Microsoft Word - i850_LTM_easy_Setup_ _v1213_v1.0.docx

BIG-IP i850 LTM かんたんセットアップガイド (v12.1.3 対応 ) F5 Networks Japan Ver 1.0

目次はじめに... 4 1.1. LTM 動作概要... 4 L3 構成 : スタンドアローン... 5 2.1. L3 構成 : スタンドアローンイメージ... 5 2.2. L3 構成 : スタンドアローンのネットワークサンプル... 6 初期設定... 7 3.1. Management ポートの IP アドレス設定... 7 3.2. Management ポートへの GUI アクセスライセンスの取得... 11 ネットワーク設定... 20 4.1. VLAN の作成... 20 4.2. Self IP の設定... 23 4.3. デフォルトゲートウェイの設定... 25 4.3.2. サーバへのルーティング設定... 25 ロードバランシング設定... 26 5.1. HTTP(Port:80) のロードバランシング設定... 26 5.1.1. Pool の作成... 26 5.1.2. HTTP(80) の Virtual Server の作成... 28 5.1.3. クライアントからの HTTP アクセス... 29 5.2. パーシステンス設定... 30 5.2.1. クライアントからの HTTP アクセス... 30 5.3. HTTPS(Port:443) のロードバランシング設定 :[ パターン A] 簡易的な設定方法... 31 5.3.1. HTTPS バーチャルサーバの設定... 31 5.3.2. クライアントからの HTTPS アクセス... 32 5.4. HTTPS(Port:443) のロードバランシング設定 :[ パターン B] 認証局発行の証明書の利用... 33 5.4.1. サーバ証明書の概要と本ガイドでの手順について... 33 5.4.2. 秘密鍵とサーバ証明書のインポート... 34 5.4.3. クライアントからの HTTPS アクセス... 38 UCS の取得... 39 コンフィグの初期化 ( 全消去 )... 41 7.1. BIG-IP への SSH アクセス... 41 7.2. コンフィグの初期化... 41 UCS のリストア... 42 QKView の取得... 45 L3 構成 : 冗長化... 46 10.1. L3 構成 : 冗長化イメージ... 46 10.2. L3 構成 : 冗長化のネットワークサンプル... 47 10.3. Active 機 (bigxxx.f5jp.local) の設定... 48 10.3.1. HA VLAN の設定... 48 10.3.2. HA VLAN の IP 設定... 48 10.3.3. Device の設定... 49 10.3.4. 時刻同期 (NTP) 設定... 51 10.4. Standby 機 (bigyyy.f5jp.local) の設定... 53 10.4.1. VLAN 設定... 53 10.4.2. Self-IP 設定... 53 10.4.3. Device 設定... 54 10.4.4. NTP 設定... 55 10.5. デバイストラスト設定 (Active 機 (bigxxx.f5jp.local) 側から実施 )... 56 10.6. デバイスグループの設定... 58 10.7. トラフィックグループの設定... 60 10.7.1. トラフィックグループの確認... 60 10.7.2. Floating IP の設定... 61 10.7.3. Virtual Server と Traffic-Group の紐付け ( 確認 )... 62 10.7.4. Traffic Group に紐付けられたオブジェクトの確認... 62 10.8. ConfigSync... 63 2

10.9. Traffic-group-1 の優先度設定... 64 10.9.1. クライアントからの HTTP アクセス... 65 おわりに... 66 3

はじめに本セットアップガイドにて BIG-IP Local Traffic Manager( 以下 LTM) の設定方法についてご案内します BIG-IP LTM はサーバ負荷分散をはじめとして SSL のオフロードやコンテンツスイッチングまた圧縮やキャッシュなど多彩な機能を搭載しアプリケーションサービスの可用性を高め快適なユーザエクスペリエンスを提供するのに役立ちます本ガイドでは BIG-IP LTM をご購入いただいてすぐに使い始められるようにサーバ負荷分散を実現するのに必要となる典型的なセットアップ手法を豊富なスクリーンショットを交えて解説しますこれによりネットワークを構成しクライアント - サーバ間での簡単な WEB の負荷分散環境を構築することができますのでセットアップ時の手引きとしてご活用ください 1.1. LTM 動作概要 LTM は以下のような流れで動作します https://f5.com BIG-IP i850 LTM BIG-IP LTM は Web サーバ群に対して定期的なヘルスモニタリングにて稼動監視を行っている 1 クライアントが Web ブラウザに URL:https://f5.com を入力 2 クライアント PC は f5.com の IP アドレスを解決するために DNS クエリを送信 3 DNS サーバから f5.com の IP アドレスを得る 4 Web ブラウザはその IP アドレス ( 仮想サーバ ) 宛に HTTP リクエストを送信 5 BIG-IP LTM は Web サーバ群から 1 台 ( この例では Web2) を選び宛先アドレスを変換し HTTP リクエストを転送 6 Web サーバ (Web2) はその HTTP リクエストに対する HTTP レスポンスを送信 7 その HTTP レスポンスを受けとった BIG-IP LTM は送信元アドレス変換を行いその HTTP レスポンスをクライアント PC へ転送 8 f5.com の Web 画面が表示される 4

L3 構成 : スタンドアローン 2.1. L3 構成 : スタンドアローンイメージ上図 1~6 の IP アドレスが必要になりますのであらかじめご用意くださいなお 1 管理 IP は工場出荷時に 192.168.1.245/24 がプリセットされています項目名前 ( サンプル ) 値 - ホスト名 BigXXX.f5jp.local 1 管理 IP --- 10.99.88.XXX/24 2 External インタフェース External 10.99.1.XXX 3 Internal インタフェース Internal 10.99.2.XXX 4 デフォルトゲートウェイ 10.99.1.254 5 仮想サーバアドレス http-vs-001 https-vs001 10.99.1.ZZZ:80 10.99.1.ZZZ:443 6 Web サーバ 1 のアドレス : ポート --- 10.99.100.215:80 Web サーバ 2 のアドレス : ポート --- 10.99.100.217:80 CLI パスワード --- ID/Password : root/default GUI パスワード --- ID/Password : admin/admin 5

2.2. L3 構成 : スタンドアローンのネットワークサンプルまずは冗長化しない状態の L3 構成を想定して 1 台のみ設定していきます BIG-IP の Virtual Server は 10.99.1.ZZZ:80 と 10.99.1.ZZZ:443 の 2 つを設定しますプールメンバーは以下 2 つです 10.99.100.215:80 10.99.100.217:80 BIG-IP のデフォルトゲートウェイはインターネット方向を想定したルーター :10.99.1.254 に設定します Web サーバのデフォルトゲートウェイは BIG-IP の Internal インタフェース宛 (10.99.2.XXX) に設定します動作確認はテスト用に設置した PC( 図中のテスト用クライアント ) から行うこととします 6

初期設定 3.1. Management ポートの IP アドレス設定 (1) BIG-IP へ専用コンソールケーブルを使用し Baud Rate 19,200 で接続します付属のコンソールケーブル RJ-45 ポート ( 上側 ) (2) デフォルトのログインアカウントとパスワードは以下です ID:root Password:default (3) 管理ポートの IP アドレスを設定するためにコマンド :config を入力し Enter します 7

(4) OK します (5) DHCP を利用するかどうかを聞いてきますので環境に合わせて設定します本環境では DHCP は利用しないので No を選択します (6) Management ポート IP を設定します 8

(7) サブネットマスクを設定します (8) デフォルトゲートウェイを設定するかどうかを聞いてきますので環境に合わせて設定します本環境では必要なので Yes を選択します (9) デフォルトゲートウェイを設定します 9

(10) 設定を確認し問題なければ Yes を選択します 10

3.2. Management ポートへの GUI アクセスライセンスの取得管理用 PC から設定した BIG-IP の管理 IP アドレスへ HTTPS でアクセスしますデフォルトの証明書は正式に取得した証明書ではないため以下のような画面が現れますが続行するを選択してください (1) ログイン画面が現れますので以下のデフォルトの ID と Password でログインしてください ID:admin Password:admin 11

(2) Next ボタンを押します (3) ライセンスがないことを表示しています Activate ボタンを押します 12

(4) 購入したライセンスのレジストレーションキーを Base Ragistration Key の欄に入力します Activation Method は DNS リゾルバの設定が行われていて BIG-IP から直接インターネット接続できる場合には Automatic( 自動 Activate) が選べますがまだ DNS リゾルバの設定が入っていませんので Manual を選択します 1 レジストレーションキーを 2 Manual を選択 3 Next をクリック (5) Dosier をコピーし Step2 の Click here to access F5 Licensing Server をクリックします 1 Dossier をコピー (Ctrl+A の後 Ctrl+C) 2 左のリンクをクリック 13

(6) ライセンスを取得するための Web サイトの activate.f5.com が新しいタブで開きますので Enter Your Dossier フィールドの中に前項でコピーした Dossier を貼り付けますその後 Next ボタンを押します 1 コピーした Dossier を貼り付け 2 Next ボタンをクリック (7) EULA( ソフトウェアの使用条件の同意 ) のチェックボックスをチェックして Next ボタンをクリックします 1 チェックボックスにチェックをれて Next をクリック 14

(8) ライセンスキーが表示されますので全文をコピーしますライセンス情報全をコピーします (Ctrl+A の後に Ctrl+C) (9) Web サイトでコピーしたライセンスを Step3:License 欄に貼り付けますその後 Next をクリックします 15

(10) ライセンスの適用に少し時間がかかりますのでそのまま待ってください (11) しばらくするとライセンスの適用が完了し以下の画面が表示されますので Continue をクリックします Continue をクリック 16

(12) Resource Provisioning の画面が表示されます Local Traffic(LTM) がチェックされていることを確認して Next ボタンをクリックします (13) SSL 証明書の確認がなされますがデフォルトのまま Next ボタンを押します 17

(14) ホスト名タイムゾーン Root/Admin それぞれのパスワードを設定します Next ボタンを押します注ホスト名を FQDN で指定タイムゾーンを指定 Root と Admin ユーザのパスワードを指定設定したパスワードでログインを試みるようログアウトログインするように指示があります OK ボタンを押します (15) ID : Admin と設定したパスワードで再度ログインします 18

(16) この後設定ウィザードも選択できますがこの手順書では一つ一つオブジェクトを設定していくこととしますので Finished ボタンを押します Finish ボタンを押す 19

ネットワーク設定 4.1. VLAN の作成まず VLAN を作成します画面左側の Main メニューより Network VLANs VLAN List を辿り VLAN List をクリックします Main メニュー 1Network をクリック 2VLANs にマウスポインタを合わせると右にサブメニューが出るのでそのままポインタを右にずらして VLAN List を選ぶ表示された VLAN List 画面の右上にある Create ボタンを押します 20

(1) 表示された画面で External VLAN の設定を行います 1 VLAN の名前を ( 例 :external) 3 2 設定する物理ポートを選択 ( 例 :1.0) Tag /Untag をリストから選んで Add をクリック 4 選んだ物理ポートが下のリストに表されます 2 と 3 を繰り返して複数設定可能 5 Finished をクリック 21

元の VLAN List の画面に自動的に戻りますリストに先ほど作成した VLAN が表示されていることを確認して再度 Create をクリックします external VLAN が追加されている Create をクリック (2) 同様の手順で Internal VLAN を設定します名前 ( 任意 ) を指定ポートを選択 22

4.2. Self IP の設定 BIG-IP に設定した VLAN それぞれに対して IP アドレスを設定していきます BIG-IP 自身に設定する IP アドレスを Self IP と呼びます Network Self IPs で表示された画面の右上にある Create ボタンを押します (1) External VLAN の IP 設定名前 ( 任意 ) 注 IP アドレスサブネットマスク VLAN を設定このアドレス上でのサービス (SSH/GUI アクセス等 ) を拒否 23

(2) Internal VLAN の IP 設定名前 ( 任意 ) 注 IP アドレスサブネットマスク VLAN を設定このアドレス上でのサービス (SSH/GUI アクセス等 ) を許可 (3) 一覧では以下のような状態になります 24

4.3. デフォルトゲートウェイの設定 BIG-IP のデフォルトゲートウェイを設定します Network Routes で表示された画面の右上にある Add ボタンを押します (1) 以下の通り入力し Finished を押します任意の名称を入力左記の通りに入力ゲートウェイのアドレスを入力 4.3.2. サーバへのルーティング設定 BIG-IP からサーバ :10.99.100.0/24 へ到達するためのルーティングも同様に設定します任意の名称を入力左記の通りに入力ゲートウェイのアドレスを入力 25

ロードバランシング設定 5.1. HTTP(Port:80) のロードバランシング設定 5.1.1. Pool の作成まず Pool から作成します Pool はロードバランス対象の複数サーバの集合を指します Local Traffic Pools Pool List で表示された画面の右上にある Create ボタンを押します名前 ( 任意 ) を指定プールメンバーへのヘルスモニタを選択ロードバランシング方式を選択 Address: と Service Port: を入力し add ボタンを押すとメンバーに追加される (1) Pool ができた状態です 26

(2) 前画面の http-pool-001 をクリックし Members タブをクリックします以下のように Status がグリーンであればヘルスモニタが成功しています 27

5.1.2. HTTP(80) の Virtual Server の作成次に Virtual Server(HTTP:Port80) を作成します (1) Local Traffic Virtual Servers で表示された画面の右上にある Create ボタンを押して表示された画面で以下のように設定します名前 ( 任意 ) を指定注仮想 IP アドレスとサービスポート :80 を指定 HTTP Profile を選択 Auto Map を選択先ほど設定した Pool を選択 28

(2) Status がグリーンであれば正常に動作していることを示します 5.1.3. クライアントからの HTTP アクセス (1) テスト用クライアントから作成した Virtual Server へ Web ブラウザでアクセスし Web 画面が表示されることを確認します (2) Statistics Module Statistics Local Traffic タブをクリックします Statistics Type のプルダウンメニューから Pools を選択します Pool 列の Pool 名の左隣の + ボタンをクリックして Pool 配下の Node を表示しますそれぞれの Web サーバの Bits, Packets 等のカウントがアップしていることを確認しロードバランシングが正常に行われていることを確認しますカウンタをリセットしたい場合には Status 左横のチェックボックスにチェックを入れて Reset ボタンを押します 29

5.2. パーシステンス設定ロードバランシングメソッドに従って 1 つのサーバに振り分けられた後継続して同じサーバへアクセスしたいという要望があります ( 例 : お買いもの系サイト, インターネットバンキング ) それを実現する機能をパーシステンスと呼びます本ガイドでは簡易的に送信元 IP アドレスでのパーシステンス設定を行います Local Traffic Virtual Servers で表示されたバーチャルサーバ :http-vs-001 を選択し Resources タブをクリックすると以下の画面が表示されます以下のように設定します送信元 IP:source_addr を選択 5.2.1. クライアントからの HTTP アクセステスト用クライアントから作成した Virtual Server へ Web ブラウザでアクセスし Web 画面が表示されることを確認します今度はロードバランシングされず同じサーバへのみ振り分けられます 30

5.3. HTTPS(Port:443) のロードバランシング設定 :[ パターン A] 簡易的な設定方法 HTTPS 仮想サーバとして動作することだけを確認するのであればデフォルトで用意されている SSL Profile を使うことで容易に実施できます 5.3.1. HTTPS バーチャルサーバの設定 Local Traffic Virtual Servers の画面の右上にある Create ボタンを押し以下のように設定します名前 ( 任意 ) を指定注仮想 IP アドレスとサービスポート :443 を指定 HTTP Profile を選択デフォルトの SSL Profile を選択 SNAT Automap を選択先ほど設定した Pool を選択 31

5.3.2. クライアントからの HTTPS アクセス (1) テスト用クライアントから作成した Virtual Server (HTTPS) へアクセスし正常に SSL 処理が行われることを確認します (2) Statistics Module Statistics Local Traffic タブをクリックします Statistics Type のプルダウンメニューから Pools を選択しますそれぞれの Web サーバの Bits, Packets 等のカウントがアップしていることを確認しロードバランシングが正常に行われていていることを確認しますカウンタをリセットしたい場合には Status 左横のチェックボックスにチェックを入れて Reset ボタンを押します (3) デフォルトの SSL Profile は Self Signed のサーバ証明書を使うように設定されているためアクセスすると以下のような警告がブラウザに出ます 32

5.4. HTTPS(Port:443) のロードバランシング設定 :[ パターン B] 認証局発行の証明書の利用認証局で署名されたサーバ証明書をインポートして利用する方法を記載します 5.4.1. サーバ証明書の概要と本ガイドでの手順について一般的には BIG-IP の GUI で CSR と秘密鍵を生成し CSR を認証局 ( 例 : ベリサイン等 ) に送付しますその CSR に対して認証局が署名を行うことでサーバ証明書が完成しますそのサーバ証明書を返送してもらいインポートします CSR の作成から証明書発行に関する詳細は [BIG-IP 番外編 ]OpenSSL を使ったデジタル証明書の作り方ガイドを参照ください本ガイドでは簡易的に秘密鍵ファイルとサーバ証明書の両方がすでに存在しているものとし両方をインポートする手順とします 33

5.4.2. 秘密鍵とサーバ証明書のインポート (1) サーバの秘密鍵をインポートします System File Management SSL Certificate List で表示された画面右上の Import ボタンを押して現れた画面で以下のように設定 ( インポート ) します Key を選択 Key の名称 ( 任意 ) を指定 Key ファイルを Upload 以下の状態になります Import を押す 34

(2) サーバ証明書をインポートしますインポートした秘密鍵をクリックすると以下の画面が現れます Import ボタンを押します Import を押す以下のように設定 ( インポート ) しますサーバ証明書を指定 Import を押す (3) サーバ証明書がインポートされた状態です 35

(4) Client SSL Profile を作ります Local Traffic Profile SSL Client で表示された画面右上の Create ボタンを押すと以下の画面が表示されますので Certificate Key Chain を設定していきます 1 名前 ( 任意 ) を指定 2 右端のチェックボックスをチェックします 3 Add ボタンを押しますポップアップ表示される画面で利用する Key Chain を指定します 2 先ほどインポートした Key/Certifidate のファイル名をリストから選びます 1 Add ボタンを押します画面一番下の Finished をクリックします 36

(5) [ パターン A] で作成済みの Virtual Server:Port443 を開き SSL Profile (Client) 部分の設定を以下のように変更してください作成した SSL Profile を選択 37

5.4.3. クライアントからの HTTPS アクセス (1) テスト用クライアントから作成した Virtual Server (HTTPS) へアクセスし正常に SSL 処理が行われることを確認します (2) Statistics Module Statistics Local Traffic タブをクリックします Statistics Type のプルダウンメニューから Pools を選択しますそれぞれの Web サーバの Bits, Packets 等のカウントがアップしていることを確認しロードバランシングが正常に行われていていることを確認しますカウンタをリセットしたい場合には Status 左横のチェックボックスにチェックを入れて Reset ボタンを押します 38

UCS の取得 UCS を取得することによって現時点までの設定を保存しておくことができます (1) System Archives で表示された画面右上の Create ボタンを押します任意の名称 ( 後に利用する際に分かりやすい名称 ) を入力し Finished ボタンを押します名称 ( 任意 ) を入力 (2) OK ボタンを押します (3) 以下の状態になります 39

(4) UCS ファイル名をクリックすると以下の画面になります機器の故障などに備えてこの UCS ファイルを PC などローカル環境へダウンロードしておきます (5) 取得した UCS が不要な場合はこの画面の Delete ボタンをクリックして削除します 40

コンフィグの初期化 ( 全消去 ) コンフィグを全て消去する手順です 7.1. BIG-IP への SSH アクセス (1) SSH クライアント ( 例 :TeraTerm) を使って BIG-IP へ SSH でアクセスします (2) TMSH へ切り替えます [root@bigxxx:active:in Sync] config # tmsh 以下のようなプロンプトに変わります root@(bigxxx)(cfg-sync In Sync)(Active)(/Common)(tmos)# プロンプトが長いので以降は (tmos)# の省略形を使います 7.2. コンフィグの初期化一旦 UCS を取得した BIG-IP (bigxxx.f5jp.local) の全設定を消去しデフォルト状態に戻します (1) デフォルトコンフィグの流し込み以下のコマンドを実行しますこのことでコンフィグレーションが初期化されます (tmos)# load sys config default (2) 保存このデフォルトコンフィグを流し込んだ状態を保存します (tmos)# save sys config 41

UCS のリストア初期化した BIG-IP(bigXXX.f5jp.local) を UCS ファイルで復元します (1) ブラウザで BIG-IP へアクセスすると最初に設定したウィザード画面が現れます (2) UCS ファイルで設定を戻すのでウィザードで設定する必要はありませんよってこのウィザードをコマンドラインで停止します (tmos)# modify sys global-settings gui-setup disabled (3) もう一度 BIG-IP へブラウザでアクセスすると以下の画面に変わります ( ウィザードが開始されません ) (4) System Archives で表示された画面右上の Upload ボタンを押します保存しておいた UCS ファイルを指定して Upload します UCS ファイルを指定 42

(5) UCS ファイルをクリックします (6) Restore ボタンを押します (7) 以下の状態のときは OK ボタンを押さずしばらく待ちます OK を押しても問題はないのですが次の画面に遷移するとリストアが完了することを示すログを確認することができないのでいつ完了したのかがわかりにくいためここでは OK を押さずにしばらく待ちますつい OK を押してしまった場合にもしばらく待てばリストアは完了します 43

(8) 一時的に以下のようなメッセージが表示されるかもしれませんがそのまま待ちます (9) しばらく待つと以下のようなログが出力されリストアが成功したことが分かります OK ボタンを押します (10) UCS のリストア後は再起動することが推奨されています System Configuration Device General で表示された画面で Reboot ボタンを押します (11) 再起動が完了したらログインします UCS を使ったリストア作業はこれで終了ですもしハード障害などで違うシャーシに UCS ファイルをリストアした場合はライセンス情報が引き継がれないためそのままでは利用できませんこの手順に加えてライセンスの付け替え作業が必要になります詳しくは保守契約先にお問い合わせください 44

