Big-IP HA ~CLI編~
最近は、ロードバランサといえばBig-IPを触ることが多い。
ただし、VIPRIONではなくがLTMが殆どだけど。
これまでBig-IPはWebでの設定をすることが殆どだけど、ある程度定型的なものはCLIでやりたい。 特にHAを組む時などはCLIでできたら検証するときに便利そうだと感じた。 GUIでできるというのは便利ではあるけど、時間が経つと忘れてしまうしGUIは手順化しようとする非常に面倒くさいので。
とりあえず、今回はVE版を使ってHAを組むまでのCLI化をメモ。
構成は↓
hostname・・・bigip01.local/bigip02.local
1.mgmt-ipの設定(bigip01/02 共通)
# tmsh modify sys global-settings mgmt-dhcp disabled
# tmsh delete sys management-ip all
# tmsh delete sys management-route all
# tmsh create sys management-ip <mgmtのIP>
→ここには書いてないけど、必要に応じ「tmsh create sys management-route」も追加
2.ライセンスのアクティベーション(bigip01/02 共通)
※ Registration Keyは「AAAAA-BBBBB-CCCCC-DDDDD-EEEEEEE」表記
# get_dossier -b AAAAA-BBBBB-CCCCC-DDDDD-EEEEEEE
→出力結果から、F5のライセンスサイトでLicenseを表示
# cat << EOF > /config/bigip.license
→F5サイトの表示結果をbigip.licenseに書き込み
# reloadlic
→ライセンス読み込み(もしかするといらないかも)
→ここでいちどSSHセッションは切れた
(mgmt-ipでsave sys configしてないかったからかと思われる)
3.GUIで初回ログイン時のSetup Utilみたいなことをやる(bigip01/02 共通)
# tmsh modify sys global-settings hostname <hostname>
# tmsh modify sys ntp timezone Asia/Tokyo
# tmsh modify auth password root
# tmsh modify auth password admin
# tmsh modify sys db setup.run value false
ここまでが、ISOから初回GUIログイン時の作業
こっからがHAの構成
4.NW基本設定とDevice設定(bigip01/02 共通)
1.1→external、1.2→internal、1.3→ha のVLANに所属
DeviceGroup→Dev-Group
# tmsh create net vlan external interfaces add {1.1}
# tmsh create net vlan internal interfaces add {1.2}
# tmsh create net vlan ha interfaces add {1.3}
# tmsh create net self external-ip address <IPアドレス> vlan external
# tmsh create net self internal-ip address <IPアドレス> vlan internal
# tmsh create net self ha-ip address <IPアドレス> vlan ha allow-service default
→今回は書かなかったけど必要に応じ、「tmsh create net route」もやる
ここまでがHA組むのに最低限の事前準備
# tmsh modify cm device bigip1 configsync-ip <IPアドレス>
# tmsh modify cm device bigip1 unicast-address {{ ip <IPアドレス> }}
# tmsh modify sys state-mirroring { addr <IPアドレス> }
→今回はhaのIPを使用した
→ modify cm device bigip
1の「bigip1」は初回時は固定
!!!bigip01.localでの作業!!!
# tmsh mv cm device bigip1 bigip01.local
# tmsh modify cm trust-domain /Common/Root ca-devices add { <bigip02のIP> } \
name bigip02.local username admin password admin
→プロンプトが[root@bigip01:Active:Disconnected]に変化
# tmsh create cm device-group Dev-Group devices add { bigip01.local bigip02.local } type sync-failover network-failover enabled
おそらくこれでいいはず。
「はず」と書いているのは、VE のTrial版は
「BIG-IP High Availability (HA) feature is not supported.」とF5サイトにあったため
あと、アプライアンス版だと、trunkやHA Groupの設定もあるけど、実施できる環境がないため断念
検証おわり