F5负载均衡设备维护手册.docx
《F5负载均衡设备维护手册.docx》由会员分享,可在线阅读,更多相关《F5负载均衡设备维护手册.docx(18页珍藏版)》请在冰豆网上搜索。
F5负载均衡设备维护手册
F5负载均衡设备维护手册
第一章日常物理检查
根据设备检查需要,可以进行设备物理检查,观察设备面板指示灯,分析设备运行状态。
一.1F5BigIP设备面板结构
10/100interface多个10/100M自适应的网络接口Gigabitfiberinterface多个1000M多模光纤接口
Serialconsoleport一个串口命令行管理端口Failoverport一个串口冗余状态判断端口
Mgmtinterface一个10/100M管理端口
一.2状态灯判断
BigIP在正常工作时可以通过端口状态显示灯判断工作状态:
10/100M端口连接状态灯绿色为100M连接正常,橙色为10M连接正常
10/100M端口数据通讯状态灯停止为无流量,闪烁为正在进行数据通讯
1000M端口连接状态灯绿色为1000M连接正常
1000M端口数据通讯状态灯停止为无流量,闪烁为正在进行数据通讯可以通过系统面板右侧系统状态灯,检查系统运行状态:
System正常情况下为绿色,为系统工作正常
Status正常情况下的Active设备为绿色,而Backup设备为橙色Activity在有数据流量通过时闪烁,无数据流量时定时闪
Alarm健康检查报警,系统发现有服务节点处于“不健康”状态时提示报警
第二章日常运行监控
二.1检测各台BIG-IP设备的主备工作状态
在命令行输入bfailovershow
确认SLB51MO3-1工作在active状态,SLB51MO3-2工作在standby状态
这是系统默认状态,如果有变化且非人为设定,则代表系统切换过,需细查原因。
二.2检测F5设备负载状况
通常情况下,我们可以通过在命令行输入如下命令,分别获取相关的F5设备信息:
二.3检测BIG-IP的CPU和内存使用状况使用命令行:
top
如果需要将top执行的结果保存在文件里,可执行以下命令
top–d5|tee/var/tmp/topresults.txt
其中的5表示连续输出5次结果。
二.4检测客户连接数量
检测当前BIG-IP上的连接数量,以及每个对外服务的虚拟服务器的用户连接数量,使用命令行:
bigtop
平时应观察正常工作时,BIG-IP上的用户请求数量,并针对各个时间段作记录,以便于当遭受攻击时可以判定。
二.5查看服务器节点状态
通过进入F5管理界面,登陆下面界面,我们可以清楚地看到,所有服务器节点所处的状态:
上半部分显示针对节点服务器的地址健康测试结果(ping),
下半部分显示各服务器池(pool)中各节点的L4或者L7的健康检查结果。
上图中NodeAddress栏表示服务器是否能Ping通,如果服务器能Ping通,则箭头为向上的绿色,如果不能ping通,则箭头为向下的红色。
VirtualServersandNodes栏表示使用MonitorService检测对服务器的检查结果,在本例中如果BIGIP对服务器的两个端口8210和8001进行TCP端口检查都通的时候,则箭头为向上的绿色。
如果某台服务器只要有一个端口TCP检查不通则箭头为向下的红色。
补充说明:
如果在上图健康状态监视中,只要有一项不能通过,在F5BIG-IP的前面板的第四个指示灯Alarm会变黄。
二.6查看当前建立的所有连接
通过在Bigpipe菜单中输入命令“conn”,就可以显示当前所有的客户端与各服务器建立的所有连接:
二.7备份日志
每周应至少备份一次F5的BIG-IP上的日志。
F5的所有日志保存在FLASH卡上的/var/log目录下,且每天保存为一个文件,最多保存7天(即7个文件),所以如果要备份所有的日志,必须每周至少备份一次/var/log目录。
管理员可以
通过FTP将日志备份到日志服务器上。
二.8查看LOG列表
在左侧点击LogFiles菜单可查看BIGIP当天的LOG记录。
下图是关于BIG-IP设备本身的LOG记录:
下图是关于各服务器健康检查的LOG记录:
第三章变更操作
三.1F5BIG-IP设备的变更操作
在进行参数变更,修改系统配置时,建议在ACTIVE设备上进行操作。
确认冗余系统的设备是否处于ACTIVE状态,方法为:
看下图第二行中显示的本机的状态;或看BIG-IP的前面板的第二个指示灯Status,绿色代表ACTIVE,黄色代表Standby。
