F5のBIG-IPバーチャルサーバー経由でWeblogicのT3
プロトコルが正常に動作しませんでした。
ということで調べたところOracle側のサポートサイトに
以下のような事象の記載がありました。
◆MY ORACLE SUPPORT参照
-----------------------------------------------------------------
Using Both HTTP and T3 Protocols via an F5 Load Balancer
(Doc ID 1334517.1)
Applies to:
Oracle WebLogic Server - Version 10.3.3 and later
Information in this document applies to any platform.
Goal
The F5 Load Balancer does not work with the
WebLogic Server t3 infrastructure when the customer
enables persistent cookies to use HTTP.
Solution
In the F5 Load Balancer a iRule can be created to disable
the HTTP profile when the request is generated from T3 protocol:
The T3 URL request starts with t3:// instead of http://,
so you can bypass the request starting with t3:// with this rule.
when HTTP_REQUEST {
if { [HTTP::request] starts_with "t3" }
{ HTTP::disable }
}
-----------------------------------------------------------------
上記iRuleを作成してバーチャルサーバーに割り当てた
ところT3通信も正常に行うことができました。
現行環境のF5 BIG-IPでは得に上記iRuleが入っていなくても
動作しているのに不思議です。BIG-IPのバージョンが大幅に
上がったので事象が発生しているんですかね。
ちなみに似たような事象も貼っておきます
*Dev Central
How connect weblogic t3 protocol with virtual server
*MY ORACLE SUPPORT
How to Connect Clients to WebLogic Server Via
F5 Load Balancer Using t3 Protocol (Doc ID 2814614.1)
スポンサードリンク
F5 BIG-IP iRules 文字数制限
BIG-IPでiRulesをガシガシ書けたら恰好いいですよね。
きっとモテますよね。
けどそんなiRulesには文字数制限があります。
なんと65,520文字までしか書くことができないとか。
K9204: iRules are limited to 65,520 characters
https://my.f5.com/manage/s/article/K9204
エラー例のサンプル
01070712:3: Caught configuration exception (0),
Max string size exceeded during update of
attribute:definition type:rule max:65520
received:65584 - EdbCompositeObj.cpp, line 84.
この場合はiRuleをいくつかに分けてそれぞれを
バーチャルサーバーに割りあてる必要があります。
なんか難しそうですが考え方によっては
文字数の制限はなんとかなりそうですね。
TOP OF THE NETWORK×NETWORKきっとモテますよね。
けどそんなiRulesには文字数制限があります。
なんと65,520文字までしか書くことができないとか。
K9204: iRules are limited to 65,520 characters
https://my.f5.com/manage/s/article/K9204
エラー例のサンプル
01070712:3: Caught configuration exception (0),
Max string size exceeded during update of
attribute:definition type:rule max:65520
received:65584 - EdbCompositeObj.cpp, line 84.
この場合はiRuleをいくつかに分けてそれぞれを
バーチャルサーバーに割りあてる必要があります。
なんか難しそうですが考え方によっては
文字数の制限はなんとかなりそうですね。
NETWORK×NETWORK
F5 BIG-IP Virtual Server PING
F5 BIG-IPでバーチャルサーバー経由のPING応答を返す設定
ロードバランサー経由でもPINGを返したいときがある!!
そんなときのBIG-IPの設定方法をメモっておきます。
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
■BIG-IPバーチャルサーバー作成(PING応答用)
Local Traffic>Virtual Servers>Virtual Server List>Create
Name:任意だが分かりやすくIPアドレスにします
Type:Performance(Layer 4)
Source Address:Host0.0.0.0/0
Destination Address/Mask:Host(Pingを返す機器のIPアドレス)
Service Port:Port 8 Other
Nofify Status to Virtual Address:チェック
State:Enabled
Configuration:Basic
Protocol:*All Protocols
Protocol Profile(Client):fastL4
HTTP Profile(Client):None
HTTP Profile(Server):(Use Client Profile)
HTTP Proxy Connect Profile:None
VLAN and Tunnel Traffic:All VLANs and Tunnels
Source Address Translation:Auto Map
Acceleration:Basic
iSeesion Profile:None
Rate Class:None
Resources
デフォルトのまま
Finished
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
PINGを飛ばしたい機器へのルーティング経路などは
すでに設定されている前提となります。
あと注意点として「Type:Performance(Layer 4)」や
「Protocol Profile(Client):fastL4」の項目はバーチャルサーバー
作成後もチェックしてください。なぜかバーチャルサーバー
作成後にデフォルトに戻っていることがあります。
バーチャルサーバー作成画面
Virtual Serversを作成
以上となります。
TOP OF THE NETWORK×NETWORKロードバランサー経由でもPINGを返したいときがある!!
そんなときのBIG-IPの設定方法をメモっておきます。
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
■BIG-IPバーチャルサーバー作成(PING応答用)
Local Traffic>Virtual Servers>Virtual Server List>Create
Name:任意だが分かりやすくIPアドレスにします
Type:Performance(Layer 4)
Source Address:Host0.0.0.0/0
Destination Address/Mask:Host(Pingを返す機器のIPアドレス)
Service Port:Port 8 Other
Nofify Status to Virtual Address:チェック
State:Enabled
Configuration:Basic
Protocol:*All Protocols
Protocol Profile(Client):fastL4
HTTP Profile(Client):None
HTTP Profile(Server):(Use Client Profile)
HTTP Proxy Connect Profile:None
VLAN and Tunnel Traffic:All VLANs and Tunnels
Source Address Translation:Auto Map
Acceleration:Basic
iSeesion Profile:None
Rate Class:None
Resources
デフォルトのまま
Finished
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
PINGを飛ばしたい機器へのルーティング経路などは
すでに設定されている前提となります。
あと注意点として「Type:Performance(Layer 4)」や
「Protocol Profile(Client):fastL4」の項目はバーチャルサーバー
作成後もチェックしてください。なぜかバーチャルサーバー
作成後にデフォルトに戻っていることがあります。
バーチャルサーバー作成画面
Virtual Serversを作成
以上となります。
NETWORK×NETWORK
F5 BIG-IP 冗長構成時のMGMTポートIPアドレス
F5 BIG-IP 冗長構成時のMGMTポートIPアドレス
ロードバランサーと言えばやっぱりF5のBIG-IP(LTM)を
冗長化構成で導入するケースが多いですよね。
私がよく導入している機種はi2800とかi2600とかに
なりますが最近の機種ではそんなに障害も起きていない
印象。要は好印象ということです。
そんなBIG-IPを冗長化構成で導入する際いつも
ど忘れしてしまうのがマネジメントポートに設定する
IPアドレスの採番方法。
BIG-IPを冗長化構成で構築する際、1号機に若いIPアドレスを
採番するケースが多いと思います。そこで注意が必要なのが
マネジメントポートとなります。第4オクテットのIPアドレスが
大きい数字を持っているほうがデフォルトプライマリ機となって
しまいます。
以下だと1号機がプライマリ機となる
1号機(プライマリ機) Mgmt_IP 192.168.10.21
2号機(セカンダリ機) Mgmt_IP 192.168.10.11
以下だと2号機がプライマリ機となる
1号機(セカンダリ機) Mgmt_IP 192.168.10.11
2号機(プライマリ機) Mgmt_IP 192.168.10.21
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
◆BIG-IP冗長化時のマネジメントIP設定
BIG-IP 1号機(プライマリ機)
build 0.0.11
cert .crt
chassis-id "f5-****-**** "
configsync-ip 192.168.10.11
edition "Point Release 1"
failover-state active
hostname network.test.co.jp
key dtdi.key
management-ip 172.16.10.21
marketing-name "BIG-IP i2800"
mirror-ip 192.168.10.11
multicast-ip any
BIG-IP 2号機(セカンダリ機)
build 0.0.11
cert .crt
chassis-id "f5-****-**** "
configsync-ip 192.168.10.21
edition "Point Release 1"
failover-state active
hostname network.test.co.jp
key dtdi.key
management-ip 172.16.10.11
marketing-name "BIG-IP i2800"
mirror-ip 192.168.10.12
multicast-ip any
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
Mgmt以外のポートにIPアドレスを設定するときは
上記のような縛りはないので好きなIPアドレスを採番
すればよい。
TOP OF THE NETWORK×NETWORKロードバランサーと言えばやっぱりF5のBIG-IP(LTM)を
冗長化構成で導入するケースが多いですよね。
私がよく導入している機種はi2800とかi2600とかに
なりますが最近の機種ではそんなに障害も起きていない
印象。要は好印象ということです。
そんなBIG-IPを冗長化構成で導入する際いつも
ど忘れしてしまうのがマネジメントポートに設定する
IPアドレスの採番方法。
BIG-IPを冗長化構成で構築する際、1号機に若いIPアドレスを
採番するケースが多いと思います。そこで注意が必要なのが
マネジメントポートとなります。第4オクテットのIPアドレスが
大きい数字を持っているほうがデフォルトプライマリ機となって
しまいます。
以下だと1号機がプライマリ機となる
1号機(プライマリ機) Mgmt_IP 192.168.10.21
2号機(セカンダリ機) Mgmt_IP 192.168.10.11
以下だと2号機がプライマリ機となる
1号機(セカンダリ機) Mgmt_IP 192.168.10.11
2号機(プライマリ機) Mgmt_IP 192.168.10.21
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
◆BIG-IP冗長化時のマネジメントIP設定
BIG-IP 1号機(プライマリ機)
build 0.0.11
cert .crt
chassis-id "f5-****-**** "
configsync-ip 192.168.10.11
edition "Point Release 1"
failover-state active
hostname network.test.co.jp
key dtdi.key
management-ip 172.16.10.21
marketing-name "BIG-IP i2800"
mirror-ip 192.168.10.11
multicast-ip any
BIG-IP 2号機(セカンダリ機)
build 0.0.11
cert .crt
chassis-id "f5-****-**** "
configsync-ip 192.168.10.21
edition "Point Release 1"
failover-state active
hostname network.test.co.jp
key dtdi.key
management-ip 172.16.10.11
marketing-name "BIG-IP i2800"
mirror-ip 192.168.10.12
multicast-ip any
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
Mgmt以外のポートにIPアドレスを設定するときは
上記のような縛りはないので好きなIPアドレスを採番
すればよい。
NETWORK×NETWORK
F5 BIG-IP registration key preinstalled
最近のF5 BIG-IPを購入するとレジストレーションキーは
機器本体に内蔵されております。そう、プリインストールされてます。
紙(ライセンス証書)を減らすためでしょうかね。
それにしてもちょっと機器を触っていないだけで
色々ルールが変わりますね。知らずに販売店に早く証書が欲しい
言っちゃいましたよね。
◆プリインストールされたレジストレーションキーの有効化方法
ライセンス有効化方法:
Locating the registration key on an unlicensed system
@BIG-IPにCLIでログイン(ユーザ:root、初期パスワード:default)する。
A下記のコマンドを実行する
cat /config/RegKey.license
ライセンス有効化した後:
Locating the registration key on a previously licensed system
@BIG-IPにCLIでログイン(ユーザ:root、初期パスワード:default)する。
A下記のコマンドを実行する
grep -i "Registration Key" /config/bigip.license
F5サポートページ
K2595: Activating and installing a license file from the command line
https://support.f5.com/csp/article/K2595
TOP OF THE NETWORK×NETWORK機器本体に内蔵されております。そう、プリインストールされてます。
紙(ライセンス証書)を減らすためでしょうかね。
それにしてもちょっと機器を触っていないだけで
色々ルールが変わりますね。知らずに販売店に早く証書が欲しい
言っちゃいましたよね。
◆プリインストールされたレジストレーションキーの有効化方法
ライセンス有効化方法:
Locating the registration key on an unlicensed system
@BIG-IPにCLIでログイン(ユーザ:root、初期パスワード:default)する。
A下記のコマンドを実行する
cat /config/RegKey.license
ライセンス有効化した後:
Locating the registration key on a previously licensed system
@BIG-IPにCLIでログイン(ユーザ:root、初期パスワード:default)する。
A下記のコマンドを実行する
grep -i "Registration Key" /config/bigip.license
F5サポートページ
K2595: Activating and installing a license file from the command line
https://support.f5.com/csp/article/K2595
NETWORK×NETWORK
F5 BIG-IP Auto Last Hop
F5のBIG-IPには非常に便利な「Auto Last Hop」という
機能がデフォルト有効となっています。
この機能が有効となっている場合ルーティングテーブルに
関係なく受信パケットを送ってきた機器に返します。
これは送信元機器のMACアドレス情報を記録しているため
可能となります。
L3ではなくL2のテーブルで振分けを実施している
イメージですかね。非常に便利な反面問題も起きやすいです。
だってルーティングテーブルの通り動作してくれない
とか問題起きても解決しづらいですよね。。
◆機器リプレース時
F5から別のロードバランサーへリプレースするとき
→Auto Last Hop機能を利用していたのに別のロードバランサー
へ入れ替えてAuto Last Hopに相当する機能がないとき
◆上位機器で冗長構成
F5が接続している上位機種がHSRPやVRRPなどで冗長化をしているとき
→ActiveからStandbyへ切り替わりが発生するときに通信が
できなくなってしまう恐れがある
→冗長化の技術では仮想MACアドレスを利用するが、仮想MACを
利用するのは受信の場合だけが多いため
→送信時は仮想MACアドレスではなく、送信機器の物理MACアドレス
を利用して送信している場合
逆に便利なのは上位機種がActive/Active構成の時ですかね。
送信と受信の戻りが必ず一致するので便利です。
設定はグローバル適用とバーチャルサーバー単位で設定する
方法があります。
◆グローバル設定
System>Configuration>Local Traffic>General
Properties>Auto Last Hop>Enabled
◆バーチャルサーバー設定
Local Traffic>Virtual Servers>バーチャルサーバー選択
Properties>Configuration[Advanced]>Auto Last Hop
Default:グローバル設定を引継ぐ
Enabled:このバーチャルサーバーで有効
Disabled:このバーチャルサーバーで無効
デフォルト有効となる設定ですