F5負(fù)載均衡雙機(jī)熱備實(shí)施方案

1、F5雙機(jī)熱備實(shí)施說明 2012/12/4一、 項(xiàng)目拓?fù)鋱D及說明兩臺(tái)F5負(fù)載均衡設(shè)備采用旁掛的方式連接至交換機(jī)，設(shè)備地址和虛擬地址在服務(wù)器的內(nèi)網(wǎng)地址段中劃分；使用F5為認(rèn)證應(yīng)用服務(wù)器進(jìn)行流量負(fù)載均衡。二、 設(shè)備信息及IP分配表F5：型號(hào)BIG-IP LTM 1600 軟件版本：V10.2.4對(duì)外地址對(duì)外端口內(nèi)網(wǎng)地址內(nèi)網(wǎng)端口協(xié)議設(shè)備名備注192.168.100.21a.f5 F5-1IP地址192.168.100.22b.f5 F5-2IP地址192.168.100.23F5浮動(dòng)地址10.168.100.21F5-1數(shù)據(jù)同步10.168.100.22F5-2數(shù)據(jù)同步192.168.100.1508

2、0192.168.100.480TCP認(rèn)證服務(wù)器1192.168.100.580TCP認(rèn)證服務(wù)器2三、 實(shí)施步驟及時(shí)間3.1、F5設(shè)備加電測(cè)試3.2、配置F5及F5雙機(jī)，需2.5小時(shí)3.3、測(cè)試F5雙機(jī)切換，需0.5小時(shí)，這部分作為割接準(zhǔn)備工作。3.4、先添加認(rèn)證服務(wù)器單節(jié)點(diǎn)到F5設(shè)備192.168.100.150的虛擬服務(wù)中，在內(nèi)網(wǎng)測(cè)試應(yīng)用，需0.5小時(shí)3.5、將應(yīng)用服務(wù)器從雙機(jī)模式更改為集群模式，將認(rèn)證服務(wù)器兩個(gè)節(jié)點(diǎn)添加到F5設(shè)備，這個(gè)時(shí)間取決于服務(wù)器模式更改的時(shí)間。3.6、在防火墻上更改認(rèn)證服務(wù)器的映射地址，將原來的地址更改為F5設(shè)備上的虛擬服務(wù)IP地址192.168.100.150 ，

3、TCP 協(xié)議80端口。四、 回退方法在外部網(wǎng)絡(luò)不能訪問認(rèn)證服務(wù)時(shí)，回退的方法是在防火墻上把F5設(shè)備虛擬服務(wù)器192.168.100.150地址映射，更改為原單臺(tái)認(rèn)證服務(wù)器IP地址，將認(rèn)證服務(wù)器集群模式退回雙機(jī)模式。五、 F5設(shè)備配置步驟5.1、設(shè)置負(fù)載均衡器管理網(wǎng)口地址F5 BIG-IP 1600 設(shè)備的面板結(jié)構(gòu):BIG-IP 1600應(yīng)用交換機(jī)具備四個(gè)10/100/1000M自適應(yīng)的網(wǎng)絡(luò)接口及二個(gè)光纖接口.10/100/1000 interface 4個(gè)10/100/1000 M 自適應(yīng)的網(wǎng)絡(luò)接口Gigabit fiber interface 2個(gè)1000M 多模光纖接口Serial con

4、sole port 一個(gè)串口命令行管理端口Failover port 一個(gè)串口冗余狀態(tài)判斷端口。Mgmt interface 一個(gè)10/100M管理端口注：互為雙機(jī)的兩臺(tái)BIG-IP必須用隨機(jī)附帶的Failover線相連起來。BIG-IP上電開機(jī)以后，首先需要通過機(jī)器前面板右邊的LCD旁的按鍵設(shè)置管理網(wǎng)口(設(shè)備前面板最左邊的網(wǎng)絡(luò)接口)的IP地址。管理網(wǎng)絡(luò)接口有一個(gè)缺省的IP地址，一般為192.168.1.245。注：管理網(wǎng)絡(luò)接口的IP地址不能與業(yè)務(wù)網(wǎng)絡(luò)在同一網(wǎng)段，根據(jù)業(yè)務(wù)網(wǎng)絡(luò)的地址劃分，相應(yīng)的調(diào)整管理網(wǎng)絡(luò)接口的網(wǎng)絡(luò)地址。如果，在SMS中負(fù)載均衡口的external vlan和internal

