目 录1. 前言 42. 日常物理检查 42.1. F5 BigIP设备面板结构 42.2. 状态灯判断 43. 日常运行监控 53.1. 检测各台BIG-IP设备的主备工作状态 53.2. 检测F5设备负载状况 53.2.1. 检测BIG-IP的CPU和内存使用状况 53.2.2. 检测客户连接数量 63.3. 查看服务器节点状态 63.4. 查看当前建立的所有连接 73.5. 备份日志 83.6. 查看LOG列表 84. 变更操作 94.1. F5 BIG-IP设备的变更操作 94.2. 服务器的变更维护管理 95. 系统管理 115.1. 用户管理 115.2. SNMP管理 116. 标准故障诊断流程 127. 系统配置备份及恢复 147.1. 系统配置的备份 147.1.1. 命令行方式(推荐) 147.1.2. 图形界面方式 167.2. 系统配置的恢复 167.2.1. 命令行方式(推荐) 167.2.2. 图形界面方式 188. 附录 188.1. 运维工作基本连接方式介绍 188.2. 常用命令 201. 前言为规范F5负载均衡设备维护工作,提供设备维护标准,提高维护技术水平,特编写了本文档。
在文档中详细说明负载均衡设备日常网管监控办法,日志信息保存,日常统计报表输出,以及日常问题处理办法、标准故障诊断流程、故障现场环境信息保存和各种应急备份方案等内容2. 日常物理检查根据设备检查需要,可以进行设备物理检查,观察设备面板指示灯,分析设备运行状态2.1. F5 BigIP设备面板结构10/100 interface 多个10/100 M 自适应的网络接口Gigabit fiber interface 多个1000M多模光纤接口Serial console port 一个串口命令行管理端口Failover port 一个串口冗余状态判断端口Mgmt interface 一个10/100M 管理端口2.2. 状态灯判断BigIP 在正常工作时可以通过端口状态显示灯判断工作状态: 10/100 M 端口连接状态灯 绿色为100M 连接正常, 橙色为10M 连接正常10/100 M 端口数据通讯状态灯 停止为无流量, 闪烁为正在进行数据通讯1000 M 端口连接状态灯 绿色为1000M 连接正常1000 M 端口数据通讯状态灯 停止为无流量, 闪烁为正在进行数据通讯可以通过系统面板右侧系统状态灯,检查系统运行状态:System 正常情况下为绿色, 为系统工作正常Status 正常情况下的Active 设备为绿色, 而Backup设备为橙色Activity 在有数据流量通过时闪烁, 无数据流量时定时闪Alarm 健康检查报警, 系统发现有服务节点处于“不健康”状态时提示报警3. 日常运行监控3.1. 检测各台BIG-IP设备的主备工作状态在命令行输入 b failover show确认SLB51MO3-1工作在active状态,SLB51MO3-2工作在standby状态这是系统默认状态,如果有变化且非人为设定,则代表系统切换过,需细查原因。
3.2. 检测F5设备负载状况通常情况下,我们可以通过在命令行输入如下命令,分别获取相关的F5设备信息:3.2.1. 检测BIG-IP的CPU和内存使用状况使用命令行:top 如果需要将top执行的结果保存在文件里,可执行以下命令top –d 5 |tee /var/tmp/topresults.txt其中的5表示连续输出5次结果3.2.2. 检测客户连接数量检测当前BIG-IP上的连接数量,以及每个对外服务的虚拟服务器的用户连接数量,使用命令行:bigtop平时应观察正常工作时,BIG-IP上的用户请求数量,并针对各个时间段作记录,以便于当遭受攻击时可以判定3.3. 查看服务器节点状态通过进入F5管理界面,登陆下面界面,我们可以清楚地看到,所有服务器节点所处的状态:上半部分显示针对节点服务器的地址健康测试结果(ping),下半部分显示各服务器池(pool)中各节点的L4 或者 L7的健康检查结果上图中Node Address 栏表示服务器是否能Ping通,如果服务器能Ping通,则箭头为向上的绿色,如果不能ping通,则箭头为向下的红色Virtual Servers and Nodes栏表示使用Monitor Service检测对服务器的检查结果,在本例中如果BIGIP对服务器的两个端口8210和8001进行TCP端口检查都通的时候,则箭头为向上的绿色。
如果某台服务器只要有一个端口TCP检查不通则箭头为向下的红色补充说明:如果在上图健康状态监视中,只要有一项不能通过,在F5 BIG-IP的前面板的第四个指示灯 Alarm 会变黄3.4. 查看当前建立的所有连接 通过在Bigpipe 菜单中输入命令“conn”,就可以显示当前所有的客户端与各服务器建立的所有连接:3.5. 备份日志每周应至少备份一次F5的BIG-IP上的日志F5的所有日志保存在FLASH卡上的/var/log目录下,且每天保存为一个文件,最多保存7天(即7个文件),所以如果要备份所有的日志,必须每周至少备份一次/var/log目录管理员可以通过FTP将日志备份到日志服务器上3.6. 查看LOG列表在左侧点击Log Files 菜单可查看BIGIP当天的LOG记录 下图是关于BIG-IP设备本身的LOG记录: 下图是关于各服务器健康检查的LOG记录:4. 变更操作4.1. F5 BIG-IP设备的变更操作在进行参数变更,修改系统配置时,建议在ACTIVE设备上进行操作确认冗余系统的设备是否处于ACTIVE状态,方法为:看下图第二行中显示的本机的状态;或看BIG-IP的前面板的第二个指示灯 Status,绿色代表ACTIVE,黄色代表Standby。
