如何通过F5分布式云快速在亚马逊云科技环境构建Edge Security Edition（下）

来源： F5 Inc

作者：雷小勇

时间：2023-02-02

亚马逊云科技VPC站点对象创建和部署包括以下内容：创建亚马逊云科技VPC站点对象和部署站点。

创建一个亚马逊云科技站点使用F5分布式云Console

亚马逊云科技VPC站点对象创建和部署包括以下内容：

创建亚马逊云科技VPC站点对象

可以在多种服务中查看和管理站点：Cloud and Edge Sites、Distributed Apps和Load Balancers。

此示例显示Sites在.AWSCloud and Edge Sites

第1步：登录控制台，开始创建亚马逊云科技VPC站点对象。

·打开控制台并单击Cloud and Edge Sites。

注意：主页是基于角色的，由于您的角色自定义，您的主页可能看起来不同。选择All Services下拉菜单以发现所有选项。自定义设置：Administration>Personal Management>My Account>Edit work domain&skills>Advanced框>复选框Work Domain>Save changes.

图：控制台主页

注意：确认Namespace功能在左上角的正确命名空间中。并非在所有服务中都可用。

单击Manage>Site Management>亚马逊云科技VPC Sites。

注意：如果选项未显示可用，请选择左下角的Show链接。Advanced nav options visible如果需要，选择Hide从Advanced nav options模式中最小化选项。

单击Add亚马逊云科技VPC Site。

640 （1）.png

图：站点管理亚马逊云科技

输入Name，输入Labels和Description根据需要。

640 （2）.png

图：亚马逊云科技站点设置

第2步：配置VPC和站点设置

在该Site Type Selection部分中，执行以下操作：

步骤2.1：设置区域并配置VPC

·亚马逊云科技Region从下拉菜单中选择一个区域。

·从VPC菜单中选择一个选项：

New VPC Parameters：Autogenerate VPC Name默认选择该选项。

Existing VPC IDExisting VPC ID：在框中输入现有的VPC ID。

注意：如果您使用的是现有VPC，请enable_dns_hostnames在现有VPC配置中启用该框。

·在Primary IPv4 CIDR block字段中输入CIDR。

640 （3）.png

图：VPC和节点类型配置

步骤2.2：设置节点配置。

从Select Ingress Gateway or Ingress/Egress Gateway菜单中选择一个选项。

配置入口网关。

对于Ingress Gateway（One Interface）选项：

·单击Configure。

·单击Add Item。

·亚马逊云科技AZ Name从菜单中选择一个与配置相匹配的选项亚马逊云科技Region。

·从菜单中选择New Subnet或。Existing Subnet IDSubnet for local Interface。

·在中输入子网地址IPv4 Subnet，或在中输入子网ID Existing Subnet ID。

·确认子网是上一步中设置的CIDR块的一部分。

·切换部分并为负载均衡器配置VIP端口，Show Advanced Fields以Allowed VIP Port Configuration在多节点站点中的所有节点之间分配流量。

·从Select Which Ports will be Allowed菜单中选择一个选项：

Allow HTTP Port：仅允许端口80。

Allow HTTPS Port：仅允许端口443。

Allow HTTP&HTTPS Port：仅允许端口80和443。默认情况下已填充。

Ports Allowed on Public：允许指定自定义端口或端口范围。在字段中输入端口或端口范围Ports Allowed on Public。

注意：默认情况下亚马逊云科技Certified Hardware设置为aws-byol-voltmesh。Add item您可以使用该选项添加多个节点。

配置入口/出口网关。

对于Ingress/Egress Gateway（Two Interface）选项：

·点击Configure打开双接口节点配置。

·单击Add Item。

·亚马逊云科技AZ Name从菜单中选择一个与配置相匹配的选项亚马逊云科技Region。

·从Workload Subnet菜单中选择一个选项：

New SubnetIPv4 Subnet：在字段中输入子网。

Existing Subnet IDExisting Subnet ID：在字段中输入子网。

注意：工作负载子网是托管应用工作负载的网络。为了成功路由到在工作负载子网中运行的应用，需要在相应的站点对象上添加到工作负载子网CIDR的内部静态路由。

·从Subnet for Outside Interface菜单中选择一个选项：

New SubnetIPv4 Subnet：在字段中输入子网。

Existing Subnet IDExisting Subnet ID：在字段中输入子网。

·单击Add Item。

·在该Site Network Firewall部分中，可选择Active Firewall Policies从Manage Firewall Policy菜单中进行选择。

