1 - PDF 無料ダウンロード

irules 設定ガイド(V11.5.1 対応 ) 初級 & 中級編 F5 Networks Japan V1.0

目次 1. irules とは... 4 1.1. irules の構成... 4 2. TCL 動作確認の準備 (tclsh の利用 )... 5 2.1. BIG-IP への SSH アクセス... 5 2.2. tclsh を使う... 6 3. TCL の基礎... 7 3.1. 基本のコマンド行... 7 3.2. コマンド行の終わり... 7 3.3. expr ( 計算 )... 8 単純な計算... 8 計算式を()でまとめる... 8 真偽の計算... 8 [ 参考 ] TCL の演算子の一覧... 9 3.4. ドル記号 $ ( 変数置換 ) [その 1]... 10 3.5. ブレス記号 :{ ( 無効化 )... 11 3.6. ドル記号 $ ( 変数置換 ) [その 2]... 12 3.7. ブラケット記号 [ ] (コマンド置換 )... 13 3.8. ダブルクォーテーション記号 " "... 14 3.9. ブレス{ の中身をコマンド内部で評価するもの... 15 expr... 15 if... 16 while... 17 for... 18 3.10. if, else, elseif... 19 3.11. switch... 20 switch の基本サンプル... 20 switch のオプション... 20 switch の glob オプションの例... 21 3.12. 配列変数... 22 3.13. 文字列操作... 24 string... 24 split... 25 join... 25 append... 25 concat... 25 3.14. リスト操作... 26 list... 26 lindex... 26 llength... 26 lappend... 26 linsert... 27 lrange... 27 lreplace... 27 lsearch... 27 lsort... 28 3.15. foreach... 29 3.16. TCL のマニュアル... 29 4. irules の概要... 30 4.1. イベント... 30 4.2. 変数 (variables) について... 31 ローカル変数 (Local variables)... 31 グローバル変数 (Global variables)... 32 irules 間で読み書き可能な変数 :Table コマンド... 33 irules の変数一覧... 34 4.3. 演算子 ( Operators )... 35 Ⅹ

4.4. ファンクション... 36 4.5. ステートメント... 37 4.6. コマンド... 38 出現頻度の高いコマンド... 38 コマンドの注意点... 40 5. irules 動作確認用のネットワーク構成サンプル... 41 6. LTM の設定... 42 6.1. Platform 設定... 42 6.2. VLAN 設定... 42 6.3. Self IP 設定... 43 6.4. Routing 設定... 43 6.5. Pool の設定... 44 http-pool... 44 A-pool... 45 B-pool... 45 6.6. Virtual Server の設定... 46 Web-vs (Port:80)... 46 Secure-vs (Port:443)... 47 7. irules の使い方... 48 7.1. [パターン 1] irule Editor を使う... 48 7.2. [パターン 2] BIG-IP の Web GUI を使う... 50 irule の適用... 51 出力されるログの確認... 52 8. irules の具体例... 53 8.1. よく使う EVENT の例... 53 CLIENT_ACCEPTED... 53 CLIENT_DATA... 54 HTTP_REQUEST... 55 HTTP_RESPONSE... 56 RULE_INIT... 57 LB_FAILED... 59 9. Class / Data-Group の使い方... 61 Data-Group のデータの Type... 62 Internal Data-Group... 63 External Data-Group (その 1:String 形式 )... 66 External Data-Group (その 2:Address 形式 )... 68 9.2. table の使い方... 71 10. irule 作成のテクニック... 74 10.1. デバッグのやり方... 74 本番環境でのロギング有効化 / 無効化... 74 10.2. irule による CPU 使用率の測定... 76 2 つの irule で CPU 使用率を比較... 76 irule の CPU 使用率の計算... 78 10.3. irule を最適化する... 79 11. おわりに... 84 12. Appendix... 85 12.1. EVENT 発動のタイミング... 85 EVENT のフロー... 85 EVENT 発動を確認するためだけの irule... 86 出力されたログ... 87 12.2. コマンド一覧 (2015/6 現在 )... 89 Ⅹ

1. irules とは irule は BIG-IP 上で動作するパワフルでフレキシブルな機能です irule は VirtualServer( 以下 VS)に関連付けられるオブジェクトの 1 つで VS に到着または VS から出力される IP アプリケーショントラフィックに対して記述されたスクリプトの内容をもとにインターセプト( 割込 ) インスペクト( 調査 ) トランスフォーム( 変換 )などの様々な処理を行うことが可能です処理されたパケットは VS に設定される Default pool だけではなく irule で書かれた pool や node へ送ることもできますまた irule はパーシステンスでも使用でき更に認証にも使用されます irule は TCL(Tool Command Language)を用いており汎用性の高い実装を行っているので様々な用途に使用できます 1.1. irules の構成 irule は 1 つ以上の event とその event が発動した際に実行される TCL コードから構成されます < 基本的なシンタックス> when EVENT { if { 条件式 ( 比較演算など) { コマンド EVENT が irule 発動のトリガーとなり条件式が True ならコマンドを実行します例えば http://www.foobar.com/test.txt のような "txt"で終わる URI は"Pool1"に振り分けそれ以外の HTTP リクエストは"Pool2"に振り分けたいという要件があったとします以下がこの要件を実現する irule です when HTTP_REQUEST { 1 if { [HTTP::uri] ends_with "txt" { 2 pool pool1 3 else { 4 pool pool2 5 1 HTTP リクエストを受信したとき 2 その HTTP リクエストの URI が txt で終わるのならば 3 Pool1 へ送る 4 それ以外は 5 Pool2 へ送る以降詳細解説に入ります 4

2. TCL 動作確認の準備 (tclsh の利用 ) 以降で TCL コマンドの動きを確かめることを目的として BIG-IP へ SSH でログインし CLI 画面の bash で"tclsh"を実行します tclsh は TCL インタプリタのためのシンプルなシェルで BIG-IP に限らず多くの Linux ディストリビューションで標準搭載またはインストールして利用することができます例 )CentOS の場合のインストール方法 : # yum -y install tcl 2.1. BIG-IP への SSH アクセス SSH クライアント( 例 :TeraTerm)を使って BIG-IP へ SSH でアクセスします (1) SSH でログインします BIG-IP のマネージメント IP アドレス (2) User name に root を入力し Use challenge/response to log in をチェックします 5

(3) パスワードを入力します (デフォルト状態のパスワードは default です) (4) 以下のようなコマンドプロンプトが表示されます [root@big208:active:in Sync] config # 2.2. tclsh を使うこの bash で tclsh を実行します [root@big208:active:in Sync] config #tclsh % 以降で出てくる TCL コマンド(%が先頭についているものが目印です)をこの tclsh で実行してその結果を確認してみてください tclsh を終了する際は % exit を入力または Ctrl + D キーを押してください 6

3. TCL の基礎 TCL(Tool Command Language)はスクリプト言語でティクルと読みますインタプリタ言語リスト処理連想配列などの特長を持ちアプリケーション開発のためのスクリプト言語として設計拡張されてきた言語です irules は TCL で記述されるので irules を作成するにはまず TCL の基本を理解する必要があります TCL の基本を理解することで irule サンプルスクリプトもグッと読み取りやすくなります本セクションでは TCL について解説します 3.1. 基本のコマンド行 TCL は以下のようなリスト構造 (= 要素をブランクで区切って並べたもの)になっていますリストの先頭要素がコマンドで残りの要素はアーギュメント( 引数 ) ですコマンドアーギュメント 1 アーギュメント 2 上記のような形でコマンドの後にブランクで区切られたアーギュメントが続きます TCL はこのようなリスト構造をとっているためブランクやタブはリストを構成する要素の区切り文字として重要な意味を持つという点に注意が必要です 3.2. コマンド行の終わりコマンド行の終わりは改行によって示されますもうひとつは ; (セミコロン) です ; を使うと複数のコマンド行を続けて 1 行に書くことができますコマンドアーギュメント 1 アーギュメント 2; コマンドアーギュメント 3 アーギュメント 4 7

3.3. expr ( 計算 ) まず TCL で計算を行う際に使う expr コマンドにについて触れておきます expr は数式を解釈して計算した結果を返します計算式はオペランドと演算子 (+ - * / < > == 等 )の組み合わせで構成されますオペランドとは演算の対象となる値や文字列のこと尚 TCL でのブランクやタブはリストを構成する要素の区切り文字として重要な意味を持つとお伝えしましたが式のなかのブランクに関しては無視されます単純な計算 % expr 1 + 2 + 3 + 4 + 5 15 が返されます計算式を()でまとめる ( 丸カッコ )は計算と論理変数をまとめるときに使います % expr 2 * 3 / 3 + 3 5 が返されます % expr 2 * 3 / (3 + 3) 1 が返されます真偽の計算 expr コマンドで対象比較演算子 (< > <= >=)や等値比較演算子 (==!=)などを利用することで真偽の計算ができます % expr 1 > 1 0 = " 偽 "という値が返されます % expr 1 == 1 1 = " 真 "という値が返されます 8

[ 参考 ] TCL の演算子の一覧 TCL では以下のような演算子を使うことができます演算子 - + ~! * / % 説明単項のマイナスプラスビット毎の否定論理否定いずれも文字列に対しては使えないビット毎の否定は整数に対してのみ適用可能乗算除算剰余の 2 項演算子いずれも文字列に対しては使えない剰余演算子 (%)は整数に対してのみ適用可能 + - 加算および減算 (2 項演算子 ) オペランドが数値ならば使用可能 << >> 左シフトおよび右シフト演算子オペランドは整数のみ可能 < > <= >= ==!= 大小比較演算子比較結果が真なら 1 を偽なら 0 を返すオペランドは数値だけではなく文字列でもよい等値比較演算子結果が真なら 1 を偽なら 0 を返すオペランドは数値だけではなく文字列でもよい eq ne 文字列専用の等値比較演算子 eq は等しいときに 1 を返し ne は等しくないときに 1 を返す & ^ ビット毎の and 演算子オペランドは整数のみビット毎の exor 演算子オペランドは整数のみビット毎の or 演算子オペランドは整数のみ && 論理的な "and" 演算子 2つのオペランドがともに非ゼロなら 1 を返しそうでなければ 0 を返すオペランドはブーリアンタイプかまたは数値論理的な "or" 演算子 2つのオペランドがともにゼロなら 0 を返しそうでなければ 1 を返すオペランドはブーリアンタイプかまたは数値 x? y : z C 言語と同様の3 項演算子で x が非ゼロなら y をそうでなければ z を返す x はブーリアンタイプかまたは数値 9

3.4. ドル記号 $ ( 変数置換 ) [その 1] TCL の重要な機能のひとつに変数がありますこの変数機能の提供によりコマンド間でのデータの受け渡しが可能になります変数は set コマンドにより生成されます TCL パーサーは $ 記号が先頭に付いた要素を変数名とみなしその変数をその実体に置き換えてからコマンドを実行しますこれが変数置換です % set a 100 % puts $a 100 が返されます TCL パーサーが $a (= 変数 ) を 100 (= 実体 ) に変数置換した結果です (ちなみに"puts"はディスプレイへの標準出力を行うコマンドです ) [ 参考 ] TCL パーサー(Parser)とはパーサー(Parser)は一般的には構文解析を行うためのプログラムの総称です TCL においてもパーサーが存在しており TCL 言語で記載されたスクリプトを解析するプログラムとお考えください以降の解説でも TCL パーサーという言葉を使います 10

3.5. ブレス記号 :{ ( 無効化 ) アーギュメントをブレス{ で囲むことで囲まれた部分に含まれるあらゆる特殊文字の機能を無効化しますなのでブレス{ 内はバックスラッシュ(\)=エスケープなしで改行できますしブランクやタブを要素の中に含めることもできます以下の文字列は 3 つの要素からなるリストです "a f5 fan"はブランクを含んでいますが { によって無効化されひとつの要素として扱われます You are {a f5 fan コマンドも一つの要素ですしたがって以下の文字列は 3 つの要素からなる一つのリストです if {$a > 0 {set a 0 ブレス{ 内は改行文字も無効化されるので以下の形が成り立ちます if {$a > 0 { set a 0 しかし以下の形は成り立ちません if {$a > 0 { set a 0 これが成り立たないのはブレス{ の制限ではなく if コマンドの制限によるものです if コマンドに続く第 1 アーギュメントの直後で改行されているのでそこでコマンド行の終了を意味しますよって if コマンドが求める第 2 アーギュメントがコマンド行に存在しないという理由でこのコマンドが成り立たなくなります以下 3 つを tclsh で実行してみてください (1) サンプル 1 % set a 100 % if {$a > 0 {set a 0 (2) サンプル 2 % set a 100 % if {$a > 0 { set a 0 (3) サンプル 3 % set a 100 % if {$a > 0 ここでエラーになります { set a 0 11

3.6. ドル記号 $ ( 変数置換 ) [その 2] 変数についてもう少し踏み込んで解説します (1) 変数置換とブレス{ 前項でブレス{ について触れましたので変数置換とブレス{ の関係についても触れておきます以下のような文字列もブレス{ に囲まれると一つの要素となるのでこれも変数に取込むことができます % set a {You are a f5 fan. % puts $a You are a f5 fan. が返されますこれは TCL パーサーが $a (= 変数 ) を You are a f5 fan. (= 実体 ) に変数置換した結果です尚 TCL パーサーによる変数置換は 1 回しか実行されないという点に注意してくださいよって変数置換結果に $ が含まれていても再置換が行われることはありません % set a {You are a $a fan. % puts $a You are a $a fan. が返されますまた変数置換後の結果にブランクが含まれていても複数のアーギュメントとしてみなされることはなくブランクが含まれた 1 つのアーギュメントと判断されます ( 上記例のとおりです ) これは変数置換を行った後ではブランク区切りによるリスト構造の認識は行われないということを意味しますその他少し変則的な変数の使い方を以下 2 つ紹介しておきます (2) $をつけない変数変数の値を直接処理するコマンドの場合変数の先頭に"$"を付けずに利用する場合が多いです以下は変数 int に"1"を加える例です("1"は省略されています) % set int 1 % incr int 2 が返されます (3) 変数と文字を繋げたい(ブランクで区切りたくない) 場合変数の文字部分 ($を含まない)をブレス{ で囲むことで変数と連続したキャラクタ(ブランクで区切らないキャラクタ)を繋げることができます以下は int の実体が数字でありその数字の後ろに"th"をつけることで日付を表現する例です % set int 5 % puts "Today's date is the ${intth" Today's date is the 5th が返されます 12

3.7. ブラケット記号 [ ] (コマンド置換 ) TCL はリストの先頭要素を常にコマンド名として認識しますそれ以外の要素はコマンドに渡すべきアーギュメントとして認識しますしかしそのアーギュメント要素がブラケット[ ]で挟まれていると TCL パーサーはその中身をコマンド行と認識しそれを実行して本来のアーギュメント値に置き換えてくれますコマンドを実体値に置き換えるこれがコマンド置換です % set a [expr 1000 * 5] % puts $a 5000 が返されます上記の行は TCL パーサーが[ ]の中を計算して 5000 に置き換えているので set a 5000 という指定をしているのと同じ結果になりますまたコマンド置換は以下のようにネストすることも可能です % set b 3 % set a [expr 5 + [expr $b * 70]] % puts $a 215 が返されます 13

3.8. ダブルクォーテーション記号 " " 既述のようにブレス{ は改行コードなどの特殊文字の機能を無効化しますこの法則はコマンド置換子であるブラケット[ ]や変数置換子である$ 記号に対しても同様ですそのため下記のコードではコマンド置換も変数置換も行われません % set num 5 % puts {[expr 100 * $num] Yen よってこの実行結果として出力される文字列は以下です [expr 100 * $num] Yen コマンド置換も変数置換も機能させかつブランクを含む文字列をひとつのアーギュメントとして puts コマンドに渡したい場合にはブレスの代わりにダブルクォーテーション(")で挟みます % set num 5 % puts "[expr 100 * $num] Yen" このコマンドの実行結果として 500 Yen が出力されますこのようにダブルクォーテーションの機能はコマンド置換と変数置換を許すところがブレス{ と異なる点です 14

3.9. ブレス{ の中身をコマンド内部で評価するものブレス{ で囲むと特殊文字の機能が無効化されてしまうのであれば { で囲むと何も実行されなくなるのではないか?と思われたかもしれませんある意味では正しいです事実として例えば既述の set や puts コマンドでは { 内のコマンド置換や変数置換は実施されず { はただ単に文字列として返されました % set a {You are a $a fan. % puts $a You are a $a fan. が返されます変数置換が行われません %puts {[expr 100 * $num] Yen [expr 100 * $num] Yen が返されます変数置換もコマンド置換も行われませんしかしコマンドによっては TCL パーサーがそのブレス{ で囲まれたアーギュメントをコマンドに引渡しそのコマンドが内部で評価を行う (=コマンド置換や変数置換する) ものがありますその代表が expr や if や while や for コマンドなどです expr 算術演算を行う expr コマンドはアーギュメントをコマンド内部で評価しますよって以下の 2 つのコマンド (1 と 2) は同じ結果を返します % set a 11 % set b 22 % expr $a * $b 1 % expr { $a * $b 2 1も2も 242 が返されます上記 2に関してはブレス{ で囲まれている部分は無効化されているので TCL パーサーは変数置換を行いませんしかし TCL パーサーが変数置換を行ってくれなくても expr がコマンドの内部でブレス{ 内の変数置換を実行するので同じ結果が得られるということです上記 1の場合 TCL パーサーによる変数置換の後に expr 内で計算を行うという 2 回の処理に対し 2は expr 内で一度に処理するので 2の方が効率は良いといえます 15

if if はその第 1 アーギュメントが真なら第 2 アーギュメントをコマンド内部で評価するというコマンドですまた if コマンドは第 1 アーギュメントをコマンド内部で expr によって評価しその結果を使います % set val 1 % if $val { set a 111 TCL パーサーは if コマンド行の第 1 アーギュメントの $val を評価して 1 に書き換えます( 変数置換 ) 同様に TCL パーサーは第 2 アーギュメントの{ set a 111 を評価しブレス{ で囲まれているので文字列として処理し以下のようにします % if 1 { set a 111 TCL バーサーはこの後 1 と set a 111 を if コマンドに渡します if コマンド側は受け取った第 1 アーギュメントの文字列を expr コマンドに [expr 1] として渡しその結果が真なので第 2 アーギュメントの set a 111 を処理します第 1 アーギュメントをブレス{ で囲んでも同じ結果が得られます % set val 1 % if {$val { set a 111 この場合 TCL パーサーは if コマンド行の第 1 アーギュメントを $val という 4 文字の文字列として処理し第 2 アーギュメントも set a 111 を文字列として処理し if コマンドに渡します if コマンド側は受け取った文字列を expr コマンドに [expr {$val] として渡しその結果が真なので set a 111 を処理します if のようにコマンドがアーギュメントを内部で評価してくれるならばそのアーギュメントはブレス{ で挟んで渡した方が効率がよくなりますこのことで TCL パーサーと if コマンドによる計 2 回の評価処理を 1 回に減らすことができるからです 16

while while コマンドも if コマンドと同様に第 1 アーギュメントとして与えられた文字列を while コマンド内部で expr によって評価しその結果を使います while は第 1 アーギュメントが真の場合に第 2 アーギュメントを処理するというところまでは if と同じです if と異なるのは第 2 アーギュメントを処理し終えると再び第 1 アーギュメントを評価しそれが真なら再び第 2 アーギュメントの処理を行うという繰り返し実行がなされる点ですしたがって以下の形では問題が発生します % set val 1 % while $val { set a 111 TCL パーサーが変数置換を行うので $val は 1 ですよって while 行は実質以下の形になっています % while 1 { set a 111 この状態だと常に真であるため永遠に set a 111 が繰り返される無限ループに陥ります例えば以下のような形は無限ループに陥ります % set a 100 % set val 1 % while $val { if {$a > 0 { set val 0 puts $val 5 行目で set val 0 を実行しても while のあとの$val は 1 のままなので 0 の出力が延々と続きますこの無限ループを回避するためには while の後ろの$val をブレス{ で囲みます % set a 100 % set val 1 % while {$val { if {$a > 0 { set val 0 puts $val このことによってブレス{ 内は TCL パーサーによる変数置換が無効化され while コマンドに$val という文字列として渡されます while が 1 回目の処理を終え 2 回目の処理に入る際に$val が while コマンド内で再評価 ( 変数置換 ) されるので $val は 0 = 偽となり while 処理が終了しますよってこのような無限ループを回避するためには第 1 アーギュメントをブレス{ で囲む必要があります 17

for for ループは while ループと似ていますがループに入る前の初期化 (カウンタ用の変数の初期化を行なう)を含む点が while ループとは異なります for {init {test {next {body (1) {init ループに入る前に一度だけ実行される初期化と呼ばれる処理です例 : set i 1 最初だけ変数 i に 1 をセットする (2) {test 終了条件を判断するものですもし test が真ならば {bodyの中が実行されます test が偽ならループから抜け出します例 : $i<=3 $i が 3 以下ならば {bodyを実行する (3) {next {bodyの中が実行された後で実行されるもので一般的には増分を指定します例 : incr i {bodyの処理が終わったら $i の値を 1 ずつ増やす % for {set i 1 {$i<=3 {incr i { puts $i 出力結果は 1, 2, 3 です "for"の場合 {testを for コマンドの内部で評価するように作られており {initおよび{nextはそれぞれ構文で指定することから全てをブレス{ で囲む必要がありますこれらの理由から if, while, for コマンドのアーギュメントは常にブレス{ で挟んでおくことで不要なエラーを避けることができます 18

3.10. if, else, elseif if, else, elseif を使って複雑な条件分岐を行うことができます (1) サンプル 1 $var の値が 1 なら変数 a に値 123 をセットします % set var に 1 または 1 以外を入力 % if {$var == 1 { set a 123 (2) サンプル 2 $var の値が 1 なら変数 a に値 123 をセットそれ以外であれば変数 a に値 456 をセットします % set var に 1 または 1 以外を入力 % if {$var == 1 { set a 123 else { set a 456 (3) サンプル 3 $var の値が 1 なら変数 a に値 123 をセット $var の値が 2 なら変数 a に値 456 をセットそれ以外であれば変数 a に値 777 をセットします % set var に 1 または 1 以外を入力 % if {$var == 1 { set a 123 elseif {$var == 2 { set a 456 else { set a 777 19

3.11. switch switch コマンドは複数の分岐条件の中から一致する条件を見つけ出しそこに指定された処理を実行します switch コマンドは以下のような構文になっています switch string { pattern1 {body-1 pattern2 {body-2 default {body-default switch コマンドは最初のアーギュメント (String) を後続のアーギュメント (pattern1, pattern2) と比較します string にマッチする pattern を見つけるとその pattern に続く body を TCL パーサーに渡しその実行結果を返します最後の pattern を"default"で指定すると前行のどの pattern にもマッチしなかった場合に default の body を実行しますもしどの pattern もマッチせず "default"も設定していない場合 switch コマンドは空の string を返します switch の基本サンプル % set fruit "Lemon" % switch $fruit { "Apple" {puts "RED" "Grape" {puts "PURPLE" "Lemon" {puts "YELLOW" default {puts "What color is that fruit?" YELLOW が返されます switch のオプション Switch コマンドに続くアーギュメントが - (ハイフン)で始まっている場合はオプションとして扱われます switch コマンドには以下のようなオプションが用意されています; (1) -exact string と pattern の文字が一字一句完全に一致しなければなりませんこれがデフォルトの動作です (2) -glob String と pattern を比較するときに正規表現の glob スタイルを使います (3) -regexp String と pattern を比較するときに正規表現が使われます 20

[ 参考 ] glob と regexp の違い正規表現には glob スタイルと regexp スタイルがあり両者の違いは以下の通りです glob のほうが比較的シンプルに作られています glob スタイル regexp スタイル * 0 文字以上の文字にマッチ * 0 文字以上の文字にマッチ? 1 文字にマッチ. 1 文字にマッチ + + 1 文字以上にマッチ? 0 または 1 文字にマッチ ^ 行の先頭にマッチ $ 行の最後にマッチ [chars] chars の 1 文字にマッチ [a-z]などが使える [chars] chars の 1 文字にマッチ [a-z]などが使える x 文字 x にマッチ x 文字 x にマッチ {a,b,... a,b 等文字列にマッチ {a,b,... a,b 等文字列にマッチ exp1 exp2 選択 ( exp ) 部分パターン (その他省略 ) switch の glob オプションの例 (1) "?"を使ってみる % set fruit "Lemon" % switch -glob $fruit { "Ap*" {puts "RED" "Gr???" {puts "PURPLE" "Le???" {puts "YELLOW" Le に 3 文字続く必要があるがどのような文字でもよい default {puts "What color is that fruit?" YELLOW が返されます (2) [a-za-z]を使ってみる % set fruit "Lemon" % switch -glob $fruit { "Ap*" {puts "RED" "Gr???" {puts "PURPLE" "Lem[a-zA-Z][a-zA-Z]" {puts "YELLOW" default {puts "What color is that fruit?" Lem に続く 2 文字が a~z か A~Z のいずれか YELLOW が返されます 21

3.12. 配列変数 TCL でも配列を扱うことができます TCL での配列変数は変数名 ( 添え字 ) で表されます配列変数としての宣言や要素数の指定は必要なく ()が付いた変数に値がセットされるときに配列変数として認識登録されます % set i 0 % while {$i < 3 { set abc($i) $i puts "abc($i) = $abc($i)" incr i 出力結果は以下です abc(0) = 0 abc(1) = 1 abc(2) = 2 要素を, や. で区切って複数記述することによって多次元配列を使用できます % set i 0 % set k 0 % while {$i < 3 { while {$k < 3 { set abc($i.$k) [expr $i+$k] puts "abc($i.$k) = $abc($i.$k)" incr k incr i set k 0 出力結果は以下です abc(0.0) = 0 abc(0.1) = 1 abc(0.2) = 2 abc(1.0) = 1 abc(1.1) = 2 abc(1.2) = 3 abc(2.0) = 2 abc(2.1) = 3 abc(2.2) = 4 22

以下のように同名の通常変数と配列変数を同一のスクリプト内で使用することはできません使うとエラーになります % set a 300 % set a(1) 400 can't set "a(1)": variable isn't array また要素数は数字である必要は無く文字列も使用できます % unset -nocomplain a 一旦変数 "a"を削除 % set a(jkl) 200 ただし利用の利便性を考えると数字を使用するのが一般的です 23