在ACTIVE设备上做完配置之后,如果确认无误,点击如下“SynchronizeConfiguration”按钮,即可把本机上的新配置文件同步到对端,如果对端设备故障,更换新设备之后,也可以通过这种方法自动地在对端新设备上生成全套配置。
如果想对BIG-IPACTIVE设备做停机维护,可以首先点击如下“Forceto
Standby”按钮,手动把本机设置为Standby状态,然后再退出系统。
根据厂家资料,在F5BIG-IP冗余系统中,ACTIVE设备的会话连接表会实时地复制到Standby设备之上,冗余系统中的任何一台设备宕机,连接会在200ms内切换到另一个正常的设备。
三.2服务器的变更维护管理
如果想对服务器做变更维护,由于有BIG-IP设备对服务器池做HA,所以不必非要等到夜间用户连接很少的时候才退出运行,进行变更操作。
在F5BIG-IP管理界面中中打开对应的节点的窗口,在第一行的“EnableSessions”中的对勾去掉,并Apply保存配置,该接点就处于“Disble”状态,此时,F5停止向该服务器发送新的流量。
当管理员通过下图监视到对应的服务器上现存的连接数逐渐下降为0时,就可以安全地把该服务器退出运行,开始变更、停机等维护工作。
第四章系统管理
四.1用户管理
用户管理,我们可以自行增加、编辑、删除BIG-IP的管理员帐号,并设置其各自的权限:
只读/读写,管理CLI/WEB等等。
系统默认管理员为admin,该用户不能删除,只可以修改口令。
推荐新建一个WebReadOnly权限的用户,作为日常维护管理员使用,可以避免因误操作导致系统故障。
四.2SNMP管理
SNMP管理,我们可以设置通过SNMP把相关信息自动发送到网管工作站上,包括SNMP管理和SNMPTrap的使用,BigIP支持MIBI,MIBII,PrivateMIB。
第五章标准故障诊断流程
1.故障发生时,首先保存现场故障信息,并将信息保存,以备以后检查。
收集系统TechSupport信息,在命令行输入:
qkview
2.检测各台BIG-IP设备的主备工作状态
在命令行输入:
bfailovershow
确认两台主备负载均衡器工作状态,确认当前工作在active状态的负载均衡器,另一台应工作在standby状态。
3.检查用户请求数量
根据平时收集的正常状态用户请求数量,分析当前是否遇到攻击。
4.检测各台BIG-IP设备上的日志
请参见3.6章通过图形界面检查当天的BIG-IP日志,其中System记录了系统硬件相关信息,BIG-IPLog则记录了所有BIG-IP配置变更信息,而MonitorLog则记录了对服务器检查的情况。
通常,可以通过观察Monitor日志可以确认所有服务器是否发生过异常。
如果需要检查前7天内的日志,则必须使用命令行方式,进入/var/log目录检索所查当日的记录。
5.检测F5设备的状况
通常情况下,我们可以通过在命令行输入如下命令,分别获取相关的F5设备信息:
top检测BIG-IP的CPU和内存使用状况
如果需要将top执行的结果保存在文件里,可执行以下命令
top–d5|tee/var/tmp/topresults.txt
其中的5表示连续输出5次结果。
bigtop检测当前BIG-IP上的连接数量,以及每个对外服务的虚拟服务器的用户连接数量
bpoolshow检查当前BIG-IP上的服务器组的连接状况
bvirtualshow检查当前virtualserver虚拟服务器的连接状况
bnodemonitorshow,用于观察Monitor对Node点的检查状态
第六章系统配置备份及恢复
F5的设备配置可以保存为一个后缀为.ucs的文件,以便今后必要时进行系统恢复。
该系统配置ucs文件是一个二进制文件,并不能阅读,如果用户只是想了解F5的配置内容,可以通过阅读/config目录下的bigip_base.conf和bigip.conf
两个文件。
其中,bigip_base.conf保存的是有关系统的网络配置(二/三层配置),而bigip.conf保存的是有关系统的业务配置内容(四/七层配置)。
因此,为方便今后的维护,可以要求管理员同时备份当前配置的ucs文件和bigip_base.conf、bigip.conf文件。
具体操作步骤如下:
(下文以负载均衡器SLB51MO3-1举例,其ip为10.16.24.241)
六.1系统配置的备份
六.1.1命令行方式
首先采用SSH通过网络连接BIG-IP和配置终端(管理员工作站需安装FTP服务器),假设管理员的工作站的ip地址为83.12.147.1。