在ACTIVE设备上做完配置之后,如果确认无误,点击如下“Synchronize Configuration”按钮,即可把本机上的新配置文件同步到对端,如果对端设备故障,更换新设备之后,也可以通过这种方法自动地在对端新设备上生成全套配置 如果想对BIG-IP ACTIVE设备做停机维护,可以首先点击如下“Force to Standby”按钮,手动把本机设置为Standby 状态,然后再退出系统 根据厂家资料,在F5 BIG-IP冗余系统中,ACTIVE设备的会话连接表会实时地复制到Standby设备之上,冗余系统中的任何一台设备宕机,连接会在200ms内切换到另一个正常的设备4.2. 服务器的变更维护管理 如果想对服务器做变更维护,由于有BIG-IP设备对服务器池做HA,所以不必非要等到夜间用户连接很少的时候才退出运行,进行变更操作在F5 BIG-IP管理界面中中打开对应的节点的窗口,在第一行的“Enable Sessions”中的对勾去掉,并Apply保存配置,该接点就处于“Disble”状态,此时,F5停止向该服务器发送新的流量当管理员通过下图监视到对应的服务器上现存的连接数逐渐下降为0时,就可以安全地把该服务器退出运行,开始变更、停机等维护工作。
5. 系统管理5.1. 用户管理用户管理,我们可以自行增加、编辑、删除BIG-IP的管理员帐号,并设置其各自的权限:只读/读写,管理CLI/WEB等等系统默认管理员为admin,该用户不能删除,只可以修改口令推荐新建一个Web Read Only权限的用户,作为日常维护管理员使用,可以避免因误操作导致系统故障5.2. SNMP管理SNMP管理,我们可以设置通过SNMP把相关信息自动发送到网管工作站上, 包括SNMP管理和SNMP Trap的使用, BigIP支持MIB I, MIB II, Private MIB 6. 标准故障诊断流程1. 故障发生时,首先保存现场故障信息,并将信息保存,以备以后检查收集系统Tech Support信息,在命令行输入:qkview2. 检测各台BIG-IP设备的主备工作状态在命令行输入: b failover show确认两台主备负载均衡器工作状态,确认当前工作在active状态的负载均衡器,另一台应工作在standby状态3. 检查用户请求数量根据平时收集的正常状态用户请求数量,分析当前是否遇到攻击4. 检测各台BIG-IP设备上的日志请参见3.6章通过图形界面检查当天的BIG-IP日志,其中System记录了系统硬件相关信息,BIG-IP Log则记录了所有BIG-IP配置变更信息,而Monitor Log则记录了对服务器检查的情况。
通常,可以通过观察Monitor日志可以确认所有服务器是否发生过异常如果需要检查前7天内的日志,则必须使用命令行方式,进入/var/log目录检索所查当日的记录5. 检测F5设备的状况通常情况下,我们可以通过在命令行输入如下命令,分别获取相关的F5设备信息:top 检测BIG-IP的CPU和内存使用状况如果需要将top执行的结果保存在文件里,可执行以下命令top –d 5 |tee /var/tmp/topresults.txt其中的5表示连续输出5次结果bigtop 检测当前BIG-IP上的连接数量,以及每个对外服务的虚拟服务器的用户连接数量b pool show 检查当前BIG-IP上的服务器组的连接状况b virtual show 检查当前virtual server 虚拟服务器的连接状况b node monitor show,用于观察Monitor 对Node点的检查状态7. 系统配置备份及恢复 F5的设备配置可以保存为一个后缀为.ucs的文件,以便今后必要时进行系统恢复该系统配置ucs文件是一个二进制文件,并不能阅读,如果用户只是想了解F5的配置内容,可以通过阅读/config目录下的bigip_base.conf和bigip.conf两个文件。
其中,bigip_base.conf保存的是有关系统的网络配置(二/三层配置),而bigip.conf保存的是有关系统的业务配置内容(四/七层配置)因此,为方便今后的维护,可以要求管理员同时备份当前配置的ucs文件和bigip_base.conf、bigip.conf文件具体操作步骤如下:(下文以负载均衡器SLB51MO3-1举例,其ip为10.16.24.241)7.1. 系统配置的备份 7.1.1. 命令行方式(推荐)首先采用SSH通过网络连接BIG-IP和配置终端(管理员工作站需安装FTP服务器),假设管理员的工作站的ip地址为83.12.147.1推荐在执行本任务时采用BIG-IP的self-ip 172.168.10.252而非share-ip 172.168.10.254进行连接,以避免连接到另一台BIG-IP上具体操作如下:红色为管理员输入命令,黑色为系统显示内容SLB51MO3-1:~# 确认连接到的是SLB51MO3-1这台BIG-IP设备SLB51MO3-1:~# b config save SLB51MO3-1_200302201025.ucsSaving active configuration...Creating UCS for config save request...备份当前配。