一、 F5負載均衡器詳細配置步驟
下面介紹將設備上架和加電的過程。
1.準備好螺絲刀,上架螺絲,網線,將設備上架;
2.連接好電源線,打開電源開關,系統默認打開電源開關就開機;
3.如需要對設備關機時,則首先需ssh或者console到設備上,命令行下輸入halt,停止系統運行,然後在設備前面板的X按鈕即可關機。
基於Console終端配置BIG-IP的準備:
安裝Windows操作系統的PC一臺(裝有超級終端)
BIGIP設備自帶的Console電纜一條
使用超級終端建立一個連接,通過Console電纜一端連接BIGIP,一端連接COM,COM的參數設置如圖:
在瀏覽器地址欄鍵入https://(BIGIP 設備IP地址),用戶可以直接輸入F5的self ip 進行管理,登錄sw1:https://192.168.1.245(www.blanced-sw1.com設備的管理口IP),admin用戶的密碼是admin
基於SSH方式訪問BIGIP有兩種方式: 1.採用專用的客戶端,如SecureCRT,SSH; 2.登陸進入BIGIP WEB管理界面後啓動BIGIP自帶的SSH Client ->MindTermSSH:
從F5 BigIP設備前面板得到系統的管理IP地址(按左右按鈕觀察液晶面板)。默認爲192.168.1.245 打開瀏覽器使用HTTPS協議和從液晶屏幕得到的IP地址連接系統配置GUI,輸入用戶名密碼登陸系統(默認爲用戶名:admin、密碼:admin)
新系統首次登陸進入後自動進入License激活配置界面,默認License狀態爲Not Activated,點擊Activate按鈕進入下一步。
默認F5設備沒有配置任何網絡參數,所以選擇Manual激活License,點擊NEXT進入下一步。
系統會根據本機信息生成Dossier信息,Copy 此信息並點擊“Clickhere to access F5 Licensing Server”至F5網站粘貼Dossier信息激活License,並將激活後的License信息複製到本機License處,點擊Next完成激活。
點擊step2顯示的鏈接,登錄F5官方網站獲取license
激活LICENCE後系統會進入嚮導界面,首先要配置的是基本的參數:
l Host Name(主機名)
l Time Zone(時區)
l 重置root和admin密碼
步驟:
Setup Utility >> Platform Setup
l 配置Host Name 爲www.erp-cg-3900-1.cn
l 配置Time Zone爲 Asia/Shanghai
l 配置Root Account密碼
l 配置Admin Account密碼(配置後進入系統配置界面使用Admin用戶名及密碼)
點擊NEXT完成配置
在進入F5配置頁面之後,點擊左側的NETWORK即可進行基本的網絡參數設置,包括Interfaces,Routes,Self IPs,PacketFilters,Spanning Tree,Trunks,VLANs,ARP。
在本項目中我們只需配置VLANs,Routes,Self-ip其餘保持默認即可。
BIGIP上劃分2個VLAN,分別爲:
Vlan11 | 通過1.2口與服務器通信 |
Vlan 12 | 通過1.2口與服務器通信 |
Vlan 13 | 通過1.2口與服務器通信 |
Vlan 14 | 通過1.2口與服務器通信 |
Vlan 18 | 通過1.2口與服務器通信 |
Vlan_external | 以1.1口做爲對外流量的端口 |
Fail-Over | 主要用於兩臺BIGIP之間的配置同步和Session同步。通常情況下在端口數量足夠的時候我們用一個單獨的端口用於配置和Session同步。 在此項目中我們採用設備的1.8端口。 |
新建Vlan的配置:
Vlan fail-over的配置:
在Network目錄下可以對VLAN地址進行設置,由於兩臺做HA,因此在每臺設備上的每個VLAN上須配置兩個IP地址,一個爲VLAN自身的地址,一個爲HA的Floating IP。
以VLAN11爲例,F5主用設備上Floating IP是192.168.11.254,實際地址爲192.168.11.253;F5備用設備上FloatingIP是192.168.11.254,實際地址爲192.168.11.252。
總體情況:
self ip的配置:
浮動IP的配置:
步驟:Network >> Routes >> New Route...
選擇Type爲 Default Gateway模式,
F5具體的負載均衡配置是在Localtraffic這個目錄下,Local traffic目錄下的配置是可以在 HA 配置完成後從一臺設備同步到另外一臺設備上的,因此只需要在其中一臺設備上進行配置即可。
Pool 是一些內部服務器或 node 的集合,這些服務器爲了處理客戶機請求而編組在一起。pool 中的服務器稱爲 Pool menber 。配置Pool的過程如下:
建立pool,點擊create:
輸入pool的名稱,選擇健康檢查模式,爲tcp,然後在new address中添加服務器的ip,手動輸入端口後,點擊add,添加完成後點擊finished即可。
在pool的屬性中,點擊members可以查看到此pool中的member,點擊add可以新增member:
爲了判斷鏈路或服務器的健康性和可用性,F5 bigip 必須建立正對不同協議的Health Monitor的週期性的探測鏈路和服務器的健康性,除了使用F5 BigIP default Monitor,我們可以根據特定的應用和環境自定義基於不同協議的 HealthMonitor
如下圖,此次我們配置基於四層的TCP Monitor爲monitor_8080:
首先點擊create:
輸入名稱monitor_8080,時間間隔5秒,超時時間16秒,即可:
虛擬服務器(Virtual Server):收到客戶機請求後,不是直接將請求發送到數據包標頭中指定的目的地IP地址,而是發送到組成負載平衡pool的內容服務器上。虛擬服務器可提高用於處理客戶機請求的資源的可用性。
在localtraffic菜單裏點擊virtual servers:
點擊create:
其中藍色表示狀態位置,紅色表示此vs不可用,綠色表示此vs可用。
創建vs時,需要輸入名稱、ip地址、端口,並在resource的default pool處添加或者選擇pool如下:
爲了提高服務器提高服務的可靠性,防止單點故障,採用兩臺相同的BIG IP 做 HA,一爲 active,一爲 standby,當 active 的設備出現故障或者其鏈路出現問題的時候,就會發生切換,併產生相關的日誌提醒網管人員。
配置過程如下:
由於做 HA,兩臺成員設備的系統時間必須保持一致,不能有太大的偏差,否則 HA不能正常建立與同步。分別 console到兩臺設備上,配置系統時間,配置命令如下:
date 061811202008
格式爲:date 月日時分年
兩臺設備上配置方法一樣,完成後,用命令date 查看系統時間,確認兩臺設備的系統時間一致。
分別登陸到兩臺設備後在Platform目錄下的High availability後設置改爲Redundant pair,Unit ID一臺爲 1,一臺爲 2,並連接兩臺設備的 HA同步電纜。並修改 root 帳號和 admin 帳號的密碼(注意,做 HA 的兩臺設備的密碼必須保持一致,因爲在同步配置的時候需要通過密碼來認證,如果密碼不一樣的話配置不能同步)
以下是設備F5-ZFYW_WEBF502.COM的配置情況,Unit ID 爲2:
以下是設備F5-ZFYW_WEBF501.COM的配置情況,Unit ID 爲1:
點擊system菜單下的high availability:
可以看到F5-ZFYW_WEBF502.COM的配置:
輸入本機和對端設備的ip地址即可。
其中:
self 1.1.1.1爲備用設備F5-ZFYW_WEBF501.COM自身的fail-over Vlan的IP地址,1.1.1.2爲主用設備F5-ZFYW_WEBF502.COM自身的fail-over Vlan的IP地址。
Failsafe 即定義發生 Failover 切換的觸發情況,兩臺設備上都需要進行設置,但是設置的內容一樣,下面僅以F5-ZFYW_WEBF502.COM設備爲例。
系統自身的failsafe設定如下圖:
表明在交換背板出現故障的時候,動作爲:主備切換並且不處理數據
由於內網是一個服務器網段 vlan,所以不能定義 gateway failsafe,所以需要定義一個VlanFailSafe,我們這裏選擇的是InternalVLAN,Timeout設爲10秒。如圖所示:
在vlan處選擇Internal,切換時間設置爲10秒,動作設置爲fail over主備切換。
上述配置完成後,就可以進行配置同步了,將做了完整配置的設備的配置同步到只做了HA配置和Network配置的另外一臺設備上,需確認在 HA建立了以後才能夠同步配置.在High Availability目錄下的 ConfigSync 裏面有兩個選項:
Synchronize to peer:將配置從本臺設備同步到對端設備上;
Synchronize from peer:從對端設備上將配置同步到本機;
操作時請注意在配置同步時的方向!
完成HA配置後,可以通過console或者ssh登陸到每臺設備上就可以看出設備處於active或者 standby 狀態;也可以在 web 任何一個頁面的左上角看出設備處於 active 或者 standby狀態。
二、 設備管理與維護
在 system的 Platform目錄下可以對 root 和 admin 帳號的密碼進行修改。 如果要新開賬號的話,在 system的 users 的目錄下進行,點擊 Create 開設新的帳號。
創建用戶需要設置 user name 和 password,並分配權限,有四種權限:
Administrator: | 管理員權限 |
Operator: | 可以進行部分的設置,比如 up 或者 down node 等,但是不能修改或者刪除配置 |
Guest: | 可以瀏覽配置,不能做任何更改 |
No access: | 沒有權限。 |
F5 的設備配置可以保存爲一個後綴爲.ucs 的文件,以便今後必要時進行系統恢復。該系統配置 ucs 文件是一個二進制文件,並不能閱讀,如果用戶只是想了解 F5 的配置內容,可以通過閱讀設備系統/config 目錄下的 bigip_base.conf 和 bigip.conf 兩個文件。其中, bigip_base.conf保存的是有關係統的網絡配置(二/三層配置),而 bigip.conf保存的是有關係統的業務配置內容(四/七層配置)。因此,爲方便今後的維護,可以要求管理員同時備份當前配置的 ucs文件和 bigip_base.conf、bigip.conf文件。
備份和系統恢復操作在 system的 Archives目錄下進行。 如下圖,Upload 用來恢復系統配置信息,Create用來備份系統配置信息。
備份配置:
點擊create後,輸入文件名,如 XXXX.ucs,然後點擊 finished,就開始備份;
恢復配置:
當設備出現問題,或者返修後,需要恢復以前的配置的時候,只要點擊 Upload,然後選擇對應於該設備的配置文件包即可,設備會自行導入相關配置。
在 System >platform 菜單中可以配置和修改 system的相關屬性,
如圖:
註釋:
Management port: | 輸入 MGT 的 IP Address 和 subnet |
Host name: | 輸入 F5 Device 的主機名 |
Host IP Address: | 輸入允許訪問 F5 LTM 設備管理的 client IP address |
High Availability | 如果是單機設備,請選擇 Single Device; 如果是雙機設備,請選擇 Redundant Pair, 然後選擇 unit ID |
Time Zone: | 選擇時區 Asia/shanghai |
Root Account: | 設置或修改 Root password |
Admin Account: | 設置或修改 Admin password |
Support Account: | 是否選擇設備 support Account (read only) 默認選擇 Disabled |
SSH Access | 允許SSH 訪問 默認 Enable |
SSH Allow | 設置允許通過 SSH 方式訪問 F5 Device IP Address, 默認選擇 All Address |