3.13. 文字列操作以下のコマンドで文字列操作が行えます string (1) string compare string1 string2 文字列の比較を行います文字列 string1 と string2 を文字毎に比較して -1 0 1 のいずれかを返します string1 と string2 等しければ 0 を返します辞書順で比較するので string1 の方が string2 よりも辞書順で前に出現する文字列なら -1 を後で出現する文字列なら 1 を返し返します % string compare abc abc 0 が返されます % string compare abc def -1 が返されます % string compare abc ABC 1 が返されます (2) string toupper 小文字を大文字に変換します % string toupper AbCdEfgHiJkLmN ABCDEFGHIJKLMN が返されます (3) string tolower 大文字を小文字に変換します % string tolower AbCdEfgHiJkLmN abcdefghijklmn が返されます (4) string length 文字列の長さを返します % string length AbCdEfgHiJkLmN 14 が返されます 24

split 文字列を決められたデリミタで区切ったリストを返します % split "abcxdefxghixjkl" X abc def ghi jkl が返されます join リストを決められたデリミタで文字列として結合して返します % join "abc def ghi jkl" # abc#def#ghi#jkl が返されます append 既に存在する変数にデータを付け足す時に使います (Note: もし変数が存在していなければこのコマンドが変数を作ります ) % set var 0 % for {set i 1 {$i<=10 {incr i { append var "," $i % puts $var 0,1,2,3,4,5,6,7,8,9,10 が返されます ( 変数の値を直接処理するコマンドなので変数 var の前に$をつけません ) concat 各アーギュメントの先頭と末尾のスペースをカットし全てのアーギュメントをスペースで連結しますアーギュメントの個数はいくつでもかまいません以下は 3 つのアーギュメントです % concat " a b {c " d " e f " a b {c d e f が返されます 25

3.14. リスト操作以下のコマンドでリスト( 要素を並べたもの)の操作が行えます list 変数群 $val1, $val2 を要素としたリストを返します list $val1 $val2 % list AAAA BBBB "CCCC DDDD" EEE AAAA BBBB {CCCC DDDD EEE が返されます lindex リストから$index 番目の要素を取り出します lindex $list $index % set LIST [list AAAA BBBB "CCCC DDDD" EEE] % lindex $LIST 1 BBBB が返されます llength リストの要素の数を返します llength $list % set LIST [list AAAA BBBB "CCCC DDDD" EEE] % llength $LIST 4 が返されます lappend 変数に対してリスト要素の追加しその結果のリストを返します lappend variable $var1 $var2 % set LIST [list AAAA BBBB "CCCC DDDD" EEE] % lappend LIST 111 222 333 AAAA BBBB {CCCC DDDD EEE 111 222 333 が返されます ( 変数の値を直接処理するコマンドなので変数 LIST の前に$をつけません ) 26

linsert リストの$index 番目の要素の前に要素 $val1, $val2, を挿入したリストを返します linsert $list $index $val1 $val2 % set LIST [list AAAA BBBB "CCCC DDDD" EEE] % linsert $LIST 0 111 222 333 111 222 333 AAAA BBBB {CCCC DDDD EEE が返されます lrange リスト$list の$index_s 番目から$index_e 番目までの要素をリストとして返します最後までの場合は$last の中身を文字列 end にします lrange $list $index_s $index_e % set LIST [list AAAA BBBB "CCCC DDDD" EEE] % lrange $LIST 1 3 BBBB {CCCC DDDD EEE が返されます lreplace リスト$list の$s 番目から$e 番目までの連続した要素をすべての要素 $val1, $val2, で置き換え新しいリストを返します lreplace $list $s $e $val1 $val2 % set LIST [list AAAA BBBB "CCCC DDDD" EEE] % lreplace $LIST 1 3 QQQ PP AAAA QQQ PPP が返されます lsearch リスト$list から $sw で任意で与えられたパターンマッチング方式で $pattern に合致する最初の要素のインデックスを返します $sw は-glob( 方式 ) exact( 完全一致 ) regexp( 正表現 )などが用意されます lsearch $sw $list $pattern % set LIST [list AAAA BBBB "CCCC DDDD" EEE] % lsearch -glob $LIST E?? 3 が返されます 27

lsort リスト$list の要素をソートしたリストを返します $switch には -ascii(ascii コード順 ) -integer( 数字順 ) などが用意されています lsort $switch $list % set LIST [list CCCC QQQQ 108Z AAAA LLLL 3333 5555 2222 4444 1111] % lsort -ascii $LIST 1111 2222 3333 4444 5555 AAAA CCCC LLLL QQQQ 108Z が返されます 28

3.15. foreach foreach コマンドはリストを使ったループですリストの要素を左から一つずつ変数に代入してループの処理を実行します書式は次のようになります foreach valname $list {body $list から要素を一つずつ取り出し変数 valname に順番に代入し body を実行しますこの処理を要素数の分だけ繰り返し行います % set LIST [list AAAA BBBB "CCCC DDDD" EEE] % foreach item $LIST { puts "item is $item" 出力結果は以下です item is AAAA item is BBBB item is CCCC DDDD item is EEE 3.16. TCL のマニュアル TCL はこの他にも多数のコマンドを持っていますまたコマンドによってはここに紹介したもの以外にも多数のオプションを持っているものがあります実際の TCL コマンド利用に際しては以下リンクを参照してより要件にあうコマンドやオプション指定がないかを確認してください英語 : http://www.tcl.tk/ 日本語 : http://www.freesoftnet.co.jp/tclkits/doc/tclcmdref/tcl_contents_jp.htm 29

4. irules の概要ここからは irules の特徴について解説します尚 irules のより詳細な情報や多数のサンプルは F5 の DevCentral サイトに掲載していますので必要に応じてこちらもご参照ください [DevCentral] https://devcentral.f5.com/wiki/irules.homepage.ashx 4.1. イベント EVENT は F5 が追加した TCL 拡張ですあるコネクションが TMOS に入力されてから出力されるまでの間に BIG-IP 内部である一連の複数の内部状態の変化が発生しますこれらそれぞれの状態と irule の EVENT とが一致するように作られておりこの EVENT が irule を発動するトリガーになります例えば CLIENT_ACCEPTED はどのような Profile が Virtual Servers に割当てられているかに関わらず全ての TCP コネクションに対して利用することができますその他の状態 ( 例 :HTTP_REQUEST, CLIENTSSL_CLIENTCERT, RTSP_RESPONSE,...)に達することができるのは必要な profile が Virtual Server に割当てられる場合に限られる場合もあります例えば HTTP_REQUEST イベントが利用できるのは Virtual Server に HTTP Profile が割り当てられている場合に限られます Event は f5 が独自に追加した when ステートメントを使って以下のような形で宣言されます when EVENT 名 { TCL コード EVENT 名で指定されたイベントが発動するとそこに指定された TCL コードだけが実行されるのでこのイベントを内部ステートの一連の流れ通りに記載する必要はなく順番が異なってもかまいませんよく使うイベント: イベント CLIENT_ACCEPTED CLIENT_DATA HTTP_REQUEST HTTP_RESPONSE RULE_INIT LB_FAILED 概要クライアントがコネクションを確立したときにトリガーされるコネクションが TCP::collecct(TCP データを取得する) 状態にあるときクライアントから新しいデータを受け取るたびにトリガーされるクライアントからの HTTP リクエストヘッダを解析できる状態 (HTTP Profile が有効になっている状態 )にあって HTTP リクエストを受信したときにトリガーされるサーバからの HTTP レスポンスのステータス及びヘッダを解析できる状態 (HTTP Profile が有効になっている状態 )にあってサーバからの HTTP レスポンスを受信したときにトリガーされる irule が追加されたときまたは変更されたときにトリガーされる pool または pool member の選択に失敗したときにトリガーされるまたは選択した node,pool member に到達できないときにもトリガーされるこれらの EVENT については irule の具体例のセクションにてサンプルを使って説明します 30

4.2. 変数 (variables) について変数には大きく以下の 3 つのタイプがあります 1 ローカル変数 2 グローバル変数 3 コネクション間で読み書き可能な変数ローカル変数 (Local variables) ローカル変数は irule 内だけで有効な変数ですすべての irules はセッション毎に動作するのでローカル変数もまた同じくセッション毎に有効ですよってあるセッションに与えられた irules のローカル変数やデータに対してのメモリ領域はそのセッションによって決定されることを意味しています例えばコネクション 1 が BIG-IP に到達しある irule が実行され 5 つのローカル変数が生成されたとしますこれらの変数はそのコネクションが閉じられるまでの間だけしか存続しませんコネクションが閉じられた後そのコネクションに割当てられたメモリは解放され irule がそのコネクションのために生成した 5 つのローカル変数は使えなくなりますこのようにローカル変数はコネクション(またはセッション)が終了すればメモリは自動的に解放されるのでメモリ管理を気にする必要はありませんローカル変数の使い方は TCL の基礎の説明に何度も出現した方法と同じです例 :HTTP リクエストの Host ヘッダ値を取り出してログに出力 when HTTP_REQUEST { set host [HTTP::host] log "HOST header of HTTP Request is $host" 逆に複数の irules で同じ変数を共用したい場合ローカル変数は使えませんその場合は以降で紹介するグローバル変数または table コマンドによる変数を使います 31

グローバル変数 (Global variables) グローバル変数は各 irules が共通で利用できる変数です例えば複数の irules を設定する予定がありそれら全ての irules のログは共通のロギングサーバへ出力したいという要件があるとします一つ一つの irule にそのロギングサーバの IP アドレスを設定していくのは非効率なので全 irules で共有できる変数にその IP アドレスを持たせてその変数を利用したいというような要望はあると思いますこのような要件を解決するのがグローバル変数です TCL 自身にもグローバル変数は用意されていますが TCL のグローバル変数を使うためには各 CPU コアが利用できる共有メモリに保存する必要がありますしかし BIG-IP は CMP(Clusterd Multi Processing)テクノロジーを使っています sol14358: Overview of Clustered Multiprocessing (11.3.0 and later) http://support.f5.com/kb/en-us/solutions/public/14000/300/sol14358.html CMP は複数の CPU コアにタスクを分配してスケールすることを可能にするテクノロジーでありそれぞれの CPU コアが独立したメモリを持っています CMP では各 CPU コア同士が使える共有メモリを持たないので TCL のグローバル変数を使うとなると CMP を無効化しシングルコアで処理する必要がありますこれはパフォーマンスの妨げとなりますそこで F5 は static:: ネームスペースと呼ばれる新しいネームスペースを用意していますこのことによって CMP を無効化しない=パフォーマンスを犠牲にしないでグローバル変数を利用することが可能になります RULE_INIT イベントの中で static:: 変数名として設定することでロードの際に各 CPU 用のメモリ領域に読み込まれ変数として利用することができますこの変数はコンフィグが再読み込みされるまで消えません例 : RULE_INIT でコンフィグをリロードまで存続する Static 変数に Syslog サーバの IP アドレスを設定その Static 変数を irule 内で利用してその Syslog サーバへログを出力する when RULE_INIT { set static::logserver "10.10.1.145" when HTTP_REQUEST { log $static::logserver "Got HTTP Request now." [Tips] 実は Static:: 変数で指定された Global 変数の値は RULE_INIT の外であっても set コマンドを使うことで書き換えることができてしまいますしかしこの書き換えられた値はその書換えが実行された TMM 内だけで有効であり他 TMM へ伝播されないので TMM 間で不整合が起きた状態になってしまい期待する動作が得られない場合が考えられますよって F5 では RULE_INIT の外での Static:: 変数の書換えは行わないことを強く推奨しています sol13033: Constructing CMP-compatible irules http://support.f5.com/kb/en-us/solutions/public/13000/000/sol13033.html TMM 間で共有する必要のある変数で書換えを行いたい場合には以下の table コマンドの利用を推奨します 32

irules 間で読み書き可能な変数 :Table コマンド Table は読み書き可能なメモリ構造でありコネクション間で共有できるというのが特徴的です irules のローカル変数のようなコネクション毎にしか利用できないものとは違い Table には持続する必要があるデータを格納できるという特徴があります Table には key:value ( 変数 : 値 ) という複数のレコードをリストとして保存することができますまた sub tables という機能を使うことで 1 つのフラットなリストを作るだけでなく名前つきのリストを個別に作ることができるのでその名前ごとにデータを分離することができますさらにコンフィグ可能な timeout と lifetime オプションがありこれらによってメモリ管理または Table をプログラム的にクリーンアップする心配は必要なくなります timeout: レコードの最終更新からの秒数アイドルタイムアウト的 lifetime: レコードが作成されてからの秒数更新されたかどうかは関係ない ------- <Session コマンドについて> ------- Table コマンドがリリースされる以前 (v10.1 より前 )から同様の動作を行う Session コマンドが存在しています Table コマンドはこの Session コマンドの使い難さを改善することを目的としてリリースされました Session コマンドは以下のようなシンタックスになっています session add <mode> <key> <data> [<timeout>] session lookup <mode> <key> session delete <mode> <key> <mode>については v10 以降は実質的な意味を持っておらず "uie"という値だけが使われますまた <key>については以下のようなやや奇妙なシンタックスになっていますが v10 からは key がこのような形になっている意味はありません session add uie "$key any pool any virtual" $data 180 session lookup uie "$key any pool" session delete uie "$key" 古くから irules に親しみのあるユーザでなければ uie って何? なぜ key に Pool を指定するの? となってしまうと思いますそもそも session というコマンド名が session とどのように関係しているの? と思ってしまうので混乱を招きやすいネーミングであることも否めませんこのような使い難さを改善するために v10.1 で Table コマンドがリリースされました ---------------------------------------- Table は以下のようなシンタックスになっています table set $key $data 180 table lookup $key table delete $key Table については irule の具体例のセクションにてサンプルを使って説明します 33

irules の変数一覧 irules で利用可能な変数の一覧ですこれらのうち本ガイドの具体例では推奨フィールドにがついた変数のみ利用します推奨変数 CMP 対応 Global TCL 形式設定 ( 生成読出し削除 ) set ::<key> <value> $::<key> unset ::<key> Global static:: set static::<key> <value> $static::<key> Local set <key> <value> $key unset <key> session :v 9.0 session add uie <key> <value> :v10.0 session lookup uie <key> session delete uid <key> Table table set <key> <value> table lookup <key> table delete <key> 変数の解除 Standby 最小への Mirror Version Unset コマンド v9.0 できない v9.7 1)Unset コマンド 2)コネクションの終了 1)Timeout 2)session delete コマンド 1)Timeout 2)table delete コマンド v9.0 v9.0 v10.1 34

4.3. 演算子 ( Operators ) irules では演算子 (Operators)は 2 つの値を比較したい場合によく利用されます TCL が標準で持つ演算子 (==, <=, >=,...)に加えて F5 は starts_with, contains, ends_with のような比較補助のための演算子を追加しています演算子 "A" contains "B" "A" ends_with "B" "A" equals "B" "A" matches_glob "B" "A" matches_regex "B" "A" starts_with "B" "A" and "B" "A" not "B" "A" or "B" 解説 "A" 文字列が "B" 文字列を含むかどうか "A" 文字列が "B" 文字列で終わるかどうか "A" 文字列と"B" 文字列が一致するかどうか "A" 文字列と"B" 文字列が glob 形式での比較で一致するかどうか "A" 文字列と"B" 文字列が regex 形式での比較で一致するかどうか "A" 文字列が "B" 文字列で始まるかどうか "A"と"B"の値を AND 条件で評価する ( 例 : "A"と"B"の両方が真ならば次のアクション) "A"と"B"の値を NOT 条件で評価する ( 例 : "A"と"B"の値が異なるのならば次のアクション) "A"と"B"の値を OR 条件で評価する ( 例 : "A"または"B"の値が真ならば次のアクション) 35

4.4. ファンクションファンクション(Functions)は検索した結果の値を返すのに役立つコマンドです大きく以下 2 つに分類されます (1) Class ファンクション事前に作成した key:value タイプのデータベースから情報を検索して値を戻します Class については後述します (2) 文字列ファンクションある文字列から値を返す操作を行います F5 では以下のような独自の文字列ファンクションを用意していますファンクション findstr substr getfield domain 解説 findstr <string> <search_string> [<skip_count> [<terminator count or string>]] <string>の文字列から <search_string>の文字を見つけ出し見つけ出した文字の先頭から<skip_count> 分オフセットしたところを始点とした文字を返すまた <terminator count or string>を指定するとその手前までの文字を返す例 : findstr www.sub.my.domain.com sub 7.com 結果 : domain substr <string> <skip_count> [<terminator>] <string>の文字列の先頭から<skip_count>で指定した文字数分をスキップし <terminator>で指定した文字で終わるまでの文字を返す例 : substr www.sub.my.domain.com 11.com 結果 : domain getfield <string> <split> <field_number> <string>の文字列を <split>で指定した文字で分割し <field_number>で指定したフィールドの文字を返す例 : getfield www.sub.my.domain.com. 4 結果 : domain domain <string> <count> "."で区切られたドメイン名 :<string>を"." 単位で区切って <count> 指定した数の後ろからの区切り数分の文字を返す例 : domain www.sub.my.domain.com 2 結果 : domain.com 36

4.5. ステートメントステートメント (Statements) は一般的には何かを実行するものであり値を戻さないコマンドです例えば TCL では条件分岐を行う if switch while for などがステートメントに該当します f5 では独自に以下のようなステートメントを用意していますステートメント解説 when irule のイベントを指定する場合に使う log syslog-ng ユーティリティへログを出力する pool モニターステータスに関わらず指定した Pool へロードバランスまたは Pool Member へトラフィックを送る node 指定されたサーバノードへ直接トラフィックを送る persist 指定したパーシステンスを使う snat 指定した変換アドレスをコネクションの送信元 IP アドレスに割当てる snatpool 指定した SNAT Pool 内の IP アドレスのいずれかをコネクションの送信元 IP アドレスに割当てるまた SNAT Pool 内の member を指定することもできる discard コネクションやパケットを Drop/Disacard する drop コマンドと同じ drop コネクションやパケットを Drop/Disacard する discard コマンドと同じ reject コネクションをリジェクトする(TCP RST を返す) forward LTM のルーティングテーブルにしたがってパケットを転送する nexthop BIG-IP からサーバ側への Nexthop を指定する lasthop クライアントへパケットを戻す際の lasthop(mac または IP アドレス)を指定する rateclass パケット転送時に指定した Rate Class を使う clone モニターステータスに関係なく指定した Pool または Pool Member にトラフィックをクローン(コピー)する event このコネクションである irule イベント(または全ての irule イベント)の評価を有効化 / 無効化する clientside 指定した irule コマンドを BIG-IP から見てクライアント側の情報 (IP アドレス/ポート番号等 )に基づいて実行する serverside 指定した irule コマンドを BIG-IP から見てクライアント側の情報 (IP アドレス/ポート番号等 )に基づいて実行する peer コンテキストの反対側 (サーバ側ならクライアント側またはその逆 )で指定された irule コマンドを実行する ( 例外的に値を返すもの) TCL_platform プラットフォームの情報 (OS Version など)を返す cpu あるインターバルにおける TMM CPU の平均負荷値を返す 37

4.6. コマンド Commands は TCL 内で利用できる制御構造です例えば HTTP::uri を使うことで HTTP リクエストの URI を取得できますし AES::encrypt によって AES 鍵を使って暗号化を実行するというようなことが可能です標準 TCL のコマンドセットに加えて F5 はグローバルな範囲で使えるコマンド(TCP::client_port, IP::addr など) や特定の Profile で使えるコマンド(HTTP::uri,SSL::sessionid 等 )を追加しています出現頻度の高いコマンドかなり多くのコマンドが存在しますのでここでは以降のサンプルで現れるコマンド及び比較的出現頻度の高いコマンドについて紹介します (1) IP IP 概要 IP::client_addr クライアント IP アドレスを返す IP::server_addr サーバの IP アドレスを返す IP::remote_addr BIG-IP から見てリモートの IP アドレスを返す (クライアント IP の場合もあればサーバ IP の場合もある ) IP::local_addr クライアントまたはサーバから接続される BIG-IP が持つ IP アドレス(Virtual Server の IP または Self-IP)を返すまたはサーバ側ではクライアント IP を SNAT 変換しないで出力する場合はそのアドレスを SNAT する場合には SNAT アドレスが該当する IP::addr IP アドレス/サブネットと IP アドレス/サブネットの比較を行い真偽を返す例 :[IP::addr [IP::client_addr]/8 equals 10.0.0.0] (2) TCP TCP 概要 TCP::client_port クライアント側の TCP コネクションのクライアント PC のポート番号を返す TCP::server_port サーバ側の TCP コネクションのサーバの TCP ポート番号を返す TCP::local_port TCP コネクションの BIG-IP 側の TCP ポート番号を返す TCP::remote_port クライアント/サーバ側両方の BIG-IP から見てリモートの TCP ポート番号を返す TCP::collect 指定したバイト数のコンテンツデータを収集する TCP::payload TCP::collect 取得した TCP データコンテンツを変更 or 返す TCP::release TCP::collect で収集したデータを消去 &リリースし処理を再開する TCP::bandwidth 対向端との帯域幅を返す TCP::respond 対向端へ特定データを直接送る TCP::close TCP コネクションを閉じる (3) HTTP HTTP 概要 HTTP::request HTTP リクエストのヘッダを全て返す HTTP::header HTTP ヘッダのいずれかを指定しその値を取得または変更する HTTP::uri HTTP リクエストの URI 部分を返す or セットする例 :http://www.example.com:8080/main/index.jsp?user=test&login=check URI は /main/index.jsp?user=test&login=check HTTP::host HTTP ホストヘッダの値を返す HTTP::cookie HTTP リクエスト及びレスポンスに対して Cookie の挿入削除値の取得といった操作を行う Usage 例 : HTTP::cookie namestlc の List 形式で HTTP ヘッダ内にある全 Cookie 名を返す HTTP::cookie insert name <name> value <value> <name>と<vaule>の組合せの Cookie を挿入する 38

HTTP::path HTTP リクエストの Path 部分を返す or セットする ("?" 以降のクエリ文字列は含まない ) 例 :http://www.example.com:8080/main/index.jsp?user=test&login=check Path は /main/index.jsp HTTP::query HTTP リクエストのクエリ文字列部分を返す例 :http://www.example.com:8080/main/index.jsp?user=test&login=check Query は user=test&login=check HTTP::collect HTTP ボディデータの指定したバイト数分を収集する HTTP::release HTTP::collect で集めたデータをリリースする HTTP::payload Queries for or manipulates HTTP payload information. HTTP ペイロード情報の要求 or ペイロード情報を操作する Usage 例 : HTTP::payload <length> HTTP::collect コマンドが収集したコンテンツを指定した byte 数分返す HTTP::payload length HTTP::collect コマンドが収集したコンテンツの長さを返す HTTP::redirect HTTP リクエストを受けたときまたはレスポンスを返すときに指定した URL へリダイレクトさせる HTTP::respond まるでサーバからレスポンスが来たかのように HTTP レスポンスを生成してクライアントに返す HTTP::status HTTP レスポンスのステータスコードを返す (4) AES AES AES::key AES::decrypt AES::encrypt 概要データを暗号化 / 複合化するための AES Key を生成する事前に生成された AES Key を使ってデータを複合化する事前に生成された AES Key を使ってデータを暗号化する (5) LB LB 概要 LB::detach サーバ側コネクションを切断する LB::down node または pool member のステータスを Down 状態にセットする LB::mode ロードバランシングモードをセットする LB::persist パーシステンスレコードの検索を強制し結果を返す LB::reselect ロードバランシング先を再選択する LB::select ロードバランシングセレクションを強制し結果を返す LB::server 今選ばれたサーバについての情報を返す LB::snat Virtual Server の SNAT コンフィグレーションについての情報を返す LB::status node アドレスまたは pool member のステータスを返す LB::up node または pool member のステータスを Up 状態にする 39

コマンドの注意点コマンドについての注意点について触れておきます (1) コマンド毎に利用できる Event と利用できない Event が存在コマンドによってどの Event 内なら利用できるかが決まっています例 ) 以下は DevCentral 上の HTTP::url のマニュアル画面です https://devcentral.f5.com/wiki/irules.http uri.ashx ~ 略 ~ 利用できる Event この HTTP::uri コマンドは上記の Valid Events: に記載された Event 内だけで有効でありこれら以外の Event では利用できません利用したいコマンドが利用したい Event との組合せで利用できるかどうかが明確ではない場合には DevCentral のマニュアルを参照して確認してください https://devcentral.f5.com/wiki/irules.commands.ashx (2) 無効化された TCL コマンド TCL 言語が標準で持っているいくつかの Commands は irules 実装の中では無効にされています一般的にトラフィックフローの中で予期しない停止を引き起こす可能性のあるコマンド( 例 :file IO socket call 等 )が取り除かれています利用できない TCL コマンドについては以下を参照ください https://devcentral.f5.com/wiki/irules.disabledtclcommands.ashx 40

5. irules 動作確認用のネットワーク構成サンプル以下のネットワーク構成を使って以降のセクションで紹介する irules の動作を確認します web-vs/secure-vs ともにデフォルトの Pool は http-pool(10.99.100.216)として設定します A-pool B-pool も設定しておきます VS との紐付けは行いません Node(10.99.100.211,10.99.100.213)は LTM 上での設定は不要ですがサンプル irule で利用します 41

6. LTM の設定 LTM 設定のより詳細は LTM かんたんセットアップガイドを参照くださいここでは以降の irule サンプルを動作させるために必要な LTM の設定箇所を示します 6.1. Platform 設定以下は初期ウィザードの流れの中で設定します設定した内容は System Platform で確認できますホスト名 FQDN 形式で指定 Asia/Tokyo を選択 CLI アクセス用 root アカウントのパスワード WebUI アクセス用 admin アカウントのパスワード 6.2. VLAN 設定 Network VLANs で以下の状態になるように設定します 42

6.3. Self IP 設定 Network Self IPs で以下の状態になるように設定します 6.4. Routing 設定 Network Routes で以下の状態になるように設定します 43

6.5. Pool の設定 Local Traffic Pools で設定します http-pool 任意の名前を入力ヘルスモニター(http)を設定 Pool Member のアドレスと Port 番号を入力して Add ボタンを押す 44

A-pool 任意の名前を入力ヘルスモニター(http)を設定 Pool Member のアドレスと Port 番号を入力して Add ボタンを押す B-pool 任意の名前を入力ヘルスモニター(http)を設定 Pool Member のアドレスと Port 番号を入力して Add ボタンを押す 45