推荐在执行本任务时采用BIG-IP的self-ip172.168.10.252而非share-ip172.168.10.254进行连接,以避免连接到另一台BIG-IP上。
具体操作如下:
红色为管理员输入命令,黑色为系统显示内容
SLB51MO3-1:
~#
确认连接到的是SLB51MO3-1这台
BIG-IP设备
SLB51MO3-1:
~#configsaveSLB51MO3-1_200302201025.ucs
Savingactiveconfiguration...
CreatingUCSforconfigsaverequest...
备份当前配置到
SLB51MO3-1_200302201025.ucs这个文
件中(文件名由管理员确定)
文件名推荐采用机器名_日期.ucs的形式
SLB51MO3-1:
~#cd/usr/local/ucs
SLB51MO3-1:
/usr/local/ucs#ls
SLB51MO3-1_200302201025.ucs
cs_backup.ucs.1cs_backup.ucs
last_boot.ucs
所有系统配置备份的ucs文件均保存在
/usr/local/ucs目录下
请再次确认上一步骤的确产生了
SLB51MO3-1_200302201025.ucs这个文
件
SLB51MO3-1:
/usr/local/ucs#ftp83.12.147.1
Trying172.168.10.99.21...
Connectedto172.168.10.99.
220raymondMicrosoftFTPService(Version5.0).Name(83.12.147.1:
root):
ftp
331Anonymousaccessallowed,sendidentity(e-mailname)aspassword.
Password:
230Anonymoususerloggedin.RemotesystemtypeisWindows_NT.
ftp>bin
200TypesettoI.ftp>hash
Hashmarkprintingon(1024bytes/hashmark).ftp>putSLB51MO3-1_200302201025.ucs
local:
SLB51MO3-1_200302201025.ucsremote:
SLB51MO3-1_200302201025.ucs
227EnteringPassiveMode(SLB51MO3-1_200302201025.ucs).
125Dataconnectionalreadyopen;Transferstarting.
采用FTP连接到管理员的工作站(本例为
83.12.147.1)
采用二进制传输文件(BIN格式)
显示传输进程(hash为on)传送系统配置ucs文件到管理员工作站
(前提是以进入本地的/usr/local/ucs目录,否则的话请先用lcd/usr/local/ucs切换到该目录再传送)
六.2系统配置的恢复
六.2.1命令行方式
同上,管理员工作站采用网络连接到BIG-IP上,同时管理员工作站必须配置有FTP服务器。
具体操作如下:
红色为管理员输入命令,黑色为系统显示内容
SLB51MO3-1:
~#
确认连接到的是SLB51MO3-1
这台BIG-IP设备
SLB51MO3-1:
~#cd/var
SLB51MO3-1:
/var#cd/tmp
SLB51MO3-1:
/var/tmp#
进入/var/tmp目录以避免直接传送ucs文件到/usr/local/ucs目录覆盖本地的系统ucs文件
SLB51MO3-1:
/var/tmp#ftp83.12.147.1
Trying83.12.147.1...
Connectedto172.168.10.99.
220raymondMicrosoftFTPService(Version5.0).Name(172.168.10.99:
root):
ftp
331Anonymousaccessallowed,sendidentity(e-mailname)aspassword.
Password:
230Anonymoususerloggedin.RemotesystemtypeisWindows_NT.
ftp>ls
227EnteringPassiveMode(172.168.10.99,4,55).125Dataconnectionalreadyopen;Transferstarting.
