Neste TechTip irei descrever como configurar alta disponibilidade “HA” entre dois BIG IPs criando um cenário de Active e Standby, com realização de sincronismo e failover via cabo serial.
Alta disponibilidade refere-se a habilidade do BIG IP para processar o tráfego de rede com êxito, existem métodos diferentes de alta disponibilidade irei descrever neste Tech Tip o modo Active/Standby.
Este modo é composto por dois equipamentos sendo que um equipamento está nomeado como ativo e recebe todo o tráfego de rede e requisições. A unidade nomeada como standby funciona somente como uma unidade que aguarda para se tornar ativa. Ela ficará ativa e receberá o tráfego de rede somente se a caixa ativa tornar-se indísponível ou até que isso seja feito manualmente. Para mais informações sobre alta disponibilidade você pode consultar este link: https://support.f5.com/kb/en-us/products/big-ip_ltm/manuals/product/tmos_management_guide_10_0_0/tmos_high_avail.html#1029027
Existem duas maneiras de configurar o failover dos equipamentos, por meio de uma conexão de rede por vlan ou via cabo serial. Aqui descreverei o método onde o Sync é feito via cabo serial. Nas versões 11.x.x em outro Tech Tip descrevi o Sync e Network Failover que é o mais indicado.
Caso deseje fazer o Network Failover pode seguir este tech tip: http://techcenter.agilitynetworks.com.br/index.php?option=com_content&view=article&id=631:configuracao-de-sync-e-network-failover-no-big-ip-versao-11-x&catid=94&Itemid=878
Cenário proposto
São necessárioa dois equipamentos:
BIG IP 1
Hostname: bigip1.renato.com
IP: 192.168.1.150
Netmask: 255.255.255.0
Management Route: Não é necessário, dependendo de sua estrutura de rede.
BIG IP 2
Hostname: bigip2.renato.com
IP: 192.168.1.151
Netmask: 255.255.255.0
Management Route: Não é necessário, dependendo de sua estrutura de rede.
Obs: Você deve utilizar os endereços de IP de sua rede, aqui estou criando um cenário fictício para simular a configuração.
Configurando os equipamentos
Configure um IP de gerência nos dois equipamentos pelo menu System / Platform:
Como boas práticas renove os certificados dos equipamentos pelo menu System / Device Certificates:
Obs: Lembre-se de renovar o certificado por 10 anos, “3650 days”.
Crie uma vlan para sincronismo nos dois equipamentos pelo menu Network / Vlans:
Conecte os cabos nas respectivas portas e verifique se estão operacionais no menu Network / Interfaces:
Obs: faça testes de ping em ambas as caixas.
Crie um self ip nos dois equipamentos para a VLAN de Sync:
Equipamento 1
Equipamento 2
Teste a conectividade entre os equipamentos usando o comando PING:
Obs: A melhor prática para o Sync e Network Failover é ter uma VLAN específica para este fim. Caso no ambiente possua algum bloqueio devem ser liberadas as portas: 22, 1026, 6699 e 1028.
É necessário configurar nos dois dispositivos a VLAN criada para Sync, no Menu Device Management / Devices:
Clique no equipamento e no menu Device Conectivity / ConfigSync:
Associe a VLAN de sincronismo que criamos:
A diferença neste método é que não configuramos o Failover Network para que o Failover aconteça por meio do cabo serial.
Você precisa usar um cabo específico que vem com os equipamentos mais novos. Este cabo tem uma sigla CBL-0151-01. Segundo o site da F5 esta porta RJ-45 standard de conexão failover está presente nos equipamentos da série: 2000, 4000, 5000, 7000, and 10000.
Detalhes do cabo:
Este cabo é uma variação do padrão CAT-5 e tem os pinos 7 e 8 cruzados, Você não pode usar um cabo padrão CrossOver para para failover do BIG IP.
Segue a tabela para a montagem do cabo:
Mais informações sobre a especificação do cabo podem ser encontradas no site da F5 Networks: https://support.f5.com/kb/en-us/solutions/public/1000/400/sol1426.html
Imagem a seguir mostra detalhes do cabo que vem com o equipamento:
Crie um grupo de sincronismo em ambas as caixas:
Obs: Desabilite o Network Failover e habilite o Full Sync.
Existe um certificado que é usado na relação de confiança entre os equipamentos. Como melhor prática realize um reset neste certificado no menu Device Management / Device Trust e clique em Reset Device Trust:
Selecione Generate New Self-Signed Authority:
Verifique se a conta de Admin ou o usuário criado para sincronismo tem permissão de “Advanced Shell”, no menu System / Users:
Neste momento montamos toda a estrutura e agora vamos criar o Sync / Failover propriamente dito.
No equipamento 1 adicione a caixa que ficará como standby, em nosso caso o equipamento 2. No menu Device anagement / Device Trust / Peer List:
Adicione as informações do equipamento 2:
Se tudo deu certo aparecerão as informações do equipamento 2:
Dentro do grupo de Sync/Failover que criamos anteriormente adicione o quipamento 2 ao grupo, no menu Device Management / Device Groups / Members:
Adicione este equipamento no Traffic Group no menu Device Management / Traffic Groups / Failover Order:
Com esta configuração aparecerá uma mensagem de Awaiting Initial Sync no menu Device Management / Overview:
Faça o processo de Sync / Failover selecionando em Sync Options, Sync Device to Group / Overwrite Configuration / Sync:
A Imagem acima mostra que o Sync foi efetuado com sucesso.
Neste artigo, descrevi como realizar a configuração de alta disponibilidade em um ambiente Active / Standby no BIG IP F5. Este processo é muito importante em ambientes de alta disponibilidade no qual uma caixa assume todo o tráfego de rede e a outra fica inativa até que a caixa ativa se torne indísponível, ou seja, feito o chaveamento active / standby manualmente. Espero ter ajudado!