如何通過(guò)F5分布式云快速在亞馬遜云科技環(huán)境構(gòu)建Edge Security Edition（下）

創(chuàng)建一個(gè)亞馬遜云科技站點(diǎn)使用F5分布式云Console

亞馬遜云科技VPC站點(diǎn)對(duì)象創(chuàng)建和部署包括以下內(nèi)容：

創(chuàng)建亞馬遜云科技VPC站點(diǎn)對(duì)象

可以在多種服務(wù)中查看和管理站點(diǎn)：Cloud and Edge Sites、Distributed Apps和Load Balancers。

此示例顯示Sites在.AWSCloud and Edge Sites

第1步：登錄控制臺(tái)，開(kāi)始創(chuàng)建亞馬遜云科技VPC站點(diǎn)對(duì)象。

·打開(kāi)控制臺(tái)并單擊Cloud and Edge Sites。

注意：主頁(yè)是基于角色的，由于您的角色自定義，您的主頁(yè)可能看起來(lái)不同。選擇All Services下拉菜單以發(fā)現(xiàn)所有選項(xiàng)。自定義設(shè)置：Administration>Personal Management>My Account>Edit work domain&skills>Advanced框>復(fù)選框Work Domain>Save changes.

圖：控制臺(tái)主頁(yè)

注意：確認(rèn)Namespace功能在左上角的正確命名空間中。并非在所有服務(wù)中都可用。

單擊Manage>Site Management>亞馬遜云科技VPC Sites。

注意：如果選項(xiàng)未顯示可用，請(qǐng)選擇左下角的Show鏈接。Advanced nav options visible如果需要，選擇Hide從Advanced nav options模式中最小化選項(xiàng)。

單擊Add亞馬遜云科技VPC Site。

圖：站點(diǎn)管理亞馬遜云科技

輸入Name，輸入Labels和Description根據(jù)需要。

圖：亞馬遜云科技站點(diǎn)設(shè)置

第2步：配置VPC和站點(diǎn)設(shè)置

在該Site Type Selection部分中，執(zhí)行以下操作：

步驟2.1：設(shè)置區(qū)域并配置VPC

·亞馬遜云科技Region從下拉菜單中選擇一個(gè)區(qū)域。

·從VPC菜單中選擇一個(gè)選項(xiàng)：

New VPC Parameters：Autogenerate VPC Name默認(rèn)選擇該選項(xiàng)。

Existing VPC IDExisting VPC ID：在框中輸入現(xiàn)有的VPC ID。

注意：如果您使用的是現(xiàn)有VPC，請(qǐng)enable_dns_hostnames在現(xiàn)有VPC配置中啟用該框。

·在Primary IPv4 CIDR block字段中輸入CIDR。

圖：VPC和節(jié)點(diǎn)類(lèi)型配置

步驟2.2：設(shè)置節(jié)點(diǎn)配置。

從Select Ingress Gateway or Ingress/Egress Gateway菜單中選擇一個(gè)選項(xiàng)。

配置入口網(wǎng)關(guān)。

對(duì)于Ingress Gateway（One Interface）選項(xiàng)：

·單擊Configure。

·單擊Add Item。

·亞馬遜云科技AZ Name從菜單中選擇一個(gè)與配置相匹配的選項(xiàng)亞馬遜云科技Region。

·從菜單中選擇New Subnet或。Existing Subnet IDSubnet for local Interface。

·在中輸入子網(wǎng)地址IPv4 Subnet，或在中輸入子網(wǎng)ID Existing Subnet ID。

·確認(rèn)子網(wǎng)是上一步中設(shè)置的CIDR塊的一部分。

·切換部分并為負(fù)載均衡器配置VIP端口，Show Advanced Fields以Allowed VIP Port Configuration在多節(jié)點(diǎn)站點(diǎn)中的所有節(jié)點(diǎn)之間分配流量。