·选择现有的防火墙策略，或选择Create new Firewall Policy创建并应用防火墙策略。

·创建策略后，单击Continue以应用。

·从Manage Forward Proxy菜单中选择一个选项：

Disable Forward Proxy

Enable Forward Proxy with Allow All Policy

Enable Forward Proxy and Manage Policies：选择现有的转发代理策略，或选择Create new forward proxy policy创建并应用转发代理策略。

·创建策略后，单击Apply。

640 （4）.png

图：节点的网络防火墙配置

·Show Advanced Fields在Advanced Options部分中启用。

·Connect Global Networks从菜单中选择Select Global Networks to Connect，然后执行以下操作：

·单击Add Item。

·从Select Network Connection Type菜单中选择一个选项：

从Global Virtual Network菜单中选择一个选项。

单击Add Item。

从Select DC Cluster Group菜单中，选择一个选项以将您的站点设置在DC集群组中：

Not a Member of DC Cluster Group：默认选项。

·Member of DC Cluster Group via Outside Network：从菜单中选择DC集群组Member of DC Cluster Group via Outside Network以使用外部网络连接您的站点。

Member of DC Cluster Group via Inside Network：从菜单中选择DC集群组Member of DC Cluster Group via Inside Network以使用内部网络连接您的站点。

Manage Static routes从Manage Static Routes for Inside Network菜单中选择。点击小节Add Item。List of Static Routes执行以下步骤之一：

选择Simple Static Route并在Simple Static Route字段中输入静态路由。

选择Custom Static Route然后单击Configure。执行以下步骤：

在该Subnets部分中，单击Add Item。Version从菜单中选择IPv4或IPv6选项。输入子网的前缀和前缀长度。您可以使用该Add item选项设置更多子网。

在该部分中，从菜单Nexthop中选择下一跳类型。从小节的菜单中Type选择IPv4或IPv6。输入IP地址。从菜单中选择一个选项。VersionAddressNetwork Interface

在该Static Route Labels部分中，选择Add label并按照提示操作。

在该部分中，从菜单Attributes中选择支持的属性。Attributes您可以选择多个选项。

单击Apply。

·Manage Static routes从Manage Static Routes for Outside Network菜单中选择。选择Add Item。遵循管理Manage Static Routes for Outside Network菜单静态路由的相同过程。

·设置Allowed VIP Port Configuration for Outside Network和Allowed VIP Port Configuration for Inside Network。这是负载均衡器在多节点站点中的所有节点之间分配流量所必需的。

·在该Allowed VIP Port Configuration for Outside Network部分中，执行以下操作：

从Select Which Ports will be Allowed菜单中选择一个选项：

Allow HTTP Port：仅允许端口80。

Allow HTTPS Port：仅允许端口443。

Allow HTTP&HTTPS Port：仅允许端口80和443。默认情况下已填充。

Ports Allowed on Public：允许指定自定义端口或端口范围。在字段中输入端口或端口范围Ports Allowed on Public。

·在本Allowed VIP Port Configuration for Inside Network节中，执行与上述外部网络相同的步骤。

·单击Apply。

注意：默认情况下亚马逊云科技Certified Hardware设置为aws-byol-multi-nic-voltmesh。Add item您可以使用该选项添加多个节点。

应用堆栈集群（一个接口）。

对于App stack Cluster（One Interface）选项：

·单击Configure以打开配置表单。

·在该App Stack Cluster（One Interface）Nodes in AZ部分中，单击Add Item。执行以下操作：

亚马逊云科技AZ Name从菜单中选择一个与配置相匹配的选项亚马逊云科技Region。

从菜单中选择New Subnet或。Existing Subnet IDSubnet for local Interface

在中输入子网地址IPv4 Subnet或子网ID Existing Subnet ID。

单击Add Item。

·在该Site Network Firewall部分：

可选择Active Firewall Policies从Manage Firewall Policy菜单中选择。选择现有的防火墙策略，或选择Create new Firewall Policy创建并应用防火墙策略。

（可选）从菜单中选择Enable Forward Proxy with Allow All Policy或。对于后一个选项，选择现有的转发代理策略，或选择创建并应用转发代理策略。Enable Forward Proxy and Manage PoliciesManage Forward ProxyCreate new forward proxy policy

