------Big-IP 冗余HA介绍----------
1.1 DSC概念
1.2 Device Service Clusters组件:
1.2.1 Device
1.2.2 Device trust and Trust domains
1.2.3 Device Group
1.2.4 Traffic groups
1.3 设备故障切换同步组(Fail-over sync)
1.3.1 所需条件
1.3.2 HA设备的逻辑分组能力
1.4 设备同步组(sync only)
1.4.1 特点
1.5 设备组之间的通讯链路
1.5.1 同步配置-可使用self-ip
1.5.2 网络切换(network failover)
1.5.3 Mirror - 只能使用self-ip
1.6 流量组(Traffic group)
1.6.1 定义
1.6.2 配置模型
1.6.3 流量模型
1.6.4 多活模式最佳实践
------Big-IP DSC Sync-only配置---
2.1 前期准备
2.2 创建Device trust and Trust domains通过证书交互建立设备间信任关系;
2.3 创建Device Group将设备集合成一个组;
2.4 建立同步配置文件夹(可选)
------Big-IP DSC Sync-failover配置---
3.1 调整主备设备优先级(可选)
------Big-IP 冗余HA介绍----------
1.1 DSC概念
DSC:Device Service Clusters,设备服务群集。DSC最基本的逻辑是配置多个设备组和多个流量组,从而实现N+M。
即:N台设备为主设备,M台设备为备设备。(推荐A/A或A/A/S)
设备组:设备组是能够支撑业务的设备集群,业务可以在这个设备组中进行配置同步(sync)或高可用切换(Failover)
流量组:流量组是某个或者某些业务流量归类的组。该组为人工设备切换或自动切换的基本单位。每个流量组在特定的设备组中进行高可用,每个流量组都可以独立切换。
每一台BIG-IP设备自己生成一个Device Object
·不同设备的信息
·建立信任证书
·在local device上设置Device HA and faviover
这些BIG-IPs组成Device Trust Groups形成
·用安全通讯交换证书;
·交换HA的设置
BIG-IPs在同一个信任组里组成一个设备组
·一个设备组支持配置同步和设备切换
·或者只同步指定的配置
1.2 Device Service Clusters组件:
1.2.1 Device:设备的详细信息及在安装时产生一个key和ssl证书,并可配置connectivity的各项参数(Configsync、Failover and Mirror)
1.2.2 Device trust and Trust domains:通过基于证书的验证建立BIG-IP之间的信任关系。Trust domain是互相信任的BIG-IP设备的集合,互相之间可同步配置信息,交换各自状态和Failover Message;
1.2.3 Device Group:是在相同trust域的BIG-IP设备的集合,是这些设备间可以faiover和同步配置。包括sync-failover和sync-only两种类型;
1.2.4 Traffic groups:配置在BIGIP设备上相关objects的集合,当此台BIGIP不可用时,可以漂移到Device group中的另一台Device上。
1.3 设备故障切换同步组(Fail-over sync)
1.3.1 所需条件:相同设备硬件(V11.4后允许不同硬件);以及相同的授权和模块
1.3.2 HA设备的逻辑分组能力:提供N+M冗余,N个活动单元+M备用机组;最大支持8台设备,且每个设备只能有一个同步切换组,实现避免应用服务的中断。
1.4 设备同步组(sync only)
1.4.1 特点:《1》设备同步用于文件夹级别的配置同步;
《2》支持不同的硬件平台;
《3》一个设备可以加入多个同步类型设备组中;
《4》ISO与QUOVA更新不能在组内同步;
以下是可以自动同步的对象:Certificates、CRL、Data groups、External monitors、iApps、iRules、Policies、Profiles
1.5 设备组之间的通讯链路
1.5.1 同步配置-可使用self-ip
《1》需要配置每台设备的同步IP到设备组中;
《2》使用TCP 4353、6699端口;
《3》Configsync - 设置配置同步传输地址;
《4》管理口地址不能用作同步地址;
1.5.2 网络切换(network failover)- 可使用self-IP、MGT-IP和Multicast-IP
《1》单播或者组播IP(组播局限在管理口上使用);
《2》默认使用UDP 1026端口;
《3》可以配置多个单播地址;
《4》设置心跳传输地址;
《5》推荐使用多条链路做心跳检测;
1.5.3 Mirror - 只能使用self-ip
《1》默认使用TCP 1028端口,也使用1029-1043端口
《2》实时地址转换表以及会话保持表等传输链路
《3》若两台设备直接互联,则属于硬件failover和Mirror线方式;
1.6 流量组(Traffic group)
1.6.1 定义:流量组就是一组floating ip地址、VS虚拟服务地址以及SNAT地址,它们可在BIG-IP设备组中的设备间漂移以维持高可用性。
1.6.2 配置模型:创建流量组,并指定应用到流量组中;
1.6.3 流量模型:如果某个设备中没有活动的流量组,则该设备处于备机standby状态。如果设备出现故障,流量组迁移到集群中的另一台BIG-IP设备。
1.6.4 多活模式最佳实践:《1》根据需要建议把所有业务分为N类,每类业务对应一个traffic-group,Active激活在一台F5 BIG-IP设备;
《2》切换顺序,建议前两个顺序手动设置,后面的顺序自动选择;
《3》建议采用3+1(AAAS)或4+2(AASS)的模式;
------Big-IP DSC Sync-only配置---
2.1 前期准备:
《1》NTP配置
《2》确认设备软件TMOS版本一致
《3》确认设备license一致
《4》设备mgmt地址,掩码,路由
《5》确保用于配置同步(configsync)的接口的Portlockdown选项为Aaalow Default;
《6》提前指定HA接口
来到”Device Management“”Devices“-选择自己的LTM设备-“视图下
《1》 配置configsync:
选择“configsync” configsync configuration下Local Address选择同步配置的接口,例如"172.17.20.252"
《2》配置Failover network:
选择“Failover network” New Failover Unicast Address下Address选择需要网络切换的接口,例如“10.1.100.1(设备直连线)” 还可以增加一个接口,这里选择MGMT管理口;
《3》配置Mirroring:
选择“Mirroring” Primary Local Mirror Address 选择设备直连线,作为设备间内存同步链路。
2.2 创建Device trust and Trust domains(又称Device trust member)通过证书交互建立设备间信任关系;
“Device Management”-”Device Trust”-”Device Trust Members”--“Add” 填写DC1三个F5设备的管理IP、账号及密码
2.3 创建Device Group将设备集合成一个组;
“Device Management”-“Device Groups”-“Add” name填写"QytangDCF5-Sync-only" Group Type选择"Sync-Failover" member将Available的设备变成Includes内 sync Type提供四种同步方式:
“Automatic with Incrementral Sync”--自动增量同步 "Automatic with Full Sync"--自动全同步 "Manual with incremental Sync"--手动增量同步 "Manual with Full Sync"--手动全同步
finish
验证:在Device Management-Overview看到是否有新建的设备组
2.4 建立同步配置文件夹(可选)
“System”-Users-Partition List-create Partition
Name填写“qytang-f5-syn1”
Redundant Device Configuration中的Device Group ,选择上面创建的设备信任成员组trust member("QytangDCF5-Sync-only")
finish
验证:在F5右上角Partition选择“qytang-f5-syn1”文件夹,然后再LTM-iRule配置一条简单的iRule,然后到Device Management-Overview手动同步设备,同步完毕后找其余3台中的一台,检查右上角是否有新的Partition name为“qytang-f5-syn1”的文件夹。
------Big-IP DSC Sync-failover配置---
跟sync-only配置思路一样,步骤就不重复了。补充下一下内容:
3.1 调整主备设备优先级(可选)
Device Management-Traffic Groups
Failover Configuration---Failover Order中:
Preferred Order代表设置优先级;
Load Aware代表根据设备CPU性能来决定主备
网络切换组效果图:
