Tag: F5

  • F5 irule 实现URL 根据目录 转到相关pool

    F5 irule 实现URL 根据目录 转到相关pool

    例如 xxx.com/abc/ 的请求由 pool_abc 处理 建立irules: when HTTP_REQUEST { if { [HTTP::host] eq “xxx.com” } { if { ([HTTP::uri] starts_with “/abc/”) } { pool pool_abc } } } 在Virtual Servers里的 Resources 里的 iRules 的 Manage 添加这个irules:

  • f5的sni配置(多个证书一个ip地址)

    f5的sni配置(多个证书一个ip地址)

    第一步,在profile配置里点开高级选项   第二步:在当前默认profile里,server name 必须填, 默认for sni 是要打勾的。其他的域名的Default SSL Profile for SNI 是不打勾的。 第三步:在vs的配置里,选择默认的profile 和 新增域名的profile。 今天,f5收购了nginx

  • F5负载均衡设备选型依据性能指标

    F5负载均衡设备选型依据性能指标

    假设你是一个用户,需要为自己公司的系统部署一套负载均衡设备,那么应该根据哪些因素来考虑要选择的负载均衡设备的性能指标是否能够满足自己的需要呢?许多用户往往根据自己的网络和应用情况的统计或者再加上未来发展的规划,简单地选择刚好与自己的计算结果相符性能的负载均衡设备型号,结果是许多用户发现所购买的设备并不能完全满足自己的需求,这说明在选型的过程中疏漏了某些因素。我们来详细分析一下。 负载均衡设备选型要考虑性能、功能项开启情况以及满足真实和未来需求三个方面。 1.    性能 性能指标包含4/7层吞吐量,4/7层新建连接数,并发连接数三大指标。同时包含SSL加速能力,HTTP压缩能力,内存Cache等功能模块指标。 1)     4/7层吞吐量(单位bps) 如果系统应用配置都是4层的(负载均衡设备只判断TCP包头进行转发),那么考虑4层吞吐量即可。如果涉及到应用层数据包头或者数据包内容的判断和分析,那么必须考虑7层的吞吐量能力。吞吐量的计算通过统计单位时间内网络中的流量(出向流量+入向流量)即可得出,一般来说要把峰值流量作为吞吐量选择的最低依据(如果可以容忍峰值丢包,那么可以以平均每秒的流量作为参考),例如经过统计峰值流量为10Gbps,那么必须考虑10Gbps吞吐量以上的设备。 2)     4/7层新建连接数(单位CPS) 新建连接数也分为4层新建连接数和7层新建连接数/请求数两大指标,判断该用哪个指标跟吞吐量一样,都是判断负载均衡设备对经过的流量是4层的处理还是7层的处理。新建连接数衡量的是负载均衡设备每秒能处理多少个4层或者7层的用户新建连接,例如一个用户每秒会发起10个新建连接,网络中有1万个并发用户,那么负载均衡设备的4层新建连接能力不能小于10万CPS,如果负载均衡设备是做7层处理的,那么必须要求7层新建连接数也不能小于10万CPS。 3)     并发连接数 并发连接数衡量的是负载均衡设备能够同时处理多少个用户会话,如果有设备号称新建连接数很高,但并发连接数较低,则该设备将很快达到瓶颈,新的用户连接将处于排队或者丢弃的状态,这显然是不合理的,所以一个性能强的负载均衡设备,必然是新建连接和并发连接数指标都会很高,而不会只有一个高。并发连接数可以通过统计服务器上的连接数来计算,例如经过统计,共有100台服务器,每台服务器并发连接数峰值为5000个,那么要求设备至少支持50万并发连接能力。 4)     功能模块性能指标 a)    SSL加速 经验表明,服务器自己开启SSL加解密后的性能会降为开启前的十分之一,所以需要安全访问的系统往往会把SSL的加解密通过负载均衡设备的SSL加速功能来完成。 SSL加速性能指标有SSL新建连接数(CPS),新建交易数(TPS),SSL Bulk(对称加解密)吞吐量等,这些指标的估算跟7层新建连接数和吞吐量的估算一样,判断需要SSL加解密的流量和连接数有多少即可。 b)    HTTP压缩 负载均衡设备的HTTP压缩功能会把服务器的应答包压缩后发送给客户端,然后客户端浏览器会自动解压缩,HTTP压缩降低了数据包大小,自然也就提高了用户的访问速度,是否开启这个功能要对负载均衡设备压缩的开销,压缩的效果以及网络传输速度做综合衡量,一般在配置中只会对部分确实需要的应用来开启,HTTP压缩的单位bps,例如需要压缩的流量为1Gbps,则选择至少1Gbps压缩性能的负载均衡设备。 c)    内存Cache 内容缓存可以降低服务器的负载并提高响应速度,抛开功能差异,缓存能力衡量的指标是用于缓存的内存大小。该功能各负载均衡厂家一般是免费赠送。 2.    功能项开启 负载均衡设备开启功能项的数量多少对于负载均衡设备的性能影响是不同的,开启的功能项越多,越复杂,设备的性能也会随之做更多的下降,所以在考虑负载均衡设备时,如果自己的系统会用到多个功能项,对于前面的性能指标要有一定的盈余考虑。 3.    满足真实和未来需求 以上所述的吞吐量,新建连接数,并发连接数以及各模块指标都是在相对单纯干净的环境测出的值,也就是说都是各负载均衡设备在最优环境下的最大值,但在真实环境,流量可能复杂很多,所以负载均衡设备在真实应用中一般不可能达到标称的性能(实际上对于所有做复杂处理的设备来说,都不可能达到标称值)。考虑到应用的复杂程度不同,功能模块开启的数目不同,在负载均衡性能指标的选型时,一定要留下充足的空间,原则如下: 1)   如果确认负载均衡设备对所有应用的处理都是最简单的4层处理,那么理论上选择的负载均衡设备的4层性能稍高于实际性能需求即可。 2)   如果确认负载均衡设备对所有应用的处理都是简单的7层处理,那么理论上选择的负载均衡设备的7层性能稍高于实际性能需求即可。 3)   如果负载均衡设备处理的应用既有4层的也有7层的,建议按照7层应用的性能来考虑负载均衡设备。 4)   如果确认自己的应用经过负载均衡处理时,需要复杂的4层或者7层处理,例如需要根据客户端的地址做策略性分发,需要根据tcp的内容做处理,需要根据HTTP头或者HTTP报文做处理,那么建议选择的负载均衡设备4/7层性能为真实性能需求的两倍。 5)   如果负载均衡设备有混合的复杂流量处理并且还开启了一些功能模块,那么建议选择的负载均衡设备4/7层性能为真实性能需求的3倍。 6)   考虑到设备需要轻载运行才能更加稳定,所以有可能的话在以上基础上再增加30%的性能。 7)   如果还要满足未来几年的发展需求,在以上基础上还要留出未来发展所需要增加的性能。 8)   不同负载均衡设备厂家由于不同的架构,使得某些设备在复杂环境下可能也表现的比较优秀,这个客户可以对比判断,但总体来说,以上建议适合于所有厂家的设备。

