f5冗餘BIG-IP系統的安裝
1.裝置服務群集
•一個系列的BIG-Ips彼此互相支援DSC
•每一臺BIG-IP 自己生成一個Device Object
•不同裝置的資訊
•建立信任證書
•在local device上設定Device HA and failover
•這些BIG-IPs 組成Device Trust Groups形式
•用安全通訊交換證書
•交換HA 的設定
•BIG-IPs 在同一個信任組裡組成一個裝置組
•一個裝置組支援配置同步和裝置切換
•或者只同步指定的配置
2.裝置信任組
一旦BIG-IP 配置了可以被新增進信任組
•Licensed, basic Set Up performed, HA information configured
•一個信任組之間的聯絡是基於BIG-IP裝置物件的相互認證和證書交換
•同步和故障轉移的基礎
•在一個分散式的方式集中的信任管理
•是一個全網狀
•對於此版本,F5建議使用預設的“Root” domain
•所有的裝置使用“Peer Authorities”
將裝置新增到一個信任域
3.Traffic Groups
是一個可以切換的偵聽者的集合
•建立流量組,並制定一個應用到組中
•叢集成員被分配到流量組
•在待機狀態下的裝置是沒有活動流量組的
•如果裝置出現故障,流量組遷移到叢集中的另一臺BIG-IP裝置
A group of listeners (IP地址)
•VS地址
•GTM 偵聽地址
•Self IP 地址
•SNAT
•NAT
兩種不同的型別
•非漂移地址(Non-floating Traffic Groups),只能有一個裝置,traffic-group-local-only。Listeners(偵聽IP)顯示繫結BIG-IP。Listeners(偵聽IP)資訊都被儲存在bigip_base.conf檔案中。其他Listeners(偵聽IP)資訊可以被放置在這個組中。
•漂移地址(Floating Traffic Groups)
•組中的偵聽IP是在裝置之間進行浮動(HA),traffic-group-1 已經建在裡面了,同一個時間一個流量組只能在一個裝置上生效,Means listener 只能在單機狀態下生效
•一個流量組可以支援多個偵聽者
•MAC 偽裝是配置traffic group中
•最多支援16臺裝置之間建組
•這個是產品設計規定的極限
•在WEB管理介面的“Network” 下面配置
•為應用系統提供高可用性
2)流量組之間的切換
•Traffic groups 不能被搶佔,只能通過切換
•只有“Force to Standby” 可以執行
•也可以自動恢復
•切換有系統級和流量組級
•系統級切換
•所有traffic groups
•比如在裝置需要維護的時候
•精細切換
•允許備機接管特定的traffic group
•把流量牽引到另一臺裝置上
4.1)僅同步配置的裝置組
允許靈活的組成員
•不同的硬體平臺
•啟用不同license的裝置
2)可以自動同步的物件
•Certificates
•CRL
•Data groups
•External monitors
•iApps
•iRules
•Policies
•Profiles
3)最大支援32臺裝置建立同步組
在“device_trust_group”裡面建立裝置之間的信任關係
•自動同步會啟用
•將裝置新增到信任域自動新增到device_trust_group
5.同步並互為備份配置的裝置組
1)需要同類的裝置組
•相同硬體
•相同的授權和模組
•但不是絕對
2)HA裝置的邏輯分組
•F5提供N + M冗餘
•N個活動單元+ M備用機組
•目前最大支援8臺裝置
•映象只需要兩個裝置是一個組的一部分
3)每個裝置只能有一個同步切換組
6.裝置之間的通訊
同步配置
•需要配置每臺裝置的同步IP到裝置組中
•使用TCP 4353埠
•不使用UCS歸檔檔案,MCP僅送出變化資訊
•切換(HA)
•單播或者組播IP
•組播侷限在管理口(eth0)上使用
•預設使用UDP 1026埠
•可以配置多個單播地址
•增加HA變性(e.g., 鏈路故障)
•在全網狀連線的配置同步和故障轉移
7.Floating Traffic Groups
組中的偵聽IP是在裝置之間進行浮動(HA)
•traffic-group-1 已經建在裡面了
•同一個時間一個流量組只能在一個裝置上生效
•Means listener 只能在單機狀態下生效
•一個流量組可以支援多個偵聽者
•MAC 偽裝是配置traffic group中
•最多支援16臺裝置之間建組
•這個是產品設計規定的極限
•在WEB管理介面的“Network” 下面配置