·從Select Which Ports will be Allowed菜單中選擇一個(gè)選項(xiàng)：

Allow HTTP Port：僅允許端口80。

Allow HTTPS Port：僅允許端口443。

Allow HTTP&HTTPS Port：僅允許端口80和443。默認(rèn)情況下已填充。

Ports Allowed on Public：允許指定自定義端口或端口范圍。在字段中輸入端口或端口范圍Ports Allowed on Public。

注意：默認(rèn)情況下亞馬遜云科技Certified Hardware設(shè)置為aws-byol-voltmesh。Add item您可以使用該選項(xiàng)添加多個(gè)節(jié)點(diǎn)。

配置入口/出口網(wǎng)關(guān)。

對(duì)于Ingress/Egress Gateway（Two Interface）選項(xiàng)：

·點(diǎn)擊Configure打開(kāi)雙接口節(jié)點(diǎn)配置。

·單擊Add Item。

·亞馬遜云科技AZ Name從菜單中選擇一個(gè)與配置相匹配的選項(xiàng)亞馬遜云科技Region。

·從Workload Subnet菜單中選擇一個(gè)選項(xiàng)：

New SubnetIPv4 Subnet：在字段中輸入子網(wǎng)。

Existing Subnet IDExisting Subnet ID：在字段中輸入子網(wǎng)。

注意：工作負(fù)載子網(wǎng)是托管應(yīng)用工作負(fù)載的網(wǎng)絡(luò)。為了成功路由到在工作負(fù)載子網(wǎng)中運(yùn)行的應(yīng)用，需要在相應(yīng)的站點(diǎn)對(duì)象上添加到工作負(fù)載子網(wǎng)CIDR的內(nèi)部靜態(tài)路由。

·從Subnet for Outside Interface菜單中選擇一個(gè)選項(xiàng)：

New SubnetIPv4 Subnet：在字段中輸入子網(wǎng)。

Existing Subnet IDExisting Subnet ID：在字段中輸入子網(wǎng)。

·單擊Add Item。

·在該Site Network Firewall部分中，可選擇Active Firewall Policies從Manage Firewall Policy菜單中進(jìn)行選擇。

·選擇現(xiàn)有的防火墻策略，或選擇Create new Firewall Policy創(chuàng)建并應(yīng)用防火墻策略。

·創(chuàng)建策略后，單擊Continue以應(yīng)用。

·從Manage Forward Proxy菜單中選擇一個(gè)選項(xiàng)：

Disable Forward Proxy

Enable Forward Proxy with Allow All Policy

Enable Forward Proxy and Manage Policies：選擇現(xiàn)有的轉(zhuǎn)發(fā)代理策略，或選擇Create new forward proxy policy創(chuàng)建并應(yīng)用轉(zhuǎn)發(fā)代理策略。

·創(chuàng)建策略后，單擊Apply。

圖：節(jié)點(diǎn)的網(wǎng)絡(luò)防火墻配置

·Show Advanced Fields在Advanced Options部分中啟用。

·Connect Global Networks從菜單中選擇Select Global Networks to Connect，然后執(zhí)行以下操作：

·單擊Add Item。

·從Select Network Connection Type菜單中選擇一個(gè)選項(xiàng)：

從Global Virtual Network菜單中選擇一個(gè)選項(xiàng)。

單擊Add Item。

從Select DC Cluster Group菜單中，選擇一個(gè)選項(xiàng)以將您的站點(diǎn)設(shè)置在DC集群組中：

Not a Member of DC Cluster Group：默認(rèn)選項(xiàng)。

·Member of DC Cluster Group via Outside Network：從菜單中選擇DC集群組Member of DC Cluster Group via Outside Network以使用外部網(wǎng)絡(luò)連接您的站點(diǎn)。

Member of DC Cluster Group via Inside Network：從菜單中選擇DC集群組Member of DC Cluster Group via Inside Network以使用內(nèi)部網(wǎng)絡(luò)連接您的站點(diǎn)。

Manage Static routes從Manage Static Routes for Inside Network菜單中選擇。點(diǎn)擊小節(jié)Add Item。List of Static Routes執(zhí)行以下步驟之一：

