本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在 上將 F5 BIG-IP 工作負載遷移至 F5 BIG-IP VE AWS 雲端
<a name="migrate-an-f5-big-ip-workload-to-f5-big-ip-ve-on-the-aws-cloud"></a>

*Deepak Kumar，Amazon Web Services*

## 摘要
<a name="migrate-an-f5-big-ip-workload-to-f5-big-ip-ve-on-the-aws-cloud-summary"></a>

組織希望遷移至 AWS 雲端 ，以提高敏捷性和彈性。將 [F5 BIG-IP ](https://www.f5.com/products/big-ip-services)安全和流量管理解決方案遷移至 後 AWS 雲端，您可以專注於在整個企業架構中採用高價值操作模型的敏捷性和採用性。

此模式說明如何將 F5 BIG-IP 工作負載遷移至 上的 [F5 BIG-IP Virtual Edition (VE)](https://www.f5.com/products/big-ip-services/virtual-editions) 工作負載 AWS 雲端。工作負載的遷移方式是重新託管現有環境，並部署轉換的層面，例如服務探索和 API 整合。 [AWS CloudFormation 範本](https://github.com/F5Networks/f5-aws-cloudformation)可加速工作負載遷移至 AWS 雲端。

此模式適用於技術工程和架構團隊，這些團隊正在遷移 F5 安全和流量管理解決方案，並隨附 AWS 規範性指引網站上的指南[從 F5 BIG-IP 遷移至 F5 BIG-IP VE AWS 雲端](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-f5-big-ip/welcome.html)。

## 先決條件和限制
<a name="migrate-an-f5-big-ip-workload-to-f5-big-ip-ve-on-the-aws-cloud-prereqs"></a>

**先決條件**
+ 現有的內部部署 F5 BIG-IP 工作負載。
+ BIG-IP VE 版本的現有 F5 授權。
+ 作用中 AWS 帳戶。
+ 透過 NAT 閘道或彈性 IP 地址設定輸出的現有虛擬私有雲端 (VPC)，並設定存取下列端點：Amazon Simple Storage Service (Amazon S3)、Amazon Elastic Compute Cloud (Amazon EC2)、 AWS Security Token Service (AWS STS) 和 Amazon CloudWatch。您也可以修改[模組化和可擴展的 VPC 架構](https://aws.amazon.com/quickstart/architecture/vpc/) Quick Start，做為部署的建置區塊。 
+ 一或兩個現有的可用區域，視您的需求而定。 
+ 每個可用區域中有三個現有的私有子網路。
+ AWS CloudFormation 範本，[可在 F5 GitHub 儲存庫中使用](https://github.com/F5Networks/f5-aws-cloudformation/blob/master/template-index.md)。 

在遷移期間，視您的需求而定，您也可以使用下列項目：
+ 管理彈性 IP 地址映射、次要 IP 映射和路由表變更的 [F5 雲端容錯移轉延伸](https://clouddocs.f5.com/products/extensions/f5-cloud-failover/latest/)。 
+ 如果您使用多個可用區域，則需要使用 F5 雲端容錯移轉延伸來處理彈性 IP 映射到虛擬伺服器。
+ 您應該考慮使用 [F5 Application Services 3 (AS3)](https://clouddocs.f5.com/products/extensions/f5-appsvcs-extension/latest/)、[F5 Application Services Templates (FAST)](https://clouddocs.f5.com/products/extensions/f5-appsvcs-templates/latest/) 或其他基礎設施做為程式碼 (IaC) 模型來管理組態。在 IaC 模型中準備組態並使用程式碼儲存庫，將有助於遷移和持續的管理工作。

**專業知識**
+ 此模式需要熟悉如何將一或多個 VPCs 連接到現有資料中心。如需詳細資訊，請參閱 [Network-to-Amazon Amazon VPC 連線選項](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html)。 
+ F5 產品和模組也需要熟悉，包括[流量管理作業系統 (TMOS)](https://www.f5.com/services/resources/white-papers/tmos-redefining-the-solution)、[本機流量管理員 (LTM)](https://www.f5.com/products/big-ip-services/local-traffic-manager)、[全域流量管理員 (GTM)](https://techdocs.f5.com/kb/en-us/products/big-ip_gtm/manuals/product/gtm-concepts-11-5-0/1.html#unique_9842886)、[存取政策管理員 (APM)](https://www.f5.com/products/security/access-policy-manager)、[應用程式安全管理員 (ASM)](https://www.f5.com/pdf/products/big-ip-application-security-manager-overview.pdf)、[進階防火牆管理員 (AFM)](https://www.f5.com/products/security/advanced-firewall-manager) 和 [BIG-IQ](https://www.f5.com/products/automation-and-orchestration/big-iq)。

**產品版本**
+ 我們建議您使用 F5 BIG-IP [13.1 版](https://techdocs.f5.com/kb/en-us/products/big-ip_ltm/releasenotes/product/relnote-bigip-ve-13-1-0.html)或更新版本，雖然模式支援 F5 BIG-IP [12.1 版或更新版本。](https://techdocs.f5.com/kb/en-us/products/big-ip_ltm/releasenotes/product/relnote-bigip-12-1-4.html)

## Architecture
<a name="migrate-an-f5-big-ip-workload-to-f5-big-ip-ve-on-the-aws-cloud-architecture"></a>

**來源技術堆疊**
+ F5 BIG-IP 工作負載

**目標技術堆疊  **
+ Amazon CloudFront
+ CloudWatch
+ Amazon EC2
+ Amazon S3
+ Amazon VPC
+ AWS Global Accelerator
+ AWS STS
+ AWS Transit Gateway
+ F5 BIG-IP VE

**目標架構 **

![\[將 F5 BIG-IP 工作負載遷移至 F5 BIG-IP VE 工作負載的架構。\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/patterns/images/pattern-img/586fe806-fac1-48d3-9eb1-45a6c86430dc/images/16d7fc09-1ffe-4721-b503-d971db84cbae.png)


## 工具
<a name="migrate-an-f5-big-ip-workload-to-f5-big-ip-ve-on-the-aws-cloud-tools"></a>
+ [CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) 可協助您設定 AWS 資源、快速且一致地佈建資源，以及在整個 AWS 帳戶 和 生命週期中管理資源 AWS 區域。
+ [Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/Introduction.html) 透過全球資料中心網路提供 Web 內容，進而降低延遲並改善效能，進而加快 Web 內容的發佈速度。  
+ [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) 可協助您 AWS 即時監控 AWS 資源的指標，以及您執行的應用程式。
+ [Amazon Elastic Compute Cloud (Amazon EC2)](https://docs.aws.amazon.com/ec2/) 在 中提供可擴展的運算容量 AWS 雲端 。您可以根據需要啟動任意數量的虛擬伺服器，並快速擴展或縮減它們。
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) 透過控制已驗證並獲授權使用的人員，協助您安全地管理對 AWS 資源的存取。
+ [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) 是一種雲端型物件儲存服務，可協助您儲存、保護和擷取任何數量的資料。
+ [AWS Security Token Service (AWS STS)](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html) 可協助您為使用者請求暫時、有限權限的登入資料。
+ [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) 是連接虛擬私有雲端 (VPC) 和內部部署網路的中央中樞。
+ [Amazon Virtual Private Cloud (Amazon VPC) ](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)可協助您在已定義的虛擬網路中啟動 AWS 資源。此虛擬網路與您在自己的資料中心中操作的傳統網路相似，且具備使用 AWS可擴展基礎設施的優勢。

## 史詩
<a name="migrate-an-f5-big-ip-workload-to-f5-big-ip-ve-on-the-aws-cloud-epics"></a>

### 探索和評估
<a name="discovery-and-assessment"></a>


| 任務 | Description | 所需的技能 | 
| --- | --- | --- | 
| 評估 F5 BIG-IP 的效能。 | 收集並記錄虛擬伺服器上應用程式的效能指標，以及將遷移的系統指標。這將有助於正確調整目標 AWS 基礎設施的大小，以獲得更好的成本最佳化。 | F5 架構師、工程師和網路架構師、工程師 | 
| 評估 F5 BIG-IP 作業系統和組態。 | 評估要遷移哪些物件，以及是否需要維護網路結構，例如 VLANs。 | F5 架構師、工程師 | 
| 評估 F5 授權選項。 | 評估您需要的授權和耗用量模型。此評估應以您對 F5 BIG-IP 作業系統和組態的評估為基礎。 | F5 架構師、工程師 | 
| 評估公有應用程式。 | 決定哪些應用程式需要公有 IP 地址。將這些應用程式與所需的執行個體和叢集保持一致，以滿足效能和服務層級協議 (SLA) 要求。 | F5 架構師、雲端架構師、網路架構師、工程師、應用程式團隊 | 
| 評估內部應用程式。 | 評估內部使用者將使用哪些應用程式。請確定您知道這些內部使用者在組織中的位置，以及這些環境如何連線到 AWS 雲端。您也應該確保這些應用程式可以使用網域名稱系統 (DNS) 做為預設網域的一部分。 | F5 架構師、雲端架構師、網路架構師、工程師、應用程式團隊 | 
| 完成 AMI。 | 並非所有 F5 BIG-IP 版本都會建立為 Amazon Machine Image (AMIs)。如果您有特定的必要快速修正工程 (QFE) 版本，您可以使用 F5 BIG-IP Image Generator Tool。如需此工具的詳細資訊，請參閱「相關資源」一節。 | F5 架構師、雲端架構師、工程師 | 
| 完成執行個體類型和架構。 | 決定執行個體類型、VPC 架構和互連架構。 | F5 架構師、雲端架構師、網路架構師、工程師 | 

### 完成安全與合規相關活動
<a name="complete-security-and-compliance-related-activities"></a>


| 任務 | Description | 所需的技能 | 
| --- | --- | --- | 
| 記錄現有的 F5 安全政策。 | 收集並記錄現有的 F5 安全政策。請務必在安全程式碼儲存庫中建立其複本。 | F5 架構師、工程師 | 
| 加密 AMI。 | （選用） 您的組織可能需要靜態資料加密。如需建立自訂自帶授權 (BYOL) 映像的詳細資訊，請參閱「相關資源」一節。 | F5 Architect， Engineer Cloud Architect， Engineer | 
| 強化裝置。 | 這將有助於防止潛在的漏洞。 | F5 架構師、工程師 | 

### 設定您的新 AWS 環境
<a name="configure-your-new-aws-environment"></a>


| 任務 | Description | 所需的技能 | 
| --- | --- | --- | 
| 建立邊緣和安全帳戶。 | 登入 AWS 管理主控台 並建立 AWS 帳戶 ，以提供和操作邊緣和安全服務。這些帳戶可能與為共用服務和應用程式操作 VPCs的帳戶不同。此步驟可作為登陸區域的一部分完成。 | 雲端架構師、工程師 | 
| 部署邊緣和安全性 VPCs。 | 設定交付邊緣和安全服務所需的 VPCs。 | 雲端架構師、工程師 | 
| 連線至來源資料中心。 | 連線至託管 F5 BIG-IP 工作負載的來源資料中心。 | 雲端架構師、網路架構師、工程師 | 
| 部署 VPC 連線。 | 將邊緣和安全服務 VPCs連接到應用程式 VPCs。 | Network Architect，工程師 | 
| 部署執行個體。 | 使用「相關資源」區段中的 CloudFormation 範本來部署執行個體。 | F5 架構師、工程師 | 
| 測試和設定執行個體容錯移轉。 | 請確定已設定 AWS 進階 HA iAPP 範本或 F5 雲端容錯移轉延伸模組並正常運作。 | F5 架構師、工程師 | 

### 設定聯網
<a name="configure-networking"></a>


| 任務 | Description | 所需的技能 | 
| --- | --- | --- | 
| 準備 VPC 拓撲。 | 開啟 Amazon VPC 主控台，並確保您的 VPC 具有 F5 BIG-IP VE 部署所需的所有子網路和保護。 | 網路架構師、F5 架構師、雲端架構師、工程師 | 
| 準備您的 VPC 端點。 | 準備 Amazon EC2、Amazon S3 的 VPC 端點，如果 AWS STS F5 BIG-IP 工作負載無法存取 TMM 界面上的 NAT 閘道或彈性 IP 地址。 | 雲端架構師、工程師 | 

