F5负载均衡-配置手册
- 设备概况
- 图形化界面通过网络形式访问F5任一接口地址,打开浏览器输入https://网络接口地址;或pc机直连F5的MGMT带外管理口,打开浏览器,输入https://192.168.1.245 (MGMT地址在设备液晶面板查看)将进入F5的图形管理界面。该界面适合进行设备的基础以及高级调试,是管理员常用的管理界面。
默认用户名/密码:admin/admin - 命令行界面通过console线直连F5的console口,或通过securecrt等工具以SSH2的形式访问F5任一接口地址,将进入命令行模式。该界面适合进行底层操作系统的调试以及排错。
默认用户名/密码: root/default - F5接口示意图如上图所示,F5同时部署在三个网段中,其接口示意如下:
- 网络配置
- 创建vlan 进入"Network"-"VLANs"选项,点击"create"创建新vlan,如下图:
名称处填写该vlan名称,如vlan_170。再将相应的接口划入该vlan中,如1.3口。如该vlan需要同交换网络中的vlan tag对应,则在tag处填写id,并将接口划入tagged栏,否则一律划入untagged。点击"Finish"完成。
- 创建self ip 进入"Network"-"self ips"进行F5设备的地址配置,点击"create"新建地址,如下图:
填写相应地址和掩码,如192.170.1.202,掩码:255.255.255.0,在vlan处下拉选择之前创建好的vlan_170,将该地址与vlan_170绑定,即ip地址与接口做成了对应关系。在双机部署下,浮动地址的创建需要点击Floating IP的勾,并选择unit ID 为1或2(主备区分),
点击"Finish"完成创建。
有多个地址需要创建时,重复完成以上步骤。
带有unit ID的都是浮动地址,主备机的浮动地址保持一致。
- 创建VS-forwarding(IP)
- 创建缺省路由
- 方法一:直接创建
F5的静态路由分缺省路由和一般路由两种。任何情况下,F5部署上线都需要设置缺省路由。
- 方法二:通过pool创建
使用pool作为路由的好处是能够在pool界面中查看路由的健康状态。
- 创建默认路由pool
首先进入"Local Traffic"-"pools",为缺省路由创建下一条地址,点击"create",如下图:
名称处可以填写default_gateway_pool用来标识该pool是作为缺省路由使用的,与其他pool名称分开,便于管理。
健康检查选择gateway_icmp即可,因为是对网关的探测,该检测方式最佳。
根据实际情况填写缺省路由的网关地址,并add到地址列表中,点击"Finish"完成。
如图:
我们新建192.170.1.254作为170段的缺省网关,service port选择0,全开。
- 创建默认路由选择pool
完成pool的建立后,进入"Network"-"Route",创建一个新的路由,点击create,如下图:
种类选择缺省路由,资源选择使用pool。如果选择使用地址的话,则在下面直接输入下一条地址,也能完成缺省路由的设置。使用pool作为路由的好处是能够在pool界面中查看路由的健康状态。
资源选择pool后,在下面的pool选项中,下拉找到刚刚创建的default_gateway_pool,点击Finish完成即可。
配置完成后可在default_gateway_pool中查看状态,如下图:
至此,F5的基础网络配置完成,下面介绍LTM模块的配置及策略实现。
- LTM模块配置
- 创建pool配置服务器负载首先需要创建内部服务器的资源pool,进入Local Traffic – Pools,创建一个pool,如下图:
创建该pool的名称,以便管理员识别。健康监测方式根据应用类型选择,如开放http的web服务可选用http协议进行检测,也可用tcp进行检测。颗粒度粗细可选。原则上检测机制越细,F5对后台应用健康的判断越准。
负载方式默认为Round Robin轮询;可根据需求选择最小连接数、比率、观测等其他负载方式。
添加服务器或群组的地址及开放端口,add到pool列表中。该列表中的地址及端口应为同一种业务。
点击Finish完成。若有多个服务器资源pool,则重复上述步骤。
如下图:
我们创建一个SSO应用的pool资源池,命名为SSO_7010_pool便于管理,负载方式根据软件方要求采用最小连接数Least Connection(member),提供SSO服务的设备地址一一添加到地址池中,并选择相应开放端口。当前活动可用的服务器将被标识为绿色(根据所选健康检查方式来判断),不可用的咋为红色。
F5不会向红色服务器发送数据请求。
- 创建vs配置 Virtual Server以下简称VS,是F5对外发布业务时提供的虚拟服务器名称,是接收外部访问的统一接口,其访问资源将被转发至后台关联的pool中。服务器负载在创建好pool之后,需要VS将其发布出去,供客户端访问。
进入Local Traffic – Virtual Servers,创建一个新的VS,如下图:
名称建议与pool名称相近,便于管理员维护。添加VS地址及发布端口,这个地址及端口是对外提供服务的。负载类型根据需要选择,常用的为standard和layer4。开放协议根据负载类型会有变化。SNATPOOL开启automap时,F5将对源地址进行转换;选择None时,F5将透传源地址,使服务器能够看到客户端的源IP。SNATPOOL的选择请根据实际需求进行选择。Default pool选择与该VS对应的应用资源pool,也就是与该VS地址关联的的服务器资源,选错的话客户端访问将进入到错误的应用中。会话保持可根据具体需要选择开启或关闭。
点击Finish完成。若有多个VS,则根据上述步骤进行创建。
如下图:
我们创建SSO的vs,命名为SSO_7010_vs便于管理。Vs地址为192.168.1.10,端口是7010。
负载模式选择standard,协议为TCP;开启HTTP profile,对http负载进行优化;SNATpool 选择AUTOMAP。
Default pool选择我们刚刚创建的SSO_7010_pool,将其做关联。使得客户端访问该vs(192.168.1.10:7010)时,F5将数据负载至后台的SSO_7010_Pool中的服务器上。
会话保持根据软件方要求,选择源地址会话保持。
点击Finish完成即可。
至此,通过VS的地址访问,客户端可以到达后台的服务器pool资源中,对于客户端来讲,后台服务器地址是不可知的。
- 运维管理
- 设备信息进入system – platform可以对设备部分信息进行修改,如下图:
IP地址是设备的带外管理地址(MGMT),在设备液晶面板处可以看到,也可以在液晶面板上更改地址。若需要进行带外管理,可在管理路由处填写带外管理断的网关,连线至MGMT口即可。
主机名的命名方式为域名,如xxx.com。
HA下拉项为单机部署和冗余模式,生产环境中请勿变更此项。
时区一般选为中国上海。
密码分为两套,分别是root密码(命令行)和admin密码(图形界面),修改时请注意。
SSH访问默认是打开的,建议关闭,需要时再开启。也可以选择下面的地址列表,定义白名单访问。
- 主备切换进入system – High Available – Redundancy中,可以手动进行主备机切换,不需重启设备。如下图:
点击force to standby即可实现主备切换。该操作只能在当前为Active状态下的设备上进行。
- 配置同步进入system – High Available – config sync中,可以进行主备机的配置同步,如下图:
请注意同步是有方向性的,以当前图片为例:
目前是在主机上进行操作,若点选同步 to peer,则为将主机配置推送到备机。
若点选同步 from peer,则为将备机的配置拉取到主机。
- 配置备份建议进行周期性进行配置备份,并将备份文件download到本地保管,做好容灾工作。
进入system – achieve中,create一个新的档案。命名一般以时间戳为好,方便识别新老配置。命名完成后点击Finish即可。创建完成如下图:
可以看到不同时间戳命名的备份文件。点击一个文件,可以选择download到本地,也可以选择restore还原当前配置。
- IPv6配置指导
- 配置核心思想
- 配置IPv6的默认路由
- 配置IPv6的VS
- IPv6的vs里面要启用"automap"
- 配置IPv6的默认路由
- 配置IPv6的VS
- 第一种方法:(配置forwardingip)
- 第二种方法:
- 启用IPv6的pool
- 启用L4的VS并调用上面的pool
查看一下新建的pool是不是"绿色的"绿色代表生效了。
调用之前的pool到vs中,查看vs是不是"绿色",绿色代表生效,红色不生效,蓝色也可以用
最终的结果,应该如下图所示:"绿色"