------Big-IP 冗余HA介紹----------
1.1 DSC概念
1.2 Device Service Clusters組件:
1.2.1 Device
1.2.2 Device trust and Trust domains
1.2.3 Device Group
1.2.4 Traffic groups
1.3 設備故障切換同步組(Fail-over sync)
1.3.1 所需條件
1.3.2 HA設備的邏輯分組能力
1.4 設備同步組(sync only)
1.4.1 特點
1.5 設備組之間的通訊鏈路
1.5.1 同步配置-可使用self-ip
1.5.2 網絡切換(network failover)
1.5.3 Mirror - 只能使用self-ip
1.6 流量組(Traffic group)
1.6.1 定義
1.6.2 配置模型
1.6.3 流量模型
1.6.4 多活模式最佳實踐
------Big-IP DSC Sync-only配置---
2.1 前期准備
2.2 創建Device trust and Trust domains通過證書交互建立設備間信任關系;
2.3 創建Device Group將設備集合成一個組;
2.4 建立同步配置文件夾(可選)
------Big-IP DSC Sync-failover配置---
3.1 調整主備設備優先級(可選)
------Big-IP 冗余HA介紹----------
1.1 DSC概念
DSC:Device Service Clusters,設備服務群集。DSC最基本的邏輯是配置多個設備組和多個流量組,從而實現N+M。
即:N台設備為主設備,M台設備為備設備。(推薦A/A或A/A/S)
設備組:設備組是能夠支撐業務的設備集群,業務可以在這個設備組中進行配置同步(sync)或高可用切換(Failover)
流量組:流量組是某個或者某些業務流量歸類的組。該組為人工設備切換或自動切換的基本單位。每個流量組在特定的設備組中進行高可用,每個流量組都可以獨立切換。
每一台BIG-IP設備自己生成一個Device Object
·不同設備的信息
·建立信任證書
·在local device上設置Device HA and faviover
這些BIG-IPs組成Device Trust Groups形成
·用安全通訊交換證書;
·交換HA的設置
BIG-IPs在同一個信任組里組成一個設備組
·一個設備組支持配置同步和設備切換
·或者只同步指定的配置
1.2 Device Service Clusters組件:
1.2.1 Device:設備的詳細信息及在安裝時產生一個key和ssl證書,並可配置connectivity的各項參數(Configsync、Failover and Mirror)
1.2.2 Device trust and Trust domains:通過基於證書的驗證建立BIG-IP之間的信任關系。Trust domain是互相信任的BIG-IP設備的集合,互相之間可同步配置信息,交換各自狀態和Failover Message;
1.2.3 Device Group:是在相同trust域的BIG-IP設備的集合,是這些設備間可以faiover和同步配置。包括sync-failover和sync-only兩種類型;
1.2.4 Traffic groups:配置在BIGIP設備上相關objects的集合,當此台BIGIP不可用時,可以漂移到Device group中的另一台Device上。
1.3 設備故障切換同步組(Fail-over sync)
1.3.1 所需條件:相同設備硬件(V11.4后允許不同硬件);以及相同的授權和模塊
1.3.2 HA設備的邏輯分組能力:提供N+M冗余,N個活動單元+M備用機組;最大支持8台設備,且每個設備只能有一個同步切換組,實現避免應用服務的中斷。
1.4 設備同步組(sync only)
1.4.1 特點:《1》設備同步用於文件夾級別的配置同步;
《2》支持不同的硬件平台;
《3》一個設備可以加入多個同步類型設備組中;
《4》ISO與QUOVA更新不能在組內同步;
以下是可以自動同步的對象:Certificates、CRL、Data groups、External monitors、iApps、iRules、Policies、Profiles
1.5 設備組之間的通訊鏈路
1.5.1 同步配置-可使用self-ip
《1》需要配置每台設備的同步IP到設備組中;
《2》使用TCP 4353、6699端口;
《3》Configsync - 設置配置同步傳輸地址;
《4》管理口地址不能用作同步地址;
1.5.2 網絡切換(network failover)- 可使用self-IP、MGT-IP和Multicast-IP
《1》單播或者組播IP(組播局限在管理口上使用);
《2》默認使用UDP 1026端口;
《3》可以配置多個單播地址;
《4》設置心跳傳輸地址;
