F5负载均衡器双机切换机制及配置

F5负载均衡器双机切换触发机制及配置1F5双机的切换触发机制1.1F5双机的通信机制F5负载均衡器的主备机之间的心跳信息可以通过以下两种方式进行交互：通过F5failover串口线交换心跳信息（电压信号不断地由一方送到另外一方）处于Standby的系统不断监控Failover上的电平，一旦发现电平降低，StandbyUnit会立即变成Active，会发生切换（Failover）。通过串口监控电平信号引起的切换可以在一秒中以内完成（大概200〜300ms）。四层交换机在系统启动的时候也会监控Failover线缆的电平以决定系统是处于Active状态还是Standby状态。在串口Failover线缆上不传输任何数据信息。Failover线缆也可以不采用串口线，而直接采用网络线。（但F5不建议这样做，因为网络层故障就可能会两台负载均衡器都处于Active状态）。如果采用网络层监控实现Failover,Bigip将通过1027与1028端口交换心跳信息。经验证明：两台F5之间一定要用failovercable连接起来，不连接failovercable而直接采用网络线连接在一起不可靠，而且造成了网上事故。F5双机之间的数据信息是通过网络来完成的。因此运行于HA方式的两台F5设备在网络层必须是相通的。（可以用网线将两台F5设备直接相连起来，也可以通过其它的二层设备将两台F5设备相连，使F5设备在网络上可以连通对端的FailoverIP地址）。两台运行于HA方式的四层交换机之间通过网络层交互的信息主要包括：用于配置同步的信息：通过手工执行configsync会引起Active到Standby系统的配置信息传输。•用于在发生Failover时连接维持的信息：如果设置了ConnectionMirroring,处于Active的四层交换机会将连接表每十秒中发送一次到Standby的系统。（ThefollowingTCPConnectionscanbemirrored:TCP、UDP、SNAT、FTP、Telnet）。如果设置了StatefulFailover,Persistence信息也会被发送到Standby系统。（Thefollowingpersistenceinformationforthevirtualservers（VIPs）canbemirrored:SSLpersistence、Stickypersistence、iRulesPersistence）lword格式支持编辑，如有帮助欢迎下载支持。文档从互联网中收集，已重新修正排版，文档从互联网中收集，已重新修正排版，word格式支持编辑，如有帮助欢迎下载支持。#word格式支持编辑，如有帮助欢迎下载支持。1.2F5双机的切换触发机制F5负载均衡器主/备机的切换触发机制主要有以下四种：Watchdogdevice触发切换：这种切换主要是用于当F5本身发生故障时，备机会检测到主机失效的情况，引起F5的切换；GatewayFailsafe触发机制：这种机制主要是用于当F5检测到特定的IP地址不可达时，会引起F5的切换；Vianarmfailsafe触发机制：这种机制主要是用于当F5检测到相应的网段内都没有流量时，会引起F5的切换；Sslproxyfailover触发机制：这种机制主要是用于当F5检测到其硬件加密模块有硬件故障时，会引起F5的切换。在我们产品线的应用中，现在可以用到前三种触发机制，sslproxyfailover触发机制现在基本不涉及，后面针对前三种机制作一些描述。Watchdogdevice机制Watchdogdevice机制是F5内部有一个watchdog部件，当F5的硬件或软件有问题时，有问题的F5会重新启动机器（reboot）。在原主F5重启的过程中，备F5从主F5上收不到任何信号,备F5就会自动变成active，担当主F5的角色。需要注意的是：备F5是在主F5重新启动时，收不到原主F5的信号才会变成主用的。此项切换机制不需要我们手工去配置。GatewayFailsafe机制及配置Gatewayfailsafe是在F5上配置一个IP地址，F5会去检查此地址是否可以ping通，如果ping不通设定的IP地址，则主F5就会变成standby模式。主F5变成standby模式后，备F5收不到activeF5过来的信息，则备F5自己会变成active的状态。需要注意的是：每台F5只能设定一个检测的IP地址，ping包的时间间隔及timeout时间都是可配置的。在F5ping不通gateway后，F5不会重新启动。Gatewayfailsafe的配置方法如下：

FallworPartner1O.O.Q.232ACTMEConfii[p^miDLPsaradminFsilmvorLinkdov/r]RculerIPiog(s：BCuriii&)i\mniF匚teetoStandbych-anje■…IFailuf^erMirrorEriiabhdSSIAxxtleralorFailoverEnabledActiw-AdivE恫口<d容FallworPartner1O.O.Q.232ACTMEConfii[p^miDLPsaradminFsilmvorLinkdov/r]RculerIPiog(s：BCuriii&)i\mniF匚teetoStandbych-anje■…IFailuf^erMirrorEriiabhdSSIAxxtleralorFailoverEnabledActiw-AdivE恫口<d容iEn闵iblkUEnabled4ETimeDim(second^：)|釦iElEftA.J叽寸我用程序.LNISY-B-SWOOI.WAP.chioamoltilex□mGatftwajfFaikaife3j0laltSytJlemWiirhui^nSeirwrsSriodM奏Pools3Rules-晁M^TsftProxies'-network:*FittersMunitors—BIGpipeSffiStatfstics®LugFiles151rflinidternu5WIHIf呂PmfMflto鞘•血由aicflHPr<?per|iwi\[Mehwxk帕日卩、RedmndantiPrQpi]tra-xiifa■.Lx-cuIV-til■ij-—lacrax»£tZxi.l.-«rxir]壷Exjp-21.a-x*er文惮©啣叩莹看迫HT®Hi工真Q刪1即E1[El么宝CaJ星r.后堆停止B.W王贝打印讨常//3L/bialpciiL/ticcwn£.愜i~2]P■團BJCiIP在WebUI中的system项中的redundantproperties项中，把gatewayfailsafe中的enabled项选择上，把需要监控的IP地址配置在router后的空格中，设定ping包（每隔多少秒发一次ping包）及timeout（多少时间ping不通则切换）的时间则可。此项配置主、备F5是不一样的，也就是主、备F5都需要分别设置，而且监控的IP地址可不一样。VLAN的ArmFailsafeVian的armfailsafe是F5检查配置了armfailsafe的vlan,是否还有属于此vian的流量，如果有流量，F5不会有动作；如果F5检查不到有属于监控vlan的流量，贝庐5设备本身会模拟一些属于此vlan的流量，看是否有机器对此流量作反应？如果仍然没有设备对此模拟流量作反应，贝怕5会用失效处理，把自己重启。此时备F5从原主F5上收不到信号，则会变成active状态。需要注意的是：配置了vlanarmfailsafe的F5，在缺省情况下，不论是主机、备机，如果F5本身检测到相应的vlan中没有流量，F5会反复重启。如果让备F5在检测不到相应的vlan流量时不重启机器，需要在F5中配置如下数据：在两台F5的/config下创建一个routes文件，加入以下语句：/sbin/binternalsetstandby_failsafe_reboot=0同时用命令行方式手工执行binternalsetstandby_failsafe_reboot=0这个命令。检验此配置是否生效的命令：F2400-1#binternalshow|grepbootpanic_on_netboot_button0standby_failsafe_reboot0vlanarmfailsafe的配置方法如下:(4093dArmFalfcafo:Tlmaout30©完成EMstwork■.Lx»-iiiViilaif-■»crsxtft工!nA畳iris.*隹Exj-1D-rsrModesPot>ta：RjuIosMATsMonitomsBBIGpipeSffiStatuses8LugFiles(4093dArmFalfcafo:Tlmaout30©完成EMstwork■.Lx»-iiiViilaif-■»crsxtft工!nA畳iris.*隹Exj-1D-rsrModesPot>ta：RjuIosMATsMonitomsBBIGpipeSffiStatuses8LugFiles131MlnidteimiiiS^IH恂址I匹IMipE：.'/io.a.0.23L/biaLpcai/liScwi£.cCiB/G-rF文件u)暉叩奁看⑥輝谢工具心帝助皿LNISY^^WOOI»WAP.chiriam□bile.c□mSyslem:WiirtuiisnSerwrsVLANName;4.后堆FrapEPtiMJ•-匸仲日『HngTeMeRelumtoyWNLktVLANexternalmierfaceNumberCurrenlIrfler