本教程介绍了如何在使用 Google Distributed Cloud 上的手动负载均衡模式与 Google Distributed Cloud 集成时设置 F5 BIG-IP。
F5 BIG-IP 平台提供了各种服务,帮助您增强应用的安全性、可用性和性能。这些服务包括 L7 负载均衡、网络防火墙、Web 应用防火墙 (WAF)、DNS 服务等。对于 Google Distributed Cloud,BIG-IP 会提供外部访问权限和 L3/4 负载均衡服务。
其他配置
设置实用程序完成后,您需要为打算公开和访问的每个用户集群创建管理分区。
最初,您需要为第一个用户集群定义一个分区。请勿将集群分区用于其他任何内容。 每个集群都必须有一个单独用于该集群的分区。
为 Google Distributed Cloud 外部端点配置 BIG-IP
如果您未停用捆绑式 Ingress,则必须使用与以下 Google Distributed Cloud 端点对应的虚拟服务器 (VIP) 配置 BIG-IP:
用户分区
- 用户集群 Ingress 控制器的 VIP(公开的端口:
443) - 用户集群 Ingress 控制器的 VIP(公开的端口:
80)
- 用户集群 Ingress 控制器的 VIP(公开的端口:
创建节点对象
集群节点的外部 IP 地址进而用于在 BIG-IP 系统上配置节点对象。您将为每个 Google Distributed Cloud 集群节点创建一个节点对象。节点会添加到后端池,然后与虚拟服务器关联。
- 如需登录 BIG-IP 管理控制台,请前往 IP 地址。地址是在安装期间提供的。
- 点击您之前创建的用户分区。
- 前往本地流量 > 节点 > 节点列表。
- 点击创建。
为每个集群主机输入名称和 IP 地址,然后点击已完成。
创建后端池
您可以为每个节点端口创建一个后端池。
- 在 BIG-IP 管理控制台中,点击您之前创建的用户分区的用户分区。
- 前往本地流量 > 池 > 池列表。
- 点击创建。
- 在配置下拉列表中,点击高级。
- 在名称字段中,输入
Istio-80-pool。 - 如需验证池成员的可访问性,请在运行状况监控器下点击 tcp。可选:由于这是一项手动配置,因此您还可以根据自己的部署使用更高级的监控工具。
对于针对服务停用的操作,点击拒绝。
在本教程中,请在负载均衡方法下拉列表中,点击轮循。
在新成员部分中,点击节点列表,然后选择之前创建的节点。
在服务端口字段中,输入配置文件中的相应
nodePort或运行时 Istio Ingress Kubernetes Service(名称:istio-ingress,命名空间:gke-system)中的spec.ports[?].nodePort。点击添加。
重复第 8-9 步,并添加每个集群节点实例。
点击 Finished。
针对剩余的用户集群 nodePort 重复本部分中的所有这些步骤。
创建虚拟服务器
您在 BIG-IP 上为第一个用户集群创建了两个虚拟服务器。虚拟服务器对应于“VIP + 端口”组合。
- 在 BIG-IP 管理控制台中,点击您之前创建的用户分区。
- 前往本地流量 > 虚拟服务器 > 虚拟服务器列表。
- 点击创建。
- 在名称字段中,输入
istio-ingress-80。 在目标地址/掩码字段中,输入 VIP 的 IP 地址。在本教程中,请使用运行时 Istio Ingress Kubernetes Service(名称:
istio-ingress,命名空间:gke-system)中的 HTTP Ingress VIPconfiguration file或spec.loadBalancerIP。在服务端口字段中,输入 VIP 的相应监听器端口。在本教程中,请在运行时 Istio Ingress Kubernetes Service(名称:
istio-ingress,命名空间:gke-system)中使用端口80或spec.ports[?].port。
对于来源地址转换,请点击自动映射。
对于默认池,请选择您之前创建的相应池。
点击 Finished。
后续步骤
如需进一步增强面向外部的 VIP 的安全性和性能,请考虑以下事项:
详细了解 F5 BIG-IP 应用服务。
详细了解 BIG-IP 配置和功能: