Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Migrer une charge de travail F5 BIG-IP vers F5 BIG-IP VE sur le cloud AWS
Créée par Will Bauer (AWS)
Source : F5 BIG-IP TMOS 13.1 et versions ultérieures | Cible : F5 BIG-IP VE sur AWS | Type R : Rehost |
Environnement : Production | Technologies : migration ; sécurité, identité, conformité ; mise en réseau | Charge de travail : toutes les autres charges de travail |
Services AWS : Amazon EC2 ; Amazon VPC ; AWS Transit Gateway ; Amazon ; CloudFront Amazon ; AWS Global CloudWatch Accelerator ; AWS CloudFormation |
Récapitulatif
Organisations cherchent à migrer vers le cloud Amazon Web Services (AWS) afin d'accroître leur agilité et leur résilience. Après avoir migré vos solutions de sécurité et de gestion du trafic F5 BIG-IP
Ce modèle décrit comment migrer une charge de travail F5 BIG-IP vers une charge de travail F5 BIG-IP Virtual Edition (VE)
Ce modèle est destiné aux équipes d'ingénierie technique et d'architecture qui migrent des solutions de sécurité et de gestion du trafic F5, et accompagne le guide Migration de F5 BIG-IP vers F5 BIG-IP VE sur le cloud AWS sur le site Web AWS Prescriptive Guidance.
Conditions préalables et limitations
Prérequis
Charge de travail F5 BIG-IP existante sur site.
Licences F5 existantes pour les versions BIG-IP VE.
Un compte AWS actif.
Cloud privé virtuel (VPC) existant configuré avec une sortie via une passerelle NAT ou une adresse IP élastique, et configuré avec accès aux points de terminaison suivants : Amazon Simple Storage Service (Amazon S3), Amazon Elastic Compute Cloud (Amazon EC2), AWS Security Token Service (AWS STS) et Amazon. CloudWatch Vous pouvez également modifier l'architecture VPC modulaire et évolutive
Quick Start comme élément de base de vos déploiements. Une ou deux zones de disponibilité existantes, selon vos besoins.
Trois sous-réseaux privés existants dans chaque zone de disponibilité.
CloudFormation Modèles AWS, disponibles dans le GitHub référentiel F5.
Au cours de la migration, vous pouvez également utiliser les éléments suivants, en fonction de vos besoins :
Une extension F5 Cloud Failover
pour gérer le mappage des adresses IP élastiques, le mappage des adresses IP secondaires et les modifications des tables de routage. Si vous utilisez plusieurs zones de disponibilité, vous devrez utiliser les extensions F5 Cloud Failover pour gérer le mappage IP élastique vers les serveurs virtuels.
Vous devriez envisager d'utiliser F5 Application Services 3 (AS3)
, F5 Application Services Templates (FAST) ou un autre modèle d'infrastructure en tant que code (IaC) pour gérer les configurations. La préparation des configurations dans un modèle IaC et l'utilisation de référentiels de code faciliteront la migration et vos efforts de gestion continus.
Expertise
Ce modèle nécessite de connaître la manière dont un ou plusieurs VPC peuvent être connectés aux centres de données existants. Pour plus d'informations à ce sujet, consultez les options de connectivité entre le réseau et Amazon VPC dans la documentation Amazon VPC.
Il est également nécessaire de connaître les produits et modules F5, notamment le système d'exploitation de gestion du trafic (TMOS), le gestionnaire de trafic local (LTM)
, le gestionnaire de trafic mondial (GTM) , le gestionnaire de politiques d'accès (APM) , le gestionnaire de sécurité des applications (ASM) , le gestionnaire de pare-feu avancé (AFM) et le BIG-IQ .
Versions du produit
Architecture
Pile technologique source
Charge de travail F5 BIG-IP
Pile technologique cible
Amazon CloudFront
Amazon CloudWatch
Amazon EC2
Amazon S3
Amazon VPC
AWS Global Accelerator
AWS STS
AWS Transit Gateway
V5 À GRANDE OUVERTURE
Architecture cible
Outils
AWS vous CloudFormation aide à configurer les ressources AWS, à les approvisionner rapidement et de manière cohérente, et à les gérer tout au long de leur cycle de vie sur l'ensemble des comptes et des régions AWS.
Amazon CloudFront accélère la diffusion de votre contenu Web en le diffusant via un réseau mondial de centres de données, ce qui réduit la latence et améliore les performances.
Amazon vous CloudWatch aide à surveiller les indicateurs de vos ressources AWS et des applications que vous exécutez sur AWS en temps réel.
Amazon Elastic Compute Cloud (Amazon EC2) fournit une capacité de calcul évolutive dans le cloud AWS. Vous pouvez lancer autant de serveurs virtuels que vous le souhaitez et les augmenter ou les diminuer rapidement.
AWS Identity and Access Management (IAM) vous aide à gérer en toute sécurité l'accès à vos ressources AWS en contrôlant qui est authentifié et autorisé à les utiliser.
Amazon Simple Storage Service (Amazon S3) est un service de stockage d'objets basé sur le cloud qui vous permet de stocker, de protéger et de récupérer n'importe quel volume de données.
AWS Security Token Service (AWS STS) vous aide à demander des informations d'identification temporaires à privilèges limités pour les utilisateurs.
AWS Transit Gateway est un hub central qui connecte les clouds privés virtuels (VPC) aux réseaux sur site.
Amazon Virtual Private Cloud (Amazon VPC) vous aide à lancer des ressources AWS dans un réseau virtuel que vous avez défini. Ce réseau virtuel ressemble à un réseau traditionnel que vous exploiteriez dans votre propre centre de données, avec les avantages liés à l'utilisation de l'infrastructure évolutive d'AWS.
Épopées
| Tâche | Description | Compétences requises |
|---|---|---|
Évaluez les performances du F5 BIG-IP. | Collectez et enregistrez les indicateurs de performance des applications sur le serveur virtuel, ainsi que les indicateurs des systèmes qui seront migrés. Cela permettra de dimensionner correctement l'infrastructure AWS cible pour une meilleure optimisation des coûts. | F5 Architecte, ingénieur et architecte réseau, ingénieur |
Évaluez le système d'exploitation et la configuration du F5 BIG-IP. | Évaluez quels objets seront migrés et si une structure réseau doit être maintenue, telle que les VLAN. | F5 Architecte, ingénieur |
Évaluez les options de licence F5. | Évaluez le modèle de licence et de consommation dont vous aurez besoin. Cette évaluation doit être basée sur votre évaluation du système d'exploitation et de la configuration du F5 BIG-IP. | F5 Architecte, ingénieur |
Évaluez les applications publiques. | Déterminez quelles applications nécessiteront des adresses IP publiques. Alignez ces applications sur les instances et les clusters requis pour répondre aux exigences de performance et d'accord de niveau de service (SLA). | Architecte F5, architecte cloud, architecte réseau, ingénieur, équipes d'applications |
Évaluez les candidatures internes. | Évaluez les applications qui seront utilisées par les utilisateurs internes. Assurez-vous de savoir où se situent ces utilisateurs internes dans l'organisation et comment ces environnements se connectent au cloud AWS. Vous devez également vous assurer que ces applications peuvent utiliser le système de noms de domaine (DNS) dans le cadre du domaine par défaut. | Architecte F5, architecte cloud, architecte réseau, ingénieur, équipes d'applications |
Finalisez l'AMI. | Toutes les versions de F5 BIG-IP ne sont pas créées sous forme d'Amazon Machine Images (AMI). Vous pouvez utiliser l'outil de génération d'images F5 BIG-IP si vous avez des versions spécifiques d'ingénierie de correction rapide (QFE) requises. Pour plus d'informations sur cet outil, consultez la section « Ressources associées ». | Architecte F5, architecte cloud, ingénieur |
Finalisez les types et l'architecture des instances. | Décidez des types d'instances, de l'architecture VPC et de l'architecture interconnectée. | Architecte F5, architecte cloud, architecte réseau, ingénieur |
| Tâche | Description | Compétences requises |
|---|---|---|
Documentez les politiques de sécurité F5 existantes. | Collectez et documentez les politiques de sécurité F5 existantes. Assurez-vous d'en créer une copie dans un référentiel de code sécurisé. | F5 Architecte, ingénieur |
