BIG-IP Virtual Edition を 2 台構成にすると、Active/Standby の冗長構成を検証できます。F5 の HA は、単に 2 台を並べるだけではなく、ConfigSync、Failover Network、Mirroring、Device Trust、Device Group、Traffic Group を順に理解する必要があります。
この記事では、BIG-IP VE の検証環境で Active/Standby を構成する流れを、tmsh コマンド中心に整理します。値は記事用の例です。実際の環境では、管理 IP、HA 用 Self IP、ホスト名、証明書、通信許可を自分の設計に合わせて読み替えてください。
この記事では、BIG-IP Virtual Edition を Active/Standby 構成にするための流れを整理します。
- デバイス名、ConfigSync IP、Failover Network、Mirroring IP を設定する。
- Device Trust を構成し、2 台の BIG-IP を信頼関係に入れる。
- Sync-Failover の Device Group を作成し、初回同期を行う。
- Traffic Group に Floating IP を割り当て、Active 側でサービス用の共有 IP を持つ。
Active/Standby で出てくる要素
BIG-IP の冗長構成では、複数の機能が重なります。まず用語を分けておくと、手順の意味が追いやすくなります。
| 項目 | 役割 |
|---|---|
| ConfigSync | BIG-IP 間で設定を同期する通信 |
| Failover Network | Active/Standby の状態監視と切り替えに使う通信 |
| Mirroring | セッションミラーリングに使う通信 |
| Device Trust | BIG-IP 同士を信頼関係に入れる仕組み |
| Device Group | 同期と Failover の対象になるデバイス集合 |
| Traffic Group | Floating IP など、Active 側へ移動するリソースの単位 |
TMOS Shell を起動する
tmshデバイス名を変更する
Device Trust や Device Group では、BIG-IP のデバイス名が重要になります。ホスト名とは別の設定として、初期値の bigip1 から識別しやすい名前へ変更します。
mv cm device bigip1 bigip-1.example.com
show cm devicemv cm device bigip1 bigip-2.example.com
show cm deviceConfigSync IP を設定する
ConfigSync は、冗長化された BIG-IP 間で設定を同期するための通信です。ここでは HA 用 Self IP を ConfigSync IP として使います。
modify cm device bigip-1.example.com configsync-ip 10.0.36.112
show cm devicemodify cm device bigip-2.example.com configsync-ip 10.0.36.113
show cm deviceFailover Network を設定する
Failover Network は、Active/Standby の状態監視と切り替えに関係します。ユニキャストの Failover Address として、HA 用 Self IP を指定します。
modify cm device bigip-1.example.com unicast-address { { ip 10.0.36.112 } }
show cm devicemodify cm device bigip-2.example.com unicast-address { { ip 10.0.36.113 } }
show cm deviceMirroring IP を設定する
Mirroring は、セッション情報を対向機へ同期するために使います。すべての構成で必須というわけではありませんが、冗長化時の挙動を理解するうえでは設定場所を把握しておくべき項目です。
modify cm device bigip-1.example.com mirror-ip 10.0.36.112
show cm devicemodify cm device bigip-2.example.com mirror-ip 10.0.36.113
show cm deviceDevice Trust 用ユーザーを作成する
Device Trust の設定では、対向 BIG-IP へ接続するための認証情報が必要です。管理者の個人アカウントや GUI 管理用の admin をそのまま使うより、HA 用のユーザーを分けた方が運用上は整理しやすいです。
create auth user ha password <HA_PASSWORD> partition-access add { all-partitions { role admin } }
list auth user ha<HA_PASSWORD> は実際のパスワードに置き換えます。記事、ログ、構成管理の公開領域に実パスワードを残さないようにします。
Device Trust を設定する
Device Trust は片方の BIG-IP から設定します。ここでは bigip-1 から bigip-2 を信頼関係に追加する例です。成功すると、対向 BIG-IP が connected として見えるようになります。
modify cm trust-domain Root add-device { ca-device true device-ip 10.0.36.113 device-name bigip-2.example.com username ha password <HA_PASSWORD> }
show cm deviceCentMgmt::Device: bigip-1.example.com
Device Status
CentMgmt::Device: bigip-2.example.com
Device Status connectedDevice Group を作成する
Device Trust ができたら、Sync-Failover 用の Device Group を作成します。Device Group は、設定同期と Failover の対象になる BIG-IP の集合です。
create cm device-group device-group-1 devices add { bigip-1.example.com bigip-2.example.com } type sync-failover network-failover enabled
show cm device-group初回同期を行う
Device Group 作成後、Active 側から初回同期を実行します。実行後に In Sync になれば、設定同期ができています。
run cm config-sync to-group device-group-1
show cm sync-statusColor green
Status In SyncFloating IP を設定する
Floating IP は、Traffic Group に属し、Active 側の BIG-IP が保持する共有 IP アドレスです。Cisco の HSRP の仮想 IP に近いものとして捉えると理解しやすいです。サーバー側の Gateway として使う場合や、BIG-IP 自身の共有アドレスとして使う場合に重要になります。
Floating IP は ConfigSync の対象になるため、片方で設定して同期します。
create net self external-ipv4-fip address 10.0.34.114/24 vlan external traffic-group traffic-group-1
create net self internal-ipv4-fip address 10.0.35.114/24 vlan internal traffic-group traffic-group-1
create net self external-ipv6-fip address fd00::a00:2272/120 vlan external traffic-group traffic-group-1
create net self internal-ipv6-fip address fd00::a00:2372/120 vlan internal traffic-group traffic-group-1
run cm config-sync to-group device-group-1設定を保存する
save sys config
quit確認すること
- 両方の BIG-IP が Device Trust に入っているか。
- Device Group が
sync-failoverとして作成されているか。 - ConfigSync が
In Syncになっているか。 - Failover Network と Mirroring IP が HA 用 Self IP を向いているか。
- Floating IP が
traffic-group-1に所属しているか。 - Active/Standby の切り替え時に Floating IP が移動するか。
まとめ
BIG-IP VE の Active/Standby 構成では、ConfigSync、Failover Network、Mirroring、Device Trust、Device Group、Traffic Group を順番に構成します。どれも冗長化に関係しますが、役割は同じではありません。
設定同期は ConfigSync、切り替えは Failover Network、セッション同期は Mirroring、信頼関係は Device Trust、同期対象は Device Group、Active 側へ移動するリソースは Traffic Group と分けて理解すると、BIG-IP の HA 構成を追いやすくなります。
関連する記事
- BIG-IP Virtual Edition 検証ガイド – F5 VE を構成する流れ
- BIG-IP Virtual Edition の基本設定 – 管理 IP / ホスト名 / DNS / NTP を整える
- BIG-IP Virtual Edition のネットワーク設定 – VLAN / Self IP / Route を構成する
- BIG-IP Virtual Edition のライセンス認証 – F5 VE を検証環境で有効化する
- F5 BIG-IP iRule のメリットと使用基準
関連記事
BIG-IP Virtual Edition のネットワーク設定 – VLAN / Self IP / Route を構成する
BIG-IP Virtual Edition の基本設定 – 管理 IP / ホスト名 / DNS / NTP を整える
BIG-IP Virtual Edition を KVM にデプロイする – QCOW2 と virt-install で検証環境を作る
BIG-IP Virtual Edition 検証ガイド – F5 VE を構成する流れ
BIG-IP Virtual Edition のライセンス認証 – F5 VE を検証環境で有効化する
F5 BIG-IP iRule を使うべき場面 – 標準機能とコード責任の境界を考える