Phase 1 — Construction

La Phase 1 déploie et valide l’infrastructure CSD complète. Effectuez toutes les étapes dans l’ordre — chaque étape doit être RÉUSSIE avant de poursuivre. Retournez à l’index pour effectuer la configuration de l’environnement et la résolution des variables avant d’exécuter ces commandes.

Étape 0 : Vérifier et créer l’espace de noms (Conditionnel)

Vérifiez si l’espace de noms cible existe déjà sur le tenant. S’il n’existe pas, créez-le. Enregistrez le résultat dans la variable shell NAMESPACE_CREATED — la phase 4 de démontage l’utilise pour décider si l’espace de noms doit être supprimé.

NS_CHECK=$(curl -s -o /dev/null -w '%\{http_code\}' \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  "xF5XC_API_URLx/api/web/namespaces/xF5XC_NAMESPACEx")

NAMESPACE_CREATED="false"
if [ "$NS_CHECK" = "404" ]; then
  curl -s -X POST \
    -H "Authorization: APIToken xF5XC_API_TOKENx" \
    -H "Content-Type: application/json" \
    -d '{"metadata": {"name": "xF5XC_NAMESPACEx"}, "spec": {}}' \
    "xF5XC_API_URLx/api/web/namespaces" | jq .
  NAMESPACE_CREATED="true"
fi

Note

Le champ spec est obligatoire. L’API d’espace de noms F5 XC requiert un champ spec dans le corps de la requête même lorsqu’aucune configuration n’est nécessaire — passez un objet vide {}. L’omission de spec renvoie le code d’erreur 3 (« spec should not be empty in request »).

Preuves

Confirmez que l’espace de noms existe et enregistrez s’il a été créé :

curl -s -o /dev/null -w '%\{http_code\}' \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  "xF5XC_API_URLx/api/web/namespaces/xF5XC_NAMESPACEx"
echo "NAMESPACE_CREATED=$NAMESPACE_CREATED"

Champ	Attendu	Statut
Statut HTTP	200	RÉUSSI si retourné, ÉCHEC si 404 ou autre
NAMESPACE_CREATED	true (créé) ou false (préexistant)	Informatif — utilisé par le démontage de la Phase 4

Étape 1 : Créer la vérification de santé (Optionnel)

Créez une vérification de santé HTTP que le pool d’origine peut utiliser pour surveiller la santé du backend.

Note

Les vérifications de santé sont optionnelles pour CSD. La fonctionnalité Défense côté client ne dépend pas de la surveillance de la santé de l’origine. Si votre tenant a épuisé la limite d’objets de vérification de santé (code d’erreur 8 — voir Gestion des erreurs), ignorez cette étape et créez le pool d’origine sans référence à une vérification de santé. CSD fonctionnera normalement.

Si vous créez une vérification de santé, créez-la AVANT le pool d’origine. Le pool d’origine doit référencer une vérification de santé existante — si la vérification de santé n’existe pas lors de la création du pool d’origine, la référence sera silencieusement vide.

curl -s -X POST \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  -H "Content-Type: application/json" \
  -d '{
    "metadata": {
      "name": "xF5XC_HC_NAMEx",
      "namespace": "xF5XC_NAMESPACEx",
      "labels": {},
      "annotations": {},
      "disable": false
    },
    "spec": {
      "http_health_check": {
        "use_origin_server_name": {},
        "path": "/",
        "use_http2": false,
        "headers": {},
        "request_headers_to_remove": [],
        "expected_status_codes": ["200"]
      },
      "timeout": 3,
      "interval": 15,
      "jitter": 0,
      "unhealthy_threshold": 1,
      "healthy_threshold": 3,
      "jitter_percent": 30
    }
  }' \
  "xF5XC_API_URLx/api/config/namespaces/xF5XC_NAMESPACEx/healthchecks" \
  | jq .

Une réponse 200 avec l’objet créé confirme que la vérification de santé a été créée. Si la réponse contient "code": 8 avec un message tel que "Object kind healthcheck has exhausted limits(150)", le tenant a atteint sa limite de vérifications de santé — passez à l’Étape 2 et omettez la référence à la vérification de santé. CSD ne dépend pas de la surveillance de la santé.

Preuves

Confirmez que la vérification de santé existe :

curl -s \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  "xF5XC_API_URLx/api/config/namespaces/xF5XC_NAMESPACEx/healthchecks/xF5XC_HC_NAMEx" \
  | jq '{name: .metadata.name, namespace: .metadata.namespace, path: .spec.http_health_check.path, interval: .spec.interval}'

Champ	Attendu	Statut
Statut HTTP	200 avec objet	RÉUSSI si retourné, ÉCHEC si 404
name	Correspond à F5XC_HC_NAME	RÉUSSI
path	/	RÉUSSI
Étape 1 ignorée (code d’erreur 8, limite épuisée)	—	RÉUSSI (la vérification de santé est optionnelle pour CSD)

Étape 2 : Créer le pool d’origine

Créez un pool d’origine pointant vers votre serveur backend. Si vous avez créé une vérification de santé à l’Étape 1, incluez la référence healthcheck. Si l’Étape 1 a été ignorée, utilisez un tableau vide.

Avec vérification de santé (Étape 1 réussie) :

curl -s -X POST \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  -H "Content-Type: application/json" \
  -d '{
    "metadata": {
      "name": "xF5XC_ORIGIN_POOLx",
      "namespace": "xF5XC_NAMESPACEx",
      "labels": {},
      "annotations": {},
      "description": "Origin pool for CSD demo",
      "disable": false
    },
    "spec": {
      "origin_servers": [{
        "public_ip": { "ip": "xF5XC_ORIGIN_IPx" },
        "labels": {}
      }],
      "no_tls": {},
      "port": xF5XC_ORIGIN_PORTx,
      "same_as_endpoint_port": {},
      "healthcheck": [{
        "namespace": "xF5XC_NAMESPACEx",
        "name": "xF5XC_HC_NAMEx",
        "kind": "healthcheck"
      }],
      "loadbalancer_algorithm": "LB_OVERRIDE",
      "endpoint_selection": "LOCAL_PREFERRED"
    }
  }' \
  "xF5XC_API_URLx/api/config/namespaces/xF5XC_NAMESPACEx/origin_pools" \
  | jq .

Sans vérification de santé (Étape 1 ignorée) :

curl -s -X POST \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  -H "Content-Type: application/json" \
  -d '{
    "metadata": {
      "name": "xF5XC_ORIGIN_POOLx",
      "namespace": "xF5XC_NAMESPACEx",
      "labels": {},
      "annotations": {},
      "description": "Origin pool for CSD demo",
      "disable": false
    },
    "spec": {
      "origin_servers": [{
        "public_ip": { "ip": "xF5XC_ORIGIN_IPx" },
        "labels": {}
      }],
      "no_tls": {},
      "port": xF5XC_ORIGIN_PORTx,
      "same_as_endpoint_port": {},
      "healthcheck": [],
      "loadbalancer_algorithm": "LB_OVERRIDE",
      "endpoint_selection": "LOCAL_PREFERRED"
    }
  }' \
  "xF5XC_API_URLx/api/config/namespaces/xF5XC_NAMESPACEx/origin_pools" \
  | jq .

Une réponse 200 confirme que le pool d’origine a été créé.

Attention

Si la réponse contient "code": 8 avec un message tel que "Object kind endpoint has exhausted limits(500)" ou "Object kind origin_pool has exhausted limits", le tenant a atteint son quota. Contrairement aux vérifications de santé, les pools d’origine sont obligatoires pour la démonstration — la démonstration ne peut pas se poursuivre sans l’un d’eux. Supprimez les pools d’origine inutilisés d’autres espaces de noms pour libérer de la capacité (la suppression d’un pool d’origine libère également ses sous-objets endpoint), puis réessayez. Si la limite ne peut pas être résolue, contactez votre administrateur F5 Distributed Cloud (F5 XC) pour augmenter le quota du tenant.

Vérifier que la vérification de santé est liée

Si vous avez inclus une référence à une vérification de santé, confirmez qu’elle est correctement liée :

curl -s \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  "xF5XC_API_URLx/api/config/namespaces/xF5XC_NAMESPACEx/origin_pools/xF5XC_ORIGIN_POOLx" \
  | jq '.spec.healthcheck'

Un tableau renseigné confirme le lien. Un tableau vide [] est attendu si l’Étape 1 a été ignorée, ou signifie que la vérification de santé n’a pas été trouvée si vous aviez l’intention d’en lier une.

Preuves

Confirmez que le pool d’origine existe et possède la configuration correcte :

curl -s \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  "xF5XC_API_URLx/api/config/namespaces/xF5XC_NAMESPACEx/origin_pools/xF5XC_ORIGIN_POOLx" \
  | jq '{name: .metadata.name, origin_ip: .spec.origin_servers[0].public_ip.ip, port: .spec.port, healthcheck_count: (.spec.healthcheck | length)}'

Champ	Attendu	Statut
Statut HTTP	200	RÉUSSI si retourné, ÉCHEC si 404
name	Correspond à F5XC_ORIGIN_POOL	RÉUSSI
origin_ip	Correspond à F5XC_ORIGIN_IP	RÉUSSI
port	Correspond à F5XC_ORIGIN_PORT	RÉUSSI
healthcheck_count	1 (avec vérification de santé) ou 0 (sans)	RÉUSSI dans les deux cas

Étape 3 : Créer des équilibreurs de charge HTTP avec CSD

Créez deux équilibreurs de charge avec la Défense côté client activée — un LB HTTP (principal, port 80) et un LB HTTPS (secondaire, port 443 avec gestion automatique des certificats). Le LB HTTP est le choix par défaut pour tout le trafic de démonstration. Le LB HTTPS est un plus qui dépend du provisionnement des certificats Let’s Encrypt, lequel peut atteindre des limites de débit dans les environnements de démonstration.

Note

La spécification de l’équilibreur de charge HTTP comporte plus de 22 groupes de choix oneOf. Chaque groupe doit avoir exactement un choix défini, sinon l’API renvoie une erreur 422. Les configurations ci-dessous désactivent toutes les fonctionnalités de sécurité optionnelles sauf CSD — modifiez-les selon les besoins de votre environnement. Les deux LB partagent le même pool d’origine, les mêmes paramètres CSD et le même domaine — seul le type de listener diffère.

Astuce

Les deux noms de LB dérivent de F5XC_LB_NAME : le LB HTTP est ${F5XC_LB_NAME}-http et le LB HTTPS est ${F5XC_LB_NAME}-https. Aucune variable d’environnement supplémentaire n’est nécessaire.

Équilibreur de charge HTTP (Principal)

Il s’agit de l’équilibreur de charge principal pour les démonstrations. Il utilise un listener http sur le port 80 avec le DNS géré par F5 XC. Il ne dépend pas du provisionnement des certificats TLS, il devient donc prêt immédiatement après la résolution DNS.

curl -s -X POST \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  -H "Content-Type: application/json" \
  -d '{
    "metadata": {
      "name": "xF5XC_LB_NAMEx-http",
      "namespace": "xF5XC_NAMESPACEx",
      "labels": {},
      "annotations": {},
      "description": "HTTP LB with Client-Side Defense enabled (primary demo LB)",
      "disable": false
    },
    "spec": {
      "domains": ["xF5XC_DOMAINNAMEx"],
      "http": {
        "dns_volterra_managed": true,
        "port": 80
      },
      "advertise_on_public_default_vip": {},
      "default_route_pools": [{
        "pool": {
          "namespace": "xF5XC_NAMESPACEx",
          "name": "xF5XC_ORIGIN_POOLx",
          "kind": "origin_pool"
        },
        "weight": 1,
        "priority": 1
      }],
      "client_side_defense": {
        "policy": {
          "js_insert_all_pages": {}
        }
      },
      "disable_rate_limit": {},
      "no_service_policies": {},
      "round_robin": {},
      "disable_waf": {},
      "no_challenge": {},
      "disable_bot_defense": {},
      "disable_api_definition": {},
      "disable_api_discovery": {},
      "disable_ip_reputation": {},
      "disable_malicious_user_detection": {},
      "single_lb_app": {
        "disable_discovery": {},
        "disable_ddos_detection": {},
        "disable_malicious_user_detection": {}
      },
      "disable_trust_client_ip_headers": {},
      "user_id_client_ip": {},
      "disable_threat_mesh": {},
      "l7_ddos_action_default": {},
      "system_default_timeouts": {},
      "default_sensitive_data_policy": {},
      "disable_malware_protection": {},
      "disable_api_testing": {}
    }
  }' \
  "xF5XC_API_URLx/api/config/namespaces/xF5XC_NAMESPACEx/http_loadbalancers" \
  | jq .

Une réponse 200 confirme que l’équilibreur de charge HTTP a été créé avec CSD activé.

Attention

Si la réponse contient "code": 8 avec un message tel que "Object kind http_loadbalancer has exhausted limits", le tenant a atteint son quota d’équilibreurs de charge. Les équilibreurs de charge sont obligatoires pour la démonstration. Supprimez les équilibreurs de charge inutilisés pour libérer de la capacité, puis réessayez.

Équilibreur de charge HTTPS (Secondaire)

Il s’agit de l’équilibreur de charge secondaire. Il utilise https_auto_cert sur le port 443 avec le provisionnement automatique des certificats Let’s Encrypt. Avant de le créer, vérifiez si un LB HTTPS squelette existe d’un démontage précédent — si c’est le cas, restaurez-le via PUT plutôt que POST pour conserver le certificat Let’s Encrypt existant et éviter les limites de débit (5 certificats en double par ensemble d’identifiants exact par 7 jours).

Vérifiez si le LB HTTPS existe déjà :

HTTPS_CHECK=$(curl -s -o /dev/null -w '%\{http_code\}' \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  "xF5XC_API_URLx/api/config/namespaces/xF5XC_NAMESPACEx/http_loadbalancers/xF5XC_LB_NAMEx-https")

Si HTTPS_CHECK est 200, un LB HTTPS squelette existe — utilisez le Chemin A (PUT). Si 404, utilisez le Chemin B (POST).

Chemin A : Restaurer le squelette via PUT (le LB HTTPS existe)

Lorsqu’un LB HTTPS squelette existe d’un démontage précédent, restaurez la configuration complète via PUT. Cela rattache le pool d’origine et réactive CSD sans déclencher une nouvelle demande de certificat Let’s Encrypt — le certificat existant reste valide.

curl -s -X PUT \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  -H "Content-Type: application/json" \
  -d '{
    "metadata": {
      "name": "xF5XC_LB_NAMEx-https",
      "namespace": "xF5XC_NAMESPACEx",
      "labels": {},
      "annotations": {},
      "description": "HTTPS LB with Client-Side Defense enabled (secondary, cert-dependent)",
      "disable": false
    },
    "spec": {
      "domains": ["xF5XC_DOMAINNAMEx"],
      "https_auto_cert": {
        "http_redirect": false,
        "add_hsts": false,
        "port": 443,
        "default_header": {},
        "enable_path_normalize": {},
        "no_mtls": {},
        "default_loadbalancer": {}
      },
      "advertise_on_public_default_vip": {},
      "default_route_pools": [{
        "pool": {
          "namespace": "xF5XC_NAMESPACEx",
          "name": "xF5XC_ORIGIN_POOLx",
          "kind": "origin_pool"
        },
        "weight": 1,
        "priority": 1
      }],
      "client_side_defense": {
        "policy": {
          "js_insert_all_pages": {}
        }
      },
      "disable_rate_limit": {},
      "no_service_policies": {},
      "round_robin": {},
      "disable_waf": {},
      "no_challenge": {},
      "disable_bot_defense": {},
      "disable_api_definition": {},
      "disable_api_discovery": {},
      "disable_ip_reputation": {},
      "disable_malicious_user_detection": {},
      "single_lb_app": {
        "disable_discovery": {},
        "disable_ddos_detection": {},
        "disable_malicious_user_detection": {}
      },
      "disable_trust_client_ip_headers": {},
      "user_id_client_ip": {},
      "disable_threat_mesh": {},
      "l7_ddos_action_default": {},
      "system_default_timeouts": {},
      "default_sensitive_data_policy": {},
      "disable_malware_protection": {},
      "disable_api_testing": {}
    }
  }' \
  "xF5XC_API_URLx/api/config/namespaces/xF5XC_NAMESPACEx/http_loadbalancers/xF5XC_LB_NAMEx-https" \
  | jq .

Une réponse 200 confirme que le squelette a été restauré avec la configuration complète. L’état du certificat devrait rester CertificateValid — aucun nouveau provisionnement Let’s Encrypt n’est déclenché.

Note

Restauration du squelette. PUT remplace l’intégralité de la spécification de l’objet. Le LB HTTPS squelette a conservé sa liaison de domaine et son certificat pendant le démontage. Ce PUT restaure la référence au pool d’origine et réactive la Défense côté client sans déclencher une nouvelle demande de certificat Let’s Encrypt. HTTPS est disponible immédiatement.

Chemin B : Créer via POST (le LB HTTPS n’existe pas)

Lorsqu’aucun LB HTTPS n’existe (première exécution ou après un démontage complet), créez-le via POST. Cela déclenche le provisionnement du certificat Let’s Encrypt, qui peut prendre 5 à 10 minutes.

curl -s -X POST \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  -H "Content-Type: application/json" \
  -d '{
    "metadata": {
      "name": "xF5XC_LB_NAMEx-https",
      "namespace": "xF5XC_NAMESPACEx",
      "labels": {},
      "annotations": {},
      "description": "HTTPS LB with Client-Side Defense enabled (secondary, cert-dependent)",
      "disable": false
    },
    "spec": {
      "domains": ["xF5XC_DOMAINNAMEx"],
      "https_auto_cert": {
        "http_redirect": false,
        "add_hsts": false,
        "port": 443,
        "default_header": {},
        "enable_path_normalize": {},
        "no_mtls": {},
        "default_loadbalancer": {}
      },
      "advertise_on_public_default_vip": {},
      "default_route_pools": [{
        "pool": {
          "namespace": "xF5XC_NAMESPACEx",
          "name": "xF5XC_ORIGIN_POOLx",
          "kind": "origin_pool"
        },
        "weight": 1,
        "priority": 1
      }],
      "client_side_defense": {
        "policy": {
          "js_insert_all_pages": {}
        }
      },
      "disable_rate_limit": {},
      "no_service_policies": {},
      "round_robin": {},
      "disable_waf": {},
      "no_challenge": {},
      "disable_bot_defense": {},
      "disable_api_definition": {},
      "disable_api_discovery": {},
      "disable_ip_reputation": {},
      "disable_malicious_user_detection": {},
      "single_lb_app": {
        "disable_discovery": {},
        "disable_ddos_detection": {},
        "disable_malicious_user_detection": {}
      },
      "disable_trust_client_ip_headers": {},
      "user_id_client_ip": {},
      "disable_threat_mesh": {},
      "l7_ddos_action_default": {},
      "system_default_timeouts": {},
      "default_sensitive_data_policy": {},
      "disable_malware_protection": {},
      "disable_api_testing": {}
    }
  }' \
  "xF5XC_API_URLx/api/config/namespaces/xF5XC_NAMESPACEx/http_loadbalancers" \
  | jq .

Une réponse 200 confirme que l’équilibreur de charge HTTPS a été créé. Le provisionnement du certificat commence automatiquement.

Attention

Si la réponse contient "code": 8 avec « exhausted limits », le LB HTTPS ne peut pas être créé. Le LB HTTPS est optionnel — la démonstration se poursuit en utilisant le LB HTTP. Notez la limitation de quota dans le Récapitulatif des preuves de la Phase 1 en tant qu’INFO.

Note

Limites de débit Let’s Encrypt. La création d’un nouveau LB HTTPS déclenche une demande de certificat Let’s Encrypt. Let’s Encrypt n’autorise que 5 certificats en double par ensemble d’identifiants exact par 7 jours. Si cert_state affiche AutoCertDomainRateLimited, la démonstration continue en utilisant le LB HTTP. Pour éviter d’atteindre cette limite, le démontage par défaut conserve le LB HTTPS sous forme de squelette — voir Phase 4 — Démontage.

Preuves

Confirmez que les deux équilibreurs de charge existent avec CSD activé. Utilisez toujours un GET pour les preuves — la réponse POST renvoie des valeurs d’état transitoires qui peuvent ne pas refléter la configuration stabilisée.

LB HTTP (principal) :

curl -s \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  "xF5XC_API_URLx/api/config/namespaces/xF5XC_NAMESPACEx/http_loadbalancers/xF5XC_LB_NAMEx-http" \
  | jq '{name: .metadata.name, domains: .spec.domains, csd_enabled: (.spec.client_side_defense != null), state: .spec.state}'

Champ	Attendu	Statut
Statut HTTP	200	RÉUSSI si retourné, ÉCHEC si 404
name	${F5XC_LB_NAME}-http	RÉUSSI
domains	Contient F5XC_DOMAINNAME	RÉUSSI
csd_enabled	true	RÉUSSI — CSD est configuré sur ce LB
state	VIRTUAL_HOST_READY ou VIRTUAL_HOST_PENDING_A_RECORD	Attendu — le LB HTTP passe à READY une fois que le DNS est résolu. Tout autre état (par ex. VIRTUAL_HOST_FAILED) est un ÉCHEC — signalez-le à l’opérateur et ne procédez pas

LB HTTPS (secondaire) :

curl -s \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  "xF5XC_API_URLx/api/config/namespaces/xF5XC_NAMESPACEx/http_loadbalancers/xF5XC_LB_NAMEx-https" \
  | jq '{name: .metadata.name, domains: .spec.domains, csd_enabled: (.spec.client_side_defense != null), state: .spec.state, cert_state: .spec.cert_state}'

Champ	Attendu	Statut
Statut HTTP	200	RÉUSSI si retourné, ÉCHEC si 404
name	${F5XC_LB_NAME}-https	RÉUSSI
domains	Contient F5XC_DOMAINNAME	RÉUSSI
csd_enabled	true	RÉUSSI — CSD est configuré sur ce LB
creation_method	PUT (squelette restauré) ou POST (nouveau)	INFO — PUT conserve le certificat existant
state	VIRTUAL_HOST_READY (PUT) ou VIRTUAL_HOST_PENDING_A_RECORD (POST)	Attendu — le chemin PUT peut déjà être READY car le DNS persiste depuis le squelette
cert_state	CertificateValid (PUT) ou PreDomainChallengePending (POST)	PUT conserve le certificat existant ; POST déclenche un nouveau provisionnement

Étape 4 : Configurer le DNS

Après la création de l’équilibreur de charge, celui-ci entre dans l’état VIRTUAL_HOST_PENDING_A_RECORD et le certificat automatique reste en PreDomainChallengePending. Deux enregistrements DNS doivent exister avant que le LB devienne pleinement opérationnel :

1. Enregistrement A — xF5XC_DOMAINNAMEx pointant vers l’adresse IP VIP (provenant de dns_info dans la réponse du LB)
2. Enregistrement de défi ACME — _acme-challenge.xF5XC_DOMAINNAMEx pour la validation du certificat TLS (géré automatiquement lors de l’utilisation du DNS F5 XC avec des enregistrements gérés ; CNAME manuel requis pour le DNS externe)

L’approche dépend du fait que F5 XC est le fournisseur DNS faisant autorité pour votre domaine.

Détecter l’autorité DNS

Vérifiez les serveurs de noms pour votre domaine racine :

dig +short NS xF5XC_ROOT_DOMAINx

Si la réponse inclut ns1.f5clouddns.com et ns2.f5clouddns.com, F5 XC est le fournisseur DNS faisant autorité — suivez l’Option A. Sinon, suivez l’Option B pour le DNS externe.

Option A : DNS géré par F5 XC

Lorsque F5 XC est le fournisseur DNS faisant autorité, la plateforme peut automatiquement créer à la fois l’enregistrement A et le CNAME de défi ACME — mais uniquement lorsque la zone DNS a allow_http_lb_managed_records activé.

Note

Les zones DNS vivent dans l’espace de noms system, pas dans les espaces de noms utilisateur. Le nom de la zone correspond au domaine racine (par ex., bankexample.com).

1. Vérifiez si les enregistrements gérés sont activés :

curl -s \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  "xF5XC_API_URLx/api/config/dns/namespaces/system/dns_zones/xF5XC_ROOT_DOMAINx" \
  | jq '.spec.primary.allow_http_lb_managed_records'

Si la réponse est true, la plateforme créera automatiquement des enregistrements DNS pour les équilibreurs de charge — passez à 3. Vérifier la résolution DNS. Si false ou null, passez à l’étape suivante.

2. Activer les enregistrements gérés :

Attention

La charge utile PUT doit inclure la spécification complète de la zone — les métadonnées et tous les champs de configuration existants. L’omission de champs les réinitialisera à leurs valeurs par défaut. Récupérez d’abord la configuration actuelle de la zone, puis modifiez uniquement le champ allow_http_lb_managed_records.

Récupérez la configuration actuelle de la zone, activez les enregistrements gérés et mettez à jour :

# Get current zone config
ZONE_CONFIG=$(curl -s \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  "xF5XC_API_URLx/api/config/dns/namespaces/system/dns_zones/xF5XC_ROOT_DOMAINx")

# Update with managed records enabled
echo "$ZONE_CONFIG" \
  | jq '.spec.primary.allow_http_lb_managed_records = true' \
  | curl -s -X PUT \
    -H "Authorization: APIToken xF5XC_API_TOKENx" \
    -H "Content-Type: application/json" \
    -d @- \
    "xF5XC_API_URLx/api/config/dns/namespaces/system/dns_zones/xF5XC_ROOT_DOMAINx" \
  | jq .

Attention

La spécification de zone contient un rr_set_group x-ves-io-managed avec des enregistrements gérés par la plateforme. Votre charge utile PUT doit conserver ce groupe — son omission provoque une erreur HTTP 403 « reserved for internal purposes ». Récupérez toujours la configuration actuelle de la zone avec GET en premier, modifiez uniquement les champs nécessaires et renvoyez la spécification complète.

Une réponse 200 (vide \{\}) confirme que la zone a été mise à jour. F5 XC créera l’enregistrement A et l’enregistrement CNAME de défi ACME dans le groupe d’enregistrements auto-gérés de la zone. Si les enregistrements gérés n’apparaissent pas dans les 60 secondes, réappliquez l’équilibreur de charge pour déclencher la création des enregistrements :

LB_CONFIG=$(curl -s \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  "xF5XC_API_URLx/api/config/namespaces/xF5XC_NAMESPACEx/http_loadbalancers/xF5XC_LB_NAMEx-http")
echo "$LB_CONFIG" | curl -s -X PUT \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  -H "Content-Type: application/json" \
  -d @- \
  "xF5XC_API_URLx/api/config/namespaces/xF5XC_NAMESPACEx/http_loadbalancers/xF5XC_LB_NAMEx-http" \
  | jq .

Cette réapplication GET+PUT ne modifie pas la configuration du LB — elle demande simplement à la plateforme de réévaluer la zone DNS et de créer les enregistrements gérés. Si l’enregistrement A ne se résout toujours pas dans les 60 secondes suivant la réapplication, arrêtez et signalez-le à l’opérateur — ne réessayez pas la réapplication plus d’une fois.

3. Vérifier la résolution DNS :

dig +short xF5XC_DOMAINNAMEx A

La réponse devrait retourner l’adresse IP VIP. La propagation DNS est généralement immédiate pour les zones gérées par F5 XC, mais accordez jusqu’à 60 secondes.

Astuce

Cache DNS négatif : Si vous avez interrogé le domaine avant que l’enregistrement existe, votre résolveur récursif peut avoir mis en cache la réponse NXDOMAIN. Vérifiez auprès du serveur de noms faisant autorité ou d’un résolveur public pour écarter un cache périmé :

dig +short xF5XC_DOMAINNAMEx A @ns1.f5clouddns.com
dig +short xF5XC_DOMAINNAMEx A @8.8.8.8

Option B : Fournisseur DNS externe

Lorsque votre domaine utilise un fournisseur DNS externe, vous devez créer les enregistrements manuellement. Extrayez les valeurs requises depuis l’équilibreur de charge :

curl -s \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  "xF5XC_API_URLx/api/config/namespaces/xF5XC_NAMESPACEx/http_loadbalancers/xF5XC_LB_NAMEx-http" \
  | jq '{
    vip_ip: .spec.dns_info[0].ip_address,
    acme_target: .spec.auto_cert_info.dns_records
  }'

Créez ces enregistrements chez votre fournisseur DNS :

Type	Nom	Valeur
A	xF5XC_DOMAINNAMEx	IP VIP provenant de dns_info[0].ip_address
CNAME	_acme-challenge.xF5XC_DOMAINNAMEx	*.autocerts.ves.volterra.io

Après avoir créé les enregistrements, vérifiez la résolution :

dig +short xF5XC_DOMAINNAMEx A
dig +short _acme-challenge.xF5XC_DOMAINNAMEx CNAME

Astuce

L’enregistrement A est requis pour que le LB passe de VIRTUAL_HOST_PENDING_A_RECORD à VIRTUAL_HOST_READY. Le CNAME ACME est requis pour le provisionnement automatique des certificats TLS. Sans ces deux enregistrements, le LB restera dans un état en attente.

Preuves

Test	Commande	Attendu	Statut
DNS-1 : Enregistrement A	dig +short $F5XC_DOMAINNAME A	Adresse IP VIP retournée	RÉUSSI si IP retournée, ÉCHEC si vide
DNS-2 : CNAME ACME	dig +short _acme-challenge.$F5XC_DOMAINNAME CNAME	*.autocerts.ves.volterra.io	RÉUSSI si CNAME retourné
Autorité DNS	dig +short NS $F5XC_ROOT_DOMAIN	Serveurs de noms F5 XC ou externes	Informatif — détermine l’Option A vs B

Si DNS-1 retourne vide après 60 secondes, voir Dépannage — LB bloqué dans VIRTUAL_HOST_PENDING_A_RECORD.

Étape 5 : Vérifier que CSD est activé

Vérifiez que la Défense côté client est activée pour le tenant. CSD est configuré au niveau du tenant — s’il n’a pas encore été activé, contactez votre administrateur F5 XC.

curl -s \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  "xF5XC_API_URLx/api/shape/csd/namespaces/xF5XC_NAMESPACEx/status" \
  | jq .

Une réponse contenant "isConfigured": true et "isEnabled": true confirme que CSD est actif.

Preuves

curl -s \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  "xF5XC_API_URLx/api/shape/csd/namespaces/xF5XC_NAMESPACEx/status" \
  | jq '{configured: .isConfigured, enabled: .isEnabled}'

Champ	Attendu	Statut
configured	true	RÉUSSI
enabled	true	RÉUSSI
L’un ou l’autre est false	—	ÉCHEC — contactez l’administrateur F5 XC pour activer CSD au niveau du tenant

Étape 6 : Enregistrer le domaine protégé

Enregistrez le domaine racine que CSD surveillera. Le champ protected_domain doit être le domaine racine eTLD+1 (par ex., f5demos.com), et non le FQDN complet.

Attention

Les domaines protégés ont une portée tenant, pas une portée espace de noms. Contrairement aux vérifications de santé, aux pools d’origine et aux équilibreurs de charge, les domaines protégés sont enregistrés globalement sur le tenant — l’espace de noms dans l’URL de l’API est un paramètre de routage, pas une limite de propriété. Cependant, le domaine protégé est un objet de configuration CSD lié à ce déploiement et doit être supprimé lors du démontage lorsque le déploiement est entièrement retiré. Ne confondez pas cela avec la zone DNS, qui est une infrastructure partagée et ne doit jamais être supprimée.

Vérifier s’il est déjà enregistré

Avant de créer, vérifiez si le domaine est déjà enregistré sur le tenant. Une réponse 409 au POST signifie que le domaine existe déjà — c’est une condition de succès, pas une erreur.

curl -s -X POST \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  -H "Content-Type: application/json" \
  -d '{
    "metadata": {
      "name": "xF5XC_DOMAINNAMEx",
      "namespace": "xF5XC_NAMESPACEx"
    },
    "spec": {
      "protected_domain": "xF5XC_ROOT_DOMAINx"
    }
  }' \
  "xF5XC_API_URLx/api/shape/csd/namespaces/xF5XC_NAMESPACEx/protected_domains" \
  | jq .

Réponse	Signification	Action
200	Domaine enregistré avec succès	Continuer à l’Étape 7
409 (domaine déjà existant)	Le domaine a été précédemment enregistré sur ce tenant	Déjà effectué — continuer à l’Étape 7
"code": 8 (limite épuisée)	Quota de domaines protégés atteint	Bloquant — les domaines protégés sont requis pour CSD. Supprimez les domaines protégés inutilisés ou contactez votre administrateur.

Preuves

La réponse POST elle-même constitue la preuve principale — elle retourne l’objet de domaine enregistré avec spec.protected_domain correspondant à votre domaine racine. Vous pouvez également lister tous les domaines protégés pour confirmer :

curl -s \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  "xF5XC_API_URLx/api/shape/csd/namespaces/xF5XC_NAMESPACEx/protected_domains" \
  | jq '.items | length'

Champ	Attendu	Statut
POST a retourné protected_domain	Correspond à F5XC_ROOT_DOMAIN	RÉUSSI
POST a retourné 200 ou 409	Domaine enregistré ou déjà existant	RÉUSSI
Nombre d’éléments dans la liste	> 0	RÉUSSI

Note

Le point de terminaison GET individuel (/protected_domains/\{name\}) n’est pas disponible pour les domaines protégés. Utilisez la réponse POST ou le point de terminaison de liste pour la vérification.

Étape 7 : Vérifier

Résolution DNS

Confirmez que l’enregistrement A se résout et que le CNAME de défi ACME est en place :

dig +short xF5XC_DOMAINNAMEx A
dig +short _acme-challenge.xF5XC_DOMAINNAMEx CNAME

L’enregistrement A devrait retourner l’adresse IP VIP. Le CNAME devrait pointer vers *.autocerts.ves.volterra.io (ou une cible autocerts associée).

État de l’équilibreur de charge

Vérifiez que les deux équilibreurs de charge ont quitté leurs états en attente. Le LB HTTP est la vérification principale — il devrait atteindre VIRTUAL_HOST_READY une fois que le DNS est résolu, sans dépendance aux certificats. L’état du certificat du LB HTTPS est uniquement informatif.

LB HTTP (principal — doit être READY pour continuer) :

curl -s \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  "xF5XC_API_URLx/api/config/namespaces/xF5XC_NAMESPACEx/http_loadbalancers/xF5XC_LB_NAMEx-http" \
  | jq '{state: .spec.state}'

Champ	Attendu	États intermédiaires
state	VIRTUAL_HOST_READY	VIRTUAL_HOST_PENDING_A_RECORD — DNS non configuré (voir Étape 4)

LB HTTPS (secondaire — informatif, ne bloque pas la progression) :

curl -s \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  "xF5XC_API_URLx/api/config/namespaces/xF5XC_NAMESPACEx/http_loadbalancers/xF5XC_LB_NAMEx-https" \
  | jq '{state: .spec.state, cert_state: .spec.cert_state}'

Champ	Attendu	États intermédiaires
state	VIRTUAL_HOST_READY	VIRTUAL_HOST_PENDING_A_RECORD — DNS non configuré ; VIRTUAL_HOST_DNS_A_RECORD_ADDED — Enregistrement A trouvé, en attente du certificat
cert_state	CertificateValid	PreDomainChallengePending — en attente du CNAME ACME ; DomainChallengeStarted — défi ACME en cours ; AutoCertDomainRateLimited — limite de débit Let’s Encrypt atteinte (attendu dans les environnements de démonstration, n’affecte pas le LB HTTP)

Note

Le provisionnement du certificat peut prendre 5 à 10 minutes après la création des enregistrements DNS. Si cert_state affiche AutoCertDomainRateLimited, c’est attendu dans les environnements de démonstration où l’infrastructure est fréquemment créée et détruite. Le LB HTTP n’est pas affecté — poursuivez la démonstration en utilisant des URL http://.

Configuration JS

curl -s \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  "xF5XC_API_URLx/api/shape/csd/namespaces/xF5XC_NAMESPACEx/js_configuration" \
  | jq .

La réponse contient un champ scriptTag avec la balise HTML <script> complète que l’équilibreur de charge injecte dans les réponses de page.

Domaines détectés

curl -s \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  "xF5XC_API_URLx/api/shape/csd/namespaces/xF5XC_NAMESPACEx/detected_domains" \
  | jq '{summary: .domain_summary, domains: .domains_list}'

Scripts détectés

Le point de terminaison des scripts nécessite une plage de temps utilisant des horodatages epoch (secondes depuis l’epoch Unix). L’exemple ci-dessous interroge les 7 derniers jours.

NOW=$(date +%s)
START=$(( NOW - 604800 ))
curl -s -X POST \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  -H "Content-Type: application/json" \
  -d "{\"startTime\": \"$START\", \"endTime\": \"$NOW\"}" \
  "xF5XC_API_URLx/api/shape/csd/namespaces/xF5XC_NAMESPACEx/scripts" \
  | jq '[.scripts[]? | {script_name: .script_name, risk_level: .risk_level}]'

Champs de formulaire

Le point de terminaison des champs de formulaire nécessite une plage de temps utilisant des horodatages epoch, passés comme paramètres de requête.

NOW=$(date +%s)
START=$(( NOW - 604800 ))
curl -s \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  "xF5XC_API_URLx/api/shape/csd/namespaces/xF5XC_NAMESPACEx/formFields?startTime=$START&endTime=$NOW" \
  | jq '.form_fields'

Récapitulatif des preuves de la Phase 1

Après avoir effectué toutes les vérifications, l’assistant IA doit présenter un tableau de statut consolidé :

ID du test	Vérification	Attendu	Requis	Statut
DNS-1	Résolution de l’enregistrement A	Adresse IP VIP retournée	Oui	RÉUSSI / ÉCHEC
DNS-2	CNAME ACME existant	*.autocerts.ves.volterra.io	Non	RÉUSSI / EN ATTENTE
LB-1	État du LB HTTP	VIRTUAL_HOST_READY	Oui	RÉUSSI / EN ATTENTE
LB-2	État du LB HTTPS	VIRTUAL_HOST_READY	Non	RÉUSSI / EN ATTENTE / INFO
TLS-1	État du certificat	CertificateValid	Non	RÉUSSI / EN ATTENTE / INFO
CSD-1	Configuration JS	scriptTag présent	Oui	RÉUSSI / ÉCHEC
CSD-2	Statut CSD	isEnabled: true	Oui	RÉUSSI / ÉCHEC
CSD-3	Domaine protégé	Domaine enregistré	Oui	RÉUSSI / ÉCHEC

Note

La Phase 2 utilise le LB HTTP. HTTPS est optionnel — si TLS-1 affiche AutoCertDomainRateLimited ou si LB-2 reste EN ATTENTE, la démonstration se poursuit normalement en utilisant des URL http://. Seuls DNS-1, LB-1, CSD-1, CSD-2 et CSD-3 doivent être réussis avant de passer à la Phase 2.

Si LB-1 affiche EN ATTENTE, interrogez toutes les 30 secondes pour un maximum de 4 itérations (2 minutes au total). Si LB-1 n’est toujours pas VIRTUAL_HOST_READY après 4 itérations, vérifiez la résolution DNS avec dig et signalez-le à l’opérateur — ne procédez pas jusqu’à ce que LB-1 atteigne READY. Pour LB-2 et TLS-1, interrogez toutes les 60 secondes pour un maximum de 10 itérations (10 minutes). Si toujours dans un état intermédiaire après 10 itérations, enregistrez l’état actuel en tant qu’INFO et continuez — ces éléments sont informatifs et ne bloquent pas la progression de la démonstration.

Note

Le champ dns_info dans la réponse du LB peut être vide ([]) même lorsque le DNS se résout correctement — cela se produit après une recréation propre. Vérifiez toujours la résolution DNS avec dig plutôt que de vous fier à dns_info pour l’adresse IP VIP.

---

Phase 1 terminée. Passez à la Phase 2 — Attaque pour exécuter la simulation d’attaque.