F5負(fù)載均衡器雙機(jī)切換機(jī)制及配置復(fù)習(xí)進(jìn)程

1、Good is good, but better carries it.精益求精，善益求善。F5負(fù)載均衡器雙機(jī)切換機(jī)制及配置-F5負(fù)載均衡器雙機(jī)切換觸發(fā)機(jī)制及配置F5雙機(jī)的切換觸發(fā)機(jī)制F5雙機(jī)的通信機(jī)制F5負(fù)載均衡器的主備機(jī)之間的心跳信息可以通過(guò)以下兩種方式進(jìn)行交互：通過(guò)F5failover串口線交換心跳信息(電壓信號(hào)不斷地由一方送到另外一方)處于Standby的系統(tǒng)不斷監(jiān)控Failover上的電平，一旦發(fā)現(xiàn)電平降低，StandbyUnit會(huì)立即變成Active，會(huì)發(fā)生切換(Failover)。通過(guò)串口監(jiān)控電平信號(hào)引起的切換可以在一秒中以內(nèi)完成(大概200300ms)。四層交換機(jī)在系統(tǒng)啟動(dòng)的時(shí)

2、候也會(huì)監(jiān)控Failover線纜的電平以決定系統(tǒng)是處于Active狀態(tài)還是Standby狀態(tài)。在串口Failover線纜上不傳輸任何數(shù)據(jù)信息。Failover線纜也可以不采用串口線，而直接采用網(wǎng)絡(luò)線。(但F5不建議這樣做，因?yàn)榫W(wǎng)絡(luò)層故障就可能會(huì)兩臺(tái)負(fù)載均衡器都處于Active狀態(tài))。如果采用網(wǎng)絡(luò)層監(jiān)控實(shí)現(xiàn)Failover,Bigip將通過(guò)1027與1028端口交換心跳信息。經(jīng)驗(yàn)證明：兩臺(tái)F5之間一定要用failovercable連接起來(lái)，不連接failovercable而直接采用網(wǎng)絡(luò)線連接在一起不可靠，而且造成了網(wǎng)上事故。F5雙機(jī)之間的數(shù)據(jù)信息是通過(guò)網(wǎng)絡(luò)來(lái)完成的。因此運(yùn)行于HA方式的兩臺(tái)F5設(shè)備

3、在網(wǎng)絡(luò)層必須是相通的。(可以用網(wǎng)線將兩臺(tái)F5設(shè)備直接相連起來(lái)，也可以通過(guò)其它的二層設(shè)備將兩臺(tái)F5設(shè)備相連，使F5設(shè)備在網(wǎng)絡(luò)上可以連通對(duì)端的FailoverIP地址)。兩臺(tái)運(yùn)行于HA方式的四層交換機(jī)之間通過(guò)網(wǎng)絡(luò)層交互的信息主要包括：用于配置同步的信息：通過(guò)手工執(zhí)行configsync會(huì)引起Active到Standby系統(tǒng)的配置信息傳輸。用于在發(fā)生Failover時(shí)連接維持的信息：如果設(shè)置了ConnectionMirroring,處于Active的四層交換機(jī)會(huì)將連接表每十秒中發(fā)送一次到Standby的系統(tǒng)。（ThefollowingTCPConnectionscanbemirrored:TCP、U

4、DP、SNAT、FTP、Telnet）。如果設(shè)置了StatefulFailover,Persistence信息也會(huì)被發(fā)送到Standby系統(tǒng)。（Thefollowingpersistenceinformationforthevirtualservers(VIPs)canbemirrored:SSLpersistence、Stickypersistence、iRulesPersistence)F5雙機(jī)的切換觸發(fā)機(jī)制F5負(fù)載均衡器主/備機(jī)的切換觸發(fā)機(jī)制主要有以下四種：Watchdogdevice觸發(fā)切換：這種切換主要是用于當(dāng)F5本身發(fā)生故障時(shí)，備機(jī)會(huì)檢測(cè)到主機(jī)失效的情況，引起F5的切換；Gatew

5、ayFailsafe觸發(fā)機(jī)制：這種機(jī)制主要是用于當(dāng)F5檢測(cè)到特定的IP地址不可達(dá)時(shí)，會(huì)引起F5的切換；Vlanarmfailsafe觸發(fā)機(jī)制：這種機(jī)制主要是用于當(dāng)F5檢測(cè)到相應(yīng)的網(wǎng)段內(nèi)都沒(méi)有流量時(shí)，會(huì)引起F5的切換；Sslproxyfailover觸發(fā)機(jī)制：這種機(jī)制主要是用于當(dāng)F5檢測(cè)到其硬件加密模塊有硬件故障時(shí)，會(huì)引起F5的切換。在我們產(chǎn)品線的應(yīng)用中，現(xiàn)在可以用到前三種觸發(fā)機(jī)制，sslproxyfailover觸發(fā)機(jī)制現(xiàn)在基本不涉及，后面針對(duì)前三種機(jī)制作一些描述。Watchdogdevice機(jī)制Watchdogdevice機(jī)制是F5內(nèi)部有一個(gè)watchdog部件，當(dāng)F5的硬件或軟件有問(wèn)題時(shí)，

6、有問(wèn)題的F5會(huì)重新啟動(dòng)機(jī)器（reboot）。在原主F5重啟的過(guò)程中，備F5從主F5上收不到任何信號(hào)，備F5就會(huì)自動(dòng)變成active，擔(dān)當(dāng)主F5的角色。需要注意的是：備F5是在主F5重新啟動(dòng)時(shí)，收不到原主F5的信號(hào)才會(huì)變成主用的。此項(xiàng)切換機(jī)制不需要我們手工去配置。GatewayFailsafe機(jī)制及配置Gatewayfailsafe是在F5上配置一個(gè)IP地址，F(xiàn)5會(huì)去檢查此地址是否可以ping通，如果ping不通設(shè)定的IP地址，則主F5就會(huì)變成standby模式。主F5變成standby模式后，備F5收不到activeF5過(guò)來(lái)的信息，則備F5自己會(huì)變成active的狀態(tài)。需要注意的是：每臺(tái)F5只

7、能設(shè)定一個(gè)檢測(cè)的IP地址，ping包的時(shí)間間隔及timeout時(shí)間都是可配置的。在F5ping不通gateway后，F(xiàn)5不會(huì)重新啟動(dòng)。Gatewayfailsafe的配置方法如下：在WebUI中的system項(xiàng)中的redundantproperties項(xiàng)中，把gatewayfailsafe中的enabled項(xiàng)選擇上，把需要監(jiān)控的IP地址配置在router后的空格中，設(shè)定ping包（每隔多少秒發(fā)一次ping包）及timeout（多少時(shí)間ping不通則切換）的時(shí)間則可。此項(xiàng)配置主、備F5是不一樣的，也就是主、備F5都需要分別設(shè)置，而且監(jiān)控的IP地址可不一樣。VLAN的ArmFailsafeVlan

8、的armfailsafe是F5檢查配置了armfailsafe的vlan，是否還有屬于此vlan的流量，如果有流量，F(xiàn)5不會(huì)有動(dòng)作；如果F5檢查不到有屬于監(jiān)控vlan的流量，則F5設(shè)備本身會(huì)模擬一些屬于此vlan的流量，看是否有機(jī)器對(duì)此流量作反應(yīng)？如果仍然沒(méi)有設(shè)備對(duì)此模擬流量作反應(yīng)，則F5會(huì)用失效處理，把自己重啟。此時(shí)備F5從原主F5上收不到信號(hào)，則會(huì)變成active狀態(tài)。需要注意的是：配置了vlanarmfailsafe的F5，在缺省情況下，不論是主機(jī)、備機(jī)，如果F5本身檢測(cè)到相應(yīng)的vlan中沒(méi)有流量，F(xiàn)5會(huì)反復(fù)重啟。如果讓備F5在檢測(cè)不到相應(yīng)的vlan流量時(shí)不重啟機(jī)器，需要在F5中配置如下數(shù)據(jù)：在兩臺(tái)F5的/config下創(chuàng)建一個(gè)routes文件，加入以下語(yǔ)句：/sbin/binternalsetstandby_failsafe_reboot=0同時(shí)用命令行方式手工執(zhí)行binternalsetstandby_failsafe_reboot=0這個(gè)命令。檢驗(yàn)此配置是否生效的命令：F2400-1#binternalshow|grepbootpanic_on_netboot_button0standby_failsafe_reboot0vlanarmfailsafe的配置方法如下：在WebUI中的net