本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 将 F5 BIG-IP 工作负载迁移到 F5 BIG-IP VE AWS 云
<a name="migrate-an-f5-big-ip-workload-to-f5-big-ip-ve-on-the-aws-cloud"></a>

*Deepak Kumar，Amazon Web Services*

## Summary
<a name="migrate-an-f5-big-ip-workload-to-f5-big-ip-ve-on-the-aws-cloud-summary"></a>

Organizations希望迁移 AWS 云 到以提高其敏捷性和弹性。将 [F5 BIG-IP](https://www.f5.com/products/big-ip-services) 安全和流量管理解决方案迁移到后 AWS 云，您可以专注于在企业架构中提高敏捷性并采用高价值运营模型。

此模式介绍了如何在 AWS 云上将 F5 BIG-IP 工作负载迁移至 [F5 BIG-IP Virtual Edition（VE）](https://www.f5.com/products/big-ip-services/virtual-editions)工作负载。将通过为现有环境更换主机并利用更换平台的各个方面（例如服务发现和 API 集成）来迁移工作负载。[AWS CloudFormation 模板](https://github.com/F5Networks/f5-aws-cloudformation)可加快您的工作负载迁移至 AWS 云的速度。

此模式适用于正在迁移 F5 安全和流量管理解决方案的技术工程和架构团队，并附有规范性指南网站上的《[从 F5 BIG-IP 迁移到 F5 BIG-IP VE](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-f5-big-ip/welcome.html)》指南。 AWS 云 AWS 

## 先决条件和限制
<a name="migrate-an-f5-big-ip-workload-to-f5-big-ip-ve-on-the-aws-cloud-prereqs"></a>

**先决条件**
+ 现有的本地 F5 BIG-IP 工作负载。
+ 现有 BIG-IP VE 版本 F5 许可证。
+ 活跃 AWS 账户的.
+ 一种现有的虚拟私有云 (VPC)，配置通过 NAT 网关或弹性 IP 地址的出口，并配置为访问以下终端节点：亚马逊简单存储服务 (Amazon S3) Simple Storage Service、Amazon Elastic Compute Cloud (Amazon AWS Security Token Service EC2)、AWS STS() 和亚马逊。 CloudWatch您还可以修改[模块化和可扩展 VPC 架构](https://aws.amazon.com/quickstart/architecture/vpc/) Quick Start，将其作为部署的基块。 
+ 一个或两个可用现有区，具体取决于您的要求。 
+ 每个可用区内包含三个私有子网。
+ AWS CloudFormation 模板，[在 F5 GitHub 存储库中可用](https://github.com/F5Networks/f5-aws-cloudformation/blob/master/template-index.md)。 

在迁移过程中，您还可以根据需要使用以下内容：
+ [F5 云故障转移扩展](https://clouddocs.f5.com/products/extensions/f5-cloud-failover/latest/)用于管理弹性 IP 地址映射、辅助 IP 映射以及路由表更改。 
+ 如果您使用多个可用区，则需要使用 F5 云故障转移扩展来处理与虚拟服务器的弹性 IP 映射。
+ 您应考虑使用 [F5 应用程序服务 3 (AS3)](https://clouddocs.f5.com/products/extensions/f5-appsvcs-extension/latest/)、[F5 应用程序服务模板 (FAST)](https://clouddocs.f5.com/products/extensions/f5-appsvcs-templates/latest/) 或其他基础设施即代码 (IaC) 模型来管理配置。在 IaC 模型中准备配置，并使用代码存储库帮助迁移和持续的管理工作。

**专业知识**
+ 这种模式需要熟悉 VPCs 如何将一个或多个数据中心连接到现有的数据中心。有关这方面的更多信息，请参阅 Amazon [Network-to-Amazon VPC 文档中的 VPC 连接选项](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html)。 
+ [还需要熟悉 F5 产品和模块，包括[Traffic Management Operating System (TMOS)](https://www.f5.com/services/resources/white-papers/tmos-redefining-the-solution)、[Local Traffic Manager (LTM)](https://www.f5.com/products/big-ip-services/local-traffic-manager)、[Global Traffic Manager (GTM)](https://techdocs.f5.com/kb/en-us/products/big-ip_gtm/manuals/product/gtm-concepts-11-5-0/1.html#unique_9842886)、[Access Policy Manager (APM)](https://www.f5.com/products/security/access-policy-manager)、[Application Security Manager (ASM)](https://www.f5.com/pdf/products/big-ip-application-security-manager-overview.pdf)、[Advanced Firewall Manager (AFM)](https://www.f5.com/products/security/advanced-firewall-manager) 以及 BIG-IQ](https://www.f5.com/products/automation-and-orchestration/big-iq)。

**产品版本**
+ 我们建议您使用 F5 BIG-IP [13.1](https://techdocs.f5.com/kb/en-us/products/big-ip_ltm/releasenotes/product/relnote-bigip-ve-13-1-0.html)或更高版本，尽管该模式支持 F5 BIG-IP [12.1](https://techdocs.f5.com/kb/en-us/products/big-ip_ltm/releasenotes/product/relnote-bigip-12-1-4.html)或更高版本。

## 架构
<a name="migrate-an-f5-big-ip-workload-to-f5-big-ip-ve-on-the-aws-cloud-architecture"></a>

**源技术堆栈**
+ F5 BIG-IP 工作负载

**目标技术堆栈**
+ Amazon CloudFront
+ CloudWatch
+ Amazon EC2
+ Amazon S3
+ Amazon VPC
+ AWS Global Accelerator
+ AWS STS
+ AWS Transit Gateway
+ F5 BIG-IP VE

**目标架构**

![\[将 F5 BIG-IP 工作负载迁移到 F5 BIG-IP VE 工作负载的架构。\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/patterns/images/pattern-img/586fe806-fac1-48d3-9eb1-45a6c86430dc/images/16d7fc09-1ffe-4721-b503-d971db84cbae.png)


## 工具
<a name="migrate-an-f5-big-ip-workload-to-f5-big-ip-ve-on-the-aws-cloud-tools"></a>
+ [CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)帮助您设置 AWS 资源，快速一致地配置资源，并在和的整个 AWS 账户 生命周期中对其进行管理 AWS 区域。
+ [Amazon](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/Introduction.html) 通过全球数据中心网络交付您的网页内容，从而降低延迟并提高性能，从而 CloudFront加快网络内容的分发。  
+ [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) 可帮助您实时监控您的 AWS 资源和运行的应用程序 AWS 的指标。
+ [Amazon Elastic Compute Cloud (Amazon EC2)](https://docs.aws.amazon.com/ec2/) 在中 AWS 云 提供可扩展的计算容量。您可以根据需要启动任意数量的虚拟服务器，并快速向上或向下扩展。
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) 通过控制谁经过身份验证并有权使用 AWS 资源，从而帮助您安全地管理对资源的访问权限。
+ [Amazon Simple Storage Service（Amazon S3）](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html)是一项基于云的对象存储服务，可帮助您存储、保护和检索任意数量的数据。
+ [AWS Security Token Service (AWS STS)](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html) 可帮助您为用户申请临时的、有限权限的证书。
+ [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)是连接虚拟私有云 (VPCs) 和本地网络的中央集线器。
+ [Amazon Virtual Private Cloud（亚马逊 VPC）](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)可帮助您将 AWS 资源启动到您定义的虚拟网络中。该虚拟网络类似于您在数据中心中运行的传统网络，并具有使用 AWS的可扩展基础设施的优势。

## 操作说明
<a name="migrate-an-f5-big-ip-workload-to-f5-big-ip-ve-on-the-aws-cloud-epics"></a>

### 发现与评测
<a name="discovery-and-assessment"></a>


| Task | 说明 | 所需技能 | 
| --- | --- | --- | 
| 评测 F5 BIG-IP 性能。 | 收集并记录虚拟服务器上应用程序的性能指标，以及将要迁移系统的指标。这将有助于正确调整目标 AWS 基础架构的规模，从而实现更好的成本优化。 | F5 架构师、工程师和网络架构师以及工程师 | 
| 评估 F5 BIG-IP 操作系统和配置。 | 评估将迁移哪些对象以及是否需要维护网络结构，例如 VLANs。 | F5 架构师、工程师 | 
| 评估 F5 许可证选项。 | 评估您所需许可证和使用模式 此评测应基于您对 F5 BIG-IP 操作系统与配置的评估。 | F5 架构师、工程师 | 
| 评估公用应用程序。 | 确定哪些需要公有 IP 地址的应用程序。将这些应用程序与所需实例和集群对齐，以满足性能和服务水平协议（SLA）要求。 | F5 架构师、云架构师、网络架构师、工程师、应用团队 | 
| 评估内部应用程序。 | 评估内部用户将使用的应用程序。确保您了解这些内部用户在组织中的位置，以及这些环境如何连接至 AWS 云。您还应确保这些应用程序在默认域中使用域名系统（DNS）。 | F5 架构师、云架构师、网络架构师、工程师、应用团队 | 
| 完成 AMI。 | 并非所有 F5 BIG-IP 版本都是以 Amazon 机器映像 () 的形式创建的。AMIs如果您有特定的快速修复工程 (QFE) 版本，则可以使用 F5 BIG-IP Image Generator Tool。如需了解关此工具的更多信息，请参阅“相关资源”部分。 | F5 架构师、云架构师、工程师 | 
| 最终确定实例类型和架构。 | 决定实例类型、VPC 架构和互连架构。 | F5 架构师、云架构师、网络架构师、工程师 | 

### 完成与安全和合规相关的活动
<a name="complete-security-and-compliance-related-activities"></a>


| Task | 说明 | 所需技能 | 
| --- | --- | --- | 
| 记录现有 F5 安全策略。 | 收集并记录现有 F5 安全策略。确保在安全的代码存储库中创建副本。 | F5 架构师、工程师 | 
| 加密 AMI。 | （可选）您的组织可能需要静态数据加密。关于创建自带许可（BYOL）映像的更多信息，请参阅“相关资源”部分。 | F5 架构师、工程师云架构师、工程师 | 
| 强化设备。 | 这将有助于防范潜在漏洞。 | F5 架构师、工程师 | 

### 配置您的新 AWS 环境
<a name="configure-your-new-aws-environment"></a>


| Task | 说明 | 所需技能 | 
| --- | --- | --- | 
| 创建边缘和安全账户。 | 登录并创建 AWS 账户 将提供 AWS 管理控制台 和运营边缘和安全服务的。这些帐户可能不同于 VPCs 为共享服务和应用程序运行的帐户。此步骤可以作为登录区的一部分。 | 云架构师、工程师 | 
| 部署边缘和安全性 VPCs。 | 设置和配置交付边缘和安全服务 VPCs 所需的内容。 | 云架构师、工程师 | 
| 连接至源数据中心。 | 连接至托管 F5 BIG-IP 工作负载的源数据中心。 | 云架构师、网络架构师、工程师 | 
| 部署 VPC 连接。 | 将 Edge 和安全服务 VPCs 连接到应用程序 VPCs。 | 网络架构师、工程师 | 
| 部署实例。 | 使用 “相关资源” 部分中的 CloudFormation 模板部署实例。 | F5 架构师、工程师 | 
| 测试和配置实例故障转移。 | 确保 AWS 高级 HA iApp 模板或 F5 云故障转移扩展已配置且运行正常。 | F5 架构师、工程师 | 

### 配置联网
<a name="configure-networking"></a>


| Task | 说明 | 所需技能 | 
| --- | --- | --- | 
| 准备 VPC 拓扑。 | 打开 Amazon VPC 控制台，确保您的 VPC 具有 F5 BIG-IP VE 部署所需所有子网与保护。 | 网络架构师、F5 架构师、云架构师、工程师 | 
| 准备好 VPC 端点。 | 为 Amazon EC2、Amazon S3 以及 AWS STS F5 BIG-IP 工作负载无法访问 TMM 接口上的 NAT 网关或弹性 IP 地址时准备 VPC 终端节点。 | 云架构师、工程师 | 

### 迁移数据
<a name="migrate-data"></a>


| Task | 说明 | 所需技能 | 
| --- | --- | --- | 
| 迁移配置。 | 将 F5 BIG-IP 配置迁移至 AWS 云上的 F5 BIG-IP VE。 | F5 架构师、工程师 | 
| 关联次要节点 IPs。 | 虚拟服务器 IP 地址与分配至实例的辅助 IP 地址关联。分配辅助 IP 地址，并确保选中“允许重新映射/重新分配”。 | F5 架构师、工程师 | 

### 测试配置
<a name="test-configurations"></a>


| Task | 说明 | 所需技能 | 
| --- | --- | --- | 
| 验证虚拟服务器配置。 | 测试虚拟服务器。 | F5 架构师、应用团队 | 

### 完成操作
<a name="finalize-operations"></a>


| Task | 说明 | 所需技能 | 
| --- | --- | --- | 
| 创建备份策略。 | 必须关闭系统才可创建完整快照。有关更多信息，请参阅“相关资源”部分中的“更新 F5 BIG-IP 虚拟机”。 | F5 架构师、云架构师、工程师 | 
| 创建集群故障转移运行手册。 | 确保故障转移运行手册进程已完成。 | F5 架构师、工程师 | 
| 设置和验证日志记录。 | 配置 F5 Telemetry Streaming 以将日志发送至所需目标。 | F5 架构师、工程师 | 

### 完成割接
<a name="complete-the-cutover"></a>


| Task | 说明 | 所需技能 | 
| --- | --- | --- | 
| 割接到新的部署。 |  | F5 架构师、云架构师、网络架构师、工程师 AppTeams | 

## 相关资源
<a name="migrate-an-f5-big-ip-workload-to-f5-big-ip-ve-on-the-aws-cloud-resources"></a>

**迁移指南**
+ [在 F5 BIG-IP 迁移到 F5 BIG-IP VE AWS 云](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-f5-big-ip/welcome.html)

**F5 资源**
+ [CloudFormation F5 GitHub 存储库中的模板](https://github.com/F5Networks/f5-aws-cloudformation)
+ [F5 输入 AWS Marketplace](https://aws.amazon.com/marketplace/seller-profile?id=74d946f0-fa54-4d9f-99e8-ff3bd8eb2745)
+ [F5 BIG-IP VE 概述](https://www.f5.com/products/big-ip-services/virtual-editions) 
+ [快速入门示例 - BIG-IP Virtual Edition with WAF (LTM \$1 ASM)](https://github.com/F5Networks/f5-aws-cloudformation-v2/tree/main/examples/quickstart)
+ [F5 应用程序服务开启 AWS：概述（视频）](https://www.youtube.com/watch?v=kutVjRHOAXo)
+ [F5 应用程序服务 3 扩展用户指南](https://clouddocs.f5.com/products/extensions/f5-appsvcs-extension/latest/)
+ [F5 云文档](https://clouddocs.f5.com/training/community/public-cloud/html/intro.html)
+ [F5 iControl REST wiki](https://clouddocs.f5.com/api/icontrol-rest/)
+ [F5 单一配置文件（11.x - 15.x）概述](https://support.f5.com/csp/article/K13408)
+ [F5 白皮书](https://www.f5.com/services/resources/white-papers)
+ [F5 BIG-IP Image Generator Tool](https://clouddocs.f5.com/cloud/public/v1/ve-image-gen_index.html)
+ [更新 F5 BIG-IP VE 虚拟机](https://techdocs.f5.com/kb/en-us/products/big-ip_ltm/manuals/product/bigip-ve-setup-vmware-esxi-11-5-0/3.html)
+ [UCS 存档“平台迁移”选项概述](https://support.f5.com/csp/article/K82540512)