（課堂筆記）第十章：F5 BIGIP LTM HA高可用性

------Big-IP 冗餘HA介紹----------
 1.1 DSC概念
 1.2 Device Service Clusters組件：
    1.2.1 Device
    1.2.2 Device trust and Trust domains
    1.2.3 Device Group
    1.2.4 Traffic groups
1.3 設備故障切換同步組（Fail-over sync）
    1.3.1 所需條件
    1.3.2 HA設備的邏輯分組能力
1.4 設備同步組（sync only）
    1.4.1 特色
1.5 設備組之間的通信鏈路
    1.5.1 同步配置-可以使用self-ip
    1.5.2 網絡切換（network failover）
    1.5.3 Mirror - 只能使用self-ip
1.6 流量組（Traffic group）
    1.6.1 定義
    1.6.2 配置模型
    1.6.3 流量模型
    1.6.4 多活模式最佳實踐
------Big-IP DSC Sync-only配置---
2.1 前期準備   
2.2 建立Device trust and Trust domains經過證書交互創建設備間信任關係；
2.3 建立Device Group將設備集合成一個組；
2.4 創建同步配置文件夾（可選）
------Big-IP DSC Sync-failover配置---
3.1 調整主備設備優先級（可選）


------Big-IP 冗餘HA介紹----------
 1.1 DSC概念
 DSC:Device Service Clusters，設備服務羣集。DSC最基本的邏輯是配置多個設備組和多個流量組，從而實現N+M。
    即：N臺設備爲主設備，M臺設備爲備設備。（推薦A/A或A/A/S）
設備組：設備組是可以支撐業務的設備集羣，業務能夠在這個設備組中進行配置同步（sync）或高可用切換（Failover）
流量組：流量組是某個或者某些業務流量歸類的組。該組爲人工設備切換或自動切換的基本單位。每一個流量組在特定的設備組中進行高可用，每一個流量組均可以獨立切換。

每一臺BIG-IP設備本身生成一個Device Object
·不一樣設備的信息
·創建信任證書
·在local device上設置Device HA and faviover

這些BIG-IPs組成Device Trust Groups造成
·用安全通信交換證書；
·交換HA的設置

BIG-IPs在同一個信任組裏組成一個設備組
·一個設備組支持配置同步和設備切換
·或者只同步指定的配置

 1.2 Device Service Clusters組件：
    1.2.1 Device：設備的詳細信息及在安裝時產生一個key和ssl證書，並可配置connectivity的各項參數（Configsync、Failover and Mirror）
    1.2.2 Device trust and Trust domains:經過基於證書的驗證創建BIG-IP之間的信任關係。Trust domain是互相信任的BIG-IP設備的集合，互相之間可同步配置信息，交換各自狀態和Failover Message；
    1.2.3 Device Group：是在相同trust域的BIG-IP設備的集合，是這些設備間能夠faiover和同步配置。包括sync-failover和sync-only兩種類型；
    1.2.4 Traffic groups：配置在BIGIP設備上相關objects的集合，當此臺BIGIP不可用時，能夠漂移到Device group中的另外一臺Device上。

 1.3 設備故障切換同步組（Fail-over sync）
    1.3.1 所需條件：相同設備硬件（V11.4後容許不一樣硬件）；以及相同的受權和模塊
    1.3.2 HA設備的邏輯分組能力：提供N+M冗餘，N個活動單元+M備用機組；最大支持8臺設備，且每一個設備只能有一個同步切換組，實現避免應用服務的中斷。
 
 1.4 設備同步組（sync only）
    1.4.1 特色：《1》設備同步用於文件夾級別的配置同步；
                《2》支持不一樣的硬件平臺；
                《3》一個設備能夠加入多個同步類型設備組中；
                《4》ISO與QUOVA更新不能在組內同步；
                如下是能夠自動同步的對象：Certificates、CRL、Data groups、External monitors、iApps、iRules、Policies、Profiles

 1.5 設備組之間的通信鏈路
    1.5.1 同步配置-可以使用self-ip
         《1》須要配置每臺設備的同步IP到設備組中；
         《2》使用TCP 435三、6699端口；
         《3》Configsync - 設置配置同步傳輸地址；
         《4》管理口地址不能用做同步地址；
    1.5.2 網絡切換（network failover）- 可以使用self-IP、MGT-IP和Multicast-IP
         《1》單播或者組播IP（組播侷限在管理口上使用）；
         《2》默認使用UDP 1026端口；
         《3》能夠配置多個單播地址；
         《4》設置心跳傳輸地址；
         《5》推薦使用多條鏈路作心跳檢測；
    1.5.3 Mirror - 只能使用self-ip
         《1》默認使用TCP 1028端口，也使用1029-1043端口
         《2》實時地址轉換表以及會話保持表等傳輸鏈路
         《3》若兩臺設備直接互聯，則屬於硬件failover和Mirror線方式；

 1.6 流量組（Traffic group）
    1.6.1 定義：流量組就是一組floating ip地址、VS虛擬服務地址以及SNAT地址，它們可在BIG-IP設備組中的設備間漂移以維持高可用性。
    1.6.2 配置模型：建立流量組，並指定應用到流量組中；
    1.6.3 流量模型：若是某個設備中沒有活動的流量組，則該設備處於備機standby狀態。若是設備出現故障，流量組遷移到集羣中的另外一臺BIG-IP設備。
    
    1.6.4 多活模式最佳實踐：《1》根據須要建議把全部業務分爲N類，每類業務對應一個traffic-group，Active激活在一臺F5 BIG-IP設備；
                            《2》切換順序，建議前兩個順序手動設置，後面的順序自動選擇；
                            《3》建議採用3+1（AAAS）或4+2（AASS）的模式；
                            



------Big-IP DSC Sync-only配置---
 2.1 前期準備：
    《1》NTP配置
    《2》確認設備軟件TMOS版本一致
    《3》確認設備license一致
    《4》設備mgmt地址，掩碼，路由
    《5》確保用於配置同步（configsync）的接口的Portlockdown選項爲Aaalow Default；
　 《6》提早指定HA接口
    

來到」Device Management「」Devices「-選擇本身的LTM設備-「視圖下

《1》 配置configsync：

選擇「configsync」 configsync configuration下Local Address選擇同步配置的接口，例如"172.17.20.252"

《2》配置Failover network：

選擇「Failover network」 New Failover Unicast Address下Address選擇須要網絡切換的接口，例如「10.1.100.1（設備直連線）」 還能夠增長一個接口，這裏選擇MGMT管理口；

《3》配置Mirroring：

選擇「Mirroring」 Primary Local Mirror Address 選擇設備直連線，做爲設備間內存同步鏈路。

 

 2.2 建立Device trust and Trust domains（又稱Device trust member）經過證書交互創建設備間信任關係；

「Device Management」-」Device Trust」-」Device Trust Members」--「Add」 填寫DC1三個F5設備的管理IP、帳號及密碼

 2.3 建立Device Group將設備集合成一個組；

「Device Management」-「Device Groups」-「Add」 name填寫"QytangDCF5-Sync-only" Group Type選擇"Sync-Failover" member將Available的設備變成Includes內 sync Type提供四種同步方式：

「Automatic with Incrementral Sync」--自動增量同步 "Automatic with Full Sync"--自動全同步 "Manual with incremental Sync"--手動增量同步 "Manual with Full Sync"--手動全同步

finish

 

 

驗證：在Device Management-Overview看到是否有新建的設備組　　

 

 

 

 

 2.4 創建同步配置文件夾（可選）

「System」-Users-Partition List-create Partition

Name填寫「qytang-f5-syn1」

Redundant Device Configuration中的Device Group ，選擇上面建立的設備信任成員組trust member（"QytangDCF5-Sync-only"）

finish

 

驗證：在F5右上角Partition選擇「qytang-f5-syn1」文件夾，而後再LTM-iRule配置一條簡單的iRule，而後到Device Management-Overview手動同步設備，同步完畢後找其他3臺中的一臺，檢查右上角是否有新的Partition name爲「qytang-f5-syn1」的文件夾。
    

 

 

------Big-IP DSC Sync-failover配置---

跟sync-only配置思路同樣，步驟就不重複了。補充下一下內容：

3.1 調整主備設備優先級（可選）

 

Device Management-Traffic Groups

Failover Configuration---Failover Order中：

Preferred Order表明設置優先級；

Load Aware表明根據設備CPU性能來決定主備

 

 

網絡切換組效果圖：