6.6. Virtual Server の設定 Web-vs (Port:80) 任意の名前を入力 IP アドレスとポート番号を入力 HTTP Profile を選択環境に応じて設定 ~ 略 ~ 設定済みの http-pool を選択 46

Secure-vs (Port:443) 任意の名前を入力 IP アドレスとポート番号を入力 HTTP Profile を選択本ガイドでは簡易的にデフォルトで用意されている clientssl を選択環境に応じて設定 ~ 略 ~ 設定済みの http-pool を選択 47

7. irules の使い方 irules の設定方法に慣れるために簡易的に以下のような irule を設定してみます HTTP リクエストに含まれる User-Agent ヘッダ情報をログへ出力する具体的には 2 つのブラウザ: Internet Explorer と Firefox を使って Virtual Server にアクセスしそれらのブラウザの User-Agent ヘッダの情報が BIG-IP 内部へログが出力されることを確認します irules の作成方法には大きく以下の 2 パターンがあります 7.1. [パターン 1] irule Editor を使う irule Editor は DevCentral から無償でダウンロードできるエディタです irule Editor のダウンロード用リンク: https://devcentral.f5.com/d/tag/irules%20editor このエディタは irule の構文チェックコマンドの補完コマンドをクリックすることで DevCentral のオンラインマニュアルページへアクセスしてくれるなど irules 作成のための支援機能を備えたエディタです BIG-IP の Web-GUI からも irule 作成は可能ですがこのエディタを使うほうが irule は作りやすいと思います本エディタは不定期に Version Up がなされるのでできるだけ最新版をご利用ください (1) PC で irule Editor を起動し以下の赤点線部分をクリックします (2) 以下のように値を入力し OK を押します 1 BIG-IP のマネージメント IP を入力 2 Admin のパスワードを入力 3 OK をクリック 48

(3) 以下の赤点線部分をクリックします (4) irule の名前を入力します irule の名称 ( 任意 )を入力 (5) User-Agent をログファイルへ出力する irule を入力します設定後 save ボタンを押します Save ボタン上記の irule: when HTTP_REQUEST { log local0. "USER-AGENT is [string tolower [HTTP::header "User-Agent"]]" 49

7.2. [パターン 2] BIG-IP の Web GUI を使う BIG-IP の Web GUI インタフェースから直接 irule を作成編集することも可能です Local Traffic irules で表示された画面右上の Create ボタンを押して表示された画面で以下のように設定します irule の名称 ( 任意 )を入力 irule を入力 50

irule の適用作成した irule を Virtual Server へ適用します (1) Local Traffic Virtual Server で表示された設定済みの Virtual Server:Web-vs を選択し画面の上に表示された Resources タブをクリックします irules の部分の Manage ボタンを押します (2) 作成した irule を選択し << ボタンを押します (3) 以下の状態になります 51

出力されるログの確認 irule で出力されるログは以下の手順で BIG-IP に SSH でアクセスしコマンドラインで確認します (1) 以下のコマンドを実行します [root@big208:active:in Sync] config #tail f /var/log/ltm (2) irule を設定した Virutal Server へクライアント PC から以下の 2 つのブラウザを使ってアクセスしてみます 1 FireFox 2 Internet Explorer (3) /var/log/ltm に以下のようなログが出力されます 1 Firefox Aug 26 03:04:05 big208 info tmm1[11991]: Rule /Common/User-Agent_check <HTTP_REQUEST>: USER-AGENT is mozilla/5.0 (windows nt 6.1; rv:30.0) gecko/20100101 firefox/30.0 2 Internet Explorer Aug 26 03:04:21 big208 info tmm3[11991]: Rule /Common/User-Agent_check <HTTP_REQUEST>: USER-AGENT is mozilla/5.0 (windows nt 6.1; trident/7.0; rv:11.0) like gecko 以上が irule の基本的な使い方です 52

8. irules の具体例具体的な irule のサンプルを紹介します 8.1. よく使う EVENT の例 irule には多くのイベントが存在しますがこのセクションではよく利用するイベントを使ったサンプルを紹介します尚 EVENT 発動のタイミングの詳細は Appendix に記載しましたので必要に応じて参照ください CLIENT_ACCEPTED あるエントリが BIG-IP のコネクションテーブルに挿入されたときにこのイベントが発動します TCP の場合は 3WAY ハンドシェーク完了時に発動します (1) サンプル irule の動作概要以下のサンプルはクライアントと BIG-IP の間で TCP コネクションが確立された時刻をログ出力するというものです No. 1 2 3 4 サンプル irule when CLIENT_ACCEPTED { set curtime [clock seconds] set formattedtime [clock format $curtime -format {%H:%M:%S ] log "the time is: $formattedtime" 1 TCP 3WAY ハンドシェークが完了したとき 2 その時刻を変数にセットし 3 時刻のフォーマットを人が読み取りやすい形に整形し 4 それをログとして出力する (2) この irule を web-vs に適用してください ( irule の使い方のセクションを参照 ) (3) /var/log/ltm へ出力されるログが確認できる状態にしてください ( irule の使い方のセクションを参照 ) (4) クライアントから web-vs(http://10.99.1.108)へブラウザでアクセスしてください (5) ブラウザと BIG-IP の間で確立される TCP コネクション数分のログが出力されます例 : May 18 18:42:44 big208 info tmm[13467]: 01220002:6: Rule /Common/current_time <CLIENT_ACCEPTED>: the time is: 18:42:44 May 18 18:42:44 big208 info tmm1[13467]: 01220002:6: Rule /Common/current_time <CLIENT_ACCEPTED>: the time is: 18:42:44 [ 参考 ] UDP の場合は TCP のようなハンドシェークは存在しないのでコネクションテーブルにエントリされたタイミングで発動されその UDP のエントリはアイドルタイムアウトになる(デフォルト 60 秒 )まで存続し続けますよってタイムアウトまでの間にそのエントリと同じ情報を持つ UDP パケットが到達してもこのイベントは新規と見なされないため発動しません 53

CLIENT_DATA ある TCP コネクションが TCP::collect の状態にあるときクライアントから新しいデータを受け取るたびにこの CLIENT_DATA イベントが発動します (1) サンプル irule の動作概要以下のサンプルは Web ブラウザの種類に応じて振り分ける Pool を変えるというものです具体的には Firefox なら A-Pool それ以外なら B-Pool という振り分けにしています No. 1 2 3 4 5 6 7 8 9 サンプル irule when CLIENT_ACCEPTED { TCP::collect when CLIENT_DATA { if { [TCP::payload] contains " Firefox" { log local0. "PAYLOAD is [TCP::payload]" pool A-pool else { pool B-pool TCP::release 1 3WAY ハンドシェークが完了したとき 2 その TCP データを収集する 3 2で TCP データを受け取ったのでこのイベントが発動 4 そのデータ(Payload)が Firefox を含んでいたら 5 その Payload 部分をログ出力し 6 A-Pool に送る 7 それ以外は 8 B-Pool に送る 9 そして取得した TCP データを開放する (2) この irule を web-vs に適用してください ( irule の使い方のセクションを参照 ) (3) /var/log/ltm へ出力されるログが確認できる状態にしてください ( irule の使い方のセクションを参照 ) (4) クライアントから web-vs(http://10.99.1.108)へ Firefox ブラウザでアクセスしてください "A-pool"からのレスポンスを受け取ります (5) クライアントから web-vs(http://10.99.1.108)へ Internet Explorer ブラウザでアクセスしてください "B-pool"からのレスポンスを受け取ります [ 参考 ] UDP の場合は UDP セグメントを受け取るたびに発動しますまた UDP の場合は TCP のような collect コマンドによるデータ取得は必要ありません 54

HTTP_REQUEST HTTP リクエストを受け取ったときに発動します (1) サンプル irule の動作概要以下のサンプルは URI に応じて SSL の Virtual Server へリダイレクトするというものです具体的には "secure"という URI の場合に HTTPS の VS にリダイレクトさせます No. 1 2 3 4 サンプル irule when HTTP_REQUEST { if { [HTTP::uri] contains "secure" { log local0. "URI is [HTTP::uri]" HTTP::redirect https://[http::host] 1 HTTP リクエストを受け取ったとき 2 URI が"secure"の文字を含んでいたら 3 URI をログ出力し 4 SSL の Virtual Server(HTTPS)へリダイレクトさせる (2) この irule を web-vs に適用してください ( irule の使い方のセクションを参照 ) (3) /var/log/ltm へ出力されるログが確認できる状態にしてください ( irule の使い方のセクションを参照 ) (4) クライアントのブラウザから web-vs へ http://10.99.1.108/secure でアクセスしてください (5) https://10.99.1.108 へリダイレクトされます 55

HTTP_RESPONSE HTTP レスポンスを受け取ったときに発動します (1) サンプル irule の動作概要以下のサンプルはレスポンスのステータスコードが 404 ならクライアントとの TCP コネクションを切断するというものです No. 1 2 3 4 5 サンプル irule when HTTP_RESPONSE { if { [HTTP::status] == 404 { log local0. "HTTP Status is [HTTP::status]" HTTP::collect reject 1 HTTP レスポンスを受け取ったとき 2 HTTP のステータスコードが 404(Not Found)だったら 3 そのステータスコードをログ出力し 4 HTTP データを収集して 5 TCP を切断する [ Tips] このイベントの中で HTTP::collect を使わないで reject コマンドを使った場合には BIG-IP はサーバが生成した HTTP ヘッダをクライアントに送ってから TCP リセットを送ります HTTP ヘッダを送らずに TCP リセットを送りたい場合には reject コマンドの前に HTTP::collect が必要です HTTP::collect がなくても結果は同じように見えますしかし例えば 404 で返される HTTP リクエストヘッダの中に攻撃者が攻撃を成立させるための手がかりになる情報が入っているかもしれませんそのような場合に備え 404 レスポンスの場合にはクライアントに何も返さないということを想定した irule になっています (2) まずこの irule を適用する前にクライアントのブラウザから web-vs へ http://10.99.1.108/xxx ( 存在しない URI)でアクセスしてブラウザ上に 404 の表示があることを確認してください例 :IE の場合 (3) この irule を web-vs に適用してください ( irule の使い方のセクションを参照 ) (4) /var/log/ltm へ出力されるログが確認できる状態にしてください ( irule の使い方のセクションを参照 ) (5) クライアントのブラウザを再起動してから再度 web-vs へ http://10.99.1.108/xxx ( 存在しない URI)でアクセスしてください (6) 今度はブラウザの画面上に 404 の表示が無い状態で切断されます 56

RULE_INIT このイベントは irules の中で使われる static 変数を初期化するために使いますこの RULE_INIT で指定した変数は全ての Virtual Server で共通で利用できますこのイベントは以下の状態の時に発動しますこのイベントを使った irule が save されたときデバイスが起動したときソフトウェアが再起動されたとき (1) サンプル irule の動作概要以下のサンプルはサーバから発行された Cookie( 平文 )をクライアントと BIG-IP の間は暗号化するというものです本ガイドで使っている Web サーバの Cookie 変数名は"SESSION"です環境に応じて変更してください No. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 サンプル irule when RULE_INIT { set static::key [AES::key 256] when HTTP_RESPONSE { if {[HTTP::cookie exists "SESSION"] { set decrypted [HTTP::cookie "SESSION"] HTTP::cookie remove "SESSION" set encrypted [b64encode [AES::encrypt $static::key $decrypted]] HTTP::cookie insert name "SESSION" value $encrypted log local0. "DEC=$decrypted, ENC=$encrypted" when HTTP_REQUEST { if {[HTTP::cookie exists "SESSION"] { set encrypted [HTTP::cookie "SESSION"] HTTP::cookie remove "SESSION" set decrypted [AES::decrypt $static::key [b64decode $encrypted]] HTTP::cookie insert name "SESSION" value $decrypted log local0. "DEC=$decrypted, ENC=$encrypted" 57

1 この irule が save されたとき 2 256bit の AES 鍵を変数 (static::key)に入れる 3 HTTP レスポンスを受信したとき 4 もし SESSION という名前の Cookie が存在していたら 5 変数 :decrypted にその Cookie の値を入れ 6 一旦その Cookie(SESSION)を削除する 7 $decrypted に入った Cookie 値を $static::key の AES 鍵で暗号化 &base64 に変換し変数 :encrypted に入れる 8 暗号化したその Cookie 値 ($encrypted)を SESSION という名の Cookie として HTTP レスポンスに付け加える 9 暗号前の値および暗号後の値をログ出力する 10 HTTP リクエストを受信したとき 11 もし SESSION という名前の Cookie が存在していたら 12 変数 :encrypted にその Cookie の値を入れ 13 一旦その Cookie(SESSION)を削除する 14 $encrypted に入った Cookie 値を base64 でデコード$static::key の AES 鍵で複合化し変数 :decrypted に入れる 15 複合化したその Cookie 値 ($decrypted)を SESSION という名の Cookie として HTTP レスポンスに付け加える 16 複合後の値および複合前の値をログ出力する (2) この irule を web-vs に適用してください ( irule の使い方のセクションを参照 ) (3) /var/log/ltm へ出力されるログが確認できる状態にしてください ( irule の使い方のセクションを参照 ) (4) Web ブラウザから web-vs(http://10.99.1.108)に初めてアクセスしますもし以下の Error に遭遇したら一旦 Web ブラウザを再起動してアクセスし直して下さいこの Error は Web ブラウザが始めてこの Web ページにアクセスするのではなく以前に既にアクセスしたことがあってそのときの暗号化されてない Cookie が Web ブラウザに残っていることが原因です May 22 10:00:50 big208 err tmm[10621]: 01220001:3: TCL error: /Common/RULE_INIT <HTTP_REQUEST> - conversion error (line 1) invoked from within "b64decode $encrypted" (5) HTTP レスポンスで Web サーバから SESSION Cooike が発行されますこれが DEC=に入った値ですこれをこの irule を使って AES 鍵で暗号化したものが ENC=に入った値でこれが Web ブラウザに渡されます May 22 10:00:55 big208 info tmm[13467]: Rule /Common/RULE_INIT <HTTP_RESPONSE>: DEC=fhfuk4jn79kql0e0lhtjdleu55, ENC=TbiL4Kh2c7EMfOggwnOd4kx+rkRc+EDp2X28PPvD5EC8YvORYoTaDR57dncmUVmf1+ixuEpLl11YTHzluytOxgAAAAE= (6) この web アプリケーションのフォームに username と password を入れてログインすると HTTP リクエストに SESSION Cookie として ENC=の値でログインしますこれをこの irule を使って AES 鍵で複合化したのが DEC=に入った値です DEC= ENC= のどちらの値も(4) 同じになっています May 22 10:01:07 big208 info tmm[13467]: Rule /Common/RULE_INIT <HTTP_REQUEST>: DEC=fhfuk4jn79kql0e0lhtjdleu55, ENC=TbiL4Kh2c7EMfOggwnOd4kx+rkRc+EDp2X28PPvD5EC8YvORYoTaDR57dncmUVmf1+ixuEpLl11YTHzluytOxgAAAAE= 58

LB_FAILED このイベントは LTM が Pool Member にリクエストを送る準備ができたときにその Pool Member へ以下のような理由でそのリクエストを送れないときに発動します Pool Member に到達できなかった場合 ( 例 : 経路ダウン/ルーティング設定ミス) Pool Member から TCP SYN への反応が無かった場合 ( 例 :Pool Member が停止している) BIG-IP が Pool または Pool Member を選択できなかった場合 ( 例 :pool コマンドの設定ミス) もしヘルスモニターが設定されていない状態で irule が pool または member を選んだ場合や node コマンドを使ってモニターしてない宛先へトラフィックを送った場合には選択された宛先はそのリクエストに対して返答できる状態ではないかもしれませんそのケースでは "LB_FAILED"イベントがトリガーされその状況を処理するようにロジックを組むことができます (1) サンプル irule の動作概要以下のサンプルは URI が"/admin"で始まるリクエストは 10.99.100.211 のアドレスを持つサーバに送るがそのサーバが返答しなかった場合に次の候補のノードに送るというものです No. 1 2 3 4 5 6 7 8 9 10 11 12 (a) (b) (c) (d) (e) (f) 13 サンプル irule when HTTP_REQUEST { if { [HTTP::uri] starts_with "/admin" { set admin 1 node 10.99.100.211 80 else { set admin 0 pool http-pool when LB_FAILED { switch $admin { 1 { log local0. "Server 10.99.100.211:80 not responding" LB::reselect node 10.99.100.215 80 2 { log local0. "Server 10.99.100.215:80 not responding" LB::reselect node 10.99.100.217 80 3 { log local0. "Server 10.99.100.217:80 not responding" reject incr admin 1 HTTP リクエストを受け取ったとき 2 URI が"/admin"の文字で始まっていたら 3 変数 :admin に"1"をセットし 4 10.99.100.211:80 にこの HTTP リクエストを送る 5 URI が"/admin" 以外なら 59

6 変数 :admin に"0"をセットし 7 http-pool に送る 8 サーバが応答しなかった場合この LB_FAILED イベントが発動 9 $admin に"1"がセットされていたら 10 この"1 { 処理 "が実行される 11 "1 { 処理 "の 1 行目 :サーバが応答しなかったことをログ出力する 12 "1 { 処理 "の 2 行目 :10.99.100.215:80 へ送る 13 $admin に 1 を加算する (=$admin は"2") もし 12の 10.99.100.215:80 も応答しなかったら再び8の LB_FAILED が発動上記 13で $admin には"2"がセットされているので (a) この"2 { 処理 "が実行される (b) "2 { 処理 "の 1 行目 :サーバが応答しなかったことをログ出力する (c) "2 { 処理 "の 2 行目 :10.99.100.217:80 へ送る再び13で $admin に 1 を加算する (=$admin は"3") もし (c)の 10.99.100.217:80 も応答しなかったら再び8の LB_FAILED が発動上記 13で $admin には"3"がセットされているので (d) この"3 { 処理 "が実行される (e) "3 { 処理 "の 1 行目 :サーバが応答しなかったことをログ出力する (f) "3 { 処理 "の 2 行目 :コネクションを RST で切断する (2) この irule を web-vs に適用してください ( irule の使い方のセクションを参照 ) (3) /var/log/ltm へ出力されるログが確認できる状態にしてください ( irule の使い方のセクションを参照 ) (4) Web ブラウザで http://10.99.1.108/admin にアクセスし 10.99.100.211 からのレスポンスが得られることを確認してください (5) 10.99.100.211 が停止したという形を模擬します irule の4の行を存在しないアドレス( 例 :10.99.100.111)に変更して save してください ( 存在しないアドレスに変更することで停止したことと同じ結果になります ) (6) Web ブラウザで http://10.99.1.108/admin にアクセスし 10.99.100.215 からのレスポンスが得られることを確認してください (7) 10.99.100.215 も停止したという形を模擬します irule の12の行を存在しないアドレス( 例 :10.99.100.115)に変更して save してください ( 存在しないアドレスに変更することで停止したことと同じ結果になります ) (8) Web ブラウザで http://10.99.1.108/admin にアクセスし 10.99.100.217 からのレスポンスが得られることを確認してください 60

9. Class / Data-Group の使い方 irules を使うときに検索可能なリストがほしい場合があります例えば HTTP リクエストの URI を見てあるリストの中からヒットする URI の文字列を見つけそこに指定されたプールに振り分けるというような場合ですこのような場合に Class/Data-Group が役に立ちます F5 が言う "class" と"Data-Group"には明確な違いはありません GUI では Data-Group(s) と呼ばれ irules コマンドでは Class(es) と呼ばれています本ガイドでは便宜上リストを Data-Group そのデータを呼び出す irule コマンドを Class と呼ぶことにします Data-Group の種類には 2 つあります Internal Data-Group:BIG-IP のコンフィグファイル(bigip.conf) 内に設定する場合 External Data-Group: 外部ファイルとして保存する場合 (=Host 側 (Linux 側 )のファイルとして保存する場合 ) External Data-Group は V11.4 から実装された機能です Internal Data-Group は多くても 100,000 エントリ程度が限界でしたが External Data-Group を使うことで 2,000,000~3,000,000 のエントリまで扱うことができるように拡張されています以降 Data-Group の Type 及びこれら 2 つの方式それぞれの利用方法を解説します 61

Data-Group のデータの Type Data-Group のデータ(エントリ)には以下のような Type が存在します (1) String ( 文字列 ) 最も一般的なタイプです string( 文字列 )フォーマットのあらゆるタイプのデータをストアすることができるので URL スイッチングのようなことを実行する場合に高い頻度で使われます例 : /admin := 10.99.100.215, /user := 10.99.100.217, (2) IP IP アドレスやアドレスレンジをストアできるタイプです例えば送信元 IP アドレス毎に振分け先の Pool を変更したいような場合に便利なタイプです例 : host 10.99.4.19 := "1", host 10.99.4.228 := "2", network 10.99.4.0/24 := "0", (3) Integer ( 数値 ) 整数値をストアすることを可能にするタイプです何らかのコマンド実行結果が数値となる場合 ( 例えば演算や何かをカウントする場合 )に便利です例 : 1 := "test 1", 2 := "test 2", 62

Internal Data-Group BIG-IP のコンフィグレーションファイル(bigip.conf) 内に Data-Group を作りそれを参照する方法ですこのサンプルではまず以下の Data-Group を作ります Type は String です /admin := 10.99.100.215, /user := 10.99.100.217, そして以下のような irule を作ります HTTP リクエストを受信したらその URI と上記の Data-Group を比較 URI と Data-Group 内の文字列が一致したらそこに指定された IP アドレスへその HTTP リクエストを送る具体的には URI が /admin なら 10.99.100.215 へその HTTP リクエストを送る URI が /user なら 10.99.100.217 へその HTTP リクエストを送るとなる irule を作ります 63

9.1.2.1. Internal Data-Group の作成 BIG-IP のコンフィグファイル(bigip.conf) 内に Data-Group を作ります (1) tmsh の場合は以下のコマンドで Data-Group を生成できます (tmos)# create ltm data-group internal TEST_Class { records add { /admin { data 10.99.100.215 /user { data 10.99.100.217 type string (2) 以下のコマンドで Data-Group の設定内容を確認できます (tmos)# list ltm data-group ltm Data-Group internal TEST_Class { records { /admin { data 10.99.100.215 /user { data 10.99.100.217 type string (3) GUI からも作成 / 編集できます以下は Local Traffic irules Data Group List で上記 tmsh で作った Data-Group を選択した画面ですここで編集が可能です 64

9.1.2.2. Internal Data-Group を使った irules 作成した Data-Group を irule で参照するには "class"コマンドを使います (1) サンプル irule の動作概要本サンプルは HTTP リクエスト内の URL と Data-Group を比較しヒットしたらそこに記載された IP アドレスへそのリクエストを送るというものです No. 1 2 3 4 5 サンプル irule when HTTP_REQUEST { if {[class match [HTTP::uri] contains TEST_Class] { set NODE [class match -value [HTTP::uri] contains TEST_Class] log local0. "$NODE" node $NODE 80 1 HTTP リクエストを受け取ったとき 2 URI が Data-Group の TEST_Class 内の文字にヒットしたら 3 NODE 変数にヒットした URI に記載された値 (IP アドレス)を格納し 4 その IP アドレスをログ出力し 5 NODE の 80 番ポートに送る (2) コマンドの解説 class match このコマンドは特定の検索パラメータが正確にマッチする Member を Data-Group list から検索しマッチが成功したかどうかを示す True/False 値 (0/1)を返します class match -value このコマンドは Class 内の Key/value の vaule を返答することができます例えば class に URI と Pool が key と value として記載されたものがあるとします Class の行が /admin := 10.99.100.215 であった場合検索値 (key)が /admin であればその 2 番目の値 (value):10.99.100.215 を戻り値とします (3) この irule を web-vs に適用してください ( irule の使い方のセクションを参照 ) (4) /var/log/ltm へ出力されるログが確認できる状態にしてください ( irule の使い方のセクションを参照 ) (5) Web ブラウザで http://10.99.1.108/admin にアクセスし 10.99.100.215 からのレスポンスが得られることを確認してください (6) Web ブラウザで http://10.99.1.108/user にアクセスし 10.99.100.217 からのレスポンスが得られることを確認してください 65

External Data-Group (その 1:String 形式 ) 今度は BIG-IP のコンフィグ内ではなく BIG-IP の Host 側 (Linux 側 )に保存されたファイルを Data-Group として利用する方法を示しますまずは Internal Data-Group と同様に String 形式で作成してみます 9.1.3.1. External Data-Group 用ファイルの作成 BIG-IP の Host 側 (Linux 側 )に Data-Group 用の外部ファイルを作成しますファイルを保存するディレクトリはどこでもかまいませんよって本ガイドでは /var/tmp ディレクトリに保存することにします [root@big208:active:in Sync] config # cd /var/tmp vi エディタなどを利用して以下の 2 行を追加してください [root@big208:active:in Sync] tmp # vi ext_test_class.file /admin := 10.99.100.211, /user := 10.99.100.213, 注意点 : 改行コードは LF のみに対応しています Windows の CRLF などは読み込みエラーとなりますよって Windows のテキストエディタで作成した Data-Group をそのまま貼り付けてもエラーとなる場合がありますのでご注意ください 9.1.3.2. External Data-Group ファイルの読み込み以下の TMSH コマンドで外部ファイルをオブジェクトとして読み込みます (tmos)# create sys file data-group ext_test_class_object type string source-path file:/var/tmp/ext_test_class.file Copying file "file:/var/tmp/ext_test_class.file"... % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 0 49 0 49 0 0 92627 0 --:--:-- --:--:-- --:--:-- 0 9.1.3.3. External Data-Group の作成以下のコマンドで上記で生成したオブジェクトを irule が参照できる Data-Group に変換します (tmos)# create ltm data-group external ext_test_class external-file-name ext_test_class_object 以下のコマンドで参照先を確認できます (tmos)# list ltm data-group external ltm data-group external ext_test_class { external-file-name ext_test_class_object type string 66

