f5冗余BIG-IP系统的安装

Posted xinghen1216

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了f5冗余BIG-IP系统的安装相关的知识,希望对你有一定的参考价值。

1.设备服务群集

  ?一个系列的BIG-Ips彼此互相支持DSC

  ?每一台BIG-IP 自己生成一个Device Object

  ?不同设备的信息

  ?建立信任证书

  ?在local device上设置Device HA and failover

  ?这些BIG-IPs 组成Device Trust Groups形式

  ?用安全通讯交换证书

  ?交换HA 的设置

  ?BIG-IPs 在同一个信任组里组成一个设备组

  ?一个设备组支持配置同步和设备切换

  ?或者只同步指定的配置

2.设备信任组

  一旦BIG-IP 配置了可以被添加进信任组

  ?Licensed, basic Set Up performed, HA information configured

  ?一个信任组之间的联系是基于BIG-IP设备对象的相互认证和证书交换

  ?同步和故障转移的基础

  ?在一个分布式的方式集中的信任管理

  ?是一个全网状

  ?对于此版本,F5建议使用默认的“Root” domain

  ?所有的设备使用“Peer Authorities”

  将设备添加到一个信任域

3.Traffic Groups

  是一个可以切换的侦听者的集合

  ?创建流量组,并制定一个应用到组中

  ?集群成员被分配到流量组

  ?在待机状态下的设备是没有活动流量组的

  ?如果设备出现故障,流量组迁移到集群中的另一台BIG-IP设备

  A group of listeners (IP地址)

  ?VS地址

  ?GTM 侦听地址

  ?Self IP 地址

  ?SNAT

  ?NAT

  两种不同的类型

  ?非漂移地址(Non-floating Traffic Groups),只能有一个设备,traffic-group-local-only。Listeners(侦听IP)显示绑定BIG-IP。Listeners(侦听IP)信息都被保存在bigip_base.conf文件中。其他Listeners(侦听IP)信息可以被放置在这个组中。

  ?漂移地址(Floating Traffic Groups)

  ?组中的侦听IP是在设备之间进行浮动(HA),traffic-group-1 已经建在里面了,同一个时间一个流量组只能在一个设备上生效,Means listener 只能在单机状态下生效

  ?一个流量组可以支持多个侦听者

  ?MAC 伪装是配置traffic group中

  ?最多支持16台设备之间建组

  ?这个是产品设计规定的极限

  ?在WEB管理界面的“Network” 下面配置

  ?为应用系统提供高可用性

  2)流量组之间的切换

  ?Traffic groups 不能被抢占,只能通过切换

  ?只有“Force to Standby” 可以执行

  ?也可以自动恢复

  ?切换有系统级和流量组级

  ?系统级切换

  ?所有traffic groups

  ?比如在设备需要维护的时候

  ?精细切换

  ?允许备机接管特定的traffic group

  ?把流量牵引到另一台设备上

4.1)仅同步配置的设备组

  允许灵活的组成员

  ?不同的硬件平台

  ?激活不同license的设备

  2)可以自动同步的对象

  ?Certificates

  ?CRL

  ?Data groups

  ?External monitors

  ?iApps

  ?iRules

  ?Policies

  ?Profiles

  3)最大支持32台设备建立同步组

  在“device_trust_group”里面建立设备之间的信任关系

  ?自动同步会启用

  ?将设备添加到信任域自动添加到device_trust_group

5.同步并互为备份配置的设备组

  1)需要同类的设备组

  ?相同硬件

  ?相同的授权和模块

  ?但不是绝对

  2)HA设备的逻辑分组

  ?F5提供N + M冗余

  ?N个活动单元+ M备用机组

  ?目前最大支持8台设备

  ?镜像只需要两个设备是一个组的一部分

  3)每个设备只能有一个同步切换组

6.设备之间的通讯

  同步配置

  ?需要配置每台设备的同步IP到设备组中

  ?使用TCP 4353端口

  ?不使用UCS归档文件,MCP仅送出变化信息

  ?切换(HA)

  ?单播或者组播IP

  ?组播局限在管理口(eth0)上使用

  ?默认使用UDP 1026端口

  ?可以配置多个单播地址

  ?增加HA变性(e.g., 链路故障)

  ?在全网状连接的配置同步和故障转移

7.Floating Traffic Groups

  组中的侦听IP是在设备之间进行浮动(HA)

  ?traffic-group-1 已经建在里面了

  ?同一个时间一个流量组只能在一个设备上生效

  ?Means listener 只能在单机状态下生效

  ?一个流量组可以支持多个侦听者

  ?MAC 伪装是配置traffic group中

  ?最多支持16台设备之间建组

  ?这个是产品设计规定的极限

  ?在WEB管理界面的“Network” 下面配置

以上是关于f5冗余BIG-IP系统的安装的主要内容,如果未能解决你的问题,请参考以下文章

CVE-2022-1388——F5 BIG-IP iControl REST 身份认证绕过漏洞

CVE-2020-5902 F5 BIG-IP 远程代码执行漏洞复现

HAProxy的安装与使用

F5 BIG-IP 远程代码执行漏洞环境搭建

F5 BIG-IP 远程代码执行漏洞复现(CVE-2020-5902)

F5 BIG-IP常见NAT配置