如何通过F5分布式云快速在亚马逊云科技构建EdgeSecurityEdition

　　亚马逊云科技 VPC 站点部署类型
　　可以以三种不同的模式部署站点：
　　1
　　Ingress Gateway（一个接口）
　　在这种部署模式下，站点连接到单个 VPC 和单个子网。它可以提供从该子网到客户租户中配置的任何其他站点可访问的服务和端点的发现。
　　2
　　Ingress/Egress Gateway（两个接口）
　　在这种部署模式下，站点连接到一个 VPC，在不同的子网上至少有两个接口。一个子网标记为 Outside，另一个子网标记为 Inside。在这种模式下，站点通过 Site Inside 接口通过默认网关为 VM 和子网提供安全性和连接性 。
　　3
　　F5分布式云应用堆栈集群（App Stack）（一个接口）
　　本站点的 F5 分布式云网格（Mesh）部署和配置与 Ingress Gateway（一个接口）相同。此部署的不同之处在于认证硬件类型为aws-byol-voltstack-combo.这将配置和部署一个实例类型，允许站点拥有 Kubernetes Pod 和使用  Virtual K8s  部署的 VM。
　　*Virtual K8s：https://docs.cloud.f5.com/docs/how-to/app-management/vk8s-deployment
　　入口网关（一个接口）
　　在这种部署模式下，F5® 分布式云网格（Mesh）需要附加一个接口。在节点上运行的服务使用此接口连接到 Internet。此外，此接口用于发现其他服务和虚拟机，并将它们公开给同一租户中的其他站点。例如，在下图中，可以通过反向代理远程发现和公开 DevOps 或 Dev EC2 实例上的 TCP 或 HTTP 服务。
　　如下图所示，该接口位于与默认路由指向互联网网关的 VPC 主路由表关联的外部子网上。这就是来自外部接口的流量以及与此路由表对象关联的其他子网如何到达互联网的方式。对于其他子网（例如，Dev 和 DevOps），它们与 VPC 主路由表相关联。这意味着此 VPC 中任何新创建的子网都会自动与此路由表关联。
　　图：亚马逊云科技 VPC 站点部署 - 入口网关（一个接口）
　　入口/出口网关（两个接口）
　　在此部署场景中，Mesh 节点需要连接两个接口。第一个接口是外部接口，节点上运行的服务可以通过该接口连接到互联网。第二个接口是内部接口，它将成为私有子网中所有应用工作负载和服务的默认网关 IP 地址。
　　如下图所示，外部接口位于外部子网，与外部子网路由表相关联，其默认路由指向互联网网关。这就是来自外部接口的流量如何到达互联网的方式。对于内部子网，这些与内部子网路由表相关联，该路由表也是此 VPC 的主路由表。这意味着此 VPC 中任何新创建的子网都会自动与内部子网路由表关联。这个私有子网路由表有一个默认路由指向 Mesh 节点的内部 IP 地址 (192.168.32.186)。
　　一但 Mesh 站点上线，节点的内部网络将通过外部接口上启用的转发代理和 SNAT 连接到外部网络。这样，来自内部接口的所有流量都将通过转发代理转发到 Internet，并且 SNAT 发生在外部接口上。现在私有子网上的所有工作负载都可以通过 Mesh 站点到达 Internet。
　　APP Stack集群（一个接口）
　　就站点网络和转发/安全的配置方式而言，此方案与 Ingress Gateway（一个接口）相同。除此之外，还提供了 App Stack（分布式应用管理平台）。
　　在这种部署场景中，Mesh 需要附加一个接口。在节点上运行的服务使用此接口连接到 Internet。此外，此接口用于发现其他服务和虚拟机，并将它们公开给同一租户中的其他站点。例如，在下图中，可以通过反向代理远程发现和公开 DevOps 或 Dev EC2 实例上的 TCP 或 HTTP 服务。
　　如果在 vK8s 集群中进行配置，则可以将应用部署到该站点的 App Stack 产品中。站点的 App Stack 的服务/pods 可以暴露给 VPC 路由表上的其他服务和虚拟机；或通过 EIP（公网IP） 或应用交付网络 (ADN) 在外部提供。
　　如下图所示，该接口位于与默认路由指向互联网网关的 VPC 主路由表关联的外部子网上。这就是来自外部接口的流量以及与此路由表对象关联的其他子网如何到达 Internet。对于其他子网（例如，Dev 和 DevOps），它们与 VPC 主路由表相关联。这意味着此 VPC 中任何新创建的子网都会自动与此路由表关联。
　　先决条件
　　以下先决条件必须满足：  F5 分布式云服务帐户。如果您没有帐户，请联系 F5 销售。   每个节点所需的资源：至少 4 个 vCPU 和 14 GB RAM。   附加现有 VPC 时，不应存在预先存在的站点本地外部、站点本地内部和工作负载子网关联。   如果 Internet 网关 (IGW) 与 VPC 连接，则至少有一个路由应指向 VPC 的任何路由表中的 IGW。   亚马逊网络服务 (AWS) 账户。有关部署 AWS VPC 站点所需的权限，参见如下：   {       ＂Version＂: ＂2012-10-17＂,             ＂Statement＂: [               {                             ＂Action＂: [                                               ＂autoscaling:AttachLoadBalancerTargetGroups＂,                                               ＂autoscaling:AttachLoadBalancers＂,                                               ＂autoscaling:CreateAutoScalingGroup＂,                                               ＂autoscaling:CreateLaunchConfiguration＂,                                               ＂autoscaling:DeleteAutoScalingGroup＂,                                               ＂autoscaling:DeleteLaunchConfiguration＂,                                               ＂autoscaling:DescribeAutoScalingGroups＂,                                               ＂autoscaling:DescribeLaunchConfigurations＂,                                               ＂autoscaling:DescribeLoadBalancerTargetGroups＂,                                               ＂autoscaling:DescribeLoadBalancers＂,                                               ＂autoscaling:DetachLoadBalancerTargetGroups＂,                                               ＂autoscaling:DetachLoadBalancers＂,                                               ＂autoscaling:DisableMetricsCollection＂,                                               ＂autoscaling:EnableMetricsCollection＂,                                               ＂autoscaling:ResumeProcesses＂,                                               ＂autoscaling:SuspendProcesses＂,                                               ＂autoscaling:UpdateAutoScalingGroup＂                                           ],                             ＂Resource＂: ＂*＂,                             ＂Effect＂: ＂Allow＂,                             ＂Sid＂: ＂AutoScalingPermissions＂                         },               {                             ＂Action＂: [                                               ＂ec2:AllocateAddress＂,                                               ＂ec2:AssignPrivateIpAddresses＂,                                               ＂ec2:AssociateAddress＂,                                               ＂ec2:AssociateIamInstanceProfile＂,                                               ＂ec2:AssociateRouteTable＂,                                               ＂ec2:AssociateSubnetCidrBlock＂,                                               ＂ec2:AssociateVpcCidrBlock＂,                                               ＂ec2:AttachInternetGateway＂,                                               ＂ec2:AttachNetworkInterface＂,                                               ＂ec2:AuthorizeSecurityGroupEgress＂,                                               ＂ec2:AuthorizeSecurityGroupIngress＂,                                               ＂ec2:CreateInternetGateway＂,                                               ＂ec2:CreateNetworkInterface＂,                                               ＂ec2:CreateRoute＂,                                               ＂ec2:CreateRouteTable＂,                                               ＂ec2:CreateSecurityGroup＂,                                               ＂ec2:CreateSubnet＂,                                               ＂ec2:CreateTags＂,                                               ＂ec2:CreateVpc＂,                                               ＂ec2:DeleteInternetGateway＂,                                               ＂ec2:DeleteNetworkInterface＂,                                               ＂ec2:DeleteRoute＂,                                               ＂ec2:DeleteRouteTable＂,                                               ＂ec2:DeleteSecurityGroup＂,                                               ＂ec2:DeleteSubnet＂,                                               ＂ec2:DeleteTags＂,                                               ＂ec2:DeleteVpc＂,                                               ＂ec2:DescribeAccountAttributes＂,                                               ＂ec2:DescribeAddresses＂,                                               ＂ec2:DescribeIamInstanceProfileAssociations＂,                                               ＂ec2:DescribeImages＂,                                               ＂ec2:DescribeInstanceAttribute＂,                                               ＂ec2:DescribeInstanceCreditSpecifications＂,                                               ＂ec2:DescribeInstances＂,                                               ＂ec2:DescribeInternetGateways＂,                                               ＂ec2:DescribeNetworkAcls＂,                                               ＂ec2:DescribeNetworkInterfaces＂,                                               ＂ec2:DescribeRouteTables＂,                                               ＂ec2:DescribeSecurityGroups＂,                                               ＂ec2:DescribeSubnets＂,                                               ＂ec2:DescribeTags＂,                                               ＂ec2:DescribeVolumes＂,                                               ＂ec2:DescribeVolumesModifications＂,                                               ＂ec2:DescribeVpcAttribute＂,                                               ＂ec2:DescribeVpcClassicLink＂,                                               ＂ec2:DescribeVpcClassicLinkDnsSupport＂,                                               ＂ec2:DescribeVpcs＂,                                               ＂ec2:DetachInternetGateway＂,                                               ＂ec2:DetachNetworkInterface＂,                                               ＂ec2:DisableVgwRoutePropagation＂,                                               ＂ec2:DisassociateAddress＂,                                               ＂ec2:DisassociateIamInstanceProfile＂,                                               ＂ec2:DisassociateRouteTable＂,                                               ＂ec2:DisassociateSubnetCidrBlock＂,                                               ＂ec2:DisassociateVpcCidrBlock＂,                                               ＂ec2:EnableVgwRoutePropagation＂,                                               ＂ec2:GetPasswordData＂,                                               ＂ec2:ModifyInstanceAttribute＂,                                               ＂ec2:ModifyInstanceCreditSpecification＂,                                               ＂ec2:ModifyInstanceMetadataOptions＂,                                               ＂ec2:ModifyNetworkInterfaceAttribute＂,                                               ＂ec2:ModifySubnetAttribute＂,                                               ＂ec2:ModifyVolume＂,                                               ＂ec2:ModifyVpcAttribute＂,                                               ＂ec2:MonitorInstances＂,                                               ＂ec2:ReleaseAddress＂,                                               ＂ec2:ReplaceIamInstanceProfileAssociation＂,                                               ＂ec2:ReplaceRoute＂,                                               ＂ec2:ReplaceRouteTableAssociation＂,                                               ＂ec2:RevokeSecurityGroupEgress＂,                                               ＂ec2:RevokeSecurityGroupIngress＂,                                               ＂ec2:RunInstances＂,                                               ＂ec2:StartInstances＂,                                               ＂ec2:StopInstances＂,                                               ＂ec2:TerminateInstances＂,                                               ＂ec2:UnassignPrivateIpAddresses＂,                                               ＂ec2:UnmonitorInstances＂                                           ],                             ＂Resource＂: ＂*＂,                             ＂Effect＂: ＂Allow＂,                             ＂Sid＂: ＂EC2Permissions＂                         },               {                             ＂Action＂: [                                               ＂elasticloadbalancing:AddTags＂,                                               ＂elasticloadbalancing:CreateListener＂,                                               ＂elasticloadbalancing:CreateLoadBalancer＂,                                               ＂elasticloadbalancing:CreateTargetGroup＂,                                               ＂elasticloadbalancing:DeleteListener＂,                                               ＂elasticloadbalancing:DeleteLoadBalancer＂,                                               ＂elasticloadbalancing:DeleteTargetGroup＂,                                               ＂elasticloadbalancing:DeregisterTargets＂,                                               ＂elasticloadbalancing:DescribeInstanceHealth＂,                                               ＂elasticloadbalancing:DescribeListeners＂,                                               ＂elasticloadbalancing:DescribeLoadBalancerAttributes＂,                                               ＂elasticloadbalancing:DescribeLoadBalancers＂,                                               ＂elasticloadbalancing:DescribeTags＂,                                               ＂elasticloadbalancing:DescribeTargetGroupAttributes＂,                                               ＂elasticloadbalancing:DescribeTargetGroups＂,                                               ＂elasticloadbalancing:DescribeTargetHealth＂,                                               ＂elasticloadbalancing:ModifyListener＂,                                               ＂elasticloadbalancing:ModifyLoadBalancerAttributes＂,                                               ＂elasticloadbalancing:ModifyTargetGroup＂,                                               ＂elasticloadbalancing:ModifyTargetGroupAttributes＂,                                               ＂elasticloadbalancing:RegisterTargets＂,                                               ＂elasticloadbalancing:RemoveTags＂                                           ],                             ＂Resource＂: ＂*＂,                             ＂Effect＂: ＂Allow＂,                             ＂Sid＂: ＂ELBPermissions＂                         },               {                             ＂Action＂: [                                               ＂iam:AddRoleToInstanceProfile＂,                                               ＂iam:AttachRolePolicy＂,                                               ＂iam:CreateInstanceProfile＂,                                               ＂iam:CreatePolicy＂,                                               ＂iam:CreatePolicyVersion＂,                                               ＂iam:CreateRole＂,                                               ＂iam:CreateServiceLinkedRole＂,                                               ＂iam:DeleteInstanceProfile＂,                                               ＂iam:DeletePolicy＂,                                               ＂iam:DeletePolicyVersion＂,                                               ＂iam:DeleteRole＂,                                               ＂iam:DeleteRolePermissionsBoundary＂,                                               ＂iam:DeleteRolePolicy＂,                                               ＂iam:DetachRolePolicy＂,                                               ＂iam:GetInstanceProfile＂,                                               ＂iam:GetPolicy＂,                                               ＂iam:GetPolicyVersion＂,                                               ＂iam:GetRole＂,                                               ＂iam:ListAttachedRolePolicies＂,                                               ＂iam:ListInstanceProfilesForRole＂,                                               ＂iam:ListPolicyVersions＂,                                               ＂iam:ListRolePolicies＂,                                               ＂iam:PassRole＂,                                               ＂iam:PutRolePermissionsBoundary＂,                                               ＂iam:RemoveRoleFromInstanceProfile＂,                                               ＂iam:TagRole＂,                                               ＂iam:UpdateAssumeRolePolicy＂,                                               ＂iam:UpdateRole＂,                                               ＂iam:UpdateRoleDescription＂                                           ],                             ＂Resource＂: ＂*＂,                             ＂Effect＂: ＂Allow＂,                             ＂Sid＂: ＂IAMPermissions＂               }                   ] }
　　▼可上下滑动查看全部内容
　　创建一个亚马逊云科技站点使用 F5 分布式云 Console
　　亚马逊云科技 VPC 站点对象创建和部署包括以下内容：
　　阶段
　　描述
　　创建亚马逊云科技 VPC 对象
　　使用向导在控制台中创建 VPC 站点对象。
　　部署站点
　　使用自动化方法部署在 VPC 对象中配置的站点。
　　创建亚马逊云科技 VPC 站点对象
　　可以在多种服务中查看和管理站点：Cloud and Edge Sites、  Distributed Apps   和 Load Balancers。
　　此示例显示 Sites 在.AWSCloud and Edge Sites
　　第 1 步： 登录控制台，开始创建亚马逊云科技 VPC 站点对象。   打开控制台并单击 Cloud and Edge Sites。
　　注意： 主页是基于角色的，由于您的角色自定义，您的主页可能看起来不同。选择All Services下拉菜单以发现所有选项。自定义设置：Administration > Personal Management > My Account > Edit work domain & skills > Advanced框 > 复选框Work Domain > Save changes.
　　图：控制台主页
　　注意： 确认 Namespace 功能在左上角的正确命名空间中。并非在所有服务中都可用。
　　单击 Manage > Site Management > 亚马逊云科技 VPC Sites。
　　注意： 如果选项未显示可用，请选择左下角的 Show 链接。Advanced nav options visible 如果需要，选择 Hide 从 Advanced nav options 模式中最小化选项。
　　单击 Add 亚马逊云科技 VPC Site。
　　图：站点管理亚马逊云科技
　　输入 Name，输入 Labels 和 Description 根据需要。
　　图：亚马逊云科技站点设置
　　第 2 步： 配置 VPC 和站点设置
　　在该 Site Type Selection 部分中，执行以下操作：
　　步骤 2.1： 设置区域并配置 VPC   亚马逊云科技 Region 从下拉菜单中选择一个区域。   从 VPC 菜单中选择一个选项：   New VPC Parameters：Autogenerate VPC Name  默认选择该选项。   Existing VPC IDExisting VPC ID ：在框中输入现有的 VPC ID。
　　注意： 如果您使用的是现有 VPC，请 enable_dns_hostnames 在现有 VPC  配置中启用该框。
　　在 Primary IPv4 CIDR block 字段中输入 CIDR。
　　图：VPC 和节点类型配置
　　步骤 2.2： 设置节点配置。
　　从 Select Ingress Gateway or Ingress/Egress Gateway 菜单中选择一个选项。
　　配置入口网关。
　　对于 Ingress Gateway (One Interface)选项：   单击 Configure。   单击 Add Item。   亚马逊云科技 AZ Name 从菜单中选择一个与配置相匹配的选项亚马逊云科技 Region。   从菜单中选择 New Subnet 或。Existing Subnet IDSubnet for local Interface。   在中输入子网地址 IPv4 Subnet，或在中输入子网 ID Existing Subnet ID。   确认子网是上一步中设置的 CIDR 块的一部分。   切换部分并为负载均衡器配置   VIP  端口，  Show Advanced Fields  以   Allowed VIP Port Configuration  在多节点站点中的所有节点之间分配流量。   从 Select Which Ports will be Allowed 菜单中选择一个选项：   Allow HTTP Port：仅允许端口 80。   Allow HTTPS Port：仅允许端口 443。   Allow HTTP & HTTPS Port：仅允许端口 80 和 443。默认情况下已填充。   Ports Allowed on Public：允许指定自定义端口或端口范围。在字段中输入端口或端口范围 Ports Allowed on Public。
　　注意： 默认情况下亚马逊云科技 Certified Hardware 设置为 aws-byol-voltmesh。Add item 您可以使用该选项添加多个节点。
　　配置入口/出口网关。
　　对于 Ingress/Egress Gateway (Two Interface)选项：   点击 Configure 打开双接口节点配置。   单击 Add Item。   亚马逊云科技 AZ Name 从菜单中选择一个与配置相匹配的选项亚马逊云科技 Region。   从 Workload Subnet 菜单中选择一个选项：   New SubnetIPv4 Subnet：在字段中输入子网。   Existing Subnet IDExisting Subnet ID：在字段中输入子网。
　　注意： 工作负载子网是托管应用工作负载的网络。为了成功路由到在工作负载子网中运行的应用，需要在相应的站点对象上添加到工作负载子网 CIDR 的内部静态路由。
　　从 Subnet for Outside Interface 菜单中选择一个选项：   New SubnetIPv4 Subnet：在字段中输入子网。   Existing Subnet IDExisting Subnet ID：在字段中输入子网。   单击 Add Item。   在该 Site Network Firewall 部分中，可选择 Active Firewall Policies 从 Manage Firewall Policy 菜单中进行选择。   选择现有的防火墙策略，或选择 Create new Firewall Policy 创建并应用防火墙策略。   创建策略后，单击 Continue 以应用。   从Manage Forward Proxy菜单中选择一个选项：   Disable Forward Proxy   Enable Forward Proxy with Allow All Policy   Enable Forward Proxy and Manage Policies：选择现有的转发代理策略，或选择Create new forward proxy policy创建并应用转发代理策略。   创建策略后，单击 Apply。