選擇Simple Static Route并在Simple Static Route字段中輸入靜態(tài)路由。

選擇Custom Static Route然后單擊Configure。執(zhí)行以下步驟：

在該Subnets部分中，單擊Add Item。Version從菜單中選擇IPv4或IPv6選項(xiàng)。輸入子網(wǎng)的前綴和前綴長(zhǎng)度。您可以使用該Add item選項(xiàng)設(shè)置更多子網(wǎng)。

在該部分中，從菜單Nexthop中選擇下一跳類(lèi)型。從小節(jié)的菜單中Type選擇IPv4或IPv6。輸入IP地址。從菜單中選擇一個(gè)選項(xiàng)。VersionAddressNetwork Interface

在該Static Route Labels部分中，選擇Add label并按照提示操作。

在該部分中，從菜單Attributes中選擇支持的屬性。Attributes您可以選擇多個(gè)選項(xiàng)。

單擊Apply。

·Manage Static routes從Manage Static Routes for Outside Network菜單中選擇。選擇Add Item。遵循管理Manage Static Routes for Outside Network菜單靜態(tài)路由的相同過(guò)程。

·設(shè)置Allowed VIP Port Configuration for Outside Network和Allowed VIP Port Configuration for Inside Network。這是負(fù)載均衡器在多節(jié)點(diǎn)站點(diǎn)中的所有節(jié)點(diǎn)之間分配流量所必需的。

·在該Allowed VIP Port Configuration for Outside Network部分中，執(zhí)行以下操作：

從Select Which Ports will be Allowed菜單中選擇一個(gè)選項(xiàng)：

Allow HTTP Port：僅允許端口80。

Allow HTTPS Port：僅允許端口443。

Allow HTTP&HTTPS Port：僅允許端口80和443。默認(rèn)情況下已填充。

Ports Allowed on Public：允許指定自定義端口或端口范圍。在字段中輸入端口或端口范圍Ports Allowed on Public。

·在本Allowed VIP Port Configuration for Inside Network節(jié)中，執(zhí)行與上述外部網(wǎng)絡(luò)相同的步驟。

·單擊Apply。

注意：默認(rèn)情況下亞馬遜云科技Certified Hardware設(shè)置為aws-byol-multi-nic-voltmesh。Add item您可以使用該選項(xiàng)添加多個(gè)節(jié)點(diǎn)。

應(yīng)用堆棧集群（一個(gè)接口）。

對(duì)于App stack Cluster（One Interface）選項(xiàng)：

·單擊Configure以打開(kāi)配置表單。

·在該App Stack Cluster（One Interface）Nodes in AZ部分中，單擊Add Item。執(zhí)行以下操作：

亞馬遜云科技AZ Name從菜單中選擇一個(gè)與配置相匹配的選項(xiàng)亞馬遜云科技Region。

從菜單中選擇New Subnet或。Existing Subnet IDSubnet for local Interface

在中輸入子網(wǎng)地址IPv4 Subnet或子網(wǎng)ID Existing Subnet ID。

單擊Add Item。

·在該Site Network Firewall部分：

可選擇Active Firewall Policies從Manage Firewall Policy菜單中選擇。選擇現(xiàn)有的防火墻策略，或選擇Create new Firewall Policy創(chuàng)建并應(yīng)用防火墻策略。

（可選）從菜單中選擇Enable Forward Proxy with Allow All Policy或。對(duì)于后一個(gè)選項(xiàng)，選擇現(xiàn)有的轉(zhuǎn)發(fā)代理策略，或選擇創(chuàng)建并應(yīng)用轉(zhuǎn)發(fā)代理策略。Enable Forward Proxy and Manage PoliciesManage Forward ProxyCreate new forward proxy policy

·在該Advanced Options部分中，啟用該Show Advanced Fields選項(xiàng)。

·Connect Global Networks從菜單中選擇Select Global Networks to Connect，然后執(zhí)行以下操作：

單擊Add Item。

從Select Network Connection Type菜單中選擇連接類(lèi)型。

從Global Virtual Network菜單中，從顯示的網(wǎng)絡(luò)列表中選擇一個(gè)全球網(wǎng)絡(luò)。

要?jiǎng)?chuàng)建新的全球網(wǎng)絡(luò)，請(qǐng)單擊Create new virtual network：Global Virtual Network

填寫(xiě)表格信息。

單擊Continue。

單擊Add Item。

Manage Static routes從Manage Static Routes for Site Local Network菜單中選擇。

單擊Add Item并執(zhí)行以下步驟之一：

從Static Route Config Mode菜單中選擇Simple Static Route。Simple Static Route在字段中輸入靜態(tài)路由。

從Static Route Config Mode菜單中選擇Custom Static Route。單擊Configure。執(zhí)行以下步驟：

在Subnets部分中，單擊Add Item。從菜單中選擇IPv4 Subnet或。IPv6 SubnetVersion

輸入子網(wǎng)的前綴和前綴長(zhǎng)度。

使用該Add Item選項(xiàng)設(shè)置更多子網(wǎng)。

在部分中，從菜單Nexthop中選擇下一個(gè)類(lèi)型Type

從菜單中選擇IPv4 Address或IPv6 AddressVersion

輸入IP地址。

從Network Interface菜單中，選擇一個(gè)網(wǎng)絡(luò)接口或選擇Create new network interface創(chuàng)建并應(yīng)用一個(gè)新的網(wǎng)絡(luò)接口。

在該部分中，從菜單Attributes中選擇支持的屬性。Attributes您可以選擇多個(gè)選項(xiàng)。

單擊Apply以添加自定義路由。

單擊Add Item。

單擊Apply。

·從Select DC Cluster Group菜單中，選擇一個(gè)選項(xiàng)以將您的站點(diǎn)設(shè)置在DC集群組中：

Not a Member：默認(rèn)選項(xiàng)。

Member of DC Cluster Group：從菜單中選擇DC集群組Member of DC Cluster Group以使用外部網(wǎng)絡(luò)連接您的站點(diǎn)。

·從Allowed VIP Port Configuration菜單中，為負(fù)載均衡器配置VIP端口，以在多節(jié)點(diǎn)站點(diǎn)中的所有節(jié)點(diǎn)之間分配流量。

·從Site Local K8s API access菜單中，選擇API訪問(wèn)選項(xiàng)。

注意：分布式云平臺(tái)支持托管K8s的變異和驗(yàn)證webhook?？梢栽贙8s配置中啟用Webhook支持（管理>管理K8s>K8s集群）。

·在該Storage Configuration部分中，啟用該Show Advanced Fields選項(xiàng)。

·從Select Configuration for Storage Classes菜單中選擇Add Custom Storage Class。

·單擊Add Item。

·在該Storage Class Name字段中，輸入將在Kubernetes中顯示的存儲(chǔ)類(lèi)的名稱(chēng)。

·（可選）啟用Default Storage Class使這個(gè)新存儲(chǔ)類(lèi)成為所有集群的默認(rèn)類(lèi)的選項(xiàng)。

·在該Storage Device部分：

在該Replication字段中，輸入一個(gè)數(shù)字以設(shè)置PV的復(fù)制因子。

在該Storage Size字段中，設(shè)置每個(gè)節(jié)點(diǎn)的存儲(chǔ)容量（以千兆字節(jié)（GB）為單位）。

·單擊Add Item。

·單擊Apply。

注意：默認(rèn)情況下亞馬遜云科技Certified Hardware設(shè)置為aws-byol-voltstack-combo。Add Item您可以使用該選項(xiàng)添加多個(gè)節(jié)點(diǎn)。

步驟2.3：設(shè)置部署類(lèi)型。

·從Automatic Deployment下拉菜單中選擇Automatic Deployment：

選擇現(xiàn)有的亞馬遜云科技憑證對(duì)象，或單擊Create new Cloud Credential以加載表單。

·要?jiǎng)?chuàng)建新憑據(jù)：

根據(jù)需要輸入Name、Labels和Description。

從Select Cloud Credential Type菜單中選擇亞馬遜云科技Programmatic Access Credentials。

Access Key ID在字段中輸入亞馬遜云科技訪問(wèn)ID。

單擊Configure該Secret Access Key字段。

從Secret Info菜單：

Blindfold Secret：在框中輸入密碼Type。

Clear Secret:以或格式在Clear Secret框中輸入密碼。Textbase64（binary）

單擊Apply。

·單擊Continue以添加新憑據(jù)。

注意：確保亞馬遜云科技憑證與策略要求文檔中所需的訪問(wèn)策略一起應(yīng)用。

策略要求：https://docs.cloud.f5.com/docs/reference/cloud-cred-ref/aws-vpc-cred-ref

圖：部署配置

第3步：設(shè)置站點(diǎn)節(jié)點(diǎn)參數(shù)

