F5 Cluster (N+M) v1.0- 副本.ppt

《F5 Cluster (N+M) v1.0- 副本.ppt》由会员分享，可在线阅读，更多相关《F5 Cluster (N+M) v1.0- 副本.ppt（51页珍藏版）》请在三一文库上搜索。

1、 F5 Networks,F5 Cluster (N+M) v1.0,目录,N+M介绍 最佳实践 配置步骤 Troubleshooting,V11 - Device Service Clusters,在设备组中同步配置,简单的Active-Active部署,手动自动同步,提升扩展能力,更高的设备利用率,V11 DSC基本逻辑,最基本的逻辑是配置多个设备组和多个流量组 设备组，设备组是能够支撑某个业务的设备的集群，该业务可以在这个设备组中进行配置同步或高可用切换 流量组：流量组是某个或某些业务的组。该组为人工设定切换或自动切换的基本单位。 每个流量组在特定的设备组中进行高可用，每个流量组都可以独

2、立切换。从而实现，即：台设备为主设备，台设备为被设备。,什么是设备组（Device Group）？,设备组就是处于信任关系中的两台或多台BIG-IP设备，它们可共享资源并确保应用交付的高可用性。,两类设备组，即同步设备组(synconly)与同步故障切换设备组(syncfailover)。 设备组将系统的冗余扩展为 N+M 模式，即可能为 A/S,A/A,A/A/S,A/S/S,A/A/A/A, A/A/A/S, A/S/A/S 等 支持v11平台：VIPRION、机架式或虚拟版本 配置设备组之前必须建立设备间的信任关系。,设备同步组（synconly）,设备同步用于文件夹级别的配置对象同步；

3、 对单个设备上的同步类型设备组的数目没有硬性限性 一个设备可以加入多个同步类型设备组中。 ISO、OPSWAT与QUOVA更新不能在组内同步,设备同步组（ synconly 续）,对设备进行分组，并建立它们间的信任关系（设备证书） 1. 有一台机器会作为 Authority 角色，它拥有 dtca.crt； 2. 有可能有多台其他机器也为 Authority 的角色，这些 Authority 也拥证书 ，但没有私钥 3. 所有剩下的其他机器都作为 Nonauthority 角色 4. 所有的机器都有一张自己的 dtdi.crt证书，这张证书是用于鉴别该设备的机器名； 只要拥有 dtca 签发出

4、来的证书的设备均可以加入到 trustgroup 中。 更改配置后，可以将更改在整组内同步,同步故障切换模式用于同步面向发生故障时整个设备配置。 (替换HA高可用性) 各成员必须是同一平台，并拥有相同的License许可。 每台设备只允许一个同步故障切换组。 避免应用服务的中断,设备故障切换同步组(Fail-over Sync),Sync-only类型用于配置同步，例如GTM的配置同步。 Sync-only类型支持8台设备。 Sync-Failover类型用于高可用的切换，例如LTM的主备切换。 Sync-Failover类型支持32台设备。,设备组的两种类型应用场景,Traffic Grou

5、ps,是可以切换的VS、SNAT、NAT等的集合 创建流量组，并指定应用到流量组中 分配集群成员到流量组 如果某个设备中没有活动的流量组，则该设备处于备机状态。 如果设备出现故障，流量组迁移到集群中的另一台BIG-IP设备,什么是流量组（Traffic group）？,流量组就是一组floating IP地址、虚拟地址与SNAT，它们可在BIG-IP设备组中的设备间漂移以维持高可用性。,流量组-1,默认设备： 设备2,流量组-2,默认设备： 设备1,流量组-3,默认设备： 设备3,流量组,只有虚拟地址、floating IP、 NAT与SNAT 地址转换可以加入流量组。 一个虚拟地址、floa

6、ting IP、 NAT与SNAT 地址转换只能作为成员加入一个流量组。 因此，一个应用程序不能同时在两个设备上处于活动状态。 每个流量组均存在一个默认设备，即该流量组对象中的活动设备。 在v11.3版本及之前版本，不能通过设置策略确定故障时切换到哪台设备，当故障切换事件发生时，流量组的接管概率是均匀分布的（通过流量组对每台设备的计数打分）。但是可以指定手动切换的接管顺序。V11.4之后可以指定在故障切换时的接管顺序。,流量组-1,默认设备： 设备2,流量组-2,默认设备： 设备1,流量组-3,默认设备： 设备3,流量组的类型,Active / Standby 在配置过程中，创建一个同步故障切

7、换设备组； 所有流量对象（虚拟地址、floating IP、NAT与 SNAT 地址转换) 都将会分配到单个流量组中。 Active Device将被标记为默认设备。,流量组类型（续）,Active / Active 创建第二个流量组 将流量对象设定到新流量组中，请确保所有与应用程序有关联的流量对象都加入了同一流量组 将默认设备设置为设备2,流量组类型（续）,Active/Active/Standby 在授权设备1与设备3间建立设备间的信任关系 将设备3添加到设备组中 相应地调整流量组成员和默认设备（例如Traffic1和2的默认设备设为device1，traffic3的默认设备设为devic