　　图：节点的网络防火墙配置   Show Advanced Fields   在   Advanced Options   部分中启用。  Connect Global Networks 从菜单中选择 Select Global Networks to Connect，然后执行以下操作：   单击 Add Item。   从 Select Network Connection Type 菜单中选择一个选项：   从 Global Virtual Network 菜单中选择一个选项。   单击 Add Item。   从 Select DC Cluster Group 菜单中，选择一个选项以将您的站点设置在 DC 集群组中：   Not a Member of DC Cluster Group：默认选项。   Member of DC Cluster Group via Outside Network：从菜单中选择 DC 集群组 Member of DC Cluster Group via Outside Network 以使用外部网络连接您的站点。   Member of DC Cluster Group via Inside Network：从菜单中选择 DC 集群组 Member of DC Cluster Group via Inside Network 以使用内部网络连接您的站点。   Manage Static routes从Manage Static Routes for Inside Network 菜单中选择。点击小节 Add Item。List of Static Routes 执行以下步骤之一：   选择 Simple Static Route 并在 Simple Static Route 字段中输入静态路由。   选择 Custom Static Route 然后单击 Configure。执行以下步骤：   在该 Subnets 部分中，单击 Add Item。Version 从菜单中选择 IPv4 或 IPv6 选项。输入子网的前缀和前缀长度。您可以使用该 Add item 选项设置更多子网。   在该部分中，从菜单 Nexthop 中选择下一跳类型。从小节的菜单中 Type 选择 IPv4 或 IPv6 。输入 IP 地址。从菜单中选择一个选项。VersionAddressNetwork Interface   在该 Static Route Labels 部分中，选择 Add label 并按照提示操作。   在该部分中，从菜单 Attributes 中选择支持的属性。Attributes 您可以选择多个选项。   单击 Apply。   Manage Static routes 从 Manage Static Routes for Outside Network 菜单中选择。选择 Add Item。遵循管理 Manage Static Routes for Outside Network 菜单静态路由的相同过程。   设置 Allowed VIP Port Configuration for Outside Network和Allowed VIP Port Configuration for Inside Network。这是负载均衡器在多节点站点中的所有节点之间分配流量所必需的。   在该 Allowed VIP Port Configuration for Outside Network部分中，执行以下操作：   从Select Which Ports will be Allowed 菜单中选择一个选项：   Allow HTTP Port：仅允许端口 80。   Allow HTTPS Port：仅允许端口 443。   Allow HTTP & HTTPS Port：仅允许端口 80 和 443。默认情况下已填充。   Ports Allowed on Public：允许指定自定义端口或端口范围。在字段中输入端口或端口范围 Ports Allowed on Public。   在本 Allowed VIP Port Configuration for Inside Network 节中，执行与上述外部网络相同的步骤。   单击 Apply。
　　注意： 默认情况下亚马逊云科技 Certified Hardware设置为aws-byol-multi-nic-voltmesh。Add item您可以使用该选项添加多个节点。
　　应用堆栈集群（一个接口）。
　　对于 App stack Cluster (One Interface)选项：   单击 Configure 以打开配置表单。   在该 App Stack Cluster (One Interface) Nodes in AZ 部分中，单击 Add Item。执行以下操作：   亚马逊云科技 AZ Name 从菜单中选择一个与配置相匹配的选项亚马逊云科技 Region。   从菜单中选择 New Subnet 或。Existing Subnet IDSubnet for local Interface   在中输入子网地址 IPv4 Subnet 或子网 ID Existing Subnet ID。   单击 Add Item。   在该 Site Network Firewall部分：   可选择 Active Firewall Policies 从 Manage Firewall Policy 菜单中选择。选择现有的防火墙策略，或选择 Create new Firewall Policy 创建并应用防火墙策略。   （可选）从菜单中选择 Enable Forward Proxy with Allow All Policy 或。对于后一个选项，选择现有的转发代理策略，或选择创建并应用转发代理策略。Enable Forward Proxy and Manage PoliciesManage Forward ProxyCreate new forward proxy policy   在该 Advanced Options 部分中，启用该 Show Advanced Fields 选项。   Connect Global Networks 从菜单中选择 Select Global Networks to Connect，然后执行以下操作：   单击 Add Item。   