F5負載均衡器簡明配置
負載均衡器通常稱爲四層交換機或七層交換機。四層交換機主要分析IP層及TCP/UDP層,實現四層流量負載均衡。七層交換機除了支持四層負載均衡以外,還有分析應用層的信息,如HTTP協議URI或Cookie信息。
一、F5配置步驟:
1、F5組網規劃
(1)組網拓樸圖(具體到網絡設備物理端口的分配和連接,服務器網卡的分配與連接)
(2)IP地址的分配(具體到網絡設備和服務器網卡的IP地址的分配)
(3)F5上業務的VIP、成員池、節點、負載均衡算法、策略保持方法的確定
1、F5組網規劃
(1)組網拓樸圖(具體到網絡設備物理端口的分配和連接,服務器網卡的分配與連接)
(2)IP地址的分配(具體到網絡設備和服務器網卡的IP地址的分配)
(3)F5上業務的VIP、成員池、節點、負載均衡算法、策略保持方法的確定
2、F5配置前的準備工作
(1)版本檢查
f5-portal-1:~# b version
Kernel:
BIG-IP Kernel 4.5PTF-07 Build18
(2)時間檢查--如不正確,請到單用戶模式下進行修改
f5-portal-1:~# date
Thu May 20 15:05:10 CST 2004
(3)申請license--現場用的F5都需要自己到F5網站上申請license
(1)版本檢查
f5-portal-1:~# b version
Kernel:
BIG-IP Kernel 4.5PTF-07 Build18
(2)時間檢查--如不正確,請到單用戶模式下進行修改
f5-portal-1:~# date
Thu May 20 15:05:10 CST 2004
(3)申請license--現場用的F5都需要自己到F5網站上申請license
3、F5 的通用配置
(1)在安全要求允許的情況下,在setup菜單中可以打開telnet及ftp功能,便於以後方便維護
(2)配置vlan unique_mac選項,此選項是保證F5上不同的vlan 的MAC地址不一樣。在缺省情況下,F5的各個vlan的MAC地址是一樣的,建議在配置時,把此項統一選擇上。可用命令ifconfig –a來較驗
具體是system/Advanced Properties/vlan unique_mac
(3) 配置snat any_ip選項選項,此選項爲了保證內網的機器做了snat後,可以對ping的數據流作轉換。Ping是第三層的數據包,缺省情況下 F5是不對ping的數據包作轉換,也就是internal vlan的主機無法ping external vlan的機器。(注意:還可以採用 telnet來驗證。)
具體是system/Advanced Properties/snat any_ip
(1)在安全要求允許的情況下,在setup菜單中可以打開telnet及ftp功能,便於以後方便維護
(2)配置vlan unique_mac選項,此選項是保證F5上不同的vlan 的MAC地址不一樣。在缺省情況下,F5的各個vlan的MAC地址是一樣的,建議在配置時,把此項統一選擇上。可用命令ifconfig –a來較驗
具體是system/Advanced Properties/vlan unique_mac
(3) 配置snat any_ip選項選項,此選項爲了保證內網的機器做了snat後,可以對ping的數據流作轉換。Ping是第三層的數據包,缺省情況下 F5是不對ping的數據包作轉換,也就是internal vlan的主機無法ping external vlan的機器。(注意:還可以採用 telnet來驗證。)
具體是system/Advanced Properties/snat any_ip
4、F5 的初始化配置
建議在對F5進行初始時都用命令行方式來進行初始化(用Web頁面初始化的方式有時會有問題)。登錄到命令行上,運行config或setup命令可以進行初始化配置。初次運行時會提示一些license的信息。
default:~# config
建議在對F5進行初始時都用命令行方式來進行初始化(用Web頁面初始化的方式有時會有問題)。登錄到命令行上,運行config或setup命令可以進行初始化配置。初次運行時會提示一些license的信息。
default:~# config
5、F5雙機切換監控配置(有F5雙機時需要)
(1)在web頁面中選擇相應的vlan,在arm failsafe選擇則可。Timeout爲從F5收不到包的時間起,經過多長時間就發生切換。此配置不能同步,需要在F5的主備機上同時配置。每個vlan都可以配置vlan arm failsafe。
具體在Network下
(2)在web頁面中選擇system,在redundant properties中把gateway failsafe選擇則可。Router是需要監控的地址。此配置不能同步,需要在F5的主備機上同時配置。一套F5上只能配置一個gateway failsafe
具體在system/redundant properties/gateway failsafe
(1)在web頁面中選擇相應的vlan,在arm failsafe選擇則可。Timeout爲從F5收不到包的時間起,經過多長時間就發生切換。此配置不能同步,需要在F5的主備機上同時配置。每個vlan都可以配置vlan arm failsafe。
具體在Network下
(2)在web頁面中選擇system,在redundant properties中把gateway failsafe選擇則可。Router是需要監控的地址。此配置不能同步,需要在F5的主備機上同時配置。一套F5上只能配置一個gateway failsafe
具體在system/redundant properties/gateway failsafe
6、F5 MAC masquerade配置
Mac Masquerading是F5的Shared IP Address (Floating)的MAC地址,F5如果不配置此項,則shared IP Address的MAC地址與每臺F5的vlan self IP Address的MAC地址是一樣的。
一般服務器是以shared IP Address爲網關,在兩臺F5上都配置了Mac Masquerade(相同的MAC地址),這樣當F5發生切換後,服務器上shared IP address的MAC不變,保證了業務的不中斷
具體在Network下
Mac Masquerading是F5的Shared IP Address (Floating)的MAC地址,F5如果不配置此項,則shared IP Address的MAC地址與每臺F5的vlan self IP Address的MAC地址是一樣的。
一般服務器是以shared IP Address爲網關,在兩臺F5上都配置了Mac Masquerade(相同的MAC地址),這樣當F5發生切換後,服務器上shared IP address的MAC不變,保證了業務的不中斷
具體在Network下
7、F5的pool配置
(1)在配置工具Web頁面的導航面板中選擇“Pools”中的“Pools”標籤,點擊“ADD”按鈕添加服務器池(Pool)。
(2)在池屬性(Pool Properties)中的“Load Balancing Method”表格中選擇負載均衡策略,通常採用默認策略:“Round Robin”
(3)在“Resouces”表格中的“Member Address”文本框輸入成員IP地址,在“Service”文本框中輸入服務端口,點擊“>>”添加到“Current Members”當前成員列表中。
(4)添加所有組成員,點擊“Done”完成配置。
(5)在“Pools”中的“Pool Name”列選中特定池,然後池屬性頁面中選擇“Persistence”標籤。
(6)在“Persistence Type”表格中選定會話保持類型。點擊“Apply”應用配置。
(1)在配置工具Web頁面的導航面板中選擇“Pools”中的“Pools”標籤,點擊“ADD”按鈕添加服務器池(Pool)。
(2)在池屬性(Pool Properties)中的“Load Balancing Method”表格中選擇負載均衡策略,通常採用默認策略:“Round Robin”
(3)在“Resouces”表格中的“Member Address”文本框輸入成員IP地址,在“Service”文本框中輸入服務端口,點擊“>>”添加到“Current Members”當前成員列表中。
(4)添加所有組成員,點擊“Done”完成配置。
(5)在“Pools”中的“Pool Name”列選中特定池,然後池屬性頁面中選擇“Persistence”標籤。
(6)在“Persistence Type”表格中選定會話保持類型。點擊“Apply”應用配置。
8、F5的virtual server配置
(1)在配置工具Web頁面的導航面板中選擇“Virtual Servers”中的“Virtual Servers”標籤,點擊“ADD”按鈕添加虛擬服務器。
(2)在“Add Virtual Server”窗口的“Address”文本框中輸入虛擬服務器IP地址,並在“Service”文本框中輸入服務端口號或在下拉框中選擇現有的服務名稱,點擊“Next”執行下一步。
(3) 在“Add Virtual Server”窗口的“Configure Basic Properties”頁面中點擊“Next”執行下一步。 在 “Add Virtual Server”窗口的“Select Physical Resources”頁面中點擊單選按鈕“Pool”,並在下拉框中選擇虛擬服務器對應的負載均衡池。
(4)按“Done”完成創建虛擬服務器。
(1)在配置工具Web頁面的導航面板中選擇“Virtual Servers”中的“Virtual Servers”標籤,點擊“ADD”按鈕添加虛擬服務器。
(2)在“Add Virtual Server”窗口的“Address”文本框中輸入虛擬服務器IP地址,並在“Service”文本框中輸入服務端口號或在下拉框中選擇現有的服務名稱,點擊“Next”執行下一步。
(3) 在“Add Virtual Server”窗口的“Configure Basic Properties”頁面中點擊“Next”執行下一步。 在 “Add Virtual Server”窗口的“Select Physical Resources”頁面中點擊單選按鈕“Pool”,並在下拉框中選擇虛擬服務器對應的負載均衡池。
(4)按“Done”完成創建虛擬服務器。
9、F5的monitor的配置
(1)在配置工具Web頁面的導航面板中選擇“Monitor”中的“Monitors”標籤,點擊“ADD”按鈕添加監控
(2)根據需要選擇相關關聯類型:“Node Associations”標籤、Node Address Associations”標籤、Service Associations”標籤。
(3)被選關聯標籤中,在“Choose Monitor”表格中選擇監控名稱,點擊“>>”按鈕添加到“Monitor Rule”監控規格文本框中。監控規則可以爲一條或多條。
(4)選擇監控規則後,在對應節點的“Associate Current Monitor Rule”複選框中選中。如果欲刪除監控關聯,則選中對應節點的“Delete Existing Assocation”複選框。
(5)點擊“Apply”關聯監控
(1)在配置工具Web頁面的導航面板中選擇“Monitor”中的“Monitors”標籤,點擊“ADD”按鈕添加監控
(2)根據需要選擇相關關聯類型:“Node Associations”標籤、Node Address Associations”標籤、Service Associations”標籤。
(3)被選關聯標籤中,在“Choose Monitor”表格中選擇監控名稱,點擊“>>”按鈕添加到“Monitor Rule”監控規格文本框中。監控規則可以爲一條或多條。