5、vlan已經(jīng)采用了192.168.1.0/24的網(wǎng)段，必須修改管理網(wǎng)口缺省的IP地址到另外一個(gè)網(wǎng)段。通過LCD按鍵修改管理網(wǎng)口IP地址的方法如下：1、 按紅色X按鍵進(jìn)入Options選項(xiàng)；2、 在液晶面板上通過按鍵按以下順序設(shè)置管理網(wǎng)口的網(wǎng)絡(luò)地址：Options-System-IP Address/Netmask-Commit如果通過LCD按鍵修改完IP地址以后，選擇Commit，地址無法成功改變(例如出現(xiàn)IP地址為全零的情況)，很有可能是管理口IP地址與系統(tǒng)內(nèi)已經(jīng)配置發(fā)生沖突。出現(xiàn)這種情況，關(guān)機(jī)重啟以后，另選一個(gè)IP網(wǎng)段來設(shè)置管理網(wǎng)口地址。警告：在設(shè)置好網(wǎng)絡(luò)管理口地址以后，通過網(wǎng)絡(luò)登陸到BI

6、G-IP上進(jìn)行其它配置更改時(shí)，都要保證網(wǎng)絡(luò)管理口的網(wǎng)絡(luò)連接完好。否則有時(shí)會(huì)出現(xiàn)修改的配置無法被成功加載應(yīng)用的情況，因?yàn)榫W(wǎng)絡(luò)管理口為Down的情況會(huì)妨礙配置文件的加載。5.2、登錄BIGIP的WEB管理界面管理BIGIP有兩種方式,一種是基于WEB的 s管理方式，另一種是基于ssh的命令行管理方式。除特別配置外，采用WEB的管理方式即可。WEB登錄方式如下：1 在管理員的IE地址欄內(nèi)輸入BIGIP設(shè)備的IP地址， s:/192.168.1.2452 回車后出現(xiàn)系統(tǒng)警告信息點(diǎn)擊Yes3 然后系統(tǒng)提示輸入基于WEB配置的用戶名和密碼。目前的admin帳號(hào)的密碼為admin5.3、激活License在

7、配置BIG-IP之前，先要激活License。從System-License-Re-activate進(jìn)入License激活界面：進(jìn)入 s:/activate.f5 /license/dossier.jsp，將產(chǎn)生的Dossier復(fù)制進(jìn)以下頁面，產(chǎn)生License文件：輸入正確后即可進(jìn)入BIGIP的WEB管理界面5.4、初始化設(shè)置BIG-IP 1上的平臺(tái)(Platform)通用屬性設(shè)置進(jìn)入SystemPlatform設(shè)定管理端口的ip地址192.168.1.245Hostname 根據(jù)FQDN的命名規(guī)則注：主機(jī)名用來標(biāo)識(shí)BIG-IP系統(tǒng)自身。主機(jī)名必須符合DNS域名標(biāo)準(zhǔn)。主機(jī)部分必須以字母開始，

8、并至少為2個(gè)字符。舉例：f5-。警告：BIG-IP雙機(jī)系統(tǒng)的主機(jī)名必須不一樣，否則配置同步會(huì)產(chǎn)生錯(cuò)誤，可能導(dǎo)致破壞license。設(shè)定root用戶密碼default設(shè)定admin用戶密碼admin允許SSH訪問，否則不能實(shí)現(xiàn)雙機(jī)重啟機(jī)器配置網(wǎng)絡(luò)層按照拓?fù)浣Y(jié)構(gòu)，對(duì)F5 BIGIP的網(wǎng)絡(luò)層進(jìn)行配置，劃分vlan，定義IP地址及路由。劃分vlan點(diǎn)擊左側(cè)的導(dǎo)航條，進(jìn)入NetworkVLANS，在右側(cè)可以對(duì)vlan進(jìn)行配置。創(chuàng)建方法如下：點(diǎn)擊create: Name:設(shè)置這個(gè)vlan的名字。Tag:為相應(yīng)VLAN的VLAN IDInterface:定義Available中顯示的端口有選擇性的劃分到這個(gè)

9、vlan中。指定端口后，單擊選入U(xiǎn)ntagged欄即可。點(diǎn)擊完成。根據(jù)網(wǎng)絡(luò)規(guī)劃，負(fù)載均衡器上一共要定義了以下幾個(gè)VLAN：注：internal為業(yè)務(wù)流量VLAN。VLAN ID應(yīng)與網(wǎng)絡(luò)規(guī)劃中的VLAN一致。注：sync VLAN端口為雙機(jī)網(wǎng)絡(luò)心跳接口，網(wǎng)絡(luò)心跳信號(hào)及雙機(jī)配置同步信息都是通過這一網(wǎng)線傳輸，因此要用網(wǎng)線將雙機(jī)的2.3口對(duì)連起來。VLAN ID 4094為BIG-IP自動(dòng)生成的。(也可以指定)。5.5、定義IP地址在劃分完Vlan后，即可對(duì)每個(gè)vlan進(jìn)行IP地址的定義。方法如下：點(diǎn)擊左側(cè)導(dǎo)航條中的Networksself Ips在右側(cè)可以對(duì)Ip地址進(jìn)行配置。IP address:輸

10、入IP地址Netmask:輸入子網(wǎng)掩碼Vlan：選擇將這個(gè)IP地址綁定在哪個(gè)vlan上。選擇下拉菜單將顯示所有已設(shè)置的vlan名。Port Lockdown:保持默認(rèn)值A(chǔ)llow Default。Floating IP:如果系統(tǒng)為冗余工作方式，需對(duì)每臺(tái)設(shè)備的每個(gè)vlan均設(shè)置兩個(gè)IP地址。其中一個(gè)是self IP,另一個(gè)則為floating IP,即兩臺(tái)設(shè)備共用的IP地址。選中此項(xiàng)即代表這個(gè)IP地址為Floating IP。其中，MGMT是BIG-IP的管理網(wǎng)口，BIGIP1的管理網(wǎng)口IP地址為192.168.1.245,BIG-IP2管理網(wǎng)口的IP地址192.168.1.245。其中Unit

11、 ID不為零的為Floating IP.Floating IP設(shè)置要打上勾。5.6、配置路由點(diǎn)擊左側(cè)導(dǎo)航條中的NetworksRoutesAdd對(duì)路由進(jìn)行配置Type:定義配置的是默認(rèn)網(wǎng)關(guān)還是靜態(tài)路由。Destination:定義目標(biāo)網(wǎng)段Netmask:定義目標(biāo)網(wǎng)段的掩碼Resource:定義網(wǎng)關(guān)地址點(diǎn)擊完成。按照用戶的需求，缺省路由是三層交換機(jī)VRRP地址10.133.3.15.7、配置雙機(jī)設(shè)置(High Availability)High Availability就是雙機(jī)冗余（Cluster），要求兩臺(tái)BIGIP的版本相同。配置方法如下：A、配置Redundant Pair的IP地址首先，

12、確認(rèn)BIGIP已經(jīng)轉(zhuǎn)換為雙機(jī)模式。在WEB頁面的左側(cè)導(dǎo)航條選擇SYSTEMPlatform把Hith Availability設(shè)置中應(yīng)選擇為Redundant Pair模式。其中BIG-IP1的Unit ID為1，BIG-IP2的Unit ID為2。然后，在WEB頁面的左側(cè)導(dǎo)航條選擇SYSTEMHith Availability：BIG-IP1的設(shè)置如下：B、配置雙機(jī)自動(dòng)切換機(jī)制FailSafe配置Failsafe設(shè)置在滿足某些條件的時(shí)候，觸發(fā)BIGIP發(fā)生切換。根據(jù)彩鈴5期的要求，配置了VLANs的FailSafe配置，當(dāng)處于Active狀態(tài)的BIGIP的internal和external兩

13、個(gè)VALN在設(shè)定的時(shí)間內(nèi)沒有任何流量，自動(dòng)切換到備機(jī)。警告：在沒有完成External VLAN和Internal VLAN的網(wǎng)絡(luò)接線之前，不要啟用自動(dòng)切換機(jī)制。對(duì)External VLAN和Internal VLAN啟用基于VLAN監(jiān)控的自動(dòng)切換機(jī)制，步驟如下：在WEB頁面的左面導(dǎo)航界面選擇:SYSTEM High AvailabilityFail-safe5.8、配置服務(wù)器負(fù)載均衡注：服務(wù)器負(fù)載均衡器的設(shè)置只需要在一臺(tái)BIG-IP1上進(jìn)行設(shè)置，設(shè)置好以后，可以通過雙機(jī)配置同步的方式將配置更新到BIG-IP2上。在設(shè)置好基礎(chǔ)網(wǎng)絡(luò),即可對(duì)實(shí)現(xiàn)服務(wù)器負(fù)載均衡進(jìn)行配置。主要涉及以下幾個(gè)方面： Mo

14、nitor(不一定需要設(shè)，有時(shí)候可以采用系統(tǒng)自帶Monitor)Monitor跟蹤Pool成員的當(dāng)前狀態(tài)或者性能Profile(不一定需要設(shè)，有時(shí)候可以采用系統(tǒng)自帶Profile)Profile包含定義Virtual Server行為的設(shè)置。負(fù)載均衡Pool負(fù)載均衡Pool包含可以將請(qǐng)求發(fā)送到其中進(jìn)行處理的服務(wù)器。iRules負(fù)載均衡控制規(guī)則。Virtual ServerVirtual Server接收客戶端的訪問請(qǐng)求，然后將請(qǐng)求分發(fā)給被負(fù)載均衡的服務(wù)器上。SNAT在負(fù)載均衡器內(nèi)部的服務(wù)器主動(dòng)向外發(fā)起訪問時(shí)，在負(fù)載均衡器上所做的地址映射。訪問時(shí)A、配置MonitorMonitor可以實(shí)現(xiàn)對(duì)服務(wù)

15、器實(shí)施健康檢查。以確定服務(wù)器是否可以對(duì)外提供服務(wù)。注：目前并不存在著故障服務(wù)器進(jìn)行切換的需求，只是需要根據(jù)客戶端源地址來選擇服務(wù)器，因此并不需要對(duì)服務(wù)器進(jìn)行監(jiān)控。以下只是用于說明服務(wù)器狀態(tài)檢查的配置方式。可以直接進(jìn)入到下一步驟。如果需要對(duì)檢查方法的屬性進(jìn)行定制，以下以定制TCP端口檢查為例，方法如下：點(diǎn)擊左側(cè)導(dǎo)航條中的Local TrafficMonitorCreate，在General Properties中選擇TCP在General Properties中輸入你要建立的健康檢查方式的名字，可以按需要設(shè)置好Interval和Timeout的時(shí)間。最后點(diǎn)擊Finished。B、配置負(fù)載均衡Po

16、ol負(fù)載均衡Pool是您組合起來接收和處理流量的一組設(shè)備，如Web服務(wù)器。BIGIP系統(tǒng)將客戶機(jī)發(fā)往Virtual Server的請(qǐng)求發(fā)送到Pool成員中的任一服務(wù)器上。當(dāng)創(chuàng)建負(fù)載均衡Pool時(shí)，將服務(wù)器（稱作Pool成員）分配到pool中，然后將pool與BIGIP系統(tǒng)中的Virtual Server相關(guān)聯(lián)。然后，BIPIP系統(tǒng)將進(jìn)入Virtual Server中的流量傳輸?shù)絇ool成員。單個(gè)服務(wù)器可隸屬于一個(gè)或多個(gè)pool，這取決于您希望如何管理您的網(wǎng)絡(luò)流量。創(chuàng)建pool的方法如下：點(diǎn)擊左側(cè)導(dǎo)航條中的Local TrafficVirtual ServerspoolsCreate:輸入poo

17、l的名字，并指定該pool中的member成員的IP 地址及service port，并指定對(duì)Pool成員的健康檢查方法，然后點(diǎn)擊即可。還有其它一些沒有列在上面的pool，可以根據(jù)實(shí)際環(huán)境的需要進(jìn)行添加。5.9、建立Virtual server,實(shí)現(xiàn)對(duì)服務(wù)器的負(fù)載均衡Virtual Server是BIG-IP本地流量管理（LTM）配置中最重要的組件。BIG-IP收到到Virtual Server的客戶請(qǐng)求后，以地址轉(zhuǎn)換的方式，將客戶端的請(qǐng)求發(fā)送到Virtual Server相應(yīng)Pool中的某個(gè)成員服務(wù)器上。Virtual Server可提高用于處理客戶機(jī)請(qǐng)求的資源的可用性。創(chuàng)建Virtual

18、Server的方法如下：點(diǎn)擊左側(cè)導(dǎo)航條中的Local TrafficVirtual ServersCreate: 在General Properties部分，需指定該Virtual server的名稱，IP地址及服務(wù)端口。在Configuration部分，用戶需跟據(jù)該Virtual server的類型，選擇相應(yīng)的配置參數(shù)。對(duì)于服務(wù)器負(fù)載均衡，需要?jiǎng)?chuàng)建一個(gè)虛擬務(wù)器，將會(huì)采用Performance Layer4的類型，并選擇上面創(chuàng)建的而協(xié)議（Protocol）則要根據(jù)虛擬服務(wù)器的類型選擇是All Protocols。在Virtual Server的Resources定義部分，Default Pool選擇Virtual Server所對(duì)應(yīng)的Server Pool，及iRule:注：Status為綠色，表示該Virtual Server對(duì)應(yīng)的Pool中至少有一臺(tái)服務(wù)器可用，紅色表示沒有一臺(tái)服務(wù)器可用，藍(lán)色表示服務(wù)器的狀態(tài)未知(可能沒有對(duì)Pool設(shè)置健康檢查方法，或正在對(duì)服務(wù)器狀態(tài)進(jìn)行檢查。)其中的Virtual Server根據(jù)實(shí)際情況進(jìn)行添加。5.10、兩臺(tái)BI