### 遷移資料
<a name="migrate-data"></a>


| 任務 | Description | 所需的技能 | 
| --- | --- | --- | 
| 遷移組態。 | 在 上將 F5 BIG-IP 組態遷移至 F5 BIG-IP VE AWS 雲端。 | F5 架構師、工程師 | 
| 關聯次要 IPs。 | 虛擬伺服器 IP 地址與指派給執行個體的次要 IP 地址有關聯。指派次要 IP 地址，並確認已選取「允許重新對應/重新指派」。 | F5 架構師、工程師 | 

### 測試組態
<a name="test-configurations"></a>


| 任務 | Description | 所需的技能 | 
| --- | --- | --- | 
| 驗證虛擬伺服器組態。 | 測試虛擬伺服器。 | F5 架構師、應用程式團隊 | 

### 完成操作
<a name="finalize-operations"></a>


| 任務 | Description | 所需的技能 | 
| --- | --- | --- | 
| 建立備份策略。 | 必須關閉系統才能建立完整快照。如需詳細資訊，請參閱「相關資源」一節中的「更新 F5 BIG-IP 虛擬機器」。 | F5 架構師、雲端架構師、工程師 | 
| 建立叢集容錯移轉 Runbook。 | 確定容錯移轉 Runbook 程序已完成。 | F5 架構師、工程師 | 
| 設定和驗證記錄。 | 設定 F5 遙測串流，將日誌傳送至所需的目的地。 | F5 架構師、工程師 | 

### 完成切換
<a name="complete-the-cutover"></a>


| 任務 | Description | 所需的技能 | 
| --- | --- | --- | 
| 切換到新的部署。 |  | F5 架構師、雲端架構師、網路架構師、工程師、AppTeams | 

## 相關資源
<a name="migrate-an-f5-big-ip-workload-to-f5-big-ip-ve-on-the-aws-cloud-resources"></a>

**遷移指南**
+ [在 上從 F5 BIG-IP 遷移至 F5 BIG-IP VE AWS 雲端](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-f5-big-ip/welcome.html)

**F5 資源**
+ [CloudFormation F5 GitHub 儲存庫中的 範本](https://github.com/F5Networks/f5-aws-cloudformation)
+ [中的 F5 AWS Marketplace](https://aws.amazon.com/marketplace/seller-profile?id=74d946f0-fa54-4d9f-99e8-ff3bd8eb2745)
+ [F5 BIG-IP VE 概觀](https://www.f5.com/products/big-ip-services/virtual-editions) 
+ [範例 Quickstart - BIG-IP Virtual Edition 搭配 WAF (LTM \$1 ASM)](https://github.com/F5Networks/f5-aws-cloudformation-v2/tree/main/examples/quickstart)
+ [F5 應用程式服務開啟 AWS：概觀 （影片）](https://www.youtube.com/watch?v=kutVjRHOAXo)
+ [F5 Application Services 3 延伸模組使用者指南 ](https://clouddocs.f5.com/products/extensions/f5-appsvcs-extension/latest/)
+ [F5 雲端文件](https://clouddocs.f5.com/training/community/public-cloud/html/intro.html)
+ [F5 iControl REST Wiki](https://clouddocs.f5.com/api/icontrol-rest/)
+ [F5 單一組態檔案概觀 (11.x - 15.x)](https://support.f5.com/csp/article/K13408)
+ [F5 白皮書](https://www.f5.com/services/resources/white-papers)
+ [F5 BIG-IP 影像產生器工具](https://clouddocs.f5.com/cloud/public/v1/ve-image-gen_index.html)
+ [更新 F5 BIG-IP VE 虛擬機器](https://techdocs.f5.com/kb/en-us/products/big-ip_ltm/manuals/product/bigip-ve-setup-vmware-esxi-11-5-0/3.html)
+ [UCS 封存 "platform-migrate" 選項概觀](https://support.f5.com/csp/article/K82540512)