QKView の取得何らかの不具合発生時には F5 サポートへ QKView の送付が必要となります以下に QKview の取得方法を記載します (1) System Support で以下の画面が表示されますデフォルトで QKView にチェックが入っているのでそのまま Start ボタンを押します (2) しばらく以下の状態が続きます (3) Download Snapshot File ボタンを押して QKView をダウンロードします以上で QKView の取得は終了です 45

L3 構成 : 冗長化 10.1. L3 構成 : 冗長化イメージスタンドアローン構成に加え冗長化用サブネットが必要になりますまた 2 台で共有しどちらかが Active に動作する共用 IP アドレスを設定しサーバのデフォルト GW として指定します項目名前値名前値 1 号機 2 号機ホスト名 bigxxx.f5jp.local bigyyy.f5jp.local 1 管理インタフェース --- 10.99.88.XXX/24 --- 10.99.88.YYY/24 2 External インタフェース External 10.99.1.XXX/24 External 10.99.1.YYY/24 3 Internal インタフェース Internal 10.99.2.XXX/24 Internal 10.99.2.YYY/24 4 デフォルトゲートウェイ 10.99.1.254 設定同期によりコピー 5 仮想サーバアドレス http-vs-001 10.99.1.ZZZ:80 設定同期によりコピー https-vs-001 10.99.1.ZZZ:443 6 Web サーバ 1 の --- 10.99.100.215:80 設定同期によりコピーアドレス : ポート Web サーバ 2 のアドレス : ポート --- 10.99.100.217:80 設定同期によりコピー 7 冗長化用インタフェース HA 10.99.3.XXX/24 HA 10.99.3.YYY/24 8 External 共用 External-flo-ip 10.99.1.24n 設定同期によりコピー 9 Internal 共用 Internal-flo-ip 10.99.2.24n 設定同期によりコピー 10 NTP サーバ 10.99.100.219 46

10.2. L3 構成 : 冗長化のネットワークサンプルもう一台 BIG-IP を追加して L3 構成の冗長化設定を行いますこのサンプルでは NTP サーバを 10.99.2.219 とし BIG-IP はこのサーバとの時刻同期を行うことします ( 冗長化を行う BIG-IP 同士は時刻を合わせておく必要があります ) BIG-IP 間の HA (High Availability) VLAN は冗長化の制御パケットをやり取りする専用の VLAN です External や Internal VLAN を利用することも可能ですが HA 専用の VLAN を追加することを推奨していますよって本構成においては HA VLAN を追加しています 47

10.3. Active 機 (bigxxx.f5jp.local) の設定 10.3.1. HA VLAN の設定 Network VLANs で表示された画面の右上にある Create ボタンを押し HA 用 VLAN を設定します 1 VLAN の名前を ( 例 :HA) 3 2 設定する物理ポートを選択 ( 例 :3.0) Tag /Untag をリストから選んで Add をクリック 10.3.2. HA VLAN の IP 設定 Network Self IPs で表示された画面の右上にある Create ボタンを押し HA 用 VLAN の IP を設定します名前 ( 任意 ) 注 IP アドレスサブネットマスク VLAN を設定注必ず Allow None 以外を選ぶ注 Allow None を選ぶと HA の通信も止めてしまい HA が組めません ( ここでは Allow Default を選びます ) 48

10.3.3. Device の設定 (1) 次に Device Management Devices で自分自身 :bigxxx.f5jp.local(self) を選択します (2) Device Connectivity プルダウンメニューから ConfigSync を選択し HA VLAN に指定した IP アドレスを選択し Update を押します HA VLAN に設定した IP アドレスを選択 (3) Device Connectivity プルダウンメニューから Failover Network を選択し Add ボタンを押します 49

(4) HA VLAN に設定した IP アドレスを選択します HA VLAN に設定した IP アドレスを選択 (5) Device Connectivity プルダウンメニューから Mirroring を選択し HA VLAN に指定した IP アドレスをプライマリに指定します任意ですがここでは Secondary として Internal VLAN に指定した IP アドレスを選択しています選択後 Update を押します Primary には HA VLAN に設定した IP アドレスを選択 Secondary は任意 ( ここでは Internal VLAN を選択 ) 50

