如何通过F5分布式云快速在AWS环境构建Edge Security Edition

1、AWS VPC 站点部署类型

可以以三种不同的模式部署站点：

1. Ingress Gateway（一个接口）：在这种部署模式下，站点连接到单个 VPC 和单个子网。它可以提供从该子网到客户租户中配置的任何其他站点可访问的服务和端点的发现。
2. Ingress/Egress Gateway（两个接口）：在这种部署模式下，站点连接到一个 VPC，在不同的子网上至少有两个接口。一个子网标记为Outside，另一个子网标记为Inside。在这种模式下，站点通过 Site Inside 接口通过默认网关为 VM 和子网提供安全性和连接性。
3. F5分布式云应用堆栈集群（App Stack）（一个接口）：本站点的 F5分布式云网格（Mesh）部署和配置与 Ingress Gateway（一个接口）相同。此部署的不同之处在于认证硬件类型为aws-byol-voltstack-combo.这将配置和部署一个实例类型，允许站点拥有 Kubernetes Pod 和使用Virtual K8s部署的 VM 。

入口网关（一个接口）

在这种部署模式下，F5® 分布式云网格（Mesh）需要附加一个接口。在节点上运行的服务使用此接口连接到 Internet。此外，此接口用于发现其他服务和虚拟机，并将它们公开给同一租户中的其他站点。例如，在下图中，可以通过反向代理远程发现和公开 DevOps 或 Dev EC2 实例上的 TCP 或 HTTP 服务。

如下图所示，该接口位于与默认路由指向互联网网关的 VPC 主路由表关联的外部子网上。这就是来自外部接口的流量以及与此路由表对象关联的其他子网如何到达互联网的方式。对于其他子网（例如，Dev 和 DevOps），它们与 VPC 主路由表相关联。这意味着此 VPC 中任何新创建的子网都会自动与此路由表关联。

图：AWS VPC 站点部署 - 入口网关（一个接口）

入口/出口网关（两个接口）

在此部署场景中，Mesh 节点需要连接两个接口。第一个接口是外部接口，节点上运行的服务可以通过该接口连接到互联网。第二个接口是内部接口，它将成为私有子网中所有应用程序工作负载和服务的默认网关 IP 地址。

如下图所示，外部接口位于外部子网，与外部子网路由表相关联，其默认路由指向互联网网关。这就是来自外部接口的流量如何到达互联网的方式。对于内部子网，这些与内部子网路由表相关联，该路由表也是此 VPC 的主路由表。这意味着此 VPC 中任何新创建的子网都会自动与内部子网路由表关联。这个私有子网路由表有一个默认路由指向 Mesh 节点的内部 IP 地址 (192.168.32.186)。

一旦 Mesh 站点上线，节点的内部网络将通过外部接口上启用的转发代理和 SNAT 连接到外部网络。这样，来自内部接口的所有流量都将通过转发代理转发到 Internet，并且 SNAT 发生在外部接口上。现在私有子网上的所有工作负载都可以通过 Mesh 站点到达 Internet。

App Stack 集群（一个接口）

就站点网络和转发/安全的配置方式而言，此方案与 Ingress Gateway（一个接口）相同。除此之外，还提供了 App Stack（分布式应用程序管理平台）。

在这种部署场景中，Mesh 需要附加一个接口。在节点上运行的服务使用此接口连接到 Internet。此外，此接口用于发现其他服务和虚拟机，并将它们公开给同一租户中的其他站点。例如，在下图中，可以通过反向代理远程发现和公开 DevOps 或 Dev EC2 实例上的 TCP 或 HTTP 服务。

如果在 vK8s 集群中进行配置，则可以将应用程序部署到该站点的 App Stack 产品中。站点的 App Stack 的服务/pods 可以暴露给 VPC 路由表上的其他服务和虚拟机；或通过 EIP（公网IP） 或应用交付网络 (ADN) 在外部提供。

如下图所示，该接口位于与默认路由指向互联网网关的 VPC 主路由表关联的外部子网上。这就是来自外部接口的流量以及与此路由表对象关联的其他子网如何到达 Internet。对于其他子网（例如，Dev 和 DevOps），它们与 VPC 主路由表相关联。这意味着此 VPC 中任何新创建的子网都会自动与此路由表关联。

2、先决条件

以下先决条件必须满足：

1. F5分布式云服务帐户。如果您没有帐户，请联系F5销售。
2. 每个节点所需的资源：至少 4 个 vCPU 和 14 GB RAM。
3. 附加现有 VPC 时，不应存在预先存在的站点本地外部、站点本地内部和工作负载子网关联。
4. 如果 Internet 网关 (IGW) 与 VPC 连接，则至少有一个路由应指向 VPC 的任何路由表中的 IGW。
5. 亚马逊网络服务 (AWS) 账户。有关部署 AWS VPC 站点所需的权限，参见如下：

{

    "Version": "2012-10-17",

    "Statement": [

        {

            "Action": [

                "autoscaling:AttachLoadBalancerTargetGroups",

                "autoscaling:AttachLoadBalancers",

                "autoscaling:CreateAutoScalingGroup",

                "autoscaling:CreateLaunchConfiguration",

                "autoscaling:DeleteAutoScalingGroup",

                "autoscaling:DeleteLaunchConfiguration",

                "autoscaling:DescribeAutoScalingGroups",

                "autoscaling:DescribeLaunchConfigurations",

                "autoscaling:DescribeLoadBalancerTargetGroups",

                "autoscaling:DescribeLoadBalancers",

                "autoscaling:DetachLoadBalancerTargetGroups",

                "autoscaling:DetachLoadBalancers",

                "autoscaling:DisableMetricsCollection",

                "autoscaling:EnableMetricsCollection",

                "autoscaling:ResumeProcesses",

                "autoscaling:SuspendProcesses",

                "autoscaling:UpdateAutoScalingGroup"

            ],

            "Resource": "*",

            "Effect": "Allow",

            "Sid": "AutoScalingPermissions"