02-19-0410:
24AM274511
SLB51MO3-1_200302201025.ucs
02-19-0410:
27AM274482
SLB51MO3-1_200302200930.ucs
226Transfercomplete.
ftp>bin
200TypesettoI.
ftp>hash
Hashmarkprintingon(1024bytes/hashmark).ftp>getSLB51MO3-1_200302201025.ucs
local:
SLB51MO3-1_200302201025.ucsremote:
SLB51MO3-1_200302201025.ucs
227EnteringPassiveMode(172,168,10,99,4,56).125Dataconnectionalreadyopen;Transferstarting.
#####################################################
#
226Transfercomplete.
274511bytesreceivedin0.058seconds(4734744bytes/s)ftp>bye
使用FTP连接管理员工作站
查看目录并确认存在备份系统配置ucs文件SLB51MO3-1_200302201025.ucs
采用二进制传输文件(BIN格式)
显示传输进程(hash为on)从管理员工作站传送系统配置ucs
文件
SLB51MO3-1:
/var/tmp#ls
SLB51MO3-1_200302201025.ucs
finish.logvi.recover/
SLB51MO3-1:
/tmp#bconfiginstallSLB51MO3-1_200302201025.ucs
InstallingfullconfigurationonhostSLB51MO3-
Savingactiveconfiguration...
确认已取到系统配置ucs文件
使用
SLB51MO3-1_200302201025.ucs
恢复系统配置
第七章基本错误处理流程
故障现象通常为VirtualServer无法访问,此时可依次进行以下工作,基本判断故障点,并排除故障,如果无法解决,则进入应急处理流程。
1、通过图形界面登陆BIGIP,观察System-〉NetworkMap的状态,是
否其中有节点处于不正常状态。
如果存在节点旁的指示为向下的红色箭头,则表示BIGIP检测该节点故障。
此时应当首先检查直接访问节点服务器是否能正常访问。
2、通过命令行界面登陆BIGIP,执行以下命令:
bvirtualshow观察是否有节点故障
bigtop观察各节点当前连接数状态
top观察BIGIP内存和CPU占用状态
ping和BIGIP直接相连的各台网络设备(包括服务器),判断是否有网络故障
第八章应急处理
故障现象:
判断应急处理程序条件:
从外网无法访问VIP上的所有服务
从外网无法ping通VIP或F5BIGIPVLANSelfIP
无法Telnet其中一台BIGIP
9.1.系统访问异常,但Telnet(ssh)或Console可以连接上F5Active设备步骤:
1.如果telnet或Console能连接上F5Active设备,则依次执行以下命令
df–k|tee/var/data/diskusage.txttop–d5|tee/var/data/topresult.txt
bconn|tee/var/data/sessiondump.txt
bnodemonitorshow|tee/var/data/nodemonitor.txtqkview/var/data/qkview.tech.out
等待qkview执行完成后。
可以在/var/tmp目录中发现一个.out文件,将该文
件拷贝到/var/data目录下。
执行以下命令:
cp/var/tmp/*.out/var/data
然后执行命令
bfailoverstandby。
强制F5设备切换到另外一台设备。
根据实际情况,可以将本机关电或者移除其上的所有网线。
将设备下线进行分析。
通过console或telnet连接备份设备,执行命令:
bfailovershow,观察本机是否已经切换到active状态。
bconn,观察是否有用户已经连接上系统。
与应用部联系或通过客户端检查应用系统是否已经正常运行。
Active设备下线后,可将/var/data目录下的所有文件ftp到管理机上。
作为分析用。
八.1系统访问异常,切Telnet(ssh)和Console均无法连接主设备。
步骤:
直接将Active设备关电,此时两台F5设备会发生切换,请耐心等待40-60
秒SpanningTree切换时间。
通过console或telnet连接备份设备10.16.24.242,执行命令:
bfailovershow,观察本机是否已经切换到active状态。
bconn,观察是否有用户已经连接上系统。
于应用部联系或通过客户端检查应用系统是否已经正常运行。
升级会员 