10.3.4. 時刻同期 (NTP) 設定 System Configuration Device NTP を選択します Address 欄に NTP サーバの IP アドレスを入力し Add ボタンを押し Update ボタンを押します NTP を選択 NTP サーバのアドレスを入力し Add を押す Update を押す [ 参考 ] NTP 同期状態の確認 NTP 同期状態の確認はコマンドラインから実施します以下に Tera Term を利用した場合の確認方法を示します 1 SSH でログインします 51

2 User name に root を入力し Use challenge/response to log in をチェックします 3 パスワードを入力します ( デフォルト状態のパスワードは default です ) 4 SSH アクセスが完了したら ntpq -np を実行します先頭に * がついていれば同期が完了しています ( 同期完了状態になるまで時間がかかる場合があります ) [root@bigxxx:active:standalone] config # ntpq -np remote refid st t when poll reach delay offset jitter ============================================================================== *10.99.2.219 133.243.238.164 2 u 115 128 377 1.927-2.995 1.491 52

10.4. Standby 機 (bigyyy.f5jp.local) の設定 Standby 機 (bigyyy.f5jp.local) に対して bigxxx.f5jp.local での VLAN,Self IP,Devices の設定と同様の設定を行います 10.4.1. VLAN 設定 Standby 機 (bigyyy.f5jp.local) に設定された VLAN は以下のようになります 10.4.2. Self-IP 設定 Standby 機 (bigyyy.f5jp.local) に設定された Self IP アドレスは以下のようになります注 53

10.4.3. Device 設定 Device Management Devices で自分自身 :bigyyy.f5jp.local(self) を選択し Active 機同様に Device Connectivity の設定を行います (1) ConfigSync 設定 HA VLAN の IP アドレスを選択 (2) Failover 設定 HA VLAN の IP アドレスを選択 (3) Mirroring 設定 Primary には HA VLAN に設定した IP アドレスを選択 Secondary は任意 ( ここでは Internal VLAN を選択 ) 54

10.4.4. NTP 設定 NTP サーバのアドレスを入力し Add を押す 55

10.5. デバイストラスト設定 (Active 機 (bigxxx.f5jp.local) 側から実施 ) デバイストラスト設定にて冗長化する機器間で信頼関係を結びます以降は Active 機 (bigxxx.f5jp.local) からのみ設定します (1) Device Management Device Trust Peer List を選択し Add ボタンを押します (2) Standby 機 (bigyyy.f5jp.local) の IP アドレスと管理者 ID(Admin) とパスワードを指定します Retrieve Device Information ボタンを押します注 Standby 機の IP アドレスを指定し管理者ユーザ名 (Admin) およびそのパスワードを指定します 56

(3) Standby 機 (bigyyy.f5jp.local) の証明書情報が表示されます Finished ボタンを押して終了します (4) 承認されたデバイスとして登録された状態です XXXXxx (5) Device Management Devices で見ると (self) に加え Standby 機 (bigyyy.f5jp.local) も表示されます ( ここは確認のみです ) 57

10.6. デバイスグループの設定デバイスグループはデバイストラストで信頼関係を結んだ機器の間でどの機器間で冗長化を行うかの指定ですデバイストラストは BIG-IP 3 台以上で構成することも可能で例えば (1) と (2) で冗長化を行い (2) と (3) はコンフィグ同期のみ行うという組合せが可能となっていますこの組み合わせをデバイスグループで指定します 2 台で冗長化を行う場合はデバイスグループの組み方をあまり意識する必要はありませんが設定は必要です (1) Device Management Device Groups を選択し Create ボタンを押します (2) 名前の入力 Sync-Failover の選択冗長化を行うデバイスの選択 Network Failover のチェックを行います Finished を押します名前 ( 任意 ) を設定 Sync-Failover を選択冗長化を行うデバイス ( 自分自身を含む ) を選択ネットワークフェイルオーバを行うのでチェック 58

(3) デバイスグループが作られた状態です 59

10.7. トラフィックグループの設定トラフィックグループはデバイスグループ内で移動するオブジェクトの集合です主に Virtual Server と共用 IP(Floating IP) がトラフィックグループのオブジェクトです Device Management Traffic Groups を確認します 10.7.1. トラフィックグループの確認デフォルトで Traffic-group-1 という名前のトラフィックグループが存在しています以降この Traffic-group-1 に対して Floating IP および Virtual Server を割当てていきますデフォルトのトラフィックグループ 60

10.7.2. Floating IP の設定 Floating IP は Active 機ダウン時に Standby 機が引き継ぐ自身に設定された IP アドレス (Self IP) を指します実サーバはこの IP アドレスをデフォルトゲートウェイに指定することで Active/Standby の切り替わり発生時にも即座に通信を再開できます (1) Internal VLAN 側の共用 IP(Floating IP) を追加設定します Network Self IPs で表示された画面右上の Create ボタンを押し表示された画面で以下のように設定しますここで Traffic-group-1 を選択することでそのトラフィックグループに属させます名前 ( 任意 ) を設定注フローティング IP アドレスを設定サブネットマスクを指定 VLAN を選択この IP アドレス上のサービス (SSH/GUI 等 ) を許可 traffic-group-1 を選択 (2) External VLAN 側の共用 IP(Floating IP) も追加設定します名前 ( 任意 ) を設定注フローティング IP アドレスを設定サブネットマスクを指定 VLAN を選択この IP アドレス上のサービス (SSH/GUI 等 ) を停止 traffic-group-1 を選択 61

10.7.3. Virtual Server と Traffic-Group の紐付け ( 確認 ) Local Traffic Virtual Servers Virtual Address List を選択しますこの Properties の Traffic Group で traffic-group-1 が選択されていることを確認します traffic-group-1 が選択されていることを確認 10.7.4. Traffic Group に紐付けられたオブジェクトの確認 Device Management Traffic Groups の Traffic-group-1 をクリック Failover Objects タブをクリックして中身を確認するとフェイルオーバーオブジェクトは以下のようになっています 62

10.8. ConfigSync Active 機 (bigxxx.f5jp.local) のみに行った設定を Standby 機 (bigyyy.f5jp.local) に同期するために ConfigSync を実行します (1) Device Management Overview を選択します Active 機 (bigxxx.f5jp.local) を選択し Sync ボタンを押すことでコンフィグ同期が行われますクリック (2) しばらく待つとコンフィグ同期が完了し各ステータスがグリーンになります 63

10.9. Traffic-group-1 の優先度設定デフォルトでは管理 IP アドレス設定の大きい値を持つものが Traffic-group-1 の Active 機になりますしたがって本構成では Standby にしたい機器 (bigyyy.f5jp.local) がこの Traffic-group-1 の Active となっています以降 Active 機にしたい機器 (bigxxx.f5jp.local) が Traffic-group-1 の Active になるように設定します (1) bigyyy.f5jp.local へ移動し Device Management Traffic Groups から Traffic-group-1 を選択し Force to Standby ボタンを押します (2) その結果 bigyyy.f5jp.local が Standby になります (3) bigxxx.f5jp.local は Active になります以上で冗長化設定は終わりです 64

10.9.1. クライアントからの HTTP アクセス (1) テスト用クライアントから作成した Virtual Server へ Web ブラウザでアクセスし Web 画面が表示されることを確認します (2) Statistics Module Statistics Local Traffic タブをクリックします Statistics Type のプルダウンメニューから Pools を選択しますそれぞれの Web サーバの Bits, Packets 等のカウントがアップしていることを確認しロードバランシングが正常に行われていることを確認しますカウンタをリセットしたい場合には Status 左横のチェックボックスにチェックを入れて Reset ボタンを押します (3) Traffic-Group-1 を再度 YYY.f5jp.local へ移動 ( 冗長化の切り替わりを模擬 ) してクライアントからの通信が復旧するかを確認してください 65

おわりに基本的なセットアップに関しては以上で終了となります BIG-IP には送信元 IP やクッキーを用いたセッション維持外部 Syslog サーバへの詳細な通信ログ送信 irule と呼ばれるスクリプティング機能を利用したトラフィック処理のカスタマイズなど本セットアップガイドにてカバーしきれない豊富な機能が実装されています使い方次第で単純な負荷分散から高度なトラフィックコントロールまでさまざまにご利用頂けますまた BIG-IP i850 以外の BIG-IP シリーズ製品ラインナップにおいてはソフトウェアモジュールライセンスを追加することで広域負荷分散やファイアウォール WAF SSL-VPN 機能などアプリケーションアクセスを最適化する為の多彩な機能が使用できるようになりますので詳細は各種 WEB サイトにてご確認いただくか購入元にお問い合わせください <F5 ネットワークス WEB サイトの紹介 > F5 ネットワークスジャパン総合サイト https://f5.com/jp F5 のセキュリティソリューション https://f5.com/jp/products/security AskF5: ナレッジベース総合サイト ( 英語 ) https://support.f5.com/ DevCentral:F5 ユーザコミュニティサイト ( 英語 : アカウント登録が必要です ) https://devcentral.f5.com/ 66