennzahlen der Anwendungen auf dem virtuellen Server sowie die Messwerte der Systeme, die migriert werden sollen. Dies hilft dabei, die AWS-Zielinfrastruktur für eine bessere Kostenoptimierung richtig zu dimensionieren. | F5 Architekt, Ingenieur und Netzwerkarchitekt, Ingenieur |
Evaluieren Sie das F5 BIG-IP-Betriebssystem und die Konfiguration. | Evaluieren Sie, welche Objekte migriert werden und ob eine Netzwerkstruktur beibehalten werden muss, z. B. VLANs | F5 Architekt, Ingenieur |
Evaluieren Sie die F5-Lizenzoptionen. | Prüfen Sie, welches Lizenz- und Nutzungsmodell Sie benötigen. Diese Bewertung sollte auf Ihrer Bewertung des F5 BIG-IP-Betriebssystems und der Konfiguration basieren. | F5 Architekt, Ingenieur |
Evaluieren Sie die öffentlichen Anwendungen. | Ermitteln Sie, für welche Anwendungen öffentliche IP-Adressen erforderlich sind. Ordnen Sie diese Anwendungen den erforderlichen Instanzen und Clustern zu, um die Leistungs- und SLA-Anforderungen (Service Level Agreement) zu erfüllen. | F5-Architekt, Cloud-Architekt, Netzwerkarchitekt, Ingenieur, Anwendungsteams |
Evaluieren Sie interne Anwendungen. | Evaluieren Sie, welche Anwendungen von internen Benutzern verwendet werden. Stellen Sie sicher, dass Sie wissen, wo sich diese internen Benutzer in der Organisation befinden und wie diese Umgebungen mit der AWS-Cloud verbunden sind. Sie sollten auch sicherstellen, dass diese Anwendungen das Domain Name System (DNS) als Teil der Standarddomain verwenden können. | F5-Architekt, Cloud-Architekt, Netzwerkarchitekt, Ingenieur, Anwendungsteams |
Finalisieren Sie das AMI. | Nicht alle F5 BIG-IP-Versionen werden als Amazon Machine Images () erstellt. AMIs Sie können das F5 BIG-IP Image Generator Tool verwenden, wenn Sie über spezielle QFE-Versionen (Quick-Fix Engineering) verfügen. Weitere Informationen zu diesem Tool finden Sie im Abschnitt „Verwandte Ressourcen“. | F5-Architekt, Cloud-Architekt, Ingenieur |
Finalisieren Sie die Instanztypen und die Architektur. | Entscheiden Sie sich für die Instance-Typen, die VPC-Architektur und die vernetzte Architektur. | F5-Architekt, Cloud-Architekt, Netzwerkarchitekt, Ingenieur |
| Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
|---|---|---|
Dokumentieren Sie die bestehenden F5-Sicherheitsrichtlinien. | Sammeln und dokumentieren Sie die vorhandenen F5-Sicherheitsrichtlinien. Stellen Sie sicher, dass Sie eine Kopie davon in einem sicheren Code-Repository erstellen. | F5 Architekt, Ingenieur |
Verschlüsseln Sie das AMI. | (Optional) Ihre Organisation benötigt möglicherweise die Verschlüsselung von Daten im Ruhezustand. Weitere Informationen zum Erstellen eines benutzerdefinierten BYOL-Images (Bring Your Own License) finden Sie im Abschnitt „Verwandte Ressourcen“. | F5-Architekt, Ingenieur, Cloud-Architekt, Ingenieur |
Härten Sie die Geräte aus. | Dies trägt zum Schutz vor potenziellen Sicherheitslücken bei. | F5 Architekt, Ingenieur |
| Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
|---|---|---|
Erstellen Sie Edge- und Sicherheitskonten. | Melden Sie sich bei der AWS-Managementkonsole an und erstellen Sie die AWS-Konten, die die Edge- und Sicherheitsservices bereitstellen und betreiben. Diese Konten können sich von den Konten unterscheiden, die VPCs für gemeinsame Dienste und Anwendungen verwendet werden. Dieser Schritt kann als Teil einer landing zone abgeschlossen werden. | Cloud-Architekt, Ingenieur |
Stellen Sie Edge und Sicherheit bereit VPCs. | Richten Sie die für die Bereitstellung von Edge- und Sicherheitsdiensten VPCs erforderlichen Dienste ein und konfigurieren Sie sie. | Cloud-Architekt, Ingenieur |
Connect zum Quellrechenzentrum her. | Connect zum Quellrechenzentrum her, das Ihren F5 BIG-IP-Workload hostet. | Cloud-Architekt, Netzwerkarchitekt, Ingenieur |
Stellen Sie die VPC-Verbindungen bereit. | Connect den Edge- und Sicherheitsdienst VPCs mit der Anwendung VPCs. | Netzwerkarchitekt, Ingenieur |
Stellen Sie die Instanzen bereit. | Stellen Sie die Instances mithilfe der CloudFormation AWS-Vorlagen aus dem Abschnitt „Verwandte Ressourcen“ bereit. | F5 Architekt, Ingenieur |
Testen und konfigurieren Sie den Instanz-Failover. | Stellen Sie sicher, dass die AWS Advanced HA iApp-Vorlage oder die F5 Cloud Failover Extension konfiguriert ist und ordnungsgemäß funktioniert. | F5 Architekt, Ingenieur |
| Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
|---|---|---|
Bereiten Sie die VPC-Topologie vor. | Öffnen Sie die Amazon VPC-Konsole und stellen Sie sicher, dass Ihre VPC über alle erforderlichen Subnetze und Schutzmaßnahmen für die F5 BIG-IP VE-Bereitstellung verfügt. | Netzwerkarchitekt, F5-Architekt, Cloud-Architekt, Ingenieur |
Bereiten Sie Ihre VPC-Endpoints vor. | Bereiten Sie die VPC-Endpunkte für Amazon EC2, Amazon S3 und AWS STS vor, falls ein F5 BIG-IP-Workload keinen Zugriff auf ein NAT-Gateway oder eine Elastic IP-Adresse auf einer TMM-Schnittstelle hat. | Cloud-Architekt, Ingenieur |
| Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
|---|---|---|
Migrieren Sie die Konfiguration. | Migrieren Sie die F5 BIG-IP-Konfiguration auf F5 BIG-IP VE in der AWS-Cloud. | F5 Architekt, Ingenieur |
Ordnen Sie die Sekundarstufe IPs zu. | Die IP-Adressen virtueller Server stehen in einer Beziehung zu den sekundären IP-Adressen, die den Instanzen zugewiesen sind. Weisen Sie sekundäre IP-Adressen zu und stellen Sie sicher, dass „Neuzuordnung/Neuzuweisung zulassen“ ausgewählt ist. | F5 Architekt, Ingenieur |
| Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
|---|---|---|
Überprüfen Sie die virtuellen Serverkonfigurationen. | Testen Sie die virtuellen Server. | F5-Architekt, Anwendungsteams |
| Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
|---|---|---|
Erstellen Sie die Backup-Strategie. | Die Systeme müssen heruntergefahren werden, um einen vollständigen Snapshot zu erstellen. Weitere Informationen finden Sie unter „Aktualisierung einer virtuellen F5 BIG-IP-Maschine“ im Abschnitt „Verwandte Ressourcen“. | F5-Architekt, Cloud-Architekt, Ingenieur |
Erstellen Sie das Cluster-Failover-Runbook. | Stellen Sie sicher, dass der Failover-Runbook-Vorgang abgeschlossen ist. | F5 Architekt, Ingenieur |
Richten Sie die Protokollierung ein und validieren Sie sie. | Konfigurieren Sie das F5-Telemetrie-Streaming so, dass Protokolle an die erforderlichen Ziele gesendet werden. | F5 Architekt, Ingenieur |
| Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
|---|---|---|
Gehen Sie zur neuen Bereitstellung über. | F5-Architekt, Cloud-Architekt, Netzwerkarchitekt, Ingenieur, AppTeams |
Zugehörige Ressourcen
Leitfaden zur Migration
F5-Ressourcen