        },

        {

            "Action": [

                "ec2:AllocateAddress",

                "ec2:AssignPrivateIpAddresses",

                "ec2:AssociateAddress",

                "ec2:AssociateIamInstanceProfile",

                "ec2:AssociateRouteTable",

                "ec2:AssociateSubnetCidrBlock",

                "ec2:AssociateVpcCidrBlock",

                "ec2:AttachInternetGateway",

                "ec2:AttachNetworkInterface",

                "ec2:AuthorizeSecurityGroupEgress",

                "ec2:AuthorizeSecurityGroupIngress",

                "ec2:CreateInternetGateway",

                "ec2:CreateNetworkInterface",

                "ec2:CreateRoute",

                "ec2:CreateRouteTable",

                "ec2:CreateSecurityGroup",

                "ec2:CreateSubnet",

                "ec2:CreateTags",

                "ec2:CreateVpc",

                "ec2:DeleteInternetGateway",

                "ec2:DeleteNetworkInterface",

                "ec2:DeleteRoute",

                "ec2:DeleteRouteTable",

                "ec2:DeleteSecurityGroup",

                "ec2:DeleteSubnet",

                "ec2:DeleteTags",

                "ec2:DeleteVpc",

                "ec2:DescribeAccountAttributes",

                "ec2:DescribeAddresses",

                "ec2:DescribeIamInstanceProfileAssociations",

                "ec2:DescribeImages",

                "ec2:DescribeInstanceAttribute",

                "ec2:DescribeInstanceCreditSpecifications",

                "ec2:DescribeInstances",

                "ec2:DescribeInternetGateways",

                "ec2:DescribeNetworkAcls",

                "ec2:DescribeNetworkInterfaces",

                "ec2:DescribeRouteTables",

                "ec2:DescribeSecurityGroups",

                "ec2:DescribeSubnets",

                "ec2:DescribeTags",

                "ec2:DescribeVolumes",

                "ec2:DescribeVolumesModifications",

                "ec2:DescribeVpcAttribute",

                "ec2:DescribeVpcClassicLink",

                "ec2:DescribeVpcClassicLinkDnsSupport",

                "ec2:DescribeVpcs",

                "ec2:DetachInternetGateway",

                "ec2:DetachNetworkInterface",

                "ec2:DisableVgwRoutePropagation",

                "ec2:DisassociateAddress",

                "ec2:DisassociateIamInstanceProfile",

                "ec2:DisassociateRouteTable",

                "ec2:DisassociateSubnetCidrBlock",

                "ec2:DisassociateVpcCidrBlock",

                "ec2:EnableVgwRoutePropagation",

                "ec2:GetPasswordData",

                "ec2:ModifyInstanceAttribute",

                "ec2:ModifyInstanceCreditSpecification",

                "ec2:ModifyInstanceMetadataOptions",

                "ec2:ModifyNetworkInterfaceAttribute",

                "ec2:ModifySubnetAttribute",

                "ec2:ModifyVolume",

                "ec2:ModifyVpcAttribute",

                "ec2:MonitorInstances",

                "ec2:ReleaseAddress",

                "ec2:ReplaceIamInstanceProfileAssociation",

                "ec2:ReplaceRoute",

                "ec2:ReplaceRouteTableAssociation",

                "ec2:RevokeSecurityGroupEgress",

                "ec2:RevokeSecurityGroupIngress",

                "ec2:RunInstances",

                "ec2:StartInstances",

                "ec2:StopInstances",

                "ec2:TerminateInstances",

                "ec2:UnassignPrivateIpAddresses",

                "ec2:UnmonitorInstances"

            ],

            "Resource": "*",

            "Effect": "Allow",

            "Sid": "EC2Permissions"

        },

        {

            "Action": [

                "elasticloadbalancing:AddTags",

                "elasticloadbalancing:CreateListener",

                "elasticloadbalancing:CreateLoadBalancer",

                "elasticloadbalancing:CreateTargetGroup",

                "elasticloadbalancing:DeleteListener",

                "elasticloadbalancing:DeleteLoadBalancer",

                "elasticloadbalancing:DeleteTargetGroup",

                "elasticloadbalancing:DeregisterTargets",

                "elasticloadbalancing:DescribeInstanceHealth",

                "elasticloadbalancing:DescribeListeners",

                "elasticloadbalancing:DescribeLoadBalancerAttributes",

                "elasticloadbalancing:DescribeLoadBalancers",

                "elasticloadbalancing:DescribeTags",

                "elasticloadbalancing:DescribeTargetGroupAttributes",

                "elasticloadbalancing:DescribeTargetGroups",

                "elasticloadbalancing:DescribeTargetHealth",

                "elasticloadbalancing:ModifyListener",

                "elasticloadbalancing:ModifyLoadBalancerAttributes",

                "elasticloadbalancing:ModifyTargetGroup",

                "elasticloadbalancing:ModifyTargetGroupAttributes",

                "elasticloadbalancing:RegisterTargets",

                "elasticloadbalancing:RemoveTags"

            ],

            "Resource": "*",

            "Effect": "Allow",

            "Sid": "ELBPermissions"

        },

        {

            "Action": [

                "iam:AddRoleToInstanceProfile",

                "iam:AttachRolePolicy",

                "iam:CreateInstanceProfile",

                "iam:CreatePolicy",

                "iam:CreatePolicyVersion",

                "iam:CreateRole",

                "iam:CreateServiceLinkedRole",

                "iam:DeleteInstanceProfile",

                "iam:DeletePolicy",

                "iam:DeletePolicyVersion",

                "iam:DeleteRole",

                "iam:DeleteRolePermissionsBoundary",

                "iam:DeleteRolePolicy",

                "iam:DetachRolePolicy",

                "iam:GetInstanceProfile",

                "iam:GetPolicy",

                "iam:GetPolicyVersion",

                "iam:GetRole",

                "iam:ListAttachedRolePolicies",

                "iam:ListInstanceProfilesForRole",

                "iam:ListPolicyVersions",

                "iam:ListRolePolicies",

                "iam:PassRole",

                "iam:PutRolePermissionsBoundary",

                "iam:RemoveRoleFromInstanceProfile",

                "iam:TagRole",

                "iam:UpdateAssumeRolePolicy",

                "iam:UpdateRole",

                "iam:UpdateRoleDescription"

            ],

            "Resource": "*",

            "Effect": "Allow",

            "Sid": "IAMPermissions"

        }

    ]

}

3、创建一个AWS站点使用F5分布式云 Console

AWS VPC 站点对象创建和部署包括以下内容：

阶段	描述
创建 AWS VPC 对象	使用向导在控制台中创建 VPC 站点对象。
部署站点	使用自动化方法部署在 VPC 对象中配置的站点。

创建 AWS VPC 站点对象

可以在多种服务中查看和管理站点：Cloud and Edge Sites、Distributed Apps和Load Balancers。

此示例显示Sites在.AWSCloud and Edge Sites

第 1 步：登录控制台，开始创建 AWS VPC 站点对象。

• 打开控制台并单击Cloud and Edge Sites。

注意：主页是基于角色的，由于您的角色自定义，您的主页可能看起来不同。选择All Services下拉菜单以发现所有选项。自定义设置：Administration> Personal Management> My Account> Edit work domain & skills>Advanced框 > 复选框Work Domain> Save changes.