8、e3）,目录,N+M介绍 最佳实践 配置步骤 Troubleshooting,多活模式最佳实践,根据实际情况和各用户的情况来看，建议采用3+1或4+2的模式。 根据需要建议把所有业务分为N类，每类业务运行在一台F5设备。 切换顺序，建议前两个顺序手动设置，后面的顺序自动选择。,双活模式建议,DC1,DC2,APP1,APP2 Active,APP2,APP1 Active,目录,N+M介绍 最佳实践 配置步骤 Troubleshooting,前期准备,NTP 设置。 确认设备软件版本一致。 确认设备license一致。 设备mgmt地址，掩码，路由。 当然设备TMOS 必须得是v11.x,且版

9、本一样。 确保用于同步的Vlan的Port Lockdown 选项不为Allow None。,基础信息确认方法,设备DSC基础配置（每台设备分别配置）,设备Config Sync 地址：,设备DSC基础配置,设备failover地址：,所指定的Failover IP地址必须属于route domain 0。,设备DSC基础配置,设备Mirror地址：,只能做TCP和UDP的mirror, 不支持不同硬件平台之间mirror，最大可以mirror 15 台设备。,配置 peer list,通过此选项把多台远程设备加入到local trust domain。 Device IP Address :

10、建议配置Device Connectivity中配置的地址 Administrator Username: admin Administrator Password: adminpassword,查看设备状态,把多台设备加入到local trust domain后可以通过Device List看到这些设备的信息。点击设备名称还可以看到每个设备具体的license，SN，time zone等。,Create Device Groups,Sync-Failover Type,Sync-only Type,Sync-failover 比Sync-only 只多一个Network failover。,

11、Device Group 配置选项说明,Create Traffic Group,Traffic Group 配置选项说明,只有当配置了Failover Order时，Auto-failback才能生效，如果配置failover order，且failover order中没有available设备时，才会执行HA Load Factor（load-aware）。,目录,N+M介绍 最佳实践 配置步骤 Troubleshooting,Troubleshooting,当cluster发生问题的时候，Troubleshooting步骤为： 1、 排查所有device group成员的各种同步参数是

12、否正确（ConfigSync operation)。 2、 排查Device Service Clustering。如果同步错误，BIG-IP会产生同步状态信息，可以通过这些信息来排查错误。,1. ConfigSync operation,1.1 确定DSC/ConfigSync的基本元素：,1. ConfigSync operation,1.2 确定commit ID： 运行tmsh命令： tmsh run /cm watch-devicegroup-device 在每台设备上执行上述命令，查看结果中的cid.id是否相同，如果不同，则说明某台设备缺少了最新的配置，则进行下一步的强制同步。,

13、1. ConfigSync operation,1.3 验证配置同步操作： 通过GUI，Device Management Overview Devices，选择上一步看到的cid.id最大的设备，进行强制配置同步 或者运行tmsh命令： tmsh run /cm config-sync to-group tmsh run /cm config-sync from-group ,1. ConfigSync operation,1.4 确定同步状态： 通过GUI， Device Management Overview： 或者运行tmsh命令：tmsh show /cm sync-status,1

14、. ConfigSync operation,1.5 Device Group同步状态信息说明（一）：,1. ConfigSync operation,1.5 Device Group同步状态信息说明（二）：,1. ConfigSync operation,1.6 Device 同步状态信息说明（一）：,1. ConfigSync operation,1.6 Device 同步状态信息说明（二）：,1. ConfigSync operation,1.7 确定log信息： 运行linux命令： 查看/var/log/ltm文件： cat /var/log/ltm 查看有关 DSC/CMI的信息：

15、grep -i cmi /var/log/ltm 查看有关 ConfigSync的信息：grep -i configsync /var/log/ltm,2. Device Service Clustering,2.1 确定device trust状态： 运行tmsh命令： tmsh show /cm device-group device_trust_group,2. Device Service Clustering,2.1 确定device trust状态： 运行tmsh命令： tmsh show /cm device-group device_trust_group,2. Device

16、Service Clustering,2.2 确定device group成员的同步时间： 运行linux命令：date; tmsh list /sys ntp,在每台设备上运行该命令，确认每台设备的时间,2. Device Service Clustering,2.3 确认设备同步的地址： 确认同步地址： tmsh list /cm device configsync-ip 确认网络连通性：ping 确认进程信息： netstat -pan | grep -E 6699 确认DSC同步状态信息：run /cm sniff-updates,在每台设备上运行该命令，确认每台设备的时间,2. De

17、vice Service Clustering,2.4 确认守护进程信息： DSC需要下列守护进程： devmgmtd: Responsible for establishing/maintaining device group functionality mcpd: Allowsuserlanddaemons to communicate with tmm sod: Provides failover and restart capability tmm: Performs traffic management for the system 使用命令确认其信息： bigstart statu

18、s devmgmtd mcpd sod tmm,2. Device Service Clustering,2.5 重新设置Device trust关系（一）： 通过GUI， Device Management Device TrustLocal DomainReset Device Trust：,2. Device Service Clustering,2.5 重新设置Device trust关系（二）： 通过GUI， Device Management Device TrustPeer List Add，重新建立trust关系：,2. Device Service Clustering,2.6 重新设置所有device trust关系： 分别登陆各台设备，重建所有设备的trust关系,Troubleshooting工具：,最后提供部分Troubleshooting工具，可以查看需要的信息： 使用方法：tmsh run /cm sniff-updates tmsh run /cm watch-devicegroup-device tmsh run /cm watch-sys-device tmsh run /cm watch-trafficgroup-device,