·在該Site Node Parameters部分中，啟用該Show Advanced Fields選項(xiàng)?；蛘?，添加地理地址并輸入緯度和經(jīng)度值。

·從亞馬遜云科技Instance Type for Node菜單中選擇一個(gè)選項(xiàng)。

·或者，在框中輸入您的SSH密鑰Public SSH key。

圖：站點(diǎn)節(jié)點(diǎn)參數(shù)配置

第4步：配置高級(jí)配置選項(xiàng)

·在該Advanced Configuration部分中，啟用該Show Advanced Fields選項(xiàng)。

·從Logs Streaming菜單中選擇一個(gè)選項(xiàng)。

·從Select Volterra Software Version菜單中選擇一個(gè)選項(xiàng)。

·從Select Operating System Version菜單中選擇一個(gè)選項(xiàng)。

·從Desired Worker Nodes Selection菜單中選擇一個(gè)選項(xiàng)：

Desired Worker Nodes Per AZ在字段中輸入工作程序節(jié)點(diǎn)的數(shù)量。您在此處設(shè)置的工作程序節(jié)點(diǎn)數(shù)將根據(jù)您在其中創(chuàng)建節(jié)點(diǎn)的可用區(qū)創(chuàng)建。例如，如果您在三個(gè)可用區(qū)中配置三個(gè)節(jié)點(diǎn)，并將Desired Worker Nodes Per AZ框設(shè)置為3，則每個(gè)可用區(qū)創(chuàng)建3個(gè)工作程序節(jié)點(diǎn)，并且此亞馬遜云科技VPC站點(diǎn)的工作程序節(jié)點(diǎn)總數(shù)將為9。

圖：亞馬遜云科技VPC高級(jí)配置

·從Direct Connect Choice下拉菜單中，選擇一個(gè)選項(xiàng)：

Disable Direct Connect：默認(rèn)選項(xiàng)。

Enable Direct Connect：選擇為亞馬遜云科技站點(diǎn)進(jìn)行配置。

·單擊Configure。

·從VIF Configuration下拉菜單中，為虛擬接口（VIF）選擇一個(gè)選項(xiàng)：

Hosted VIF mode：在此模式下，F(xiàn)5將預(yù)置一個(gè)亞馬遜云科技Direct Connect網(wǎng)關(guān)和一個(gè)虛擬私有網(wǎng)關(guān)。您提供的托管VIP將自動(dòng)關(guān)聯(lián)并設(shè)置BGP對(duì)等互連。

Standard VIF mode：在此模式下，F(xiàn)5將預(yù)置一個(gè)亞馬遜云科技Direct Connect網(wǎng)關(guān)和一個(gè)虛擬私有網(wǎng)關(guān)、一個(gè)用戶(hù)關(guān)聯(lián)VIP，并將設(shè)置BGP對(duì)等互連。

·對(duì)于Hosted VIF mode選項(xiàng)：

單擊Add item。

輸入VIF ID列表。

單擊Apply。

·對(duì)于Standard VIF mode選項(xiàng)：

單擊Apply。

第5步：配置被阻止的服務(wù)

您可以讓您的站點(diǎn)阻止服務(wù)，例如Web、DNS和SSH。

·在該Select to Configure Blocked Services部分中，Custom Blocked Services Configuration從Select to Configure Blocked Services菜單中選擇。

·單擊Add Item。

圖：添加阻止的服務(wù)