图：控制台主页

注意：确认Namespace功能在左上角的正确命名空间中。并非在所有服务中都可用。

• 单击Manage> Site Management> AWS VPC Sites。

注意：如果选项未显示可用，请选择左下角的Show链接。Advanced nav options visible如果需要，选择Hide从Advanced nav options模式中最小化选项。

• 单击Add AWS VPC Site。

图：站点管理 AWS

• 输入Name，输入Labels和Description根据需要。

图：AWS 站点设置

第 2 步：配置 VPC 和站点设置。

• 在该Site Type Selection部分中，执行以下操作：

步骤 2.1：设置区域并配置 VPC。

• AWS Region从下拉菜单中选择一个区域。
• 从VPC菜单中选择一个选项：
  • New VPC Parameters：Autogenerate VPC Name默认选择该选项。
  • Existing VPC IDExisting VPC ID：在框中输入现有的 VPC ID 。

注意：如果您使用的是现有 VPC，请enable_dns_hostnames在现有 VPC 配置中启用该框。

• 在Primary IPv4 CIDR block字段中输入 CIDR。

图：VPC 和节点类型配置

步骤 2.2：设置节点配置。

从Select Ingress Gateway or Ingress/Egress Gateway菜单中选择一个选项。

配置入口网关。

对于Ingress Gateway (One Interface)选项：

• 单击Configure。
• 单击Add Item。
• AWS AZ Name从菜单中选择一个与配置相匹配的选项AWS Region。
• 从菜单中选择New Subnet或。Existing Subnet IDSubnet for local Interface
• 在 中输入子网地址IPv4 Subnet，或在 中输入子网 ID Existing Subnet ID。
• 确认子网是上一步中设置的 CIDR 块的一部分。
• 切换部分并为负载均衡器配置 VIP 端口，Show Advanced Fields以Allowed VIP Port Configuration在多节点站点中的所有节点之间分配流量。
• 从Select Which Ports will be Allowed菜单中选择一个选项：
  • Allow HTTP Port：仅允许端口 80。
  • Allow HTTPS Port：仅允许端口 443。
  • Allow HTTP & HTTPS Port：仅允许端口 80 和 443。默认情况下已填充。
  • Ports Allowed on Public：允许指定自定义端口或端口范围。在字段中输入端口或端口范围Ports Allowed on Public。

注意：默认情况下AWS Certified Hardware设置为aws-byol-voltmesh。Add item您可以使用该选项添加多个节点。

配置入口/出口网关。

对于Ingress/Egress Gateway (Two Interface)选项：

• 点击Configure打开双接口节点配置。
• 单击Add Item。
• AWS AZ Name从菜单中选择一个与配置相匹配的选项AWS Region。
• 从Workload Subnet菜单中选择一个选项：
  • New SubnetIPv4 Subnet：在字段中输入子网。
  • Existing Subnet IDExisting Subnet ID：在字段中输入子网。

注意：工作负载子网是托管应用程序工作负载的网络。为了成功路由到在工作负载子网中运行的应用程序，需要在相应的站点对象上添加到工作负载子网 CIDR 的内部静态路由。

• 从Subnet for Outside Interface菜单中选择一个选项：
  • New SubnetIPv4 Subnet：在字段中输入子网。
  • Existing Subnet IDExisting Subnet ID：在字段中输入子网。
• 单击Add Item。
• 在该Site Network Firewall部分中，可选择Active Firewall Policies从Manage Firewall Policy菜单中进行选择。
• 选择现有的防火墙策略，或选择Create new Firewall Policy创建并应用防火墙策略。
• 创建策略后，单击Continue以应用。
• 从Manage Forward Proxy菜单中选择一个选项：
  • Disable Forward Proxy
  • Enable Forward Proxy with Allow All Policy
  • Enable Forward Proxy and Manage Policies：选择现有的转发代理策略，或选择Create new forward proxy policy创建并应用转发代理策略。
• 创建策略后，单击Apply。

图：节点的网络防火墙配置

• Show Advanced Fields在Advanced Options部分中启用。
• Connect Global Networks从菜单中选择Select Global Networks to Connect，然后执行以下操作：
  • 单击Add Item。
  • 从Select Network Connection Type菜单中选择一个选项：
  • 从Global Virtual Network菜单中选择一个选项。
  • 单击Add Item。
• 从Select DC Cluster Group菜单中，选择一个选项以将您的站点设置在 DC 集群组中：
  • Not a Member of DC Cluster Group：默认选项。
  • Member of DC Cluster Group via Outside Network：从菜单中选择 DC 集群组Member of DC Cluster Group via Outside Network以使用外部网络连接您的站点。
  • Member of DC Cluster Group via Inside Network：从菜单中选择 DC 集群组Member of DC Cluster Group via Inside Network以使用内部网络连接您的站点。
• Manage Static routes从Manage Static Routes for Inside Network菜单中选择。点击小节Add Item。List of Static Routes执行以下步骤之一：
  • 选择Simple Static Route并在Simple Static Route字段中输入静态路由。
  • 选择Custom Static Route然后单击Configure。执行以下步骤：
    • 在该Subnets部分中，单击Add Item。Version从菜单中选择 IPv4 或 IPv6 选项。输入子网的前缀和前缀长度。您可以使用该Add item选项设置更多子网。
    • 在该部分中，从菜单Nexthop中选择下一跳类型。从小节的菜单中Type选择 IPv4 或 IPv6 。输入 IP 地址。从菜单中选择一个选项。VersionAddressNetwork Interface
    • 在该Static Route Labels部分中，选择Add label并按照提示操作。
    • 在该部分中，从菜单Attributes中选择支持的属性。Attributes您可以选择多个选项。
    • 单击Apply。
• Manage Static routes从Manage Static Routes for Outside Network菜单中选择。选择Add Item。遵循管理Manage Static Routes for Outside Network菜单静态路由的相同过程。
• 设置Allowed VIP Port Configuration for Outside Network和Allowed VIP Port Configuration for Inside Network。这是负载均衡器在多节点站点中的所有节点之间分配流量所必需的。
• 在该Allowed VIP Port Configuration for Outside Network部分中，执行以下操作：
  • 从Select Which Ports will be Allowed菜单中选择一个选项：
  • Allow HTTP Port：仅允许端口 80。
  • Allow HTTPS Port：仅允许端口 443。
  • Allow HTTP & HTTPS Port：仅允许端口 80 和 443。默认情况下已填充。
  • Ports Allowed on Public：允许指定自定义端口或端口范围。在字段中输入端口或端口范围Ports Allowed on Public。
• 在本Allowed VIP Port Configuration for Inside Network节中，执行与上述外部网络相同的步骤。
• 单击Apply。

注意：默认情况下AWS Certified Hardware设置为aws-byol-multi-nic-voltmesh。Add item您可以使用该选项添加多个节点。

应用程序堆栈集群（一个接口）。

对于App stack Cluster (One Interface)选项：

• 单击Configure以打开配置表单。
• 在该App Stack Cluster (One Interface) Nodes in AZ部分中，单击Add Item。执行以下操作：
  • AWS AZ Name从菜单中选择一个与配置相匹配的选项AWS Region。
  • 从菜单中选择New Subnet或。Existing Subnet IDSubnet for local Interface
  • 在 中输入子网地址IPv4 Subnet或子网 ID Existing Subnet ID。
  • 单击Add Item。
• 在该Site Network Firewall部分：
  • 可选择Active Firewall Policies从Manage Firewall Policy菜单中选择。选择现有的防火墙策略，或选择Create new Firewall Policy创建并应用防火墙策略。
  • （可选）从菜单中选择Enable Forward Proxy with Allow All Policy或。对于后一个选项，选择现有的转发代理策略，或选择创建并应用转发代理策略。Enable Forward Proxy and Manage PoliciesManage Forward ProxyCreate new forward proxy policy
• 在该Advanced Options部分中，启用该Show Advanced Fields选项。
• Connect Global Networks从菜单中选择Select Global Networks to Connect，然后执行以下操作：
  • 单击Add Item。
  • 从Select Network Connection Type菜单中选择连接类型。
  • 从Global Virtual Network菜单中，从显示的网络列表中选择一个全球网络。
  • 要创建新的全球网络，请单击Create new virtual network：Global Virtual Network
    • 填写表格信息。
    • 单击Continue。
    • 单击Add Item。
  • Manage Static routes从Manage Static Routes for Site Local Network菜单中选择。
  • 单击Add Item并执行以下步骤之一：
    • 从Static Route Config Mode菜单中选择Simple Static Route。Simple Static Route在字段中输入静态路由。
    • 从Static Route Config Mode菜单中选择Custom Static Route。单击Configure。执行以下步骤：
      • 在Subnets部分中，单击Add Item。从菜单中选择IPv4 Subnet或。IPv6 SubnetVersion
      • 输入子网的前缀和前缀长度。
      • 使用该Add Item选项设置更多子网。
    • 在部分中，从菜单Nexthop中选择下一跳类型。Type
    • 从菜单中选择IPv4 Address或。IPv6 AddressVersion
    • 输入 IP 地址。
    • 从Network Interface菜单中，选择一个网络接口或选择Create new network interface创建并应用一个新的网络接口。
    • 在该部分中，从菜单Attributes中选择支持的属性。Attributes您可以选择多个选项。
    • 单击Apply以添加自定义路由。
    • 单击Add Item。
    • 单击Apply。
• 从Select DC Cluster Group菜单中，选择一个选项以将您的站点设置在 DC 集群组中：
  • Not a Member：默认选项。
  • Member of DC Cluster Group：从菜单中选择 DC 集群组Member of DC Cluster Group以使用外部网络连接您的站点。
• 从Allowed VIP Port Configuration菜单中，为负载均衡器配置 VIP 端口，以在多节点站点中的所有节点之间分配流量。
• 从Site Local K8s API access菜单中，选择 API 访问选项。

注意：分布式云平台支持托管 K8s 的变异和验证 webhook。可以在 K8s 配置中启用 Webhook 支持（管理 > 管理 K8s > K8s 集群）。

• 在该Storage Configuration部分中，启用该Show Advanced Fields选项。
• 从Select Configuration for Storage Classes菜单中选择Add Custom Storage Class。
• 单击Add Item。
• 在该Storage Class Name字段中，输入将在 Kubernetes 中显示的存储类的名称。
• （可选）启用Default Storage Class使这个新存储类成为所有集群的默认类的选项。
• 在该Storage Device部分：
  • 在该Replication字段中，输入一个数字以设置 PV 的复制因子。
  • 在该Storage Size字段中，设置每个节点的存储容量（以千兆字节 (GB) 为单位）。
• 单击Add Item。
• 单击Apply。

注意：默认情况下AWS Certified Hardware设置为aws-byol-voltstack-combo。Add Item您可以使用该选项添加多个节点。

步骤 2.3：设置部署类型。

• 从Automatic Deployment下拉菜单中选择Automatic Deployment：
  • 选择现有的 AWS 凭证对象，或单击Create new Cloud Credential以加载表单。
• 要创建新凭据：
  • 根据需要输入Name、Labels和Description。
  • 从Select Cloud Credential Type菜单中选择AWS Programmatic Access Credentials。
  • Access Key ID在字段中输入 AWS 访问 ID 。
  • 单击Configure该Secret Access Key字段。
  • 从Secret Info菜单：
    • Blindfold Secret：在框中输入密码Type。
    • Clear Secret: 以或格式在Clear Secret框中输入密码。Textbase64(binary)
    • 单击Apply。
  • 单击Continue以添加新凭据。

注意：确保 AWS 凭证与策略要求文档中所需的访问策略一起应用。

图：部署配置

第三步：设置站点节点参数。

• 在该Site Node Parameters部分中，启用该Show Advanced Fields选项。或者，添加地理地址并输入纬度和经度值。
• 从AWS Instance Type for Node菜单中选择一个选项。
• 或者，在框中输入您的 SSH 密钥Public SSH key。

