Configurar manualmente servidores virtuales de F5 BIG-IP para el balanceo de carga manual

En este tutorial se muestra cómo configurar F5 BIG-IP cuando se integra con Google Distributed Cloud mediante el modo de balanceo de carga manual en Google Distributed Cloud.

La plataforma F5 BIG-IP ofrece varios servicios para ayudarte a mejorar la seguridad, la disponibilidad y el rendimiento de tus aplicaciones. Estos servicios incluyen balanceo de carga de nivel 7, cortafuegos de red, cortafuegos de aplicación web (WAF) y servicios de DNS, entre otros. En Google Distributed Cloud, BIG-IP proporciona acceso externo y servicios de balanceo de carga de las capas 3 y 4.

Configuración adicional

Una vez que se haya completado la utilidad de configuración, debes crear una partición administrativa para cada clúster de usuarios que quieras exponer y al que quieras acceder.

Al principio, define una partición para el primer clúster de usuarios. No utilices particiones de clúster para ningún otro fin. Cada clúster debe tener una partición que sea de uso exclusivo de ese clúster.

Configurar BIG-IP para los endpoints externos de Google Distributed Cloud

Si no has inhabilitado el acceso agrupado, debes configurar BIG-IP con los servidores virtuales (VIPs) correspondientes a los siguientes endpoints de Google Distributed Cloud:

• Partición de usuario

  • IP virtual del controlador de entradas del clúster de usuarios (puerto expuesto: 443)
  • IP virtual del controlador de entradas del clúster de usuarios (puerto expuesto: 80)

Crear objeto de nodo

Las direcciones IP externas de los nodos del clúster se usan a su vez para configurar objetos de nodo en el sistema BIG-IP. Crearás un objeto de nodo para cada nodo de clúster de Google Distributed Cloud. Los nodos se añaden a los grupos de backend, que se asocian a servidores virtuales.

1. Para iniciar sesión en la consola de gestión de BIG-IP, ve a la dirección IP. La dirección se proporciona durante la instalación.
2. Haz clic en la partición de usuario que hayas creado anteriormente.
3. Vaya a Tráfico local > Nodos > Lista de nodos.
4. Haz clic en Crear.

5. Introduce un nombre y una dirección IP para cada host del clúster y haz clic en Finalizar.

   

Crear grupos de backend

Crea un grupo de backend para cada puerto de nodo.

1. En la consola de gestión de BIG-IP, haz clic en User partition (Partición de usuario) de la partición de usuario que hayas creado anteriormente.
2. Vaya a Tráfico local > Grupos > Lista de grupos.
3. Haz clic en Crear.
4. En la lista desplegable Configuración, haz clic en Avanzada.
5. En el campo Name (Nombre), introduce Istio-80-pool.
6. Para verificar la accesibilidad de los miembros del grupo, en Monitor de estado, haga clic en tcp. Opcional: Como se trata de una configuración manual, también puedes aprovechar los monitores avanzados que sean más adecuados para tu implementación.

7. En Acción si el servicio no funciona, haz clic en Rechazar.

8. En este tutorial, en la lista desplegable Método de balanceo de carga, haz clic en Round Robin.

9. En la sección Nuevos miembros, haz clic en Lista de nodos y, a continuación, selecciona el nodo que has creado anteriormente.

10. En el campo Service Port (Puerto de servicio), introduce el nodePort adecuado del archivo de configuración o spec.ports[?].nodePort en el servicio de Kubernetes de entrada de Istio de tiempo de ejecución (nombre: istio-ingress, espacio de nombres: gke-system).

11. Haz clic en Añadir.

12. Repite los pasos 8 y 9 y añade cada instancia de nodo de clúster.

    

13. Haz clic en Finalizar.

14. Repite todos los pasos de esta sección para los nodePorts del clúster de usuario restantes.

Crear servidores virtuales

Crea un total de dos servidores virtuales en BIG-IP para el primer clúster de usuarios. Los servidores virtuales corresponden a las combinaciones de "VIP + puerto".

1. En la consola de gestión de BIG-IP, haz clic en la partición de usuario que hayas creado anteriormente.
2. Vaya a Tráfico local > Servidores virtuales > Lista de servidores virtuales.
3. Haz clic en Crear.
4. En el campo Name (Nombre), introduce istio-ingress-80.

5. En el campo Dirección/máscara de destino, introduce la dirección IP de la IP virtual. En este tutorial, usa el VIP de entrada HTTP en configuration file o spec.loadBalancerIP en el servicio de Kubernetes de entrada de Istio de tiempo de ejecución (nombre: istio-ingress, espacio de nombres: gke-system).

6. En el campo Puerto de servicio, introduce el puerto de escucha adecuado para la IP virtual. En este tutorial, usa el puerto 80 o spec.ports[?].port en el servicio de Kubernetes de entrada de Istio de tiempo de ejecución (nombre: istio-ingress, espacio de nombres: gke-system).

   

   Hay varias opciones de configuración para mejorar el endpoint de tu aplicación, como asociar perfiles específicos de protocolos, perfiles de certificados y políticas de WAF.

7. En Traducción de dirección de origen, haga clic en Asignación automática.

8. En Grupo predeterminado, selecciona el grupo adecuado que hayas creado anteriormente.

9. Haz clic en Finalizar.

10. Crea y descarga un archivo de la configuración actual.

Siguientes pasos

• Para mejorar aún más la seguridad y el rendimiento de los VIPs orientados al exterior, ten en cuenta lo siguiente:

  • F5 Advanced WAF
  • Gestor de políticas de acceso (APM) de F5
  • Almacenamiento en caché y compresión
  • Monitorización del estado
  • Gestión inteligente del tráfico de aplicaciones

• Consulta más información sobre los servicios de aplicaciones BIG-IP de F5.

• Consulta más información sobre las configuraciones y las funciones de BIG-IP:

  • Perfiles de certificado
  • Políticas de WAF