F5負載均衡-配置手冊
-
設備概況
-
圖形化界面
通過網絡形式訪問F5任一接口地址,打開瀏覽器輸入https://網絡接口地址;或pc機直連F5的MGMT帶外管理口,打開瀏覽器,輸入https://192.168.1.245 (MGMT地址在設備液晶面板查看)將進入F5的圖形管理界面。該界面適合進行設備的基礎以及高級調試,是管理員常用的管理界面。
默認用戶名/密碼:admin/admin
-
命令行界面
通過console線直連F5的console口,或通過securecrt等工具以SSH2的形式訪問F5任一接口地址,將進入命令行模式。該界面適合進行底層操作系統的調試以及排錯。
默認用戶名/密碼: root/default
-
F5接口示意圖
如上圖所示,F5同時部署在三個網段中,其接口示意如下:
-
-
網絡配置
-
創建vlan
進入"Network"-"VLANs"選項,點擊"create"創建新vlan,如下圖:
名稱處填寫該vlan名稱,如vlan_170。再將相應的接口划入該vlan中,如1.3口。如該vlan需要同交換網絡中的vlan tag對應,則在tag處填寫id,並將接口划入tagged欄,否則一律划入untagged。點擊"Finish"完成。
-
創建self ip
進入"Network"-"self ips"進行F5設備的地址配置,點擊"create"新建地址,如下圖:
填寫相應地址和掩碼,如192.170.1.202,掩碼:255.255.255.0,在vlan處下拉選擇之前創建好的vlan_170,將該地址與vlan_170綁定,即ip地址與接口做成了對應關系。在雙機部署下,浮動地址的創建需要點擊Floating IP的勾,並選擇unit ID 為1或2(主備區分),
點擊"Finish"完成創建。
有多個地址需要創建時,重復完成以上步驟。
帶有unit ID的都是浮動地址,主備機的浮動地址保持一致。
- 創建VS-forwarding(IP)
-
創建缺省路由
- 方法一:直接創建
F5的靜態路由分缺省路由和一般路由兩種。任何情況下,F5部署上線都需要設置缺省路由。
- 方法二:通過pool創建
使用pool作為路由的好處是能夠在pool界面中查看路由的健康狀態。
- 創建默認路由pool
首先進入"Local Traffic"-"pools",為缺省路由創建下一條地址,點擊"create",如下圖:
名稱處可以填寫default_gateway_pool用來標識該pool是作為缺省路由使用的,與其他pool名稱分開,便於管理。
健康檢查選擇gateway_icmp即可,因為是對網關的探測,該檢測方式最佳。
根據實際情況填寫缺省路由的網關地址,並add到地址列表中,點擊"Finish"完成。
如圖:
我們新建192.170.1.254作為170段的缺省網關,service port選擇0,全開。
- 創建默認路由選擇pool
完成pool的建立后,進入"Network"-"Route",創建一個新的路由,點擊create,如下圖:
種類選擇缺省路由,資源選擇使用pool。如果選擇使用地址的話,則在下面直接輸入下一條地址,也能完成缺省路由的設置。使用pool作為路由的好處是能夠在pool界面中查看路由的健康狀態。
資源選擇pool后,在下面的pool選項中,下拉找到剛剛創建的default_gateway_pool,點擊Finish完成即可。
配置完成后可在default_gateway_pool中查看狀態,如下圖:
至此,F5的基礎網絡配置完成,下面介紹LTM模塊的配置及策略實現。
-
-
LTM模塊配置
-
創建pool配置
服務器負載首先需要創建內部服務器的資源pool,進入Local Traffic – Pools,創建一個pool,如下圖:
創建該pool的名稱,以便管理員識別。健康監測方式根據應用類型選擇,如開放http的web服務可選用http協議進行檢測,也可用tcp進行檢測。顆粒度粗細可選。原則上檢測機制越細,F5對后台應用健康的判斷越准。
負載方式默認為Round Robin輪詢;可根據需求選擇最小連接數、比率、觀測等其他負載方式。
添加服務器或群組的地址及開放端口,add到pool列表中。該列表中的地址及端口應為同一種業務。
點擊Finish完成。若有多個服務器資源pool,則重復上述步驟。
如下圖:
我們創建一個SSO應用的pool資源池,命名為SSO_7010_pool便於管理,負載方式根據軟件方要求采用最小連接數Least Connection(member),提供SSO服務的設備地址一一添加到地址池中,並選擇相應開放端口。當前活動可用的服務器將被標識為綠色(根據所選健康檢查方式來判斷),不可用的咋為紅色。
F5不會向紅色服務器發送數據請求。
-
創建vs配置
Virtual Server以下簡稱VS,是F5對外發布業務時提供的虛擬服務器名稱,是接收外部訪問的統一接口,其訪問資源將被轉發至后台關聯的pool中。服務器負載在創建好pool之后,需要VS將其發布出去,供客戶端訪問。
進入Local Traffic – Virtual Servers,創建一個新的VS,如下圖:
名稱建議與pool名稱相近,便於管理員維護。添加VS地址及發布端口,這個地址及端口是對外提供服務的。負載類型根據需要選擇,常用的為standard和layer4。開放協議根據負載類型會有變化。SNATPOOL開啟automap時,F5將對源地址進行轉換;選擇None時,F5將透傳源地址,使服務器能夠看到客戶端的源IP。SNATPOOL的選擇請根據實際需求進行選擇。Default pool選擇與該VS對應的應用資源pool,也就是與該VS地址關聯的的服務器資源,選錯的話客戶端訪問將進入到錯誤的應用中。會話保持可根據具體需要選擇開啟或關閉。
點擊Finish完成。若有多個VS,則根據上述步驟進行創建。
如下圖:
我們創建SSO的vs,命名為SSO_7010_vs便於管理。Vs地址為192.168.1.10,端口是7010。
負載模式選擇standard,協議為TCP;開啟HTTP profile,對http負載進行優化;SNATpool 選擇AUTOMAP。
Default pool選擇我們剛剛創建的SSO_7010_pool,將其做關聯。使得客戶端訪問該vs(192.168.1.10:7010)時,F5將數據負載至后台的SSO_7010_Pool中的服務器上。
會話保持根據軟件方要求,選擇源地址會話保持。
點擊Finish完成即可。
至此,通過VS的地址訪問,客戶端可以到達后台的服務器pool資源中,對於客戶端來講,后台服務器地址是不可知的。
-
-
運維管理
-
設備信息
進入system – platform可以對設備部分信息進行修改,如下圖:
IP地址是設備的帶外管理地址(MGMT),在設備液晶面板處可以看到,也可以在液晶面板上更改地址。若需要進行帶外管理,可在管理路由處填寫帶外管理斷的網關,連線至MGMT口即可。
主機名的命名方式為域名,如xxx.com。
HA下拉項為單機部署和冗余模式,生產環境中請勿變更此項。
時區一般選為中國上海。
密碼分為兩套,分別是root密碼(命令行)和admin密碼(圖形界面),修改時請注意。
SSH訪問默認是打開的,建議關閉,需要時再開啟。也可以選擇下面的地址列表,定義白名單訪問。
-
主備切換
進入system – High Available – Redundancy中,可以手動進行主備機切換,不需重啟設備。如下圖:
點擊force to standby即可實現主備切換。該操作只能在當前為Active狀態下的設備上進行。
-
配置同步
進入system – High Available – config sync中,可以進行主備機的配置同步,如下圖:
請注意同步是有方向性的,以當前圖片為例:
目前是在主機上進行操作,若點選同步 to peer,則為將主機配置推送到備機。
若點選同步 from peer,則為將備機的配置拉取到主機。
-
配置備份
建議進行周期性進行配置備份,並將備份文件download到本地保管,做好容災工作。
進入system – achieve中,create一個新的檔案。命名一般以時間戳為好,方便識別新老配置。命名完成后點擊Finish即可。創建完成如下圖:
可以看到不同時間戳命名的備份文件。點擊一個文件,可以選擇download到本地,也可以選擇restore還原當前配置。
-
-
IPv6配置指導
- 配置核心思想
- 配置IPv6的默認路由
- 配置IPv6的VS
-
IPv6的vs里面要啟用"automap"
- 配置IPv6的默認路由
-
配置IPv6的VS
- 第一種方法:(配置forwardingip)
-
第二種方法:
- 啟用IPv6的pool
- 啟用L4的VS並調用上面的pool
查看一下新建的pool是不是"綠色的"綠色代表生效了。
調用之前的pool到vs中,查看vs是不是"綠色",綠色代表生效,紅色不生效,藍色也可以用
最終的結果,應該如下圖所示:"綠色"