9.1.3.4. External Data-Group を使った irule (1) サンプル irule の概要以下の irule は internal Data-Group の場合と同じ動作を行うルールです参照する先が bigip.conf 内ではなく外部ファイルから生成した Data-Group になると点だけが異なります No. 1 2 3 4 5 サンプル irule when HTTP_REQUEST { if {[class match [HTTP::uri] contains ext_test_class] { set NODE [class match -value [HTTP::uri] contains ext_test_class] log local0. "$NODE" node $NODE 80 (2) この irule を web-vs に適用してください ( irule の使い方のセクションを参照 ) (3) /var/log/ltm へ出力されるログが確認できる状態にしてください ( irule の使い方のセクションを参照 ) (4) Web ブラウザで http://10.99.1.108/admin にアクセスし 10.99.100.211 からのレスポンスが得られることを確認してください (5) Web ブラウザで http://10.99.1.108/user にアクセスし 10.99.100.213 からのレスポンスが得られることを確認してください (6) 外部ファイルの内容を変更して Data-Group に反映させてみます vi エディタなどを使って外部ファイルを変更してください [root@big208:active:in Sync] tmp # vi ext_test_class.file /admin := 10.99.100.215, /user := 10.99.100.217, 変更後 tmsh で以下のコマンドを実行することで Data-Group に反映できます (tmos)# modify sys file data-group ext_test_class_object source-path file:/var/tmp/ext_test_class.file (7) Web ブラウザで http://10.99.1.108/admin にアクセスし 10.99.100.215 からのレスポンスが得られることを確認してください (8) Web ブラウザで http://10.99.1.108/user にアクセスし 10.99.100.217 からのレスポンスが得られることを確認してください 67

External Data-Group (その 2:Address 形式 ) 今度はデータ Type を Address 形式で作成したものを使って動作を確認します 9.1.4.1. External Data-Group ファイルの作成 BIG-IP の Host 側 (Linux 側 )に Data-Group 用の外部ファイルを作成します vi エディタなどを利用して以下の 3 行を追加してください [root@big208:active:in Sync] tmp # vi ext_test_ip_class.file host 10.99.4.19 := "1", host 10.99.4.228 := "2", network 10.99.4.0/24 := "0", 9.1.4.2. External Data-Group ファイルの読み込み以下の TMSH コマンドで外部ファイルをオブジェクトとして読み込みます (tmos)# create sys file data-group ext_test_ip_class_object type ip source-path file:/var/tmp/ext_test_ip_class.file Copying file "file:/var/tmp/ext_test_ip_class.file"... % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 0 78 0 78 0 0 108k 0 --:--:-- --:--:-- --:--:-- 0 9.1.4.3. External Data-Group の作成以下のコマンドで上記で生成したオブジェクトを irule が参照できる Data-Group に変換します (tmos)# create ltm Data-Group external ext_test_ip_class external-file-name ext_test_ip_class_object 以下のコマンドで参照先を確認できます (tmos)# list ltm data-group external ext_test_ip_class ltm Data-Group external ext_test_ip_class { external-file-name ext_test_ip_class_object type ip 68

9.1.4.4. External Data-Group を使った irule (1) サンプル irule の概要クライアントの IP アドレスに応じて利用する Pool Member を変えるというルールです No. 1 2 3 4 5 6 サンプル irule when CLIENT_ACCEPTED { switch [class match -value [IP::client_addr] equals ext_test_ip_class] { "0" { reject "1" { node 10.99.100.213 80 "2" { node 10.99.100.215 80 default { log local0. "Address not found or invalid value." 1 クライアント側の TCP コネクションが確立されたとき 2 クライアントの IP アドレスで ext_test_ip_class 内を検索し 3 戻り値が"0"なら TCP RST を送る 4 戻り値が"1"なら 10.99.100.213:80 へ 5 戻り値が"2"なら 10.99.100.215:80 へ 6 何もヒットしなければログを出力 (2) この irule を web-vs に適用してください ( irule の使い方のセクションを参照 ) (3) /var/log/ltm へ出力されるログが確認できる状態にしてください ( irule の使い方のセクションを参照 ) (4) Web ブラウザで http://10.99.1.108 にアクセスし 10.99.100.213 からのレスポンスのみが得られることを確認してください (5) Web ブラウザを Forward Proxy(Squid) 経由 (=10.99.4.228 から BIG-IP へアクセス)に変更します例 )Internet Explorer の場合 : ツールインターネットオプション接続タブ LAN の設定ボタンを押す 69

サンプルネットワーク構成図中の Proxy(Squid)サーバのアドレス / ポート=10.99.4.228 / 3128 を入力 (6) Web ブラウザで http://10.99.1.108 にアクセスし 10.99.100.215 からのレスポンスのみが得られることを確認してください (7) Web ブラウザの Forward Proxy(Squid) 経由を解除します (8) 外部ファイルの内容を変更して Data-Group に反映させてみます vi エディタなどを使って例えば外部ファイルを以下のように変更してください [root@big208:active:in Sync] tmp # vi ext_test_ip_class.file host 10.99.4.19 := "2", host 10.99.4.228 := "1", network 10.99.4.0/24 := "0", 変更後 tmsh で以下のコマンドを実行することで Data-Group に反映できます (tmos)# modify sys file data-group ext_test_ip_class_object source-path file:/var/tmp/ext_test_ip_class.file (9) Web ブラウザで http://10.99.1.108 にアクセスし 10.99.100.215 からのレスポンスのみが得られることを確認してください (10) Web ブラウザを Proxy(Squid) 経由に変更します http://10.99.1.108 にアクセスし 10.99.100.213 からのレスポンスのみが得られることを確認してください 70

9.2. table の使い方 table コマンドはメモリ内に小さなデータベースに相当するものを作成してくれます table を使うことで例えば送信元 IP アドレス単位にアクセス数をカウントしある IP アドレスからのコネクションが一定数を超えたらその IP アドレスからのアクセスはドロップするというようなよりきめ細かい単位での制御が可能になります (1) サンプル irule の動作概要本サンプルは 1 秒間に 100 以上のアクセス(TCP コネクション)が発生する IP アドレスは一定時間ブロックするという irule です上図を簡単に解説します 1.1.1.1 と 2.2.2.2 のクライアントからのアクセスがありそれぞれの IP アドレス単位に 1 秒間に発生するコネクション数を table を使ってカウントします 2.2.2.2 からのアクセスは 100/ 秒を超えたので Subtable:blacklist にレコードを追加しますそのレコードの Lifetime( 生存時間 )は 20 秒にセットされますこの後 2.2.2.2 からの後続のアクセスは 20 秒の間ブロックされ続けますこのような動作イメージのルールを作成します No. 1 2 3 4 5 6 7 8 9 10 11 12 サンプル irule when RULE_INIT { set static::maxquery 100 set static::holdtime 20 when CLIENT_ACCEPTED { set srcip [IP::remote_addr] if { [table lookup -subtable "blacklist" $srcip]!= "" { log local0. "BList $srcip is: [table lookup -subtable "blacklist" $srcip]" drop return else { set curtime [clock second] set key "count:$srcip:$curtime" 71

13 14 15 16 17 18 19 20 set count [table incr $key] table lifetime $key 1 log local0. "COUNT/sec of $key is: $count" if { $count >= $static::maxquery { table add -subtable "blacklist" $srcip "blocked" indef $static::holdtime table delete $key drop return 1 この irule が save されたとき 2 Static 変数 (static::maxquery)に 100 を入れる ( 最大コネクション数 ) 3 Static 変数 (static::holdtime)に 20 を入れる (ブラックリストとなったレコードの生存時間 ) 4 クライアントとの TCP コネクションが確立されたとき 5 変数 (srcip)にクライアントの IP アドレスを入れる 6 もし "blacklist"という名の subtable に $srcip の IP アドレスが存在していたら 7 その IP アドレスのログを出力し 8 その IP アドレスからのパケットをドロップし 9 この処理から抜ける 10 もし 6ではなかったら(=ブラックリストに IP アドレスが存在しなかったら) 11 変数 (curtime)に現在時刻を入れ 12 変数 (key)に"count:ip アドレス: 現在時刻 "の形で値を入れ 13 テーブルに$key のレコードを追加 & $key の値を 1 つ増加 & その値を変数 (count)に入れ 14 テーブルの$key レコードのライフタイムを 1 秒にセット 15 $key の 1 秒あたりのコネクション数をログ出力秒間のコネクション数が 100 に達するまでは 10~15が繰り返される ( 厳密には10~16が繰り返されるが 16の if 条件には合致しないのでそれ以降の処理は行われない ) 16 $count が 100(static::maxquery の値 )に達したら 17 "blacklist"という名のサブテーブルに以下を追加 (ア) $srcip(クライアントの IP アドレス)を Key に (イ) "blocked"を Value に (ウ) timeout(アイドルタイムアウト)は無限に (エ) lifetime(このレコードが作られてからの生存時間 )は 20 秒 (static::holdtime)に 18 13の$key レコードは削除 (コネクションが 100 になるまでカウントするための一時的なレコードであるため ) 19 クライアントからのパケットはドロップ 20 この処理から抜ける 72

(2) コマンド解説 table incr <key> - table 上にある指定された Key の Value に 1 を加えますもし table 上に Key が存在していなかったらデフォルト value には"0"が使われそのエントリが追加されます - incr 処理が完了するとそのエントリ(key)の値を返します table add -subtable <name> <key> <value> <timeout> <lifetime> - <name>に指定された" 名前つきテーブル"=subtable を生成します - そのサブテーブルのレコードとして <key> <value>の形でエントリされます - <timeout>に indef が指定されるとアイドルタイムアウトは発生しなくなります - <lifetime>にはこのレコードが生成された時刻から何秒後に消去するかを指定します table lookup -subtable <name> <key> - <name>に指定された" 名前つきテーブル"=subtable 内を<key>で検索しそれに紐付く value を返します table lifetime <key> <value> - table 内の <key>の lifetime(レコードが作成されてから消去するまでの時間 )を <value>に指定された秒数にセットします table delete <key> - table 内の<key>のレコードを削除します (3) この irule を web-vs に適用してください ( irule の使い方のセクションを参照 ) (4) /var/log/ltm へ出力されるログが確認できる状態にしてください ( irule の使い方のセクションを参照 ) (5) 10.99.4.228(Linux)で以下のコマンド(Apache Bench)を実行してください # ab n 999999 c 100 http://10.99.1.108/ [ 参考 :Apache Bench] https://httpd.apache.org/docs/2.2/programs/ab.html (6) /var/log/ltm を見ていると 100 コネクションに達したとき以下のログが出力されます Jun 11 19:27:20 big208 info tmm1[11003]: Rule /Common/TABLE <CLIENT_ACCEPTED>: COUNT/sec of count:10.99.4.228:1434018440 is: 99 Jun 11 19:27:20 big208 info tmm[11003]: Rule /Common/TABLE <CLIENT_ACCEPTED>: COUNT/sec of count:10.99.4.228:1434018440 is: 100 Jun 11 19:27:20 big208 info tmm1[11003]: Rule /Common/TABLE <CLIENT_ACCEPTED>: BList 10.99.4.228 is: blocked (7) blacklist テーブル上のレコードは通信の有無に関係なく 20 秒で消えますのでもう一度実行する場合には 20 秒待ってから実施してください 73

10. irule 作成のテクニック 10.1. デバッグのやり方 irule は多様な機能を持つので要件によってはコードが複雑になる場合があります複雑なコードはエラーを誘発しやすくなるのでデバッグが必要になることがあると思いますデバッグ手段として有効なのはとにもかくにもログ出力することです以下の要領で各所にロギングの行を挿入し変数の値が想定どおりにセットされているかまたはコマンドの実行結果や戻り値が想定通りか等をチェックします when HTTP_REQUEST { log local0. "section1, a is $a" もちろん変数に限らずコマンドを記述することもできます when CLIENT_ACCEPTED { log local0. "section1, Bandwidth is [TCP::bandwidth]" 本番環境でのロギング有効化 / 無効化デバッグロギングはアプリケーションのテストを行うときや本番サーバの問題を修正するような場合に有効なツールですしかしロギングによる CPU 負荷は比較的高くまたロギングし続けるとかなり大きな Syslog サーバのディスクが必要となる場合がありますよって多くのケースでは不具合修正ができた後ではデバッグログは無効化しておくことが推奨されます無効化の方法には以下のようにいくつかの方法が存在します 10.1.1.1. irule 内からログコマンドを削除するこれは最も簡単な方法です log の行を削除して保存するだけです 10.1.1.2. irule 内の log 行をコメントアウトする log コマンド行の先頭に#をつけてコメントアウトする方法ですこの方法であれば log 設定を簡単に復活できるのでアプリケーションの新しい問題が発生した場合にも直ぐにロギングできます 10.1.1.3. 変数を使った条件つきロギングを行う "if"コマンドを使って変数の値をチェックすることでログ行を有効化 / 無効化する方法です変数値を変えるだけでシンプルにロギングの ON/OFF ができます例えば LB_FAILED イベントのサンプルで使った irule にこの方法を適用してみます 74

