F5負載均衡器雙機切換機制及配置復習進程

1、Good is good, but better carries it.精益求精，善益求善。F5負載均衡器雙機切換機制及配置-F5負載均衡器雙機切換觸發(fā)機制及配置F5雙機的切換觸發(fā)機制F5雙機的通信機制F5負載均衡器的主備機之間的心跳信息可以通過以下兩種方式進行交互：通過F5failover串口線交換心跳信息(電壓信號不斷地由一方送到另外一方)處于Standby的系統(tǒng)不斷監(jiān)控Failover上的電平，一旦發(fā)現(xiàn)電平降低，StandbyUnit會立即變成Active，會發(fā)生切換(Failover)。通過串口監(jiān)控電平信號引起的切換可以在一秒中以內(nèi)完成(大概200300ms)。四層交換機在系統(tǒng)啟動的時

2、候也會監(jiān)控Failover線纜的電平以決定系統(tǒng)是處于Active狀態(tài)還是Standby狀態(tài)。在串口Failover線纜上不傳輸任何數(shù)據(jù)信息。Failover線纜也可以不采用串口線，而直接采用網(wǎng)絡線。(但F5不建議這樣做，因為網(wǎng)絡層故障就可能會兩臺負載均衡器都處于Active狀態(tài))。如果采用網(wǎng)絡層監(jiān)控實現(xiàn)Failover,Bigip將通過1027與1028端口交換心跳信息。經(jīng)驗證明：兩臺F5之間一定要用failovercable連接起來，不連接failovercable而直接采用網(wǎng)絡線連接在一起不可靠，而且造成了網(wǎng)上事故。F5雙機之間的數(shù)據(jù)信息是通過網(wǎng)絡來完成的。因此運行于HA方式的兩臺F5設備

3、在網(wǎng)絡層必須是相通的。(可以用網(wǎng)線將兩臺F5設備直接相連起來，也可以通過其它的二層設備將兩臺F5設備相連，使F5設備在網(wǎng)絡上可以連通對端的FailoverIP地址)。兩臺運行于HA方式的四層交換機之間通過網(wǎng)絡層交互的信息主要包括：用于配置同步的信息：通過手工執(zhí)行configsync會引起Active到Standby系統(tǒng)的配置信息傳輸。用于在發(fā)生Failover時連接維持的信息：如果設置了ConnectionMirroring,處于Active的四層交換機會將連接表每十秒中發(fā)送一次到Standby的系統(tǒng)。（ThefollowingTCPConnectionscanbemirrored:TCP、U

4、DP、SNAT、FTP、Telnet）。如果設置了StatefulFailover,Persistence信息也會被發(fā)送到Standby系統(tǒng)。（Thefollowingpersistenceinformationforthevirtualservers(VIPs)canbemirrored:SSLpersistence、Stickypersistence、iRulesPersistence)F5雙機的切換觸發(fā)機制F5負載均衡器主/備機的切換觸發(fā)機制主要有以下四種：Watchdogdevice觸發(fā)切換：這種切換主要是用于當F5本身發(fā)生故障時，備機會檢測到主機失效的情況，引起F5的切換；Gatew

5、ayFailsafe觸發(fā)機制：這種機制主要是用于當F5檢測到特定的IP地址不可達時，會引起F5的切換；Vlanarmfailsafe觸發(fā)機制：這種機制主要是用于當F5檢測到相應的網(wǎng)段內(nèi)都沒有流量時，會引起F5的切換；Sslproxyfailover觸發(fā)機制：這種機制主要是用于當F5檢測到其硬件加密模塊有硬件故障時，會引起F5的切換。在我們產(chǎn)品線的應用中，現(xiàn)在可以用到前三種觸發(fā)機制，sslproxyfailover觸發(fā)機制現(xiàn)在基本不涉及，后面針對前三種機制作一些描述。Watchdogdevice機制Watchdogdevice機制是F5內(nèi)部有一個watchdog部件，當F5的硬件或軟件有問題時，

6、有問題的F5會重新啟動機器（reboot）。在原主F5重啟的過程中，備F5從主F5上收不到任何信號，備F5就會自動變成active，擔當主F5的角色。需要注意的是：備F5是在主F5重新啟動時，收不到原主F5的信號才會變成主用的。此項切換機制不需要我們手工去配置。GatewayFailsafe機制及配置Gatewayfailsafe是在F5上配置一個IP地址，F(xiàn)5會去檢查此地址是否可以ping通，如果ping不通設定的IP地址，則主F5就會變成standby模式。主F5變成standby模式后，備F5收不到activeF5過來的信息，則備F5自己會變成active的狀態(tài)。需要注意的是：每臺F5只

7、能設定一個檢測的IP地址，ping包的時間間隔及timeout時間都是可配置的。在F5ping不通gateway后，F(xiàn)5不會重新啟動。Gatewayfailsafe的配置方法如下：在WebUI中的system項中的redundantproperties項中，把gatewayfailsafe中的enabled項選擇上，把需要監(jiān)控的IP地址配置在router后的空格中，設定ping包（每隔多少秒發(fā)一次ping包）及timeout（多少時間ping不通則切換）的時間則可。此項配置主、備F5是不一樣的，也就是主、備F5都需要分別設置，而且監(jiān)控的IP地址可不一樣。VLAN的ArmFailsafeVlan

8、的armfailsafe是F5檢查配置了armfailsafe的vlan，是否還有屬于此vlan的流量，如果有流量，F(xiàn)5不會有動作；如果F5檢查不到有屬于監(jiān)控vlan的流量，則F5設備本身會模擬一些屬于此vlan的流量，看是否有機器對此流量作反應？如果仍然沒有設備對此模擬流量作反應，則F5會用失效處理，把自己重啟。此時備F5從原主F5上收不到信號，則會變成active狀態(tài)。需要注意的是：配置了vlanarmfailsafe的F5，在缺省情況下，不論是主機、備機，如果F5本身檢測到相應的vlan中沒有流量，F(xiàn)5會反復重啟。如果讓備F5在檢測不到相應的vlan流量時不重啟機器，需要在F5中配置如下數(shù)據(jù)：在兩臺F5的/config下創(chuàng)建一個routes文件，加入以下語句：/sbin/binternalsetstandby_failsafe_reboot=0同時用命令行方式手工執(zhí)行binternalsetstandby_failsafe_reboot=0這個命令。檢驗此配置是否生效的命令：F2400-1#binternalshow|grepbootpanic_on_netboot_button0standby_failsafe_reboot0vlanarmfailsafe的配置方法如下：在WebUI中的net