(4)選擇監控規則後,在對應節點的“Associate Current Monitor Rule”複選框中選中。如果欲刪除監控關聯,則選中對應節點的“Delete Existing Assocation”複選框。
(5)點擊“Apply”關聯監控
10、F5的SNAT配置
(1)在配置工具Web頁面的導航面板中選擇“NATs”中的“SNATs”標籤,點擊“ADD”按鈕添加SNAT地址。
(2) 在“Add SNAT”窗口中“Translation Address”的“IP”文本框中輸入SNAT IP地址,並在“Origin List”的 “Origin Address”文本框中輸入節點IP地址或在“Origin VLAN”下拉框中選擇VLAN名稱,點擊“>>”加入 “Current List”列表。
(3)按“Done”完成添加SNAT IP地址。
(1)在配置工具Web頁面的導航面板中選擇“NATs”中的“SNATs”標籤,點擊“ADD”按鈕添加SNAT地址。
(2) 在“Add SNAT”窗口中“Translation Address”的“IP”文本框中輸入SNAT IP地址,並在“Origin List”的 “Origin Address”文本框中輸入節點IP地址或在“Origin VLAN”下拉框中選擇VLAN名稱,點擊“>>”加入 “Current List”列表。
(3)按“Done”完成添加SNAT IP地址。
11、F5主備機同步及切換校驗
具體在system/Redundant Properties/synchonize Config...
具體在system/Redundant Properties/synchonize Config...
12、業務的校驗
F5主備機切換的校驗
F5主備機業務運行的校驗
F5主備機切換的校驗
F5主備機業務運行的校驗
其中1~6是基本配置,7~10業務配置,11~12校驗
二、F5負載均衡器的維護
1、F5節點及應用的檢查
通過“System -> Network Map”頁面查看節點及應用狀態
綠色:節點或虛擬服務器爲“UP”
紅色:節點或虛擬服務器狀態爲“Down”
灰色:節點或虛擬服務器被禁用
1、F5節點及應用的檢查
通過“System -> Network Map”頁面查看節點及應用狀態
綠色:節點或虛擬服務器爲“UP”
紅色:節點或虛擬服務器狀態爲“Down”
灰色:節點或虛擬服務器被禁用
2、日誌的檢查
(1)當天日誌:從web上查看logs中的system log、bigip log、monitor log,看日誌中是否有異常。
(2)7天內的日誌
系統日誌文件 - /var/log/messages消息, 系統消息
BIG-IP 日誌文件 - /var/log/bigip
“External” BIG-IP events
Monitor 日誌文件 - /var/log/bigd
“Internal” BIG-IP Events
3DNS 日誌文件 - /var/log/3dns
3DNS Information
用gzcat、more、vi命令打開
(1)當天日誌:從web上查看logs中的system log、bigip log、monitor log,看日誌中是否有異常。
(2)7天內的日誌
系統日誌文件 - /var/log/messages消息, 系統消息
BIG-IP 日誌文件 - /var/log/bigip
“External” BIG-IP events
Monitor 日誌文件 - /var/log/bigd
“Internal” BIG-IP Events
3DNS 日誌文件 - /var/log/3dns
3DNS Information
用gzcat、more、vi命令打開
3、F5流量的檢查
(1)業務上的基本維護主要是在F5上查看F5分發到各節點的connect是否負載均衡,一般不應有數量級的差別
(2)通過WEB->pool-> pool statistics中查看connection項中的total和current項,不應有明顯的數量級的差別
(3)F5 qkview命令
執行qkview,執行完成後將輸出信息保存在文件“/var/tmp/-tech.out”中,供高級技術支持用
(4)F5 tcpdump命令
TCPDUMP是Unix系統常用的報文分析工具,TCPDUMP經常用於故障定位,如會話保持失效、SNAT通信問題等
tcpdump [ -adeflnNOpqRStvxX ] [ -c count ] [ -F file ]
[ -i interface ] [ -m module ] [ -r file ]
[ -s snaplen ] [ -T type ] [ -w file ]
[ -E algo:secret ] [ expression ]
(1)業務上的基本維護主要是在F5上查看F5分發到各節點的connect是否負載均衡,一般不應有數量級的差別
(2)通過WEB->pool-> pool statistics中查看connection項中的total和current項,不應有明顯的數量級的差別
(3)F5 qkview命令
執行qkview,執行完成後將輸出信息保存在文件“/var/tmp/-tech.out”中,供高級技術支持用
(4)F5 tcpdump命令
TCPDUMP是Unix系統常用的報文分析工具,TCPDUMP經常用於故障定位,如會話保持失效、SNAT通信問題等
tcpdump [ -adeflnNOpqRStvxX ] [ -c count ] [ -F file ]
[ -i interface ] [ -m module ] [ -r file ]
[ -s snaplen ] [ -T type ] [ -w file ]
[ -E algo:secret ] [ expression ]