·在该Advanced Options部分中，启用该Show Advanced Fields选项。

·Connect Global Networks从菜单中选择Select Global Networks to Connect，然后执行以下操作：

单击Add Item。

从Select Network Connection Type菜单中选择连接类型。

从Global Virtual Network菜单中，从显示的网络列表中选择一个全球网络。

要创建新的全球网络，请单击Create new virtual network：Global Virtual Network

填写表格信息。

单击Continue。

单击Add Item。

Manage Static routes从Manage Static Routes for Site Local Network菜单中选择。

单击Add Item并执行以下步骤之一：

从Static Route Config Mode菜单中选择Simple Static Route。Simple Static Route在字段中输入静态路由。

从Static Route Config Mode菜单中选择Custom Static Route。单击Configure。执行以下步骤：

在Subnets部分中，单击Add Item。从菜单中选择IPv4 Subnet或。IPv6 SubnetVersion

输入子网的前缀和前缀长度。

使用该Add Item选项设置更多子网。

在部分中，从菜单Nexthop中选择下一个类型Type

从菜单中选择IPv4 Address或IPv6 AddressVersion

输入IP地址。

从Network Interface菜单中，选择一个网络接口或选择Create new network interface创建并应用一个新的网络接口。

在该部分中，从菜单Attributes中选择支持的属性。Attributes您可以选择多个选项。

单击Apply以添加自定义路由。

单击Add Item。

单击Apply。

·从Select DC Cluster Group菜单中，选择一个选项以将您的站点设置在DC集群组中：

Not a Member：默认选项。

Member of DC Cluster Group：从菜单中选择DC集群组Member of DC Cluster Group以使用外部网络连接您的站点。

·从Allowed VIP Port Configuration菜单中，为负载均衡器配置VIP端口，以在多节点站点中的所有节点之间分配流量。

·从Site Local K8s API access菜单中，选择API访问选项。

注意：分布式云平台支持托管K8s的变异和验证webhook。可以在K8s配置中启用Webhook支持（管理>管理K8s>K8s集群）。

·在该Storage Configuration部分中，启用该Show Advanced Fields选项。

·从Select Configuration for Storage Classes菜单中选择Add Custom Storage Class。

·单击Add Item。

·在该Storage Class Name字段中，输入将在Kubernetes中显示的存储类的名称。

·（可选）启用Default Storage Class使这个新存储类成为所有集群的默认类的选项。

·在该Storage Device部分：

在该Replication字段中，输入一个数字以设置PV的复制因子。

在该Storage Size字段中，设置每个节点的存储容量（以千兆字节（GB）为单位）。

·单击Add Item。

·单击Apply。

注意：默认情况下亚马逊云科技Certified Hardware设置为aws-byol-voltstack-combo。Add Item您可以使用该选项添加多个节点。

步骤2.3：设置部署类型。

·从Automatic Deployment下拉菜单中选择Automatic Deployment：

选择现有的亚马逊云科技凭证对象，或单击Create new Cloud Credential以加载表单。

·要创建新凭据：

根据需要输入Name、Labels和Description。

从Select Cloud Credential Type菜单中选择亚马逊云科技Programmatic Access Credentials。

Access Key ID在字段中输入亚马逊云科技访问ID。

单击Configure该Secret Access Key字段。

从Secret Info菜单：

Blindfold Secret：在框中输入密码Type。

Clear Secret:以或格式在Clear Secret框中输入密码。Textbase64（binary）

单击Apply。

·单击Continue以添加新凭据。

注意：确保亚马逊云科技凭证与策略要求文档中所需的访问策略一起应用。

策略要求：https://docs.cloud.f5.com/docs/reference/cloud-cred-ref/aws-vpc-cred-ref

图：部署配置

第3步：设置站点节点参数

·在该Site Node Parameters部分中，启用该Show Advanced Fields选项。或者，添加地理地址并输入纬度和经度值。

·从亚马逊云科技Instance Type for Node菜单中选择一个选项。

·或者，在框中输入您的SSH密钥Public SSH key。

640 （1）.png

图：站点节点参数配置

第4步：配置高级配置选项

·在该Advanced Configuration部分中，启用该Show Advanced Fields选项。

·从Logs Streaming菜单中选择一个选项。

·从Select Volterra Software Version菜单中选择一个选项。

·从Select Operating System Version菜单中选择一个选项。

·从Desired Worker Nodes Selection菜单中选择一个选项：

Desired Worker Nodes Per AZ在字段中输入工作程序节点的数量。您在此处设置的工作程序节点数将根据您在其中创建节点的可用区创建。例如，如果您在三个可用区中配置三个节点，并将Desired Worker Nodes Per AZ框设置为3，则每个可用区创建3个工作程序节点，并且此亚马逊云科技VPC站点的工作程序节点总数将为9。

640 （2）.png