Chiffrez l'AMI. | (Facultatif) Votre organisation peut avoir besoin de chiffrer les données au repos. Pour plus d'informations sur la création d'une image personnalisée Bring Your Own License (BYOL), consultez la section « Ressources associées ». | Architecte F5, ingénieur, architecte cloud, ingénieur |
Durcissez les appareils. | Cela aidera à vous protéger contre les vulnérabilités potentielles. | F5 Architecte, ingénieur |
| Tâche | Description | Compétences requises |
|---|---|---|
Créez des comptes Edge et Security. | Connectez-vous à l'AWS Management Console et créez les comptes AWS qui fourniront et géreront les services de périphérie et de sécurité. Ces comptes peuvent être différents des comptes qui exploitent des VPC pour des services et applications partagés. Cette étape peut être réalisée dans le cadre d'une zone d'atterrissage. | Architecte cloud, ingénieur |
Déployez des VPC de périphérie et de sécurité. | Configurez et configurez les VPC nécessaires pour fournir des services de périphérie et de sécurité. | Architecte cloud, ingénieur |
Connectez-vous au centre de données source. | Connectez-vous au centre de données source qui héberge votre charge de travail F5 BIG-IP. | Architecte cloud, architecte réseau, ingénieur |
Déployez les connexions VPC. | Connectez les VPC de périphérie et de service de sécurité aux VPC d'application. | Architecte réseau, ingénieur |
Déployez les instances. | Déployez les instances en utilisant les CloudFormation modèles AWS de la section « Ressources associées ». | F5 Architecte, ingénieur |
Testez et configurez le basculement de l'instance. | Assurez-vous que le modèle AWS Advanced HA iApp ou l'extension F5 Cloud Failover sont configurés et fonctionnent correctement. | F5 Architecte, ingénieur |
| Tâche | Description | Compétences requises |
|---|---|---|
Préparez la topologie VPC. | Ouvrez la console Amazon VPC et assurez-vous que votre VPC dispose de tous les sous-réseaux et protections requis pour le déploiement de F5 BIG-IP VE. | Architecte réseau, architecte F5, architecte cloud, ingénieur |
Préparez vos points de terminaison VPC. | Préparez les points de terminaison VPC pour Amazon EC2, Amazon S3 et AWS STS si une charge de travail F5 BIG-IP n'a pas accès à une passerelle NAT ou à une adresse IP élastique sur une interface TMM. | Architecte cloud, ingénieur |
| Tâche | Description | Compétences requises |
|---|---|---|
Migrez la configuration. | Migrez la configuration F5 BIG-IP vers F5 BIG-IP VE sur le cloud AWS. | F5 Architecte, ingénieur |
Associez les adresses IP secondaires. | Les adresses IP des serveurs virtuels ont une relation avec les adresses IP secondaires attribuées aux instances. Attribuez des adresses IP secondaires et assurez-vous que l'option « Autoriser le remappage/la réaffectation » est sélectionnée. | F5 Architecte, ingénieur |
| Tâche | Description | Compétences requises |
|---|---|---|
Validez les configurations du serveur virtuel. | Testez les serveurs virtuels. | Architecte F5, équipes d'applications |
| Tâche | Description | Compétences requises |
|---|---|---|
Créez la stratégie de sauvegarde. | Les systèmes doivent être arrêtés pour créer un instantané complet. Pour plus d'informations, consultez « Mettre à jour une machine virtuelle F5 BIG-IP » dans la section « Ressources associées ». | Architecte F5, architecte cloud, ingénieur |
Créez le runbook de basculement du cluster. | Assurez-vous que le processus d'exécution du failover est terminé. | F5 Architecte, ingénieur |
Configurez et validez la journalisation. | Configurez F5 Telemetry Streaming pour envoyer les journaux aux destinations requises. | F5 Architecte, ingénieur |
| Tâche | Description | Compétences requises |
|---|---|---|
Passons au nouveau déploiement. | Architecte F5, architecte cloud, architecte réseau, ingénieur, AppTeams |
Ressources connexes
Guide de migration
Ressources F5
