F5负载均衡器双机切换触发机制及配置
1 F5双机的切换触发机制
1.1 F5双机的通信机制
F5负载均衡器的主备机之间的心跳信息可以通过以下两种方式进行交互:
?
通过F5 failover串口线交换心跳信息(电压信号不断地由一方送到另外一方
)
处于Stan dby的系统不断监控Failover上的电平,一旦发现电平降低, Sta ndby Un it会
立即变成Active,会发生切换(Failover)。通过串口监控电平信号引起的切换可以在 一秒中以内完成(大概200~300ms)。四层交换机在系统启动的时候也会监控
Failover
线缆的电平以决定系统是处于 Active状态还是Standby状态。在串口 Failover线缆上不 传输任何数据信息。 ?
Failover线缆也可以不采用串口线,而直接采用网络线。
(但F5不建议这样做,
因为网络层故障就可能会两台负载均衡器都处于
Active状态)。如果采用网络层监控
实现Failover, Bigip将通过1027与1028端口交换心跳信息。
经验证明:两台F5之间一定要用failover cable连接起来,不连接failover cable而直接 采用网络线连接在一起不可靠,而且造成了网上事故。
F5双机之间的数据信息是通过网络来完成的。因此运行于 HA方式的两台F5设备在网络
层必须是相通的。(可以用网线将两台F5设备直接相连起来,也可以通过其它的二层设备将 两台F5设备相连,使F5设备在网络上可以连通对端的
Failover IP地址)。
两台运行于HA方式的四层交换机之间通过网络层交互的信息主要包括:
? 用于配置同步的信息:通过手工执行 统的配置信息传输。
? 用于在发生Failover时连接维持的信息:
如果设置了 Connection Mirroring,
Standby的系统。(The
config sync会引起Active到Standby系
处于Active的四层交换机会将连接表每十秒中发送一次到
followi ng TCP Co nn ecti ons can be mirrored:TCP 、UDP、SNAT、FTP、Tel net )。
如果设置了 Stateful Failover,Persistenee信息也会被发送到 Standby系统。(The followi
ng persiste nee in formatio n for the virtual servers (VIPs) can be mirrored: SSL
L W i^iJU■匚d
persistenee、Sticky persistenee、iRules Persistenee )
1.2 F5双机的切换触发机制
F5负载均衡器主/备机的切换触发机制主要有以下四种:
?
Watchdog device触发切换:这种切换主要是用于当
F5本身发生故障时,备机
会检测到主机失效的情况,引起 F5的切换; ?
Gateway Failsafe触发机制:这种机制主要是用于当
F5检测到特定的IP地址不
可达时,会引起F5的切换;
? Vlan arm failsafe 触发机制:这种机制主要是用于当
F5检测到相应的网段内都
没有流量时,会引起F5的切换;
? Ssl proxy failover触发机制:这种机制主要是用于当 F5检测到其硬件加密模块 有硬件故障时,会引起 F5的切换。
在我们产品线的应用中,现在可以用到前三种触发机制, 在基本不涉及,后面针对前三种机制作一些描述。
ssl proxy failover 触发机制现
2 Watchdog device 机制
Watchdog device机制是F5内部有一个 watchdog部件,当F5的硬件或软件有问题时, 有问 题的F5会重新启动机器(reboot)。在原主F5重启的过程中,备F5从主F5上收不到任何信号, 备F5就会自动变成active,担当主F5的角色。
需要注意的是:备F5是在主F5重新启动时,收不到原主 F5的信号才会变成主用的。此 项切换机制不需要我们手工去配置。
3 Gateway Failsafe 机制及配置
Gateway failsafe是在F5上配置一个IP地址,F5会去检查此地址是否可以 ping通,如果ping 不通设定的IP地址,则主F5就会变成standby模式。主F5变成standby模式后,备F5收不到active F5过来的信息,则备F5自己会变成active的状态。
需要注意的是: 每台F5只能设疋一个检测的IP地址,ping包的时间间隔及timeout时间都 是可配置的。在F5 ping不通gateway后,F5不会重新启动。
」iAiJU■口
Gateway failsafe的配置方法如下:
if^u-a.*ti on Wlili tj- 一 Hicr?s?£t Internet Exflvrer -r|x|
丈件博 钢杨囲
收祗回 工A(D 帮助?
停止
电址 |@J ht Ips:] 0. 0. 0. ?3t/baca/L Lcconf cca
邮件 打旬
31 F■转到
innns System 3 Modes ■ L N SYB-SWD01 -WAP.c hinamo bilex om Fallov&r P^dner W.0.0.232 A-ctlve/Standby ACTIVE
Sync:hxcinii.e C onf 1 g.ur at ion t o St iandby
Pools I Rules 虫 NATs ill PrOXiBE P MCIWQIIC 彎 Filtsrs Cohflgsync User admin
Slaleful FailovBr Mirror Enabled
Network Fatlover Enabled
SSL Accellgiralor Failwer EnaiblBiri
Acd? Active Made Enabled
FailouMir I inkdnwn
|F
Monhors ■Q HIGpipe S Enabled
Sudslllics *■ Log Files 0 Mhidlerm SSH 善 Syslem Admin IGatewaiy
Fanisaifs
Router
Ping (se&ottids) Timeout (secoiuflsji
I目正正童\\ Ju、小JS用程序 9 . rntarMt
J
在Web UI 中的 system项中的 redundant properties项中,把gateway failsafe 中的 enablec项选 择上,把需要监控的IP地址配置在router后的空格中,设定ping包(每隔多少秒发一次 ping 包)及timeout (多少时间ping不通则切换)的时间则可。
此项配置主、备F5是不一样的,也就是主、备F5都需要分别设置, 不一样。
而且监控的IP地址可
4 VLAN 的 Arm Failsafe
Vlan的arm failsafe是F5检查配置了 arm failsafe的vlan,是否还有属于此 vlan的流量,如果 有流量,F5不会有动作;如果F5检查不到有属于监控 vlan的流量,则F5设备本身会模拟一些 属于此vlan的流量,看是否有机器对此流量作反应?如果仍然没有设备对此模拟流量作反 应,则F5会用失效处理,把自己重启。此时备 ^态。
需要注意的是:配置了 vlan arm failsafe的F5,在缺省情况下,不论是主机、备机,如果
F5从原主F5上收不到信号,则会变成 active状
F5本身检测到相应的vlan中没有流量,F5会反复重启。如果让备 F5在检测不到相应的vlan流 量时不重启机器,需要在 F5中配置如下数据:
在两台F5的/config下创建一个routes文件,加入以下语句: /sbin/b internal set sta ndby_failsafe_reboot = 0 同时用命令行方式手工执行
b internal set standby_failsafe_reboot = 0 这个命令。
检验此配置是否生效的命令: F2400-1# b internal show | grep boot panic_on_n etboot_butt on 0 sta ndby_failsafe_reboot 0
vlan arm failsafe的配置方法如下:
在Web UI中的network项中的相应的vlan中的 vlan properties项中,把arm failsafe项选择 上。timeout缺省为30秒,最快可设置成10秒,此参数的意思是F5检测不到相应vlan的流量 后,过多长时
间
进
行
重
F5都需要分别设置。
启
。
此项配置主、备F5是不一样的,也就是主、备
F5负载均衡器双机切换机制及配置 - 图文