从 Select Network Connection Type 菜单中选择连接类型。   从 Global Virtual Network 菜单中，从显示的网络列表中选择一个全球网络。   要创建新的全球网络，请单击 Create new virtual network：Global Virtual Network   填写表格信息。   单击 Continue。   单击 Add Item。   Manage Static routes   从   Manage Static Routes for Site Local Network   菜单中选择。  单击 Add Item 并执行以下步骤之一：   从 Static Route Config Mode 菜单中选择Simple Static Route。Simple Static Route 在字段中输入静态路由。   从 Static Route Config Mode 菜单中选择 Custom Static Route。单击 Configure。执行以下步骤：   在 Subnets 部分中，单击 Add Item。从菜单中选择 IPv4 Subnet 或。IPv6 SubnetVersion   输入子网的前缀和前缀长度。   使用该 Add Item 选项设置更多子网。   在部分中，从菜单Nexthop中选择下一个类型Type   从菜单中选择 IPv4 Address 或 IPv6 AddressVersion   输入 IP 地址。   从 Network Interface 菜单中，选择一个网络接口或选择 Create new network interface 创建并应用一个新的网络接口。   在该部分中，从菜单 Attributes 中选择支持的属性。Attributes 您可以选择多个选项。   单击 Apply 以添加自定义路由。   单击 Add Item。   单击 Apply。   从Select DC Cluster Group菜单中，选择一个选项以将您的站点设置在 DC 集群组中：   Not a Member：默认选项。   Member of DC Cluster Group：从菜单中选择 DC 集群组Member of DC Cluster Group以使用外部网络连接您的站点。   从Allowed VIP Port Configuration菜单中，为负载均衡器配置 VIP 端口，以在多节点站点中的所有节点之间分配流量。   从 Site Local K8s API access 菜单中，选择 API 访问选项。
　　注意： 分布式云平台支持托管 K8s 的变异和验证 webhook。可以在 K8s 配置中启用 Webhook 支持（管理 > 管理 K8s > K8s 集群）。
　　在该 Storage Configuration 部分中，启用该 Show Advanced Fields 选项。   从   Select Configuration for Storage Classes   菜单中选择  Add Custom Storage Class。   单击 Add Item。   在该 Storage Class Name 字段中，输入将在 Kubernetes 中显示的存储类的名称。   （可选）启用 Default Storage Class 使这个新存储类成为所有集群的默认类的选项。   在该 Storage Device 部分：   在该 Replication 字段中，输入一个数字以设置 PV 的复制因子。   在该 Storage Size 字段中，设置每个节点的存储容量（以千兆字节 (GB) 为单位）。   单击 Add Item。   单击 Apply。
　　注意： 默认情况下亚马逊云科技 Certified Hardware 设置为 aws-byol-voltstack-combo。Add Item 您可以使用该选项添加多个节点。
　　步骤 2.3： 设置部署类型。   从Automatic Deployment下拉菜单中选择Automatic Deployment：   选择现有的亚马逊云科技凭证对象，或单击Create new Cloud Credential以加载表单。   要创建新凭据：   根据需要输入 Name、Labels和Description。   从 Select Cloud Credential Type 菜单中选择亚马逊云科技 Programmatic Access Credentials。   Access Key ID 在字段中输入亚马逊云科技访问 ID 。   单击 Configure 该 Secret Access Key 字段。   从 Secret Info 菜单：   Blindfold Secret：在框中输入密码 Type。   Clear Secret : 以或格式在 Clear Secret 框中输入密码。  Textbase64(binary)   单击 Apply。   单击 Continue 以添加新凭据。
　　注意： 确保亚马逊云科技凭证与 策略要求 文档中所需的访问策略一起应用。
　　*  策略要求：https://docs.cloud.f5.com/docs/reference/cloud-cred-ref/aws-vpc-cred-ref
　　图：部署配置
　　第 3 步： 设置站点节点参数   在该 Site Node Parameters 部分中，启用该 Show Advanced Fields 选项。或者，添加地理地址并输入纬度和经度值。   从亚马逊云科技 Instance Type for Node 菜单中选择一个选项。   或者，在框中输入您的 SSH 密钥 Public SSH key。
　　图：站点节点参数配置
　　第 4 步： 配置高级配置选项   在该 Advanced Configuration 部分中，启用该 Show Advanced Fields 选项。   从 Logs Streaming 菜单中选择一个选项。   从 Select Volterra Software Version 菜单中选择一个选项。   从 Select Operating System Version 菜单中选择一个选项。   从 Desired Worker Nodes Selection 菜单中选择一个选项：   Desired Worker Nodes Per AZ 在字段中输入工作程序节点的数量。您在此处设置的工作程序节点数将根据您在其中创建节点的可用区创建。例如，如果您在三个可用区中配置三个节点，并将 Desired Worker Nodes Per AZ 框设置为 3，则每个可用区创建 3 个工作程序节点，并且此亚马逊云科技 VPC 站点的工作程序节点总数将为 9。
　　图：亚马逊云科技 VPC 高级配置
　　从 Direct Connect Choice 下拉菜单中，选择一个选项：   Disable Direct Connect：默认选项。   Enable Direct Connect：选择为亚马逊云科技站点进行配置。   单击 Configure。   从 VIF Configuration 下拉菜单中，为虚拟接口 (VIF) 选择一个选项：   Hosted VIF mode：在此模式下，F5 将预置一个亚马逊云科技 Direct Connect 网关和一个虚拟私有网关。您提供的托管 VIP 将自动关联并设置 BGP 对等互连。   Standard VIF mode：在此模式下，F5 将预置一个亚马逊云科技 Direct Connect 网关和一个虚拟私有网关、一个用户关联 VIP，并将设置 BGP 对等互连。   对于 Hosted VIF mode 选项：   单击 Add item。   输入 VIF ID 列表。   单击 Apply。   对于 Standard VIF mode 选项：   单击 Apply。
　　第 5 步： 配置被阻止的服务
　　您可以让您的站点阻止服务，例如 Web、DNS 和 SSH。   在该 Select to Configure Blocked Services 部分中，Custom Blocked Services Configuration 从   Select to Configure Blocked Services   菜单中选择。  单击 Add Item。
　　图：添加阻止的服务
　　从 Blocked Services Value Type 菜单中，选择要阻止的服务：   Web UI port   DNS port   SSH port   从 Network Type 菜单中，选择从您的站点阻止此服务的网络类型。   单击 Add Item。
　　第 6 步： 完成亚马逊云科技 VPC 站点对象创建   单击Save and Exit以完成创建亚马逊云科技 VPC 站点。   VPC 站点对象的 Status 框显示 Generated 。
　　图：生成的亚马逊云科技 VPC 对象
　　部署站点
　　在控制台中创建亚马逊云科技站点 VPC 对象会生成 Terraform 参数。
　　注意： 每个站点节点的站点升级最多可能需要 10 分钟。站点升级完成后，您必须通过 Action 云站点管理页面上的菜单将 Terraform 参数应用到站点。
　　Manage 使用 > Site Management > 亚马逊云科技 VPC Sites 选项导航到创建的亚马逊云科技 VPC 对象。   找到您的亚马逊云科技 VPC 对象并单击 Apply 列 Actions。
　　图：亚马逊云科技 VPC 对象应用
　　亚马逊云科技 VPC 对象的 Status 字段更改为 Apply Planning。
　　注意： 或者，您可以在部署之前执行 Terraform 计划活动。找到您的亚马逊云科技 VPC 站点对象并选择... > Plan (Optional)以启动 Terraform 计划的操作。这将为 Terraform 创建执行计划。
　　等待申请过程完成并且状态变为 Applied。
　　图：应用的亚马逊云科技 VPC 对象
　　要检查应用操作的状态，请单击您的亚马逊云科技 VPC 站点对象的... > Terraform Parameters，然后选择 Apply Status 选项卡。   要找到您的站点，请单击 Sites > Sites List。   验证状态为 Online。站点部署和状态更改为 需要几分钟 Online。
　　注意： centos您可以使用用户名和私钥通过 SSH 登录节点的命令行界面 (CLI) 。
　　图：在线站点状态
　　注意： 对于入口/应用堆栈站点：当您更新站点对象的工作程序节点时，会自动进行扩展。对于入口/出口站点：当您更新站点对象的工作节点时，Apply 会启用 Terraform 按钮。单击 Apply。
　　删除 VPC 站点
　　执行以下操作以删除站点：   导航到亚马逊云科技 VPC 站点对象的Manage > Site Management > 亚马逊云科技 VPC Sites。   选择 > Delete。   Delete 在弹出的确认窗口中单击。
　　注意： 删除 VPC 对象会从 VPC 中删除站点和节点并删除 VPC。如果删除操作没有删除对象并返回任何错误，请从状态中检查错误，修复错误，然后重新尝试删除操作。如果问题仍然存在，请联系技术支持。您可以使用...> Terraform Parameters>Apply status选项检查状态。