亞馬遜雲科技 VPC 站點部署類型
可以以三種不同的模式部署站點:
1
Ingress Gateway(一個接口)
在這種部署模式下,站點連接配接到單個 VPC 和單個子網。它可以提供從該子網到客戶租戶中配置的任何其他站點可通路的服務和端點的發現。
2
Ingress/Egress Gateway(兩個接口)
在這種部署模式下,站點連接配接到一個 VPC,在不同的子網上至少有兩個接口。一個子網标記為 Outside,另一個子網标記為 Inside。在這種模式下,站點通過 Site Inside 接口通過預設網關為 VM 和子網提供安全性和連接配接性。
3
F5分布式雲應用堆棧叢集(App Stack)(一個接口)
本站點的 F5 分布式雲網格(Mesh)部署和配置與 Ingress Gateway(一個接口)相同。此部署的不同之處在于認證硬體類型為aws-byol-voltstack-combo.這将配置和部署一個執行個體類型,允許站點擁有 Kubernetes Pod 和使用 部署的 VM。
*Virtual K8s:https://docs.cloud.f5.com/docs/how-to/app-management/vk8s-deployment
入口網關(一個接口)
在這種部署模式下,F5® 分布式雲網格(Mesh)需要附加一個接口。在節點上運作的服務使用此接口連接配接到 Internet。此外,此接口用于發現其他服務和虛拟機,并将它們公開給同一租戶中的其他站點。例如,在下圖中,可以通過反向代理遠端發現和公開 DevOps 或 Dev EC2 執行個體上的 TCP 或 HTTP 服務。
如下圖所示,該接口位于與預設路由指向網際網路網關的 VPC 主路由表關聯的外部子網上。這就是來自外部接口的流量以及與此路由表對象關聯的其他子網如何到達網際網路的方式。對于其他子網(例如,Dev 和 DevOps),它們與 VPC 主路由表相關聯。這意味着此 VPC 中任何新建立的子網都會自動與此路由表關聯。
圖:亞馬遜雲科技 VPC 站點部署 - 入口網關(一個接口)
入口/出口網關(兩個接口)
在此部署場景中,Mesh 節點需要連接配接兩個接口。第一個接口是外部接口,節點上運作的服務可以通過該接口連接配接到網際網路。第二個接口是内部接口,它将成為私有子網中所有應用工作負載和服務的預設網關 IP 位址。
如下圖所示,外部接口位于外部子網,與外部子網路由表相關聯,其預設路由指向網際網路網關。這就是來自外部接口的流量如何到達網際網路的方式。對于内部子網,這些與内部子網路由表相關聯,該路由表也是此 VPC 的主路由表。這意味着此 VPC 中任何新建立的子網都會自動與内部子網路由表關聯。這個私有子網路由表有一個預設路由指向 Mesh 節點的内部 IP 位址 (192.168.32.186)。
一但 Mesh 站點上線,節點的内部網絡将通過外部接口上啟用的轉發代理和 SNAT 連接配接到外部網絡。這樣,來自内部接口的所有流量都将通過轉發代理轉發到 Internet,并且 SNAT 發生在外部接口上。現在私有子網上的所有工作負載都可以通過 Mesh 站點到達 Internet。
APP Stack叢集(一個接口)
就站點網絡和轉發/安全的配置方式而言,此方案與 Ingress Gateway(一個接口)相同。除此之外,還提供了 App Stack(分布式應用管理平台)。
在這種部署場景中,Mesh 需要附加一個接口。在節點上運作的服務使用此接口連接配接到 Internet。此外,此接口用于發現其他服務和虛拟機,并将它們公開給同一租戶中的其他站點。例如,在下圖中,可以通過反向代理遠端發現和公開 DevOps 或 Dev EC2 執行個體上的 TCP 或 HTTP 服務。
如果在 vK8s 叢集中進行配置,則可以将應用部署到該站點的 App Stack 産品中。站點的 App Stack 的服務/pods 可以暴露給 VPC 路由表上的其他服務和虛拟機;或通過 EIP(公網IP) 或應用傳遞網絡 (ADN) 在外部提供。
如下圖所示,該接口位于與預設路由指向網際網路網關的 VPC 主路由表關聯的外部子網上。這就是來自外部接口的流量以及與此路由表對象關聯的其他子網如何到達 Internet。對于其他子網(例如,Dev 和 DevOps),它們與 VPC 主路由表相關聯。這意味着此 VPC 中任何新建立的子網都會自動與此路由表關聯。
先決條件
以下先決條件必須滿足:
- F5 分布式雲服務帳戶。如果您沒有帳戶,請聯系 F5 銷售。
- 每個節點所需的資源:至少 4 個 vCPU 和 14 GB RAM。
- 附加現有 VPC 時,不應存在預先存在的站點本地外部、站點本地内部和工作負載子網關聯。
- 如果 Internet 網關 (IGW) 與 VPC 連接配接,則至少有一個路由應指向 VPC 的任何路由表中的 IGW。
- 亞馬遜網絡服務 (AWS) 賬戶。有關部署 AWS VPC 站點所需的權限,參見如下:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"autoscaling:AttachLoadBalancerTargetGroups",
"autoscaling:AttachLoadBalancers",
"autoscaling:CreateAutoScalingGroup",
"autoscaling:CreateLaunchConfiguration",
"autoscaling:DeleteAutoScalingGroup",
"autoscaling:DeleteLaunchConfiguration",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeLaunchConfigurations",
"autoscaling:DescribeLoadBalancerTargetGroups",
"autoscaling:DescribeLoadBalancers",
"autoscaling:DetachLoadBalancerTargetGroups",
"autoscaling:DetachLoadBalancers",
"autoscaling:DisableMetricsCollection",
"autoscaling:EnableMetricsCollection",
"autoscaling:ResumeProcesses",
"autoscaling:SuspendProcesses",
"autoscaling:UpdateAutoScalingGroup"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AutoScalingPermissions"
},
{
"Action": [
"ec2:AllocateAddress",
"ec2:AssignPrivateIpAddresses",
"ec2:AssociateAddress",
"ec2:AssociateIamInstanceProfile",
"ec2:AssociateRouteTable",
"ec2:AssociateSubnetCidrBlock",
"ec2:AssociateVpcCidrBlock",
"ec2:AttachInternetGateway",
"ec2:AttachNetworkInterface",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateInternetGateway",
"ec2:CreateNetworkInterface",
"ec2:CreateRoute",
"ec2:CreateRouteTable",
"ec2:CreateSecurityGroup",
"ec2:CreateSubnet",
"ec2:CreateTags",
"ec2:CreateVpc",
"ec2:DeleteInternetGateway",
"ec2:DeleteNetworkInterface",
"ec2:DeleteRoute",
"ec2:DeleteRouteTable",
"ec2:DeleteSecurityGroup",
"ec2:DeleteSubnet",
"ec2:DeleteTags",
"ec2:DeleteVpc",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAddresses",
"ec2:DescribeIamInstanceProfileAssociations",
"ec2:DescribeImages",
"ec2:DescribeInstanceAttribute",
"ec2:DescribeInstanceCreditSpecifications",
"ec2:DescribeInstances",
"ec2:DescribeInternetGateways",
"ec2:DescribeNetworkAcls",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeTags",
"ec2:DescribeVolumes",
"ec2:DescribeVolumesModifications",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcClassicLink",
"ec2:DescribeVpcClassicLinkDnsSupport",
"ec2:DescribeVpcs",
"ec2:DetachInternetGateway",
"ec2:DetachNetworkInterface",
"ec2:DisableVgwRoutePropagation",
"ec2:DisassociateAddress",
"ec2:DisassociateIamInstanceProfile",
"ec2:DisassociateRouteTable",
"ec2:DisassociateSubnetCidrBlock",
"ec2:DisassociateVpcCidrBlock",
"ec2:EnableVgwRoutePropagation",
"ec2:GetPasswordData",
"ec2:ModifyInstanceAttribute",
"ec2:ModifyInstanceCreditSpecification",
"ec2:ModifyInstanceMetadataOptions",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:ModifySubnetAttribute",
"ec2:ModifyVolume",
"ec2:ModifyVpcAttribute",
"ec2:MonitorInstances",
"ec2:ReleaseAddress",
"ec2:ReplaceIamInstanceProfileAssociation",
"ec2:ReplaceRoute",
"ec2:ReplaceRouteTableAssociation",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:RunInstances",
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:TerminateInstances",
"ec2:UnassignPrivateIpAddresses",
"ec2:UnmonitorInstances"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "EC2Permissions"
},
{
"Action": [
"elasticloadbalancing:AddTags",
"elasticloadbalancing:CreateListener",
"elasticloadbalancing:CreateLoadBalancer",
"elasticloadbalancing:CreateTargetGroup",
"elasticloadbalancing:DeleteListener",
"elasticloadbalancing:DeleteLoadBalancer",
"elasticloadbalancing:DeleteTargetGroup",
"elasticloadbalancing:DeregisterTargets",
"elasticloadbalancing:DescribeInstanceHealth",
"elasticloadbalancing:DescribeListeners",
"elasticloadbalancing:DescribeLoadBalancerAttributes",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeTags",
"elasticloadbalancing:DescribeTargetGroupAttributes",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeTargetHealth",
"elasticloadbalancing:ModifyListener",
"elasticloadbalancing:ModifyLoadBalancerAttributes",
"elasticloadbalancing:ModifyTargetGroup",
"elasticloadbalancing:ModifyTargetGroupAttributes",
"elasticloadbalancing:RegisterTargets",
"elasticloadbalancing:RemoveTags"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "ELBPermissions"
},
{
"Action": [
"iam:AddRoleToInstanceProfile",
"iam:AttachRolePolicy",
"iam:CreateInstanceProfile",
"iam:CreatePolicy",
"iam:CreatePolicyVersion",
"iam:CreateRole",
"iam:CreateServiceLinkedRole",
"iam:DeleteInstanceProfile",
"iam:DeletePolicy",
"iam:DeletePolicyVersion",
"iam:DeleteRole",
"iam:DeleteRolePermissionsBoundary",
"iam:DeleteRolePolicy",
"iam:DetachRolePolicy",
"iam:GetInstanceProfile",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetRole",
"iam:ListAttachedRolePolicies",
"iam:ListInstanceProfilesForRole",
"iam:ListPolicyVersions",
"iam:ListRolePolicies",
"iam:PassRole",
"iam:PutRolePermissionsBoundary",
"iam:RemoveRoleFromInstanceProfile",
"iam:TagRole",
"iam:UpdateAssumeRolePolicy",
"iam:UpdateRole",
"iam:UpdateRoleDescription"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "IAMPermissions"
}
]
}
▼可上下滑動檢視全部内容
建立一個亞馬遜雲科技站點使用 F5 分布式雲 Console
亞馬遜雲科技 VPC 站點對象建立和部署包括以下内容:
| 階段 | 描述 |
| 建立亞馬遜雲科技 VPC 對象 | 使用向導在控制台中建立 VPC 站點對象。 |
| 部署站點 | 使用自動化方法部署在 VPC 對象中配置的站點。 |
建立亞馬遜雲科技 VPC 站點對象
可以在多種服務中檢視和管理站點:Cloud and Edge Sites、Distributed Apps 和 Load Balancers。
此示例顯示 Sites 在.AWSCloud and Edge Sites
第 1 步:登入控制台,開始建立亞馬遜雲科技 VPC 站點對象。
- 打開控制台并單擊 Cloud and Edge Sites。
注意:首頁是基于角色的,由于您的角色自定義,您的首頁可能看起來不同。選擇All Services下拉菜單以發現所有選項。自定義設定:Administration > Personal Management > My Account > Edit work domain & skills > Advanced框 > 複選框Work Domain > Save changes.
圖:控制台首頁
注意:确認 Namespace 功能在左上角的正确命名空間中。并非在所有服務中都可用。
- 單擊 Manage > Site Management > 亞馬遜雲科技 VPC Sites。
注意:如果選項未顯示可用,請選擇左下角的 Show 連結。Advanced nav options visible 如果需要,選擇 Hide 從 Advanced nav options 模式中最小化選項。
- 單擊 Add 亞馬遜雲科技 VPC Site。
圖:站點管理亞馬遜雲科技
- 輸入 Name,輸入 Labels 和 Description 根據需要。
圖:亞馬遜雲科技站點設定
第 2 步:配置 VPC 和站點設定
在該 Site Type Selection 部分中,執行以下操作:
步驟 2.1:設定區域并配置 VPC
- 亞馬遜雲科技 Region 從下拉菜單中選擇一個區域。
- 從 VPC 菜單中選擇一個選項:
- New VPC Parameters:Autogenerate VPC Name 預設選擇該選項。
- Existing VPC IDExisting VPC ID:在框中輸入現有的 VPC ID。
注意:如果您使用的是現有 VPC,請 enable_dns_hostnames 在現有 VPC 配置中啟用該框。
- 在 Primary IPv4 CIDR block 字段中輸入 CIDR。
圖:VPC 和節點類型配置
步驟 2.2:設定節點配置。
從 Select Ingress Gateway or Ingress/Egress Gateway 菜單中選擇一個選項。
配置入口網關。
對于 Ingress Gateway (One Interface)選項:
- 單擊 Configure。
- 單擊 Add Item。
- 亞馬遜雲科技 AZ Name 從菜單中選擇一個與配置相比對的選項亞馬遜雲科技 Region。
- 從菜單中選擇 New Subnet 或。Existing Subnet IDSubnet for local Interface。
- 在中輸入子網位址 IPv4 Subnet,或在中輸入子網 ID Existing Subnet ID。
- 确認子網是上一步中設定的 CIDR 塊的一部分。
- 切換部分并為負載均衡器配置 VIP 端口,Show Advanced Fields 以 Allowed VIP Port Configuration 在多節點站點中的所有節點之間配置設定流量。
- 從 Select Which Ports will be Allowed 菜單中選擇一個選項:
- Allow HTTP Port:僅允許端口 80。
- Allow HTTPS Port:僅允許端口 443。
- Allow HTTP & HTTPS Port:僅允許端口 80 和 443。預設情況下已填充。
- Ports Allowed on Public:允許指定自定義端口或端口範圍。在字段中輸入端口或端口範圍 Ports Allowed on Public。
注意:預設情況下亞馬遜雲科技 Certified Hardware 設定為 aws-byol-voltmesh。Add item 您可以使用該選項添加多個節點。
配置入口/出口網關。
對于 Ingress/Egress Gateway (Two Interface)選項:
- 點選 Configure 打開雙接口節點配置。
- 單擊 Add Item。
- 亞馬遜雲科技 AZ Name 從菜單中選擇一個與配置相比對的選項亞馬遜雲科技 Region。
- 從 Workload Subnet 菜單中選擇一個選項:
- New SubnetIPv4 Subnet:在字段中輸入子網。
- Existing Subnet IDExisting Subnet ID:在字段中輸入子網。
注意:工作負載子網是托管應用工作負載的網絡。為了成功路由到在工作負載子網中運作的應用,需要在相應的站點對象上添加到工作負載子網 CIDR 的内部靜态路由。
- 從 Subnet for Outside Interface 菜單中選擇一個選項:
- New SubnetIPv4 Subnet:在字段中輸入子網。
- Existing Subnet IDExisting Subnet ID:在字段中輸入子網。
- 單擊 Add Item。
- 在該 Site Network Firewall 部分中,可選擇 Active Firewall Policies 從 Manage Firewall Policy 菜單中進行選擇。
- 選擇現有的防火牆政策,或選擇 Create new Firewall Policy 建立并應用防火牆政策。
- 建立政策後,單擊 Continue 以應用。
- 從Manage Forward Proxy菜單中選擇一個選項:
- Disable Forward Proxy
- Enable Forward Proxy with Allow All Policy
- Enable Forward Proxy and Manage Policies:選擇現有的轉發代理政策,或選擇Create new forward proxy policy建立并應用轉發代理政策。
- 建立政策後,單擊 Apply。
圖:節點的網絡防火牆配置
- Show Advanced Fields 在 Advanced Options 部分中啟用。
- Connect Global Networks 從菜單中選擇 Select Global Networks to Connect,然後執行以下操作:
- 單擊 Add Item。
- 從 Select Network Connection Type 菜單中選擇一個選項:
- 從 Global Virtual Network 菜單中選擇一個選項。
- 單擊 Add Item。
- 從 Select DC Cluster Group 菜單中,選擇一個選項以将您的站點設定在 DC 叢集組中:
- Not a Member of DC Cluster Group:預設選項。
- Member of DC Cluster Group via Outside Network:從菜單中選擇 DC 叢集組 Member of DC Cluster Group via Outside Network 以使用外部網絡連接配接您的站點。
- Member of DC Cluster Group via Inside Network:從菜單中選擇 DC 叢集組 Member of DC Cluster Group via Inside Network 以使用内部網絡連接配接您的站點。
- Manage Static routes從Manage Static Routes for Inside Network 菜單中選擇。點選小節 Add Item。List of Static Routes 執行以下步驟之一:
- 選擇 Simple Static Route 并在 Simple Static Route 字段中輸入靜态路由。
- 選擇 Custom Static Route 然後單擊 Configure。執行以下步驟:
- 在該 Subnets 部分中,單擊 Add Item。Version 從菜單中選擇 IPv4 或 IPv6 選項。輸入子網的字首和字首長度。您可以使用該 Add item 選項設定更多子網。
- 在該部分中,從菜單 Nexthop 中選擇下一跳類型。從小節的菜單中 Type 選擇 IPv4 或 IPv6 。輸入 IP 位址。從菜單中選擇一個選項。VersionAddressNetwork Interface
- 在該 Static Route Labels 部分中,選擇 Add label 并按照提示操作。
- 在該部分中,從菜單 Attributes 中選擇支援的屬性。Attributes 您可以選擇多個選項。
- 單擊 Apply。
- Manage Static routes 從 Manage Static Routes for Outside Network 菜單中選擇。選擇 Add Item。遵循管理 Manage Static Routes for Outside Network 菜單靜态路由的相同過程。
- 設定 Allowed VIP Port Configuration for Outside Network和Allowed VIP Port Configuration for Inside Network。這是負載均衡器在多節點站點中的所有節點之間配置設定流量所必需的。
- 在該 Allowed VIP Port Configuration for Outside Network部分中,執行以下操作:
- 從Select Which Ports will be Allowed 菜單中選擇一個選項:
- Allow HTTP Port:僅允許端口 80。
- Allow HTTPS Port:僅允許端口 443。
- Allow HTTP & HTTPS Port:僅允許端口 80 和 443。預設情況下已填充。
- Ports Allowed on Public:允許指定自定義端口或端口範圍。在字段中輸入端口或端口範圍 Ports Allowed on Public。
- 在本 Allowed VIP Port Configuration for Inside Network 節中,執行與上述外部網絡相同的步驟。
- 單擊 Apply。
注意:預設情況下亞馬遜雲科技 Certified Hardware設定為aws-byol-multi-nic-voltmesh。Add item您可以使用該選項添加多個節點。
應用堆棧叢集(一個接口)。
對于 App stack Cluster (One Interface)選項:
- 單擊 Configure 以打開配置表單。
- 在該 App Stack Cluster (One Interface) Nodes in AZ 部分中,單擊 Add Item。執行以下操作:
- 亞馬遜雲科技 AZ Name 從菜單中選擇一個與配置相比對的選項亞馬遜雲科技 Region。
- 從菜單中選擇 New Subnet 或。Existing Subnet IDSubnet for local Interface
- 在中輸入子網位址 IPv4 Subnet 或子網 ID Existing Subnet ID。
- 單擊 Add Item。
- 在該 Site Network Firewall部分:
- 可選擇 Active Firewall Policies 從 Manage Firewall Policy 菜單中選擇。選擇現有的防火牆政策,或選擇 Create new Firewall Policy 建立并應用防火牆政策。
- (可選)從菜單中選擇 Enable Forward Proxy with Allow All Policy 或。對于後一個選項,選擇現有的轉發代理政策,或選擇建立并應用轉發代理政策。Enable Forward Proxy and Manage PoliciesManage Forward ProxyCreate new forward proxy policy
- 在該 Advanced Options 部分中,啟用該 Show Advanced Fields 選項。
- Connect Global Networks 從菜單中選擇 Select Global Networks to Connect,然後執行以下操作:
- 單擊 Add Item。
- 從 Select Network Connection Type 菜單中選擇連接配接類型。
- 從 Global Virtual Network 菜單中,從顯示的網絡清單中選擇一個全球網絡。
- 要建立新的全球網絡,請單擊 Create new virtual network:Global Virtual Network
- 填寫表格資訊。
- 單擊 Continue。
- 單擊 Add Item。
- Manage Static routes 從 Manage Static Routes for Site Local Network 菜單中選擇。
- 單擊 Add Item 并執行以下步驟之一:
- 從 Static Route Config Mode 菜單中選擇Simple Static Route。Simple Static Route 在字段中輸入靜态路由。
- 從 Static Route Config Mode 菜單中選擇 Custom Static Route。單擊 Configure。執行以下步驟:
- 在 Subnets 部分中,單擊 Add Item。從菜單中選擇 IPv4 Subnet 或。IPv6 SubnetVersion
- 輸入子網的字首和字首長度。
- 使用該 Add Item 選項設定更多子網。
- 在部分中,從菜單Nexthop中選擇下一個類型Type
- 從菜單中選擇 IPv4 Address 或 IPv6 AddressVersion
- 輸入 IP 位址。
- 從 Network Interface 菜單中,選擇一個網絡接口或選擇 Create new network interface 建立并應用一個新的網絡接口。
- 在該部分中,從菜單 Attributes 中選擇支援的屬性。Attributes 您可以選擇多個選項。
- 單擊 Apply 以添加自定義路由。
- 單擊 Add Item。
- 單擊 Apply。
- 從Select DC Cluster Group菜單中,選擇一個選項以将您的站點設定在 DC 叢集組中:
- Not a Member:預設選項。
- Member of DC Cluster Group:從菜單中選擇 DC 叢集組Member of DC Cluster Group以使用外部網絡連接配接您的站點。
- 從Allowed VIP Port Configuration菜單中,為負載均衡器配置 VIP 端口,以在多節點站點中的所有節點之間配置設定流量。
- 從 Site Local K8s API access 菜單中,選擇 API 通路選項。
注意:分布式雲平台支援托管 K8s 的變異和驗證 webhook。可以在 K8s 配置中啟用 Webhook 支援(管理 > 管理 K8s > K8s 叢集)。
- 在該 Storage Configuration 部分中,啟用該 Show Advanced Fields 選項。
- 從 Select Configuration for Storage Classes 菜單中選擇 Add Custom Storage Class。
- 單擊 Add Item。
- 在該 Storage Class Name 字段中,輸入将在 Kubernetes 中顯示的存儲類的名稱。
- (可選)啟用 Default Storage Class 使這個新存儲類成為所有叢集的預設類的選項。
- 在該 Storage Device 部分:
- 在該 Replication 字段中,輸入一個數字以設定 PV 的複制因子。
- 在該 Storage Size 字段中,設定每個節點的存儲容量(以千兆位元組 (GB) 為機關)。
- 單擊 Add Item。
- 單擊 Apply。
注意:預設情況下亞馬遜雲科技 Certified Hardware 設定為 aws-byol-voltstack-combo。Add Item 您可以使用該選項添加多個節點。
步驟 2.3:設定部署類型。
- 從Automatic Deployment下拉菜單中選擇Automatic Deployment:
- 選擇現有的亞馬遜雲科技憑證對象,或單擊Create new Cloud Credential以加載表單。
- 要建立新憑據:
- 根據需要輸入 Name、Labels和Description。
- 從 Select Cloud Credential Type 菜單中選擇亞馬遜雲科技 Programmatic Access Credentials。
- Access Key ID 在字段中輸入亞馬遜雲科技通路 ID 。
- 單擊 Configure 該 Secret Access Key 字段。
- 從 Secret Info 菜單:
- Blindfold Secret:在框中輸入密碼 Type。
- Clear Secret: 以或格式在 Clear Secret 框中輸入密碼。Textbase64(binary)
- 單擊 Apply。
- 單擊 Continue 以添加新憑據。
注意:確定亞馬遜雲科技憑證與文檔中所需的通路政策一起應用。
*政策要求:https://docs.cloud.f5.com/docs/reference/cloud-cred-ref/aws-vpc-cred-ref
圖:部署配置
第 3 步:設定站點節點參數
- 在該 Site Node Parameters 部分中,啟用該 Show Advanced Fields 選項。或者,添加地理位址并輸入緯度和經度值。
- 從亞馬遜雲科技 Instance Type for Node 菜單中選擇一個選項。
- 或者,在框中輸入您的 SSH 密鑰 Public SSH key。
圖:站點節點參數配置
第 4 步:配置進階配置選項
- 在該 Advanced Configuration 部分中,啟用該 Show Advanced Fields 選項。
- 從 Logs Streaming 菜單中選擇一個選項。
- 從 Select Volterra Software Version 菜單中選擇一個選項。
- 從 Select Operating System Version 菜單中選擇一個選項。
- 從 Desired Worker Nodes Selection 菜單中選擇一個選項:
- Desired Worker Nodes Per AZ 在字段中輸入工作程式節點的數量。您在此處設定的工作程式節點數将根據您在其中建立節點的可用區建立。例如,如果您在三個可用區中配置三個節點,并将 Desired Worker Nodes Per AZ 框設定為 3,則每個可用區建立 3 個工作程式節點,并且此亞馬遜雲科技 VPC 站點的工作程式節點總數将為 9。
圖:亞馬遜雲科技 VPC 進階配置
- 從 Direct Connect Choice 下拉菜單中,選擇一個選項:
- Disable Direct Connect:預設選項。
- Enable Direct Connect:選擇為亞馬遜雲科技站點進行配置。
- 單擊 Configure。
- 從 VIF Configuration 下拉菜單中,為虛拟接口 (VIF) 選擇一個選項:
- Hosted VIF mode:在此模式下,F5 将預置一個亞馬遜雲科技 Direct Connect 網關和一個虛拟私有網關。您提供的托管 VIP 将自動關聯并設定 BGP 對等互連。
- Standard VIF mode:在此模式下,F5 将預置一個亞馬遜雲科技 Direct Connect 網關和一個虛拟私有網關、一個使用者關聯 VIP,并将設定 BGP 對等互連。
- 對于 Hosted VIF mode 選項:
- 單擊 Add item。
- 輸入 VIF ID 清單。
- 單擊 Apply。
- 對于 Standard VIF mode 選項:
- 單擊 Apply。
第 5 步:配置被阻止的服務
您可以讓您的站點阻止服務,例如 Web、DNS 和 SSH。
- 在該 Select to Configure Blocked Services 部分中,Custom Blocked Services Configuration 從 Select to Configure Blocked Services 菜單中選擇。
- 單擊 Add Item。
圖:添加阻止的服務
- 從 Blocked Services Value Type 菜單中,選擇要阻止的服務:
- Web UI port
- DNS port
- SSH port
- 從 Network Type 菜單中,選擇從您的站點阻止此服務的網絡類型。
- 單擊 Add Item。
第 6 步:完成亞馬遜雲科技 VPC 站點對象建立
- 單擊Save and Exit以完成建立亞馬遜雲科技 VPC 站點。
- VPC 站點對象的 Status 框顯示 Generated。
圖:生成的亞馬遜雲科技 VPC 對象
部署站點
在控制台中建立亞馬遜雲科技站點 VPC 對象會生成 Terraform 參數。
注意:每個站點節點的站點更新最多可能需要 10 分鐘。站點更新完成後,您必須通過 Action 雲站點管理頁面上的菜單将 Terraform 參數應用到站點。
- Manage 使用 > Site Management > 亞馬遜雲科技 VPC Sites 選項導航到建立的亞馬遜雲科技 VPC 對象。
- 找到您的亞馬遜雲科技 VPC 對象并單擊 Apply 列 Actions。
圖:亞馬遜雲科技 VPC 對象應用
亞馬遜雲科技 VPC 對象的 Status 字段更改為 Apply Planning。
注意:或者,您可以在部署之前執行 Terraform 計劃活動。找到您的亞馬遜雲科技 VPC 站點對象并選擇... > Plan (Optional)以啟動 Terraform 計劃的操作。這将為 Terraform 建立執行計劃。
- 等待申請過程完成并且狀态變為 Applied。
圖:應用的亞馬遜雲科技 VPC 對象
- 要檢查應用操作的狀态,請單擊您的亞馬遜雲科技 VPC 站點對象的... > Terraform Parameters,然後選擇 Apply Status 頁籤。
- 要找到您的站點,請單擊 Sites > Sites List。
- 驗證狀态為 Online。站點部署和狀态更改為 需要幾分鐘 Online。
注意:centos您可以使用使用者名和私鑰通過 SSH 登入節點的指令行界面 (CLI) 。
圖:線上站點狀态
注意:對于入口/應用堆棧站點:當您更新站點對象的工作程式節點時,會自動進行擴充。對于入口/出口站點:當您更新站點對象的工作節點時,Apply 會啟用 Terraform 按鈕。單擊 Apply。
删除 VPC 站點
執行以下操作以删除站點:
- 導航到亞馬遜雲科技 VPC 站點對象的Manage > Site Management > 亞馬遜雲科技 VPC Sites。
- 選擇 > Delete。
- Delete 在彈出的确認視窗中單擊。
注意:删除 VPC 對象會從 VPC 中删除站點和節點并删除 VPC。如果删除操作沒有删除對象并傳回任何錯誤,請從狀态中檢查錯誤,修複錯誤,然後重新嘗試删除操作。如果問題仍然存在,請聯系技術支援。您可以使用...> Terraform Parameters>Apply status選項檢查狀态。