F5

解決問題 F5 (1)

教學目標

初步了解如何透過 AWS 雲端服務解決需要有個環境測試 F5 BIG-IP 產品相關設定問題。

重點概念

首先許多企業皆是採用 F5 BIG-IP 進行網站負載平衡的應用,此時若我們面臨需要有個環境測試 F5 BIG-IP 產品相關設定問題時,則能夠透過 AWS 雲端服務在半小時建立一套試用期三個月的版本,至於要如何申請試用的註冊碼,則可以透過官方網站進行申請,以利進行相關測試。

接著我們主要能夠先從 AWS 市集訂閱「F5 BIG-IP Virtual Edition - BETTER - (BYOL) 」方案,主要透過 AWS EC2 建立 F5 BIG-IP 的虛擬環境實體,一開始我們可以先在網站應用程式的 AWS VPC 中建立 F5 BIG-IP 即可,至於相關步驟請參考官方教學影片教學文件

再來我們建立完成 F5 BIG-IP 的虛擬環境實體之後,請先新增一個 「Elastic IP address」關聯 F5 BIG-IP 的虛擬環境實體,以利進行註冊碼線上驗證與更新。並且透過「MobaXterm 工具」登入至 F5 BIG-IP 的虛擬環境實體,請輸入以下指令編輯管理者密碼,請注意因為還未授權所以僅能執行以下指令。

1
2
# modify auth password admin
# save sys config

最後我們就能夠透過瀏覽器開啟「https://:8443」登入至 F5 BIG-IP 管理介面,以利進行進行註冊碼線上驗證與更新。當註冊碼線上驗證與更新完成之後,就能夠開始建立「Pool 」和「Virtual Server」的基本設定以利透過 F5 BIG-IP 連線至相同 VPC 中的網站應用程式,以利解決需要有個環境測試 F5 BIG-IP 產品相關設定的問題。

相關資源

系統架構 F5 Networks (1)

教學目標

初步了解 F5 BIG-IP 產品學習指南和認證考試以利後續進行系統架構的規劃。

重點概念

首先目前許多大型銀行皆會採用 F5 BIG-IP 產品進行企業內部網路的負戴平衡器。其中有許多不同型號的 BIG-IP iSeries 系列產品,不同型號會有不同的流量處理規格,以 7255v 為例,則會有以下有關流量處理的規格,分別為:

關鍵指標 上限值
第七層應用層每秒請求數 16,000,000
第七層最大輸出量 20 Gbps
第四層傳輸層每秒請求數 7,000,000
第四層傳輸層每秒連接數 775,000
第四層最大並行連接數 24,000,000
第四層最大輸出量 40 Gbps

接著到底何謂第四層和第七層,事實上所指的就是 OSI 七層網路架構,OSI 全名為 Open System Interconnection Reference Model ,也就是開放式系統互聯通訊參考模型。其中七層分別為:

  1. 實體層
  2. 資料連結層
  3. 網路層
  4. 傳輸層
  5. 會談層
  6. 呈現層
  7. 應用層

至於詳細的七層介紹我們則能夠參考 F5 的學習指南「101 – Application Delivery Fundamentals」,當然除了 OSI 層之外,還有許多有關負載平衡、網路安全、應用程式和 F5 技術與解決方案等基本概念皆能夠在該學習指南中進行學習。

再來 F5 BIG-IP 產品在軟體架構的部份皆搭載 TMOS (64-bit),全名為 Traffic Management Operating System,也就是流量管理作業系統,主要是應用於 BIG-IP 產品的作業系統。至於詳細的 TMOS 流量管理作業系統介紹我們則能夠參考 F5 的學習指南「201 – TMOS Administration v2」,其學習指南主要是介紹如何進行故障排除和維護設定等基本操作。

最後 F5 除了「101 – Application Delivery Fundamentals」和「201 – TMOS Administration v2」兩份最基本的學習指南提供我們學習參考之外,更有提供更進階的證照考試,當我們通透過 Exam 101 和 Exam 201 之後就能夠取得 F5 Certified BIG-IP Administrator 認證,基本上對於 F5 BIG-IP 就有基本概念,以及故障排除的能力。

相關資源

資安管理 SSL/TLS (3)

教學目標

初步了解企業中針對 Windows 伺服器整合 F5 負載平衡的網路設備進行安全連線時可能會遇到的問題。

重點概念

首先企業中若有 F5 負載平衡的網路設備,則通常會將憑證設定至 F5 負載平衡的網路設備中,像是 BIG-IP 系統。同時企業中的客戶端將會自動匯入 F5 上受信任的根憑證,此時當我們開啟 Internet Explorer 瀏覽器時就會顯示安全鎖頭至瀏覽列右方中,代表伺服器的這個連線經過加密。但是企業中的伺服器通常不會匯入 F5 上受信任的根憑證,此時我們只需將 F5 上受信任的根憑證、中繼憑證和網站憑證匯出之後,直接開啟憑證檔,然後點選「一般」頁籤中的「安裝憑證」鈕按照順序安裝至伺服器中即可,建議點選存放位置為「本機電腦」,以及其中受信任的根憑證則在透過憑證匯入精靈進行憑證匯入時,針對憑證存放區則建議將憑證放入「受信任的根憑證授權單位」中,至於其它憑證則自動根據憑證類型來選取憑證存放區,當憑證正確匯入伺服器之後,此時當我們開啟 Internet Explorer 瀏覽器時就會顯示安全鎖頭至瀏覽列右方中,代表伺服器的這個連線經過加密。

接著企業通常會有從 F5 負載平衡的網路設備匯出憑證的標準流程,此時可能會發生匯出憑證格式不正確,造成無法正常將憑證匯入網站系統解決方案中。憑證主要有 Base64 編碼和二進位編碼兩種格式,當我們透過記事本開啟憑證檔時,若憑證檔內容為「——-BEGIN CERTIFICATE——- … ——-END CERTIFICATE——-」,則代表憑證檔為 Base64 編碼格式,反之為二進位編碼格式。然而若發生匯出憑證格式不正確時,則只需要直接開啟憑證檔,然後點選「詳細資料」頁籤中的「複製到檔案」鈕就能夠直接轉換 Base64 編碼或二進位編碼格式,以利解決無法正常將憑證匯入網站系統解決方案中。

再來企業中所簽發的網站憑證通常會有憑證路徑,我們僅需要直接開啟憑證檔,然後點選「憑證路徑」頁籤就能夠了解網站憑證所對應的憑證路徑,以及確認憑證狀態是否沒有問題。此外我們還能夠點選憑證路徑中的根憑證和中繼憑證之後點選「檢視憑證」鈕確認憑證資訊,其中包括發給、簽發者、有效期、… 等詳細資訊。

最後企業中若有 F5 負載平衡的網路設備,則在導入網站系統解決方案需要設定 HTTPS 安全連線時,建議以 F5 負載平衡的網路設備當成反向伺服器,直接將網站系統 HTTP 連線對應至 F5 負載平衡的網路設備的 HTTPS 安全連線,就能夠將網站系統解決方案設定為 HTTPS 安全連線,請注意並非所有網站系統解決方案皆能在設定完成 F5 負載平衡的網路設備之後,正常使用網站系統,通常還會需要進行網站系統相關設定,但是至少能夠正常透過 Internet Explorer 瀏覽器輸入 F5 負載平衡的網路設備的對應網址顯示網站系統的首頁畫面,同時在網址列右方顯示安全鎖頭,並且在點選安全鎖頭之後點選「檢視憑證」鈕之後,點選「憑證路徑」頁籤確認憑證狀態是否沒有問題。此方式將會有三大優點,分別為:

  1. 網站憑證發佈至客戶端,則直接以企業標準流程為主,確保客戶端瀏覽器開啟網站系統時顯示安全連線。
  2. 網站系統若需要增加網站伺服器時,則無需重新簽發網站憑證,以利憑證的集中進行管理。
  3. 網站系統無需進行 HTTPS 握手的安全協定,以利維持效能的同時又能夠讓使用者安心使用網站系統。

總結企業中針對 Windows 伺服器整合 F5 負載平衡的網路設備進行安全連線時可能會遇到許多問題,包括伺服器中瀏覽器無法正常顯示正確憑證資訊、憑證匯出檔案格式不確認、憑證路徑無法正常顯示、… 等憑證問題,此時我們僅需透過 Windows 伺服器內建的功能就能夠解決上述的問題。此外若是瀏覽器顯示未受信任的憑證或憑證錯誤的訊息時,則不會影響網站系統的運作,但是若網站系統解決方案中有需要客戶端應用程式或網站應用程式進行安全連線時,就需要將憑證匯入至伺服器中,請注意不同網站系統解決方案匯入憑證的方式皆不相同,並且可能需要按照順序匯入根憑證、中繼憑證和網站憑證,以利網路系統的所有功能正常運作。

相關資源