F5 BIG-IP - AWS上にBIG-IP VEを作成してみる

皆様こんにちは！ネットワールドSEの渡邊です！

本記事ではAWS環境にBIG-IPの仮想アプライアンスであるBIG-IP VEをデプロイする手順を紹介します。

簡単な構成図
VPCを作成
サブネット作成、名前変更
- 管理アクセス用のサブネット作成
- サブネット名変更
ルートテーブルの設定
Elastic IPを発行
BIG-IP VE インスタンスを作成
管理インターフェースへElasticIPを関連付け

簡単な構成図

今回作成する環境の構成図です。BIG-IP１台を１つのアベイラビリティゾーン上に展開します。

VPCを作成

本記事ではアベイラビリティゾーンが１個のVPCを作成します。

AWSマネージメントコンソールで、検索窓に「VPC」と入力し、候補に出てきた「VPC」を選択します。

VPCダッシュボードで「VPCを作成」をクリック。

「VPC を作成」の画面に遷移するので、以下の項目を入力・選択していきます。（他項目はデフォルトのまま変更なしです。）

作成するリソース … VPCなど
名前タグの自動生成 … チェックし、任意の名前を入力
- 本記事はbig-ip-veと入力
IPv4 CIDR ブロック … 任意のIPを入力
- 本記事では10.1.0.0/16と入力
アベイラビリティゾーン (AZ) の数 … １
パブリックサブネットの数 … １
プライベートサブネットの数 … １
サブネット CIDR ブロックをカスタマイズ … クリックし開き、任意のIPアドレスを入力。

選択・入力が完了したら画面下部の「VPCを作成」をクリックします。

注意点として、NATゲートウェイを作成してしまうと、料金が発生してしまうので、作成しないようにします。

説明の通りに進むと、画面右側のプレビューは下の画像のような構成になります。

「VPC ワークフローの作成」画面に遷移します。自動的にチェックが進むので、「成功」と表示されたら「VPCを表示」をクリックします。

「お使いのVPC」画面に遷移するので、想定通りのVPCが作成されたことを確認します。

サブネット作成、名前変更

このままだとBIG-IP VEの管理アクセス用のサブネットが無かったり、名前が分かりにくいので、サブネットの新規作成及び名前変更を実施します。

左側メニューから「サブネット」をクリックします。

管理アクセス用のサブネット作成

画面右上の「サブネットを作成」をクリックします。

「サブネットを作成」の画面に遷移しますので、「VPC ID」のプルダウンを開き、作成したVPCを選択します。

「サブネットの設定」で以下の項目を選択・入力します。

サブネット名 … 任意の名前を入力
- 本記事では構成図に合わせてbig-ip-ve-mgmt-1aと入力
アベイラビリティゾーン … ap-northeast-1aを選択
- 作成したVPCのアベイラビリティゾーンと合わせます
IPv4 VPC CIDR ブロック … 作成したVPCのIPを選択
IPv4 サブネット CIDR ブロック … 任意のIPを入力
- 本記事では構成図に合わせて10.1.0.0/24にします

選択・入力が完了したら「サブネットを作成」をクリック。

サブネット画面に遷移し、正常に作成されたことを確認します。

サブネット名変更

作成済みのサブネットの名前を変更します。

サブネット名にカーソルを合わせると鉛筆マークが出てくるのでクリックします。するとName編集が出てきますので、任意の名前を入力します。（本記事では構成図に合わせる形で変更しています。）

ルートテーブルの設定

現時点では３つのルートテーブルが存在しています。

①VPC内のサブネットとインターネットゲートウェイのルートを持つルートテーブル
②VPC内のサブネットとS3エンドポイントのルートを持つルーとテーブル
③VPC内のサブネット（10.1.0.0/16）だけを持つルートテーブル

