如何通過F5分布式云快速在亞馬遜云科技環(huán)境構(gòu)建Edge Security Edition（上）

亞馬遜云科技VPC站點(diǎn)部署類型

可以以三種不同的模式部署站點(diǎn)：

1 Ingress Gateway（一個接口）

在這種部署模式下，站點(diǎn)連接到單個VPC和單個子網(wǎng)。它可以提供從該子網(wǎng)到客戶租戶中配置的任何其他站點(diǎn)可訪問的服務(wù)和端點(diǎn)的發(fā)現(xiàn)。

2 Ingress/Egress Gateway（兩個接口）

在這種部署模式下，站點(diǎn)連接到一個VPC，在不同的子網(wǎng)上至少有兩個接口。一個子網(wǎng)標(biāo)記為Outside，另一個子網(wǎng)標(biāo)記為Inside。在這種模式下，站點(diǎn)通過Site Inside接口通過默認(rèn)網(wǎng)關(guān)為VM和子網(wǎng)提供安全性和連接性。

3 F5分布式云應(yīng)用堆棧集群（App Stack）（一個接口）

本站點(diǎn)的F5分布式云網(wǎng)格（Mesh）部署和配置與Ingress Gateway（一個接口）相同。此部署的不同之處在于認(rèn)證硬件類型為aws-byol-voltstack-combo.這將配置和部署一個實(shí)例類型，允許站點(diǎn)擁有Kubernetes Pod和使用Virtual K8s部署的VM。

Virtual K8s：https://docs.cloud.f5.com/docs/how-to/app-management/vk8s-deployment

入口網(wǎng)關(guān)（一個接口）

在這種部署模式下，F(xiàn)5?分布式云網(wǎng)格（Mesh）需要附加一個接口。在節(jié)點(diǎn)上運(yùn)行的服務(wù)使用此接口連接到Internet。此外，此接口用于發(fā)現(xiàn)其他服務(wù)和虛擬機(jī)，并將它們公開給同一租戶中的其他站點(diǎn)。例如，在下圖中，可以通過反向代理遠(yuǎn)程發(fā)現(xiàn)和公開DevOps或Dev EC2實(shí)例上的TCP或HTTP服務(wù)。

如下圖所示，該接口位于與默認(rèn)路由指向互聯(lián)網(wǎng)網(wǎng)關(guān)的VPC主路由表關(guān)聯(lián)的外部子網(wǎng)上。這就是來自外部接口的流量以及與此路由表對象關(guān)聯(lián)的其他子網(wǎng)如何到達(dá)互聯(lián)網(wǎng)的方式。對于其他子網(wǎng)（例如，Dev和DevOps），它們與VPC主路由表相關(guān)聯(lián)。這意味著此VPC中任何新創(chuàng)建的子網(wǎng)都會自動與此路由表關(guān)聯(lián)。

圖：亞馬遜云科技VPC站點(diǎn)部署-入口網(wǎng)關(guān)（一個接口）

入口/出口網(wǎng)關(guān)（兩個接口）

在此部署場景中，Mesh節(jié)點(diǎn)需要連接兩個接口。第一個接口是外部接口，節(jié)點(diǎn)上運(yùn)行的服務(wù)可以通過該接口連接到互聯(lián)網(wǎng)。第二個接口是內(nèi)部接口，它將成為私有子網(wǎng)中所有應(yīng)用工作負(fù)載和服務(wù)的默認(rèn)網(wǎng)關(guān)IP地址。

如下圖所示，外部接口位于外部子網(wǎng)，與外部子網(wǎng)路由表相關(guān)聯(lián)，其默認(rèn)路由指向互聯(lián)網(wǎng)網(wǎng)關(guān)。這就是來自外部接口的流量如何到達(dá)互聯(lián)網(wǎng)的方式。對于內(nèi)部子網(wǎng)，這些與內(nèi)部子網(wǎng)路由表相關(guān)聯(lián)，該路由表也是此VPC的主路由表。這意味著此VPC中任何新創(chuàng)建的子網(wǎng)都會自動與內(nèi)部子網(wǎng)路由表關(guān)聯(lián)。這個私有子網(wǎng)路由表有一個默認(rèn)路由指向Mesh節(jié)點(diǎn)的內(nèi)部IP地址（192.168.32.186）。

一但Mesh站點(diǎn)上線，節(jié)點(diǎn)的內(nèi)部網(wǎng)絡(luò)將通過外部接口上啟用的轉(zhuǎn)發(fā)代理和SNAT連接到外部網(wǎng)絡(luò)。這樣，來自內(nèi)部接口的所有流量都將通過轉(zhuǎn)發(fā)代理轉(zhuǎn)發(fā)到Internet，并且SNAT發(fā)生在外部接口上。現(xiàn)在私有子網(wǎng)上的所有工作負(fù)載都可以通過Mesh站點(diǎn)到達(dá)Internet。

APP Stack集群（一個接口）

就站點(diǎn)網(wǎng)絡(luò)和轉(zhuǎn)發(fā)/安全的配置方式而言，此方案與Ingress Gateway（一個接口）相同。除此之外，還提供了App Stack（分布式應(yīng)用管理平臺）。

在這種部署場景中，Mesh需要附加一個接口。在節(jié)點(diǎn)上運(yùn)行的服務(wù)使用此接口連接到Internet。此外，此接口用于發(fā)現(xiàn)其他服務(wù)和虛擬機(jī)，并將它們公開給同一租戶中的其他站點(diǎn)。例如，在下圖中，可以通過反向代理遠(yuǎn)程發(fā)現(xiàn)和公開DevOps或Dev EC2實(shí)例上的TCP或HTTP服務(wù)。

如果在vK8s集群中進(jìn)行配置，則可以將應(yīng)用部署到該站點(diǎn)的App Stack產(chǎn)品中。站點(diǎn)的App Stack的服務(wù)/pods可以暴露給VPC路由表上的其他服務(wù)和虛擬機(jī)；或通過EIP（公網(wǎng)IP）或應(yīng)用交付網(wǎng)絡(luò)（ADN）在外部提供。

如下圖所示，該接口位于與默認(rèn)路由指向互聯(lián)網(wǎng)網(wǎng)關(guān)的VPC主路由表關(guān)聯(lián)的外部子網(wǎng)上。這就是來自外部接口的流量以及與此路由表對象關(guān)聯(lián)的其他子網(wǎng)如何到達(dá)Internet。對于其他子網(wǎng)（例如，Dev和DevOps），它們與VPC主路由表相關(guān)聯(lián)。這意味著此VPC中任何新創(chuàng)建的子網(wǎng)都會自動與此路由表關(guān)聯(lián)。

先決條件

以下先決條件必須滿足：

·F5分布式云服務(wù)帳戶。如果您沒有帳戶，請聯(lián)系F5銷售。

·每個節(jié)點(diǎn)所需的資源：至少4個vCPU和14 GB RAM。

·附加現(xiàn)有VPC時，不應(yīng)存在預(yù)先存在的站點(diǎn)本地外部、站點(diǎn)本地內(nèi)部和工作負(fù)載子網(wǎng)關(guān)聯(lián)。

·如果Internet網(wǎng)關(guān)（IGW）與VPC連接，則至少有一個路由應(yīng)指向VPC的任何路由表中的IGW。

亞馬遜網(wǎng)絡(luò)服務(wù)（AWS）賬戶。有關(guān)部署AWS VPC站點(diǎn)所需的權(quán)限，參見如下：