■BIG-IP

・忘れた管理者パスワードをリカバリする方法。

※これはパスワードのリカバリをするだけで、設定を初期化するものではありません。
※パスワードをリカバリしても、本体に個人情報は残ります。

0. 本体にシリアルケーブルでコンソールアクセスします。(ビット速度は19200です。)

1. 本体の電源を入れます。

2. CMOSチェックが走った後、4秒間のカウントが始まります。そのタイミングでスペースを押すとカウントを中断します。

3. bootプロンプトが表示されるので、下記のコマンドを入力。
bsd

loading /boot
press ESC to boot now, any other key to interrupt boot sequence 4 3 2
Boot: bsd

4. 続けて下記のコマンドを入力。
wd0

Copyright (c) 1996-2004
F5 Networks, Inc. All rights reserved.

BIG-IP Kernel 4.5.10 Build84
Hardware Configuration: ....root device? wd0

5. シェルを選択します。
/bin/bash

CPU: Pentium III (Coppermine) (996 MHz)
Memory: 2048 MB
Crypto Processors: 1 x BCM5822
Network Interfaces:
3.1 00:01:xx:yy:zz:aa (exp0) ether 100BaseTX 10BaseT
2.1 00:01:xx:yy:zz:aa (bsg2) ether 1000BaseFX
1.1 - 1.8 (bs) ether 100BaseTX 10BaseT
Other Devices:
Enter pathname of shell or RETURN for sh: /bin/bash
erase ^H, kill ^U, intr ^C status ^T

6. ファイルシステムをマウントします。
/sbin/mount -auw

sh-2.02# /sbin/mount -auw
/dev/wd0g on /var: Specified device does not match mounted device.
mfs: -o update: option not supported
mfs: -o update: option not supported

※何やら怒られますが、無視して進みます。


7. rootのパスワードをリセットします。
/usr/bin/passwd root

sh-2.02# /usr/bin/passwd root
Changing local password for root.
New password (128 significant characters):
Retype new password:
passwd: updating passwd database
passwd: done

8. 新規パスワードを2回聞かれますので、2回とも同じパスワードを入力。

9. 再起動して、設定したパスワードでログインします。

・基本設定。
1. コンソールでログインして、下記のコマンドを入力し、基本設定画面を表示します。
config

2. 下記の設定メニューが表示されますので、Aを選らび、指示に従って基本設定を行います。
lqq I N I T I A L   S E T U P   M E N U qqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqk
x                                                                          x
x    Choose the desired configuration function from the list below.        x
x                                                                          x
x    (A) Configure all services         (R) Steps for redundant systems    x
x                                                                          x
x    REQUIRED                                                              x
x    (E) Set default gateways           (V) Configure VLANs & networking   x
x    (H) Set host name                  (W) Configure web servers          x
x    (P) Set root password                                                 x
x                                                                          x
x    OPTIONAL                                                              x
x    (C) Remote authentication          (O) Configure remote access        x
x    (D) Configure DNS                  (S) Configure SSH                  x
x    (F) Configure FTP                  (T) Configure Telnetd              x
x    (I) Initialize iControl portal     (U) Configure RSH                  x
x    (K) Set keyboard type              (Y) Set support access             x
x    (L) License Activation             (Z) Set time zone                  x
x    (M) Define time servers            (Q) Quit                           x
x                                                                          x
x                                                                          x
x    Enter Choice:                                                         x
x                                                                          x
qqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqj
3. 細かい設定は後で変更できますので、とりあえず、管理者画面をブラウズアクセスできるようにします。

ブラウズできるように設定されていれば、
https://host or IP/ でアクセス可能です。 下記のようなトップ画面が表示されます。



4. Setup Utilityで基本動作を構築できます。

・ネットワークの設定サンプル
0. BIG-IPを運用するには、少なくても3つのNetworkセグメントが必要です。
・External(実際に公開するサービスセグメント)
・Internal(物理サーバのセグメント)
・Admin(管理コンソール用セグメント)

今回は下記の用に設定します。

ネットワークレイアウト図A-1

1. トップページからconfigure your BIG-IP (R) using the Configuration Utilityを選択します。
※この運用時にはこのページをメインで使用します。

2. まずは、物理ポートの割り当てをします。
VLANをadmin、Ex-VLAN、In-VLANと3つ追加します。
左ペインからNetworkを選択し、右ペインからAddを選択します。