管理用サブネットはこのうちの③のルートテーブルに関連付けられているので、インターネットからアクセス出来るように、①のルートテーブルに設定を変更します。

左側メニューから「お使いのVPC」を選択し、作成したVPCのリソースマップから、igwに関連付けられたルートテーブルを選択し、クリックします。

サブネットの関連付けタブをクリックします。管理アクセス用サブネットが明示的に関連付けられていないことが確認できます。

「明示的なサブネットの関連付け」の右側の「サブネットの関連付けを編集」をクリックします。

「サブネットの関連付けを編集」の画面に遷移するので、管理アクセス用サブネットと外部公開用サブネット（本記事ではbig-ip-ve-mgmt-1aとbig-ip-ve-ext-1a）を選択し、「関連付けを保存」をクリックします。

ルートテーブルの画面に遷移します。サブネットの関連付けタブに移動すると、外部公開用サブネットと管理アクセス用サブネットが関連付けられていることが確認できます。

Elastic IPを発行

本手順を完了（Elastic IPを発行）すると料金が発生してしまうため、料金を発生させたくない場合、本手順はスキップしてください。

実際にBIG-IP VEにインターネットから管理アクセスするにはElastic IPと呼ばれるパブリックIPを用意し、BIG-IP VEの管理インターフェースに関連付ける必要がありますので、予め用意しておきます。

左側メニューから「Elastic IP」を選択し、画面右上の「Elastic IPを割り振る」をクリックします。

設定は変更せず、「割り振る」をクリック。

正常にElasticIPアドレスが発行されたことを確認します。

BIG-IP VE インスタンスを作成

AWSマネージメントコンソールで、検索窓に「EC2」と入力し、候補に出てきた「EC2」を選択します。

「インスタンスを起動」をクリック。

Launch an instance画面に遷移するので、「名前」に任意のインスタンス名を入力します。その後、「アプリケーションおよび OS イメージ (Amazon マシンイメージ)」の検索窓に「F5」と入力し検索実行します。

AWS Marketplace AMIを選択します。

本手順では「F5 BIG-IP VE - ALL (BYOL, 2 Boot Locations)」を選択します。

下の画像のようなホップアップが出現します。料金タブで、ベンダー推奨のインスタンスタイプと稼働時に発生する料金が確認できます。

インスタンスタイプは自動的にベンター推奨のものが選択されます。

確認後、「今すぐ購読」をクリック。

Launch an instance画面に戻るので、「キーペア（ログイン）」の項目で、「新しいキーペアの作成」をクリック。

任意のキーペア名を入力し、「キーペアの作成」をクリック。クリックするとpemファイルをダウンロードしますので、大切に保管します。

SSH接続する際に必要となります。

SSH、CUSTOMTCPの許可設定で、プルダウンから「自分のIP」を選択し、デフォルトの0.0.0.0/1を削除します。

また「インターネットからのHTTPSトラフィックを許可」のチェックも外します。（BIG-IPのVIPでHTTPSトラフィックを待ち受ける場合は許可が必要ですが、その場合も作成時は送信元を「自分のIP」で設定しておき、後で変更することをオススメします。）

その後、「ネットワーク設定」の右上にある「編集」をクリックします。

以下項目を選択・入力します。

VPC … 本手順で作成したVPCを選択
サブネット … 管理アクセス用サブネットを選択
パブリックIPの自動割り当て … 無効化を選択

続いて、「高度なネットワーク設定」で「ネットワークインターフェースを追加」を２回クリックし、ネットワークインターフェース２とネットワークインターフェース３を作成します。

その後以下のように設定します。

ネットワークインターフェース１
- プライマリIP … BIG-IP VEの管理アクセス用アドレスを入力します。（本手順では構成図の通りに10.1.0.201を入力）
ネットワークインターフェース２
- サブネット … 外部公開用サブネットをプルダウンで選択（本手順ではbig-ip-ve-ext-1aを選択します。）
- プライマリIP … BIG-IP VEの外部公開用VIPのアドレスを入力します。（本手順では構成図の通りに10.1.1.201を入力）
ネットワークインターフェース３
- サブネット … 内部用サブネットをプルダウンで選択（本手順ではbig-ip-ve-int-1aを選択します。）
- プライマリIP … BIG-IP VEの外部公開用VIPのアドレスを入力します。（本手順では構成図の通りに10.1.2.201を入力）