《5》推薦使用多條鏈路做心跳檢測;
1.5.3 Mirror - 只能使用self-ip
《1》默認使用TCP 1028端口,也使用1029-1043端口
《2》實時地址轉換表以及會話保持表等傳輸鏈路
《3》若兩台設備直接互聯,則屬於硬件failover和Mirror線方式;
1.6 流量組(Traffic group)
1.6.1 定義:流量組就是一組floating ip地址、VS虛擬服務地址以及SNAT地址,它們可在BIG-IP設備組中的設備間漂移以維持高可用性。
1.6.2 配置模型:創建流量組,並指定應用到流量組中;
1.6.3 流量模型:如果某個設備中沒有活動的流量組,則該設備處於備機standby狀態。如果設備出現故障,流量組遷移到集群中的另一台BIG-IP設備。
1.6.4 多活模式最佳實踐:《1》根據需要建議把所有業務分為N類,每類業務對應一個traffic-group,Active激活在一台F5 BIG-IP設備;
《2》切換順序,建議前兩個順序手動設置,后面的順序自動選擇;
《3》建議采用3+1(AAAS)或4+2(AASS)的模式;
------Big-IP DSC Sync-only配置---
2.1 前期准備:
《1》NTP配置
《2》確認設備軟件TMOS版本一致
《3》確認設備license一致
《4》設備mgmt地址,掩碼,路由
《5》確保用於配置同步(configsync)的接口的Portlockdown選項為Aaalow Default;
《6》提前指定HA接口
來到”Device Management“”Devices“-選擇自己的LTM設備-“視圖下
《1》 配置configsync:
選擇“configsync” configsync configuration下Local Address選擇同步配置的接口,例如"172.17.20.252"
《2》配置Failover network:
選擇“Failover network” New Failover Unicast Address下Address選擇需要網絡切換的接口,例如“10.1.100.1(設備直連線)” 還可以增加一個接口,這里選擇MGMT管理口;
《3》配置Mirroring:
選擇“Mirroring” Primary Local Mirror Address 選擇設備直連線,作為設備間內存同步鏈路。
2.2 創建Device trust and Trust domains(又稱Device trust member)通過證書交互建立設備間信任關系;
“Device Management”-”Device Trust”-”Device Trust Members”--“Add” 填寫DC1三個F5設備的管理IP、賬號及密碼
2.3 創建Device Group將設備集合成一個組;
“Device Management”-“Device Groups”-“Add” name填寫"QytangDCF5-Sync-only" Group Type選擇"Sync-Failover" member將Available的設備變成Includes內 sync Type提供四種同步方式:
“Automatic with Incrementral Sync”--自動增量同步 "Automatic with Full Sync"--自動全同步 "Manual with incremental Sync"--手動增量同步 "Manual with Full Sync"--手動全同步
finish
驗證:在Device Management-Overview看到是否有新建的設備組
2.4 建立同步配置文件夾(可選)
“System”-Users-Partition List-create Partition
Name填寫“qytang-f5-syn1”
Redundant Device Configuration中的Device Group ,選擇上面創建的設備信任成員組trust member("QytangDCF5-Sync-only")
finish
驗證:在F5右上角Partition選擇“qytang-f5-syn1”文件夾,然后再LTM-iRule配置一條簡單的iRule,然后到Device Management-Overview手動同步設備,同步完畢后找其余3台中的一台,檢查右上角是否有新的Partition name為“qytang-f5-syn1”的文件夾。
------Big-IP DSC Sync-failover配置---
跟sync-only配置思路一樣,步驟就不重復了。補充下一下內容:
3.1 調整主備設備優先級(可選)
Device Management-Traffic Groups
Failover Configuration---Failover Order中:
Preferred Order代表設置優先級;
Load Aware代表根據設備CPU性能來決定主備
網絡切換組效果圖:
