نظرات اخیر

    بررسی اصول نصب و استقرار Cisco ACI و F5 BIG -IP

    بررسی اصول نصب و استقرار Cisco ACI و F5 BIG -IP

    ابزارهای مختلف در زمینه مدیریت ترافیک الزامات و نیازهای متفاوتی دارند. بعضی از کاربردها به دلیل عملکرد خاص شان یا به خاطر یک نیاز کاری خاص، مستلزم دسترسی اپلیکیشن سرورها به آی‌پی واقعی کلاینتی هستند که به اپلیکیشن مورد نظر دسترسی پیدا می‌کند. حالا وقتی درخواست‌هایی به سمت F5 BIG-IP ارسال می‌شود، امکان تغییر آی‌پی واقعی درخواست یا حفظ آن به همان صورت قبل وجود دارد. برای عدم تغییر آی‌پی تنظیمات Source Address Translation (به اختصار SNAT) را روی حالت None قرار دهید.

    هر چند ممکن است تغییر این تنظیمات در F5 BIG-IP کار ساده‌ای به نظر برسد اما شاید تغییر دادن چنین تنظیماتی منجر به تغییر رفتار گردش ترافیک شود.

    در ادامه نگاهی به چند مثال با مقادیر واقعی داریم. کار را با تنظیم یک F5 BIG-IP مستقل با یک اینترفیس F5 BIG-IP برای کل ترافیک شروع می‌کنیم.

    • کلاینت: 10.168.56.30
    • آی‌پی مجازی BIG-IP: 10.168.57.11
    • آی‌پی خود BIG-IP (Self IP): 10.168.57.10
    • سرور: 192.168.56.30

    سناریوی اول: با تغییر آی‌پی

    از کلاینت: 10.168.56.30 مقصد: 10.168.57.11

    از BIG-IP به سرور: منبع: 10.168.57.10 (Self-IP) مقصد: 192.168.56.30

    در این مثال، سرور به آی‌پی 10.168.57.10 پاسخ می‌دهد و F5 BIG-IP کارهای هدایت ترافیک به سمت کلاینت را انجام می‌دهد. در اینجا اپلیکیشن سرور امکان مشاهده آی‌پی 10.168.57.10 را دارد و نه آی‌پی کلاینت.

    سناریوی دوم: بدون تغییر آی‌پی

    از کلاینت: 10.168.56.30 مقصد: 10.168.57.11

    از BIG-IP به سرور: منبع: 10.168.56.30 مقصد: 192.168.56.30

    در اینجا سرور به آی‌پی 10.168.56.30 پاسخ می‌دهد و پیچیدگی‌های کار در همین جا بروز می‌کند چون ترافیک باید به F5 برگردد نه به کلاینت واقعی. یک راه برای دستیابی به این هدف، تنظیم GW سرور روی مقدار Self-IP مربوط به BIG-IP است تا سرور ترافیک برگشتی را به سمت BIG-IP هدایت کند. اما به هر دلیلی ممکن است درگاه پیش فرض سرور تغییر نکند. در چنین مواقعی، Redirect بر اساس سیاست‌های تعریف شده به ما کمک می‌کند. درگاه پیش فرض سرور به ساختار ACI fabric اشاره می‌کند و ACI fabric می‌تواند ترافیک را تفسیر کرده و به BIG-IP ارسال کند.

    فایروال i5800 F5

    با استفاده از این روش، مزایای PBR دو چندان می‌شود

    • نیازی نیست که درگاه پیش فرض سرور (یا سرورها) به F5 BIG-IP اشاره کنند بلکه می‌توانند به جای آن به ACI fabric اشاره کنند.
    • آی‌پی واقعی کلاینت برای کل جریان ترافیک محفوظ می‌ماند.
    • پیشگیری از هدایت ترافیک ایجاد شده توسط سرور به سمت BIG-IP امکان ایجاد یک سیستم هدایت ترافیک برای کنترل هر چه بهتر ترافیک را فراهم می‌کند. اگر حجم ترافیک هدایت شده از سمت سرور زیاد باشد، بار غیر ضروری بر روی BIG-IP ایجاد می‌شود.

    توصیه می‌کنیم که قبل از پرداختن به موضوع PBR، با یکسری از مفاهیم و موضوعات Cisco ACI و F5 BIG-IP آشنایی پیدا کنید.

    حالا روش پیکربندی PBR با استفاده از یک F5 BIG-IP مجازی در حالت One-Arm را بررسی می‌کنیم.

    cisco aci and f5 1

    برای استفاده از قابلیت PBR در APIC، وجود گراف سرویس ضروری است.

    جزئیات گراف سرویس L4-L7 در APIC

    آشنایی با روش نصب نصب گراف سرویس

    پیکربندی در APIC

    1) Bridge domain F5-BD

    • در قسمت Tenant> Networking> Bridge domains> F5-BD> Policy
    • IP Data plane learning غیرفعال شود.

    2) ارسال L4-L7 بر اساس سیاست‌ها

    • در قسمت Tenant> Policies> Protocol> L4-L7 Policy based redirect یک فیلد جدید با این مشخصات ایجاد کنید:
    • Name: ‘bigip-pbr-policy’
    • L3 destinations: F5 BIG-IP Self-IP and MAC
    • IP: 10.168.57.10
    • برای MAC آدرس مک اینترفیسی که Self-IP به آن اختصاص یافته را پیدا کنید (مثل: 00:50:56:AC:D2:81)

    cisco aci and f5 2

    3) Logical Device Cluster – در قسمت Tenant> Services> L4-L7 یک سرویس منطقی جدید بسازید، با این مشخصات

    • Managed – انتخاب نشود
    • Name: ‘pbr-demo-bigip-ve`
    • Service Type: ADC
    • Device Type: Virtual (در این مثال)
    • VMM domain  (دامنه VMM مناسب را انتخاب کنید)
    • Devices: ماشین مجازی F5 BIG-IP را از منو انتخاب کرده و یک اینترفیس برای آن انتخاب کنید
    • Name: ‘1_1’, VNIC: ‘Network Adaptor 2’
    • Cluster interfaces
    • Name: consumer, Concrete interface Device1/[1_1]
    • Name: provider, Concrete interface: Device1/[1_1]

    cisco aci and f5 3

    4) الگوی گراف سرویس

    • در قسمت Tenant> Services> L4-L7 یک الگوی گراف سرویس بسازید.
    • یک نام برای گراف انتخاب کنید مثل pbr-demo-sgt و بعد کلاستر دستگاه منطقی (pbr-demo-bigip-ve) را به گراف سرویس بکشید و رها کنید.
    •  ADC: one-arm
    • Route redirect: true

    cisco aci and f5 45) روی گراف سرویس ایجاد شده کلیک کرده و بعد به سربرگ Policy بروید. بررسی کنید که تنظیمات کانکتورهای C1 و C2 به این صورت انجام شده باشد:

    • Direct connect – True
    • Adjacency type – L3

    cisco aci and f5 5

    6) اعمال الگوی گراف سرویس

    • روی گراف سرویس راست کلیک کرده و آن را اعمال کنید.
    • End point group (‘App’) و provider End point group (‘Web’) را انتخاب کرده و یک نام برای کانتکت جدید انتخاب کنید.
    • برای کانکتور:
    • BD: ‘F5-BD’
    • L3 destination – checked
    • Redirect policy – ‘bigip-pbr-policy’
    • Cluster interface – ‘provider’

    پس از استقرار گراف سرویس، این گراف در حالت اعمال شده قرار می‌گیرد و مسیر شبکه بین مشتری، F5 BIG-IP و ارائه دهنده با موفقیت در APIC تنظیم می‌شوند.

    پیکربندی در BIG-IP

    1) مسیریابی پیش فرض/ Self-IP/ VLAN

    • مسیریابی پیش فرض – 10.168.57.1
    • Self-IP – 10.168.57.10
    • VLAN – 4094  (untagged)- برای VE (نسخه مجازی)، کار تنظیم تگ توسط vCenter انجام می‌شود

    2) نودها/ Pool/ VIP

    • VIP – 10.168.57.11
    • ترجمه آدرس منبع در VIP: None

    3) iRule (انتهای مقاله) که می‌تواند برای عیب یابی مفید باشد

    چند تفاوت پیکربندی در مواقعی که BIG-IP در حالت Virtual edition (نسخه مجازی) قرار دارد و در حالت دسترس پذیری بالا (High availability) تنظیم شده باشد:

    1) BIG-IP: Set MAC Masquerade

    2) APIC: Logical device cluster

    • Promiscuous mode – enabled
    • Add both BIG-IP devices as part of the cluster (هر دو دستگاه BIG-IP را به عنوان بخشی از کلاستر تنظیم کنید)

     

    cisco aci and f5 6

     

    3) APIC: L4-L7 Policy-Based Redirect

    • L3 destinations: Floating BIG-IP Self-IP و MAC masquerade را وارد کنید.

     

    پیکربندی کامل شد، حالا نگاهی به جریان ترافیک داریم:

    Client-> F5 BIG-IP -> Server

    Picture7

    Server-> F5 BIG-IP -> Client

    در مرحله دوم، وقتی ترافیک از سمت کلاینت برمی‌گردد، ACI از Self-IP و MAC که در سیاست Redirect L4-L7 تعریف شده بودند، برای انتقال ترافیک به BIG-IP استفاده می‌کند.

    cisco aci and f5 8

    کاربرد iRule برای کمک به عیب یابی در BIG-IP

    cisco aci and f5 9

    خروجی مشاهده شده در مسیر /var/log/ltm از BIG-IP، به رویداد <SERVER_CONNECTED> توجه کنید:

    سناریوی 1: عدم استفاده از SNAT، آی‌پی کلاینت حفظ می‌شود

    irule2

    اگر می‌خواهید خروجی iRule را در حالت فعال بودن SNAT در BIG-IP مشاهده کنید، می‌توانید AutoMap را در سرور مجازی BIG-IP فعال کنید.

    سناریوی 2: استفاده از SNAT: آی‌پی کلاینت حفظ نمی‌شود

    irule3

    پیکربندی:

    برای هدایت ترافیک از اپلیکیشن سرورها به BIG-IP از قابلیت PBR در Cisco ACI fabric استفاده کنید. این کار باعث می‌شود که نیاز به بازنویسی مجدد اپلیکیشن یا ایجاد تغییر در پیکربندی BIG-IP نداشته باشید.

    مطالب مرتبط