No. 1 2 3 サンプル irule when HTTP_REQUEST { set DEBUG 1 if { $DEBUG { log local0. "Request: [HTTP::uri]" if { [HTTP::uri] starts_with "/admin" { set admin 1 node 10.99.100.211 80 else { set admin 0 pool http-pool when LB_FAILED { switch $admin { 1 { if { $DEBUG {log local0. "Server 10.99.100.211:80 not responding" LB::reselect node 10.99.100.215 80 2 { if { $DEBUG {log local0. "Server 10.99.100.215:80 not responding" LB::reselect node 10.99.100.217 80 3 { if { $DEBUG {log local0. "Server 10.99.100.217:80 not responding" reject incr admin (1) この irule を web-vs に適用してください ( irule の使い方のセクションを参照 ) (2) /var/log/ltm へ出力されるログが確認できる状態にしてください ( irule の使い方のセクションを参照 ) (3) Web ブラウザで http://10.99.1.108/admin にアクセスし 10.99.100.211 からのレスポンスが得られることを確認してください期待するログが出力されていることを確認してください (4) 以下 2 つの方法のどちらかを実施してください 10.99.100.211 を停止停止できない場合 irule の3の行を存在しないアドレス( 例 :10.99.100.111)に変更 ( 存在しないアドレスに変更することで停止したことと同じ結果になります ) 期待するログが出力されていることを確認してください (5) Web ブラウザで http://10.99.1.108/admin にアクセスし 10.99.100.215 からのレスポンスが得られることを確認してください期待するログが出力されていることを確認してください (6) 1の set DEBUG 1 を set DEBUG 0 に変更し同様の動作確認を行ってくださいログが出力されなくなることを確認してください 75

10.2. irule による CPU 使用率の測定 irule を設定した際にはどの程度のパフォーマンス劣化が発生するのかが気になる場合がありますそのような場合には "timing"コマンドを使うことによって irule がどの程度 CPU サイクルを使っているのかを確認することができます 2 つの irule で CPU 使用率を比較 TCL の基礎の章で計算式をブレス{ で囲むか囲まないかで計算効率が変わるという点に少し触れましたどれぐらい違うのか 2 つを比べてみます (1) expr {$a*$b 以下は HTTP リクエストを受信したときに 2 つ数を計算するという irule です変数を使った計算式を{ で囲むことで効率的に計算を行うパターンです No. 1 2 3 4 サンプル irule 名 :TMINIG_TEST when HTTP_REQUEST timing on { set a 100000 set b 100000 set c [expr {$a*$b] 以下のコマンドでこの irule が使用した CPU サイクルを確認できます root@(big208)(cfg-sync In Sync)(Active)(/Common)(tmos)# show ltm rule TIMING_TEST raw (raw) ----------------------------------------- Ltm::Rule Event: TIMING_TEST:HTTP_REQUEST ----------------------------------------- Priority 500 Executions Total 49998 Failures 0 Aborts 0 CPU Cycles on Executing Average 19951 Maximum 569256 Minimum 0 以下のコマンドで上記の Statistics を消去できます (tmos)# reset-stats ltm rule TIMING_TEST 76

(2) expr $a*$b 変数を使った計算式をブレス{ で囲まないパターンです {で囲まないので TCL パーサーによる変数置換が実施された後に計算するという 2 つの処理が入るため効率が悪くなります No. 1 2 3 4 サンプル irule when HTTP_REQUEST timing on { set a 100000 set b 100000 set c [expr $a*$b] 以下のコマンドでこの irule が使用した CPU サイクルを確認できます root@(big208)(cfg-sync In Sync)(Active)(/Common)(tmos)# show ltm rule TIMING_TEST raw (raw) ----------------------------------------- Ltm::Rule Event: TIMING_TEST:HTTP_REQUEST ----------------------------------------- Priority 500 Executions Total 100003 Failures 0 Aborts 0 CPU Cycles on Executing Average 34972 Maximum 23861033 Minimum 12407 { で囲んだ場合と比べると平均値で約 1.7 倍の CPU サイクルを使用していることがわかります 77

irule の CPU 使用率の計算利用する予定の irule がどの程度 CPU へインパクトを与えるのかを知りたい場合がありますその場合の計算方法を示します厳密な計算は難しいですが目安にはなりえます 10.2.2.1. プラットフォームの CPU クロック数を求めるまずプラットフォームの CPU を調べます本ガイドで利用している BIG-IP は Virtual Edition であり CPU を 2 個使っています root@(big208)(cfg-sync In Sync)(Active)(/Common)(tmos)# show sys hardware Chassis Information Maximum MAC Count 1 Registration Key - Hardware Version Information Name cpus Type base-board Model Intel(R) Xeon(R) CPU E5540 @ 2.53GHz Parameters -- -- cache size 8192 KB cores 2 cpu MHz 2527.000 Platform Name BIOS Revision Base MAC ~ 省略 ~ BIG-IP Virtual Edition 00:50:56:bd:a4:0b 10.2.2.2. 計算 Timing コマンドで出力された CPU サイクルを CPU クロックの合計値で割るという単純計算です 1 つの HTTP リクエストが発生した際の CPU 使用率という値となります CPU クロックの合計 : 2,527,000,000 Hz * 2 Core = 5,054,000,000Hz (1) expr {$a*$bの場合 19951 / 5,054,000,000Hz 0.0003948% (2) expr $a*$b の場合 34972 / 5,054,000,000Hz 0.0006920% 例えば(2)の場合は 10,000 リクエスト/ 秒のアクセスがあれば CPU は 6% 上昇すると見込まれます 78

10.3. irule を最適化する irule を最適に利用するために考慮すべきポイントについてまとめました (1) irule を使う前にまず Profile でできないかを確認する irule は様々なことが行える強力なスクリプトですが BIG-IP に標準で実装されている機能に比べるとオーバーヘッドが大きくなりがちですよって何でも irule で実装してしまう前に BIG-IP に標準実装されている Profile の設定で実施できないかを調査し Profile でできるのならばそれを利用するほうがパフォーマンスへのインパクトは少なくすみます例 : HTTP header insert and erase HTTP fallback HTTP compress uri <exclude include> HTTP redirect rewrite HTTP insert X-Forwarded-For HTTP ramcache uri <exclude include pinned> Stream profile for content replacement Class profile for URI matching. (2) 最適な制御ステートメントを利用する (if/elseif/else,switch,class/data-group) 条件分岐を行う制御ステートメントは if,switch など複数存在しますそれぞれの制御ステートメントには得手 / 不得手な部分があるのでそれぞれを見極めて利用することによって不要な CPU リソースを消費しないようすることが望ましいです if/elseif を使うよりもまず switch または Class/Data-Group を使うことを考える - 100 エントリ以下の条件分岐なら Switch を使う - 100 エントリ以上の条件分岐なら Class/Data-Group を使うしかし if/elseif のほうが switch や Class よりも柔軟性が高いので適材適所で利用する 79

if の連続使用よりも if/elseif を使う例えば以下 2 つの irule は同じ結果を導き出します if/if/if if/elseif/elseif when HTTP_REQUEST { set uri [HTTP::uri] if { $uri equals "/" { pool http-pool if { $uri contains "admin" { pool A-pool if { $uri contains "user" { pool B-pool when HTTP_REQUEST { set uri [HTTP::uri] if { $uri equals "/" { pool http-pool elseif { $uri contains "admin" { pool A-pool elseif { $uri contains "user" { pool B-pool しかし if/if/if の場合は例えば 1 つ目の if で条件がヒットして Pool 選択ができた(http-pool の選択ができた) 場合でも後続の 2 つの if が同様の処理を実施するというムダが生じます一方 if/elseif/elseif の方は最初の if の条件がヒットしなかった場合にのみ以降の elseif を実行するので if/if/if のルールよりも効率が良くなりますこのことはどの条件にヒットする割合が大きいかによっても影響があると考えられますもし B-Pool が選ばれる条件が 9 割以上という場合には両者の効率は大差ないかもしれません (3) for よりも foreach の利用を考える以下の for と foreach はそれぞれ同じ結果を導き出します for when HTTP_REQUEST { set domains [bob.com ted.com domain.com] set countdomains [llength $domains] for {set i 0 { $i < $countdomains {incr i { set domain [lindex $domains $i] foreach when HTTP_REQUEST { set domains [bob.com ted.com domain.com] foreach domain $domains { # This is faster, and more elegant # This is slower しかし条件を多数指定する for に対し foreach は 1 つの行で同じ形を実現できますよって foreach で要件を見たせるならばその方が効率はよくまた見た目も美しくなります 80

(4) 最適なオペレータの利用 (contains, equals) "contains"よりも"equals"を使う contains ではなく equals で要件を満たせるなら検索ロジックが少ない equals を使ったほうが CPU リソースの消費は少ないです (5) 正規表現の利用は極力避ける正規表現 (Regular Expressions)は非常に便利な機能である反面メモリや CPU リソースを多く消費しがちです多くのケースで正規表現を使わずとも要件を満たせるコマンドがあるはずなので極力そちらを利用することを検討すべきです "string match"や"switch -glob"を使う "string match"や"switch -glob"のほうが正規表現よりも CPU 負荷が軽いのでこれらで要件が満たせるならば正規表現は極力使うことを避けるべきです "regex"よりも"start_with" 悪い例 : when HTTP_REQUEST { if { [regexp {^/admin [HTTP::uri]] { regsub {/admin [HTTP::uri] "/UserPortal" newuri log local0. "$newuri" HTTP::uri $newuri よい例 : when HTTP_REQUEST { if { [HTTP::uri] starts_with "/adimin" { set newuri [string map {admin UserPortal [HTTP::uri]] HTTP::uri $newuri 81

(6) 変数を使わないほうがいい場合変数は比較的オーバーヘッドの大きい機能ですよって変数を使わずに実装できるならば使わないほうがよい場合があります例えば以下のようにただ単にコマンド出力結果を変数に入れるだけならば変数を使わないほうが効率がよいです変数を使う効率がよくない例 : when HTTP_REQUEST { set host [HTTP::host] set uri [HTTP::uri] if { $host equals "bob.com" { log "Host = $host; URI = $uri" pool http_pool1 上記と同じことは変数を使わない以下の irule でも実施できます when HTTP_REQUEST { if { [HTTP::host] equals "bob.com" { log "Host = [HTTP::host]; URI = [HTTP::uri]" pool http_pool1 (7) 変数を使ったほうがいい場合一方何度も同じコマンドを実行するのならば変数を使ったほうが効率がよくなります悪い例 : 繰り返し同じ処理をするとメモリ消費が多くなる when HTTP_REQUEST { if { [string tolower [HTTP::uri]] starts_with "/img" { pool imagepool elseif { ([string tolower [HTTP::uri]] ends_with ".gif") ([string tolower [HTTP::uri]] ends_with ".jpg") { pool imagepool 良い例 : 変数を使って同じ処理を繰り返し実施しないようにする when HTTP_REQUEST { set uri [string tolower [HTTP::uri]] if { $uri starts_with "/img" { pool imagepool elseif { ($uri ends_with ".gif") ($uri ends_with ".jpg") { pool imagepool 82

(8) 変数名は短めに以下は上記と同じ事を行う irule ですが変数名が長い悪い例です TCL は Lookup 用テーブルに変数を格納するので長い名前はオーバーヘッドが多くなりますできるだけ短い変数名にすることをお勧めします悪い例 : when HTTP_REQUEST { set theurithatiammatchinginthisirule [string tolower [HTTP::uri]] if { $theurithatiammatchinginthisirule starts_with "/img" { pool imagepool elseif { ($theurithatiammatchinginthisirule ends_with ".gif") ($theurithatiammatchinginthisirule ends_with ".jpg") { pool imagepool (9) オペレータの注意点これは最適化というよりも注意点です比較演算子 (オペレータ)には文字列に適したものと数字に適したものが存在しますこれらを適切に利用しないと誤った判断になる場合が発生します文字列の比較には eq や ne を使う数字の比較には == や!= を使う例えば "5"と"05"の比較の結果を同じとしたい(= 数字として比較したい)のか違うものとして扱いたい( 文字列として扱いたい)のかによって利用すべきオペレータは異なります set x 5 if { $x == 5 { if { $x eq 5 { if { $x == 05 { if { $x eq 05 { # evaluates to true # evaluates to true # evaluates to true # evaluates to false よって要件に応じて適切なオペレータを使い分けるようにしてください 83

11. おわりに基本的な irules セットアップに関しては以上で終了となります BIG-IP シリーズ製品ラインナップにおいてはソフトウェアモジュールライセンスを追加することでサーバ負荷分散はもちろんのこと広域負荷分散やリモートアクセス機能ネットワークファイアウォール機能などアプリケーションアクセスを最適化する為の多彩な機能が使用できるようになります詳細は各種 WEB サイトにてご確認いただくか購入元にお問い合わせください <F5 ネットワークス WEB サイトの紹介 > F5 ネットワークスジャパン総合サイト https://f5.com/jp/homepage F5 Tech Depot:エンジニア向け製品関連情報サイト http://www.f5networks.co.jp/depot/ AskF5:ナレッジベース総合サイト( 英語 ) http://support.f5.com/kb/en-us.html DevCentral:F5 ユーザコミュニティサイト( 英語 :アカウント登録が必要です) https://devcentral.f5.com/ 以上引用文献 : ウィキペディア:Tcl/Tk http://ja.wikipedia.org/wiki/tcl/tk F5 ネットワークスジャパン合同会社 107-0052 東京都港区赤坂 4-15-1 赤坂ガーデンシティ 19 階本資料は F5 ネットワークスジャパンのエンジニアが特定のソフトウェアバージョンの動作仕様に基づいて作成した構築設計を補助するための資料でありメーカー公式資料とは異なります資料の記載内容に誤りがあった際には指摘に基づいて修正を行いますが内容についての責任は一切負いませんまた修正変更改訂は予告無く行われます 84

12. Appendix 12.1. EVENT 発動のタイミング EVENT のフロー 85