BIG-IP Virtual Edition の基本設定が終わったら、次に管理インターフェース以外のネットワークを構成します。F5 では、物理インターフェースに直接 IP アドレスを設定するのではなく、VLAN を作成し、その VLAN に Self IP を割り当てる形で考えます。
この作法は一般的な Linux のネットワーク設定とは少し感覚が違います。最初は回りくどく見えますが、BIG-IP では VLAN が通信境界、Self IP がその VLAN 上の BIG-IP 自身のアドレス、Virtual Server がサービスの入口として整理されます。
この記事では、BIG-IP Virtual Edition のデータプレーン側ネットワークを構成します。
- 管理インターフェースとデータ用インターフェースを分けて考える。
- BIG-IP では VLAN を作成し、Self IP を VLAN に割り当てる。
external、internal、haの 3 つの VLAN を例にする。- HA 用 Self IP では Port Lockdown / allow-service を意識する。
構成例
この記事では、1 本のデータ用インターフェースにタグ付き VLAN を収容し、external、internal、ha の 3 つを作る例にします。値は記事用の例です。
| VLAN | 用途 | 例 |
|---|---|---|
external |
クライアント側、または外部側の通信 | 10.0.34.0/24 |
internal |
Pool Member 側、または内部側の通信 | 10.0.35.0/24 |
ha |
BIG-IP 間の冗長化、同期、Failover 用通信 | 10.0.36.0/24 |
TMOS Shell を起動する
tmshインターフェースを確認する
まず BIG-IP が認識しているインターフェースを確認します。mgmt は管理用であり、データプレーン側では別のインターフェースを使います。
list net interfacenet interface 1.1 {
media-fixed 10000T-FD
mtu 9198
}
net interface mgmt {
media-active 100TX-FD
}VLAN を作成する
BIG-IP では、タグ付き、タグなしにかかわらず VLAN を作成します。Self IP はインターフェースではなく VLAN に割り当てます。ここでは 1.1 にタグ付き VLAN を 3 つ作成します。
create net vlan external interfaces replace-all-with { 1.1 { tagged } } tag 3034
create net vlan internal interfaces replace-all-with { 1.1 { tagged } } tag 3035
create net vlan ha interfaces replace-all-with { 1.1 { tagged } } tag 3036
list net vlanVLAN を使わず、インターフェースにそのまま IP アドレスを設定できればよいのに、という感覚はあります。ただ、BIG-IP の世界では VLAN がネットワーク境界の単位になっており、後続の Self IP、Floating IP、HA、Virtual Server の考え方にもつながります。
Self IP を設定する
Self IP は、各 VLAN 上に存在する BIG-IP 自身の IP アドレスです。BIG-IP が Pool Member と通信したり、HA 用の通信を行ったりする時に使います。
以下は 1 台目の例です。external と internal は IPv4 / IPv6 のデュアルスタック、ha は IPv4 のみとしています。
create net self external-ipv4 address 10.0.34.112/24 vlan external
create net self internal-ipv4 address 10.0.35.112/24 vlan internal
create net self ha-ipv4 address 10.0.36.112/24 vlan ha allow-service default
create net self external-ipv6 address fd00::a00:2270/120 vlan external
create net self internal-ipv6 address fd00::a00:2370/120 vlan internal
list net selfnet self external-ipv4 {
address 10.0.34.112/24
traffic-group traffic-group-local-only
vlan external
}
net self internal-ipv4 {
address 10.0.35.112/24
traffic-group traffic-group-local-only
vlan internal
}
net self ha-ipv4 {
address 10.0.36.112/24
allow-service {
default
}
traffic-group traffic-group-local-only
vlan ha
}HA 用 Self IP と Port Lockdown
HA 用の Self IP では、BIG-IP 間の同期や Failover に必要な通信を許可する必要があります。allow-service default は、BIG-IP の運用で一般的に必要になる通信を許可する定義済み設定です。
list net self-allownet self-allow {
defaults {
tcp:https
tcp:ssh
udp:domain
udp:snmp
tcp:snmp
udp:f5-iquery
tcp:f5-iquery
}
}検証環境では allow-service default が簡単ですが、本番ではどの Self IP でどの通信を許可するかを意識するべきです。Self IP は管理面にもなり得るため、Port Lockdown の扱いを雑にすると、想定外の管理口を開けることになります。
2 台目の Self IP を設定する
Active/Standby 構成を組む場合、2 台目にも同じ VLAN 構成を作り、Self IP は別アドレスで設定します。
create net self external-ipv4 address 10.0.34.113/24 vlan external
create net self internal-ipv4 address 10.0.35.113/24 vlan internal
create net self ha-ipv4 address 10.0.36.113/24 vlan ha allow-service default
create net self external-ipv6 address fd00::a00:2271/120 vlan external
create net self internal-ipv6 address fd00::a00:2371/120 vlan internal設定を保存する
save sys config
quit確認すること
- データ用インターフェースが BIG-IP に認識されているか。
- VLAN とタグ番号が仮想基盤側のポートグループやブリッジ設定と一致しているか。
- Self IP が意図した VLAN に紐づいているか。
- HA 用 Self IP の
allow-serviceが適切か。 - IPv4 / IPv6 のどちらを HA やサービス側で使うのかを決めているか。
まとめ
BIG-IP VE のネットワーク設定では、管理インターフェースとは別に、データプレーン側の VLAN と Self IP を作ります。F5 では、VLAN がネットワーク境界、Self IP が BIG-IP 自身のアドレスとして扱われます。
特に HA 構成を見据える場合、external、internal、ha の役割を分け、Self IP と Port Lockdown を意識して設定することが重要です。
関連する記事
- BIG-IP Virtual Edition 検証ガイド – F5 VE を構成する流れ
- BIG-IP Virtual Edition の基本設定 – 管理 IP / ホスト名 / DNS / NTP を整える
- BIG-IP Virtual Edition 冗長構成 Active/Standby
- BIG-IP Virtual Edition を KVM 環境へデプロイする
関連記事
BIG-IP Virtual Edition の冗長構成 – Active/Standby と ConfigSync を構成する
BIG-IP Virtual Edition の基本設定 – 管理 IP / ホスト名 / DNS / NTP を整える
BIG-IP Virtual Edition 検証ガイド – F5 VE を構成する流れ
BIG-IP Virtual Edition のライセンス認証 – F5 VE を検証環境で有効化する
BIG-IP Virtual Edition を KVM にデプロイする – QCOW2 と virt-install で検証環境を作る
F5 BIG-IP iRule を使うべき場面 – 標準機能とコード責任の境界を考える