  • 导入mib库并获取负载均衡F5的Mib信息

    导入mib库并获取负载均衡F5的Mib信息

    按以下方法将F5的mib库mibs_f5.tar.gz 解压后的文件放到snmpd服务器的mib库目录,重启服务 service snmpd restart即可。 验证成功:  snmpwalk -c public -v 2c 123.123.123.123 F5-BIGIP-LOCAL-MIB::ltmVirtualServVaName 参考: Management Information Base(管理信息库,MIB)是一组对象,定义可对某个设备提出的查询。  我们所 用的snmp监控主机如果要轮询一个支持snmp的设备的某项数据,它必须发出被查询设备所能理解的查询命令,这个就需要监控主机载入被查询设备对应的 MIB,这个MIB将通知snmp监控主机有关由 MIB 模块化的数据的布局和组成。  Linux 中所使用的net-snmp自带了一些标准的MIB,但是世界上支持snmp的设备有无数种,各厂家都有自己的定义,这些定义不可能都包含在net- snmp自带的MIB中,因此,想要正确轮询一个这样的设备,必须载入厂家自己的MIB文件。  一般 我们下载回来的MIB文件可能后缀名为.mib,为了清晰起见,一般改成 MIB_NAME.txt 这样的形式,当然不改也可以,这个MIB文件叫什么名字无关紧要。  系统要载入一个MIB文 件,net-snmp必须知道从哪里载入。默认情况下是下边两个目录:  1.  $HOME/.snmp/mibs  2. /usr/local/share/snmp/mibs  不过也有些发行版会改变这个默认路径,那么可以用下边两种方法之一获取它 所使用的路径。  1.如果系统安装了net-snmp-config:   net-snmp-config –default-mibdirs  2.如果未安装net-snmp-config:   snmptranslate -Dinit_mib .1.3 2>&1 |grep MIBDIR  一般来说MIB文件是一个纯文本文件,我们打开这个 文件查看,找到第一个包含 DEFINITIONS 的行  例如/usr/share /snmp/mibs/IP-MIB.txt 中包含如下一行  IP-MIB…

  • Bash高危安全漏洞对F5设备的影响及处理解决办法

    F5建议解决方 案        如果用户的F5设备存在权限分级管理的情况,低级用户可以利用这个漏洞获得更高的管理权限,这是唯一的漏洞应用场景。如果用户只用管理员权限并在内网安全区内维护F5设备,将不会导致风险。 http://f5.com/shellshock 影响版本 Product Versions known to be vulnerable Versions known to be not vulnerable Vulnerable component or feature BIG-IP LTM 11.0.0 – 11.6.0 10.0.0 – 10.2.4 None Bash shell BIG-IP AAM 11.4.0 – 11.6.0 None Bash shell BIG-IP AFM 11.3.0 – 11.6.0 None Bash shell BIG-IP Analytics 11.0.0 – 11.6.0 None…