3. VLAN NameにVLANの名前(admin、Ex-VLAN、In-VLAN)をそれぞれ入力する事になります。
Resourcesで使用するインターフェースを選択します。
Port Lockdownは通常Ex-VLANにのみ使用します。
DONEボタンで終了します。この作業を3回繰り返し、最終的に上記↑の画像のようにVLANを3つ用意します。



4. IPアドレスの設定。
Self IP Addressesのタブに移動しAddボタンを選択します。



5. IPアドレスを設定して、先程設定したVLANにアサインします。
Broadcastは入力しなくても自動的に認識します。
Floatingというのは、BIG-IPを2台構成にしたときに共有するIP(バーチャルIP)の事です。
今回は、192.168.9.9を物理IP、192.168.9.10をFloatingに設定しています。
※全体のネットワーク構成は上記のネットワークレイアウト図A-1 を参照してください。

・HTTPロードバランスの設定サンプル
0. ロードバランスを構成するときは、以下の手順で進めます。
・POOLを作成(In-VLAN内のサーバーを所属させるグループを作成)
・Vertual Serversを作成(Ex-VLANのIPをサービス公開用として設定し、どのPOOLを利用するかを指定)
・Monitors設定(In-VLAN内のサーバーをどのように監視するかを設定)

1. POOLを作成
左ペインからPoolsを選択し、右ペインからADDを選択。


Pool Nameを任意で指定。
Load Balancing Methodはどのような方法でロードバランスをするか。
ResourcesでIn-VLAN内のWEBサーバ等を指定する。

Member Priorityでどちらのサーバを優先的に振り分けするかです。数字が大きい方を優先します。

Minimum Active Membersはフェールオーバーする対象の優先順位です。
たとえばCurrent Membersに10台のサーバーが登録されているとします。その中の2台は本番運用可能なスペックで、残りの8台はどうしても本番の2台が落ちたときにだけしか使いたくない時などに使用します。
実際の設定としては、本番機2台のMember Priorityを残りの8台より高くし、Minimum Active Membersを2にします。その場合、Load Balancing MethodでRound Robinを指定していても、本番の2台でしかRound Robinしません。

最終的に上記画像のように、3つのPoolを作成してみました。



2. Virtual Serversの設定
左ペインからVirtual Serversを選択し、ADDボタンうぃ選択。


Ex-VLAN側の使用していないIPアドレスを指定
※このIPは実際にサービスするIPアドレスになります。
Serviceとして今回はhttpを選択。
Netmaskは通常指定しません。
NEXTボタンを選択。


この画面で指定するのは、おそらくDisabled VLANsです。
これは、実際にこのサービスとは関係の無いVLANを排除するオプションです。
NEXTを選択。


振り分けをするPOOLを指定します。
DONEを選択
この作業を3回繰り返し、POOL-1、POOL-2、POOL-3を作成します。



これまでの設定を確認
左ペインからSystemを選択し、実際のVirtual ServerとPoolを確認します。
この画像では、POOL-1内のサーバがグリーンになっていますが、POOL-2とPOOL-3はレッドです。
グリーンはサーバが正常である事を示し、レッドは異常です。
今回、まだPOOL-2とPOOL-3の4台のサーバは接続されていませんので、レッドになっています。


3. 監視
デフォルトでは、物理サーバの監視はPINGとPOOLで指定したサービス(今回はHTTP)を監視しています。
それ以上に監視項目を増やしたい時は、左ペインのMonitersで細かい設定が可能です。
1台に対して複数ポートを監視したり、HTTPページをGETしてページ内の文字列を検索する等、さまざまな監視方法があります。

ちなみに当方は、PING HTTP:80(APACHE)、 HTTP:8080(TOMCAT)、 HTTPページ(ページ内文字列)を監視しています。ページ内文字列はDBサーバからQueryをかけて取得するようにしています。そうすることによってDBサーバの死活チェックも同時に可能です。

・その他の機能

ipforwardingはEx-VLANからIn-VLANにつながっている機器にパケットを通す設定です。
物理サーバに対してTELNETやSSHもEx-VLANを通してアクセスさせたいときに便利です。


BIG-IPを2台で冗長構成をとっている場合は、Synchronize Configurationボタンで設定をシンクロします。
2台のBIG-IPの/etc/hosts,allowでSSHを通信可能にしておかないと正しく動作しないです。

Gateway Failsafeは BIG-IPを2台で冗長構成をとっている場合で、それぞれ別のGateway(スイッチやルーター)に接続されている場合、それらの機器をPING監視し、通信が途切れたときに、スタンバイ側のBIG-IPにフェールオーバーする機能です。