如何通過F5分布式云快速在亞馬遜云科技環(huán)境構(gòu)建Edge Security Edition（上）

亞馬遜云科技VPC站點部署類型

可以以三種不同的模式部署站點：

1 Ingress Gateway（一個接口）

在這種部署模式下，站點連接到單個VPC和單個子網(wǎng)。它可以提供從該子網(wǎng)到客戶租戶中配置的任何其他站點可訪問的服務(wù)和端點的發(fā)現(xiàn)。

2 Ingress/Egress Gateway（兩個接口）

在這種部署模式下，站點連接到一個VPC，在不同的子網(wǎng)上至少有兩個接口。一個子網(wǎng)標記為Outside，另一個子網(wǎng)標記為Inside。在這種模式下，站點通過Site Inside接口通過默認網(wǎng)關(guān)為VM和子網(wǎng)提供安全性和連接性。

3 F5分布式云應(yīng)用堆棧集群（App Stack）（一個接口）

本站點的F5分布式云網(wǎng)格（Mesh）部署和配置與Ingress Gateway（一個接口）相同。此部署的不同之處在于認證硬件類型為aws-byol-voltstack-combo.這將配置和部署一個實例類型，允許站點擁有Kubernetes Pod和使用Virtual K8s部署的VM。

Virtual K8s：https://docs.cloud.f5.com/docs/how-to/app-management/vk8s-deployment

入口網(wǎng)關(guān)（一個接口）

在這種部署模式下，F(xiàn)5?分布式云網(wǎng)格（Mesh）需要附加一個接口。在節(jié)點上運行的服務(wù)使用此接口連接到Internet。此外，此接口用于發(fā)現(xiàn)其他服務(wù)和虛擬機，并將它們公開給同一租戶中的其他站點。例如，在下圖中，可以通過反向代理遠程發(fā)現(xiàn)和公開DevOps或Dev EC2實例上的TCP或HTTP服務(wù)。

如下圖所示，該接口位于與默認路由指向互聯(lián)網(wǎng)網(wǎng)關(guān)的VPC主路由表關(guān)聯(lián)的外部子網(wǎng)上。這就是來自外部接口的流量以及與此路由表對象關(guān)聯(lián)的其他子網(wǎng)如何到達互聯(lián)網(wǎng)的方式。對于其他子網(wǎng)（例如，Dev和DevOps），它們與VPC主路由表相關(guān)聯(lián)。這意味著此VPC中任何新創(chuàng)建的子網(wǎng)都會自動與此路由表關(guān)聯(lián)。

圖：亞馬遜云科技VPC站點部署-入口網(wǎng)關(guān)（一個接口）

入口/出口網(wǎng)關(guān)（兩個接口）

在此部署場景中，Mesh節(jié)點需要連接兩個接口。第一個接口是外部接口，節(jié)點上運行的服務(wù)可以通過該接口連接到互聯(lián)網(wǎng)。第二個接口是內(nèi)部接口，它將成為私有子網(wǎng)中所有應(yīng)用工作負載和服務(wù)的默認網(wǎng)關(guān)IP地址。

如下圖所示，外部接口位于外部子網(wǎng)，與外部子網(wǎng)路由表相關(guān)聯(lián)，其默認路由指向互聯(lián)網(wǎng)網(wǎng)關(guān)。這就是來自外部接口的流量如何到達互聯(lián)網(wǎng)的方式。對于內(nèi)部子網(wǎng)，這些與內(nèi)部子網(wǎng)路由表相關(guān)聯(lián)，該路由表也是此VPC的主路由表。這意味著此VPC中任何新創(chuàng)建的子網(wǎng)都會自動與內(nèi)部子網(wǎng)路由表關(guān)聯(lián)。這個私有子網(wǎng)路由表有一個默認路由指向Mesh節(jié)點的內(nèi)部IP地址（192.168.32.186）。

一但Mesh站點上線，節(jié)點的內(nèi)部網(wǎng)絡(luò)將通過外部接口上啟用的轉(zhuǎn)發(fā)代理和SNAT連接到外部網(wǎng)絡(luò)。這樣，來自內(nèi)部接口的所有流量都將通過轉(zhuǎn)發(fā)代理轉(zhuǎn)發(fā)到Internet，并且SNAT發(fā)生在外部接口上。現(xiàn)在私有子網(wǎng)上的所有工作負載都可以通過Mesh站點到達Internet。

APP Stack集群（一個接口）

就站點網(wǎng)絡(luò)和轉(zhuǎn)發(fā)/安全的配置方式而言，此方案與Ingress Gateway（一個接口）相同。除此之外，還提供了App Stack（分布式應(yīng)用管理平臺）。

在這種部署場景中，Mesh需要附加一個接口。在節(jié)點上運行的服務(wù)使用此接口連接到Internet。此外，此接口用于發(fā)現(xiàn)其他服務(wù)和虛擬機，并將它們公開給同一租戶中的其他站點。例如，在下圖中，可以通過反向代理遠程發(fā)現(xiàn)和公開DevOps或Dev EC2實例上的TCP或HTTP服務(wù)。

如果在vK8s集群中進行配置，則可以將應(yīng)用部署到該站點的App Stack產(chǎn)品中。站點的App Stack的服務(wù)/pods可以暴露給VPC路由表上的其他服務(wù)和虛擬機；或通過EIP（公網(wǎng)IP）或應(yīng)用交付網(wǎng)絡(luò)（ADN）在外部提供。

如下圖所示，該接口位于與默認路由指向互聯(lián)網(wǎng)網(wǎng)關(guān)的VPC主路由表關(guān)聯(lián)的外部子網(wǎng)上。這就是來自外部接口的流量以及與此路由表對象關(guān)聯(lián)的其他子網(wǎng)如何到達Internet。對于其他子網(wǎng)（例如，Dev和DevOps），它們與VPC主路由表相關(guān)聯(lián)。這意味著此VPC中任何新創(chuàng)建的子網(wǎng)都會自動與此路由表關(guān)聯(lián)。

先決條件

以下先決條件必須滿足：

·F5分布式云服務(wù)帳戶。如果您沒有帳戶，請聯(lián)系F5銷售。

·每個節(jié)點所需的資源：至少4個vCPU和14 GB RAM。

·附加現(xiàn)有VPC時，不應(yīng)存在預(yù)先存在的站點本地外部、站點本地內(nèi)部和工作負載子網(wǎng)關(guān)聯(lián)。

·如果Internet網(wǎng)關(guān)（IGW）與VPC連接，則至少有一個路由應(yīng)指向VPC的任何路由表中的IGW。

亞馬遜網(wǎng)絡(luò)服務(wù)（AWS）賬戶。有關(guān)部署AWS VPC站點所需的權(quán)限，參見如下：