图：站点节点参数配置

第 4 步：配置高级配置选项。

• 在该Advanced Configuration部分中，启用该Show Advanced Fields选项。
• 从Logs Streaming菜单中选择一个选项。
• 从Select Volterra Software Version菜单中选择一个选项。
• 从Select Operating System Version菜单中选择一个选项。
• 从Desired Worker Nodes Selection菜单中选择一个选项：
  • Desired Worker Nodes Per AZ在字段中输入工作程序节点的数量。您在此处设置的工作程序节点数将根据您在其中创建节点的可用区创建。例如，如果您在三个可用区中配置三个节点，并将Desired Worker Nodes Per AZ框设置为 3，则每个可用区创建 3 个工作程序节点，并且此 AWS VPC 站点的工作程序节点总数将为 9。

图：AWS VPC 高级配置

• 从Direct Connect Choice下拉菜单中，选择一个选项：
  • Disable Direct Connect：默认选项。
  • Enable Direct Connect：选择为 AWS 站点进行配置。
• 单击Configure。
• 从VIF Configuration下拉菜单中，为虚拟接口 (VIF) 选择一个选项：
  • Hosted VIF mode：在此模式下，F5 将预置一个 AWS Direct Connect 网关和一个虚拟私有网关。您提供的托管 VIP 将自动关联并设置 BGP 对等互连。
  • Standard VIF mode：在此模式下，F5 将预置一个 AWS Direct Connect 网关和一个虚拟私有网关、一个用户关联 VIP，并将设置 BGP 对等互连。
• 对于Hosted VIF mode选项：
  • 单击Add item。
  • 输入 VIF ID 列表。
  • 单击Apply。
• 对于Standard VIF mode选项：
  • 单击Apply。

第 5 步：配置被阻止的服务。

您可以让您的站点阻止服务，例如 Web、DNS 和 SSH。

• 在该Select to Configure Blocked Services部分中，Custom Blocked Services Configuration从Select to Configure Blocked Services菜单中选择。
• 单击Add Item。

图：添加阻止的服务

• 从Blocked Services Value Type菜单中，选择要阻止的服务：
  • Web UI port
  • DNS port
  • SSH port
• 从Network Type菜单中，选择从您的站点阻止此服务的网络类型。
• 单击Add Item。

图：选择阻止的服务

步骤 6：完成 AWS VPC 站点对象创建。

单击Save and Exit以完成创建 AWS VPC 站点。

VPC 站点对象的Status框显示Generated。

图：生成的 AWS VPC 对象

部署站点

在控制台中创建 AWS 站点 VPC 对象会生成 Terraform 参数。

注意：每个站点节点的站点升级最多可能需要 10 分钟。站点升级完成后，您必须通过Action云站点管理页面上的菜单将 Terraform 参数应用到站点。

• Manage使用> Site Management>AWS VPC Sites选项导航到创建的 AWS VPC 对象。
• 找到您的 AWS VPC 对象并单击Apply列Actions。

图：AWS VPC 对象应用

AWS VPC 对象的Status字段更改为Apply Planning。

注意：或者，您可以在部署之前执行 Terraform 计划活动。找到您的 AWS VPC 站点对象并选择...>Plan (Optional)以启动 Terraform 计划的操作。这将为 Terraform 创建执行计划。

• 等待申请过程完成并且状态变为Applied。

图：应用的 AWS VPC 对象

• 要检查应用操作的状态，请单击您的 AWS VPC 站点对象的...>Terraform Parameters，然后选择Apply Status选项卡。
• 要找到您的站点，请单击Sites>Sites List。
• 验证状态为Online。站点部署和状态更改为 需要几分钟Online。

注意：centos您可以使用用户名和私钥通过 SSH 登录节点的命令行界面 (CLI) 。

图：在线站点状态

注意：对于入口/应用程序堆栈站点：当您更新站点对象的工作程序节点时，会自动进行扩展。对于入口/出口站点：当您更新站点对象的工作节点时，Apply会启用 Terraform 按钮。单击Apply。

4、删除 VPC 站点

执行以下操作以删除站点：

• 导航到AWS VPC 站点对象的Manage>Site Management>AWS VPC Sites。
• 找到您的 AWS VPC 对象。
• 选择>Delete。
• Delete在弹出的确认窗口中单击。

注意：删除 VPC 对象会从 VPC 中删除站点和节点并删除 VPC。如果删除操作没有删除对象并返回任何错误，请从状态中检查错误，修复错误，然后重新尝试删除操作。如果问题仍然存在，请联系技术支持。您可以使用...> Terraform Parameters>Apply status选项检查状态。