·從Blocked Services Value Type菜單中，選擇要阻止的服務(wù)：

Web UI port

DNS port

SSH port

·從Network Type菜單中，選擇從您的站點(diǎn)阻止此服務(wù)的網(wǎng)絡(luò)類(lèi)型。

·單擊Add Item。

第6步：完成亞馬遜云科技VPC站點(diǎn)對(duì)象創(chuàng)建

·單擊Save and Exit以完成創(chuàng)建亞馬遜云科技VPC站點(diǎn)。

·VPC站點(diǎn)對(duì)象的Status框顯示Generated。

圖：生成的亞馬遜云科技VPC對(duì)象

部署站點(diǎn)

在控制臺(tái)中創(chuàng)建亞馬遜云科技站點(diǎn)VPC對(duì)象會(huì)生成Terraform參數(shù)。

注意：每個(gè)站點(diǎn)節(jié)點(diǎn)的站點(diǎn)升級(jí)最多可能需要10分鐘。站點(diǎn)升級(jí)完成后，您必須通過(guò)Action云站點(diǎn)管理頁(yè)面上的菜單將Terraform參數(shù)應(yīng)用到站點(diǎn)。

·Manage使用>Site Management>亞馬遜云科技VPC Sites選項(xiàng)導(dǎo)航到創(chuàng)建的亞馬遜云科技VPC對(duì)象。

·找到您的亞馬遜云科技VPC對(duì)象并單擊Apply列Actions。

圖：亞馬遜云科技VPC對(duì)象應(yīng)用

亞馬遜云科技VPC對(duì)象的Status字段更改為Apply Planning。

注意：或者，您可以在部署之前執(zhí)行Terraform計(jì)劃活動(dòng)。找到您的亞馬遜云科技VPC站點(diǎn)對(duì)象并選擇...>Plan（Optional）以啟動(dòng)Terraform計(jì)劃的操作。這將為T(mén)erraform創(chuàng)建執(zhí)行計(jì)劃。

等待申請(qǐng)過(guò)程完成并且狀態(tài)變?yōu)锳pplied。

圖：應(yīng)用的亞馬遜云科技VPC對(duì)象

·要檢查應(yīng)用操作的狀態(tài)，請(qǐng)單擊您的亞馬遜云科技VPC站點(diǎn)對(duì)象的...>Terraform Parameters，然后選擇Apply Status選項(xiàng)卡。

·要找到您的站點(diǎn)，請(qǐng)單擊Sites>Sites List。

·驗(yàn)證狀態(tài)為Online。站點(diǎn)部署和狀態(tài)更改為需要幾分鐘Online。

注意：centos您可以使用用戶(hù)名和私鑰通過(guò)SSH登錄節(jié)點(diǎn)的命令行界面（CLI）。

圖：在線站點(diǎn)狀態(tài)

注意：對(duì)于入口/應(yīng)用堆棧站點(diǎn)：當(dāng)您更新站點(diǎn)對(duì)象的工作程序節(jié)點(diǎn)時(shí)，會(huì)自動(dòng)進(jìn)行擴(kuò)展。對(duì)于入口/出口站點(diǎn)：當(dāng)您更新站點(diǎn)對(duì)象的工作節(jié)點(diǎn)時(shí)，Apply會(huì)啟用Terraform按鈕。單擊Apply。

刪除VPC站點(diǎn)

執(zhí)行以下操作以刪除站點(diǎn)：

·導(dǎo)航到亞馬遜云科技VPC站點(diǎn)對(duì)象的Manage>Site Management>亞馬遜云科技VPC Sites。

·選擇>Delete。

·Delete在彈出的確認(rèn)窗口中單擊。

注意：刪除VPC對(duì)象會(huì)從VPC中刪除站點(diǎn)和節(jié)點(diǎn)并刪除VPC。如果刪除操作沒(méi)有刪除對(duì)象并返回任何錯(cuò)誤，請(qǐng)從狀態(tài)中檢查錯(cuò)誤，修復(fù)錯(cuò)誤，然后重新嘗試刪除操作。如果問(wèn)題仍然存在，請(qǐng)聯(lián)系技術(shù)支持。您可以使用...>Terraform Parameters>Apply status選項(xiàng)檢查狀態(tài)。