Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Migre una carga de trabajo de F5 BIG-IP a F5 BIG-IP VE en el Nube de AWS
Suresh Veeragoni y Deepak Kumar, Amazon Web Services
Resumen
Las organizaciones buscan migrar a la Nube de AWS para aumentar su agilidad y resiliencia. Tras migrar sus soluciones de seguridad y gestión del tráfico BIG-IP de F5
Este patrón describe cómo migrar una carga de trabajo de F5 BIG-IP a una carga de trabajo de F5 BIG-IP
Este patrón está dirigido a los equipos de ingeniería técnica y arquitectura que están migrando las soluciones de seguridad y gestión del tráfico de F5, y se incluye en la guía Migración de F5 BIG-IP a F5 BIG-IP VE que se encuentra en el sitio web de la Guía prescriptiva. Nube de AWS AWS
Requisitos previos y limitaciones
Requisitos previos
Una carga de trabajo de F5 BIG-IP existente en las instalaciones.
Licencias de F5 existentes para las versiones de BIG-IP VE.
Un activo. Cuenta de AWS
Una nube privada virtual (VPC) existente configurada con una salida a través de una puerta de enlace NAT o una dirección IP elástica y configurada con acceso a los siguientes puntos de enlace: Amazon Simple Storage Service (Amazon S3), Amazon Elastic Compute Cloud (Amazon), () y EC2 Amazon AWS Security Token Service .AWS STS CloudWatch También puede modificar el inicio rápido de Arquitectura de VPC modular y escalable
como base de sus implementaciones. Una o dos zonas de disponibilidad existentes, según sus necesidades.
Tres subredes privadas existentes en cada zona de disponibilidad.
AWS CloudFormation plantillas, disponibles en
el repositorio de F5. GitHub
Durante la migración, si lo necesita, puede que también deba usar:
Una extensión de conmutación por error de F5 Cloud
para gestionar el mapeo elástico de direcciones IP, el mapeo de IP secundaria y los cambios en la tabla de enrutamiento. Si cuenta con varias zonas de disponibilidad, necesitará usar las extensiones de conmutación por error de F5 Cloud para gestionar la asignación de IP elástica a los servidores virtuales.
Debería considerar la posibilidad de utilizar F5 Application Services 3 (AS3)
, F5 Application Services Templates (FAST) u otro modelo de infraestructura como código (IaC) para gestionar las configuraciones. La preparación de las configuraciones en un modelo IaC y el uso de repositorios de código le ayudarán en la migración y en las labores de gestión continuada.
Experiencia
Este patrón requiere estar familiarizado con la forma en que se VPCs pueden conectar uno o más a los centros de datos existentes. Para obtener más información al respecto, consulte las opciones de conectividad de la Network-to-Amazon VPC en la documentación de Amazon VPC.
También es necesaria cierta familiaridad con los productos y módulos de F5, como Traffic Management Operating System (TMOS)
, Local Traffic Manager (LTM) , Global Traffic Manager (GTM) , Access Policy Manager (APM) , Application Security Manager (ASM) , Advanced Firewall Manager (AFM) y BIG-IQ .
Versiones de producto
Le recomendamos que use F5 BIG-IP versión 13.1
o posterior, aunque el patrón es compatible con F5 BIG-IP versión 12.1 o posterior.
Arquitectura
Pila de tecnología de origen
Carga de trabajo de F5 BIG-IP
Pila de tecnología de destino
Amazon CloudFront
CloudWatch
Amazon EC2
Amazon S3
Amazon VPC
AWS Global Accelerator
AWS STS
AWS Transit Gateway
F5 BIG-IP VE
Arquitectura de destino
Herramientas
AWS CloudFormationle ayuda a configurar AWS los recursos, aprovisionarlos de forma rápida y coherente y gestionarlos a lo largo de su ciclo de vida en todo el mundo. Cuentas de AWS Regiones de AWS
Amazon CloudFront acelera la distribución de tu contenido web al distribuirlo a través de una red mundial de centros de datos, lo que reduce la latencia y mejora el rendimiento.
Amazon le CloudWatch ayuda a supervisar las métricas de sus AWS recursos y las aplicaciones en las que se ejecuta AWS en tiempo real.
Amazon Elastic Compute Cloud (Amazon EC2) proporciona una capacidad informática escalable en el Nube de AWS Puede lanzar tantos servidores virtuales como necesite y escalarlos rápidamente hacia arriba o hacia abajo.
AWS Identity and Access Management (IAM) le ayuda a administrar de forma segura el acceso a sus AWS recursos al controlar quién está autenticado y autorizado a usarlos.
Amazon Simple Storage Service (Amazon S3) es un servicio de almacenamiento de objetos basado en la nube que le ayuda a almacenar, proteger y recuperar cualquier cantidad de datos.
AWS Security Token Service (AWS STS) le ayuda a solicitar credenciales temporales con privilegios limitados para los usuarios.
AWS Transit Gatewayes un centro central que conecta las nubes privadas virtuales (VPCs) y las redes locales.
Amazon Virtual Private Cloud (Amazon VPC) le ayuda a lanzar AWS recursos en una red virtual que haya definido. Esa red virtual es similar a la red tradicional que utiliza en su propio centro de datos, con los beneficios de usar la infraestructura escalable de AWS.
Epics
| Tarea | Descripción | Habilidades requeridas |
|---|---|---|
Evalúe el rendimiento de F5 BIG-IP. | Recopile y registre las métricas de rendimiento de las aplicaciones del servidor virtual, así como las métricas de los sistemas que se migrarán. Esto le ayudará a dimensionar correctamente la AWS infraestructura de destino para una mejor optimización de los costos. | Arquitecto de F5, ingeniero y arquitecto de redes, ingeniero |
Evalúe el sistema operativo y la configuración de F5 BIG-IP. | Evalúe qué objetos se migrarán y si es necesario mantener una estructura de red, por ejemplo VLANs. | Arquitecto de F5, ingeniero |
Evalúe las opciones de licencia de F5. | Evalúe qué licencia y modelo de consumo necesitará. Esta valoración debe basarse en su evaluación del sistema operativo y la configuración de F5 BIG-IP. | Arquitecto de F5, ingeniero |
Evalúe las aplicaciones públicas. | Determine qué aplicaciones requerirán direcciones IP públicas. Alinee dichas aplicaciones con las instancias y los clústeres necesarios para cumplir con sus necesidades de rendimiento y acuerdo de nivel de servicio (SLA). | Arquitecto de F5, arquitecto de la nube, arquitecto de redes, ingeniero, equipos de aplicación |
Evalúe las aplicaciones internas. | Evalúe qué aplicaciones necesitarán los usuarios internos. Asegúrese de saber dónde se encuentran esos usuarios internos en la organización y cómo se conectan esos entornos a ella Nube de AWS. También debe garantizar que esas aplicaciones puedan usar el sistema de nombres de dominio (DNS) como parte del dominio predeterminado. | Arquitecto de F5, arquitecto de la nube, arquitecto de redes, ingeniero, equipos de aplicación |
Finalice la AMI. | No todas las versiones de F5 BIG-IP se crean como Amazon Machine Images (). AMIs Puede usar la herramienta generadora de imágenes de F5 BIG-IP si necesita versiones específicas de ingeniería de reparación rápida (QFE). Para obtener más información sobre esta herramienta, consulte la sección «Recursos relacionados». | Arquitecto de F5, arquitecto de la nube, ingeniero |
Finalice los tipos de instancia y la arquitectura. | Decida los tipos de instancias, la arquitectura de VPC y la arquitectura interconectada. | Arquitecto de F5, arquitecto de la nube, arquitecto de redes, ingeniero |
| Tarea | Descripción | Habilidades requeridas |
|---|---|---|
Documente las políticas de seguridad de F5 existentes. | Recopile y documente las políticas de seguridad existentes de F5. Asegúrese de crear una copia de las mismas en un repositorio de código seguro. | Arquitecto de F5, ingeniero |
Cifre la AMI. | (Opcional) Es posible que su organización requiera el cifrado de los datos en reposo. Para obtener más información acerca de cómo crear una imagen personalizada de tipo traiga su propia licencia (BYOL), consulte la sección “Recursos relacionados”. | Arquitecto de F5, ingeniero y arquitecto de redes, ingeniero |
Refuerce los dispositivos. | Esto ayudará a protegerlos contra posibles vulnerabilidades. | Arquitecto de F5, ingeniero |
| Tarea | Descripción | Habilidades requeridas |
|---|---|---|
Cree cuentas periféricas y de seguridad. | Inicie sesión en AWS Management Console y cree el Cuentas de AWS que proporcionará y operará los servicios perimetrales y de seguridad. Estas cuentas pueden ser diferentes de las cuentas que funcionan VPCs para aplicaciones y servicios compartidos. Este paso se puede completar como parte de una zona de aterrizaje. | Arquitecto de la nube, ingeniero |
Implemente periferia y seguridad VPCs. | Instale y configure lo VPCs necesario para ofrecer servicios perimetrales y de seguridad. | Arquitecto de la nube, ingeniero |
Conectar al centro de datos de origen. | Conéctese al centro de datos de origen que aloja su carga de trabajo de F5 BIG-IP. | Arquitecto de la nube, arquitecto de redes, ingeniero |
Implemente las conexiones de VPC. | Conecte el servicio perimetral y de seguridad VPCs a la aplicación VPCs. | Arquitecto de redes, ingeniero |
Implemente las instancias. | Implemente las instancias mediante las CloudFormation plantillas de la sección «Recursos relacionados». | Arquitecto de F5, ingeniero |
Pruebe y configure la conmutación por error de la instancia. | Asegúrese de que la plantilla AWS avanzada de alta disponibilidad para iApp o la extensión F5 Cloud Failover estén configuradas y funcionen correctamente. | Arquitecto de F5, ingeniero |
| Tarea | Descripción | Habilidades requeridas |
|---|---|---|
Prepare la topología de la VPC. | Abra la consola de Amazon VPC y asegúrese de que su VPC cuenta con todas las subredes y protecciones necesarias para la implementación de F5 BIG-IP VE. | Arquitecto de redes, arquitecto de F5, arquitecto de la nube, ingeniero |
Prepare sus puntos de conexión de VPC. | Prepare los puntos de enlace de la VPC para Amazon, Amazon EC2 S3 y, AWS STS si una carga de trabajo de F5 BIG-IP no tiene acceso a una puerta de enlace NAT o a una dirección IP elástica en una interfaz TMM. | Arquitecto de la nube, ingeniero |
| Tarea | Descripción | Habilidades requeridas |
|---|---|---|
Migre la configuración. | Migre la configuración de F5 BIG-IP a F5 BIG-IP VE en el. Nube de AWS | Arquitecto de F5, ingeniero |
IPsAsocie el secundario. | Las direcciones IP de los servidores virtuales tienen relación con las direcciones IP secundarias asignadas a las instancias. Asigne direcciones IP secundarias y asegúrese de que esté seleccionada la opción «Permitir remapeo o reasignación». | Arquitecto de F5, ingeniero |
| Tarea | Descripción | Habilidades requeridas |
|---|---|---|
Valide las configuraciones del servidor virtual. | Pruebe los servidores virtuales. | Arquitecto de F5, equipos de aplicación |
| Tarea | Descripción | Habilidades requeridas |
|---|---|---|
Cree la estrategia de copia de seguridad. | Los sistemas deben estar apagados para crear una instantánea completa. Para obtener más información, consulte «Actualización de una máquina virtual BIG-IP de F5» en la sección «Recursos relacionados». | Arquitecto de F5, arquitecto de la nube, ingeniero |
Cree el manual de procedimientos de conmutación por error del clúster. | Asegúrese de que el proceso del manual de procedimientos de conmutación por error esté completo. | Arquitecto de F5, ingeniero |
Configure y valide el registro. | Configure la transmisión por telemetría de F5 para enviar los registros a los destinos requeridos. | Arquitecto de F5, ingeniero |
| Tarea | Descripción | Habilidades requeridas |
|---|---|---|
Transicione a la nueva implementación. | Arquitecto de F5, arquitecto de nube, arquitecto de redes, ingeniero, AppTeams |
Recursos relacionados
Guía de migración
Recursos de F5
AWS CloudFormation plantillas en el GitHub repositorio de F5
Ejemplo de inicio rápido: BIG-IP Virtual Edition con WAF (LTM + ASM)
Información general sobre AWS los servicios de aplicaciones de F5 (vídeo)
Guía del usuario para la extensión Application Services 3 de F5
Descripción general de los archivos de configuración individuales (11.x - 15.x) de F5
Descripción general de la opción de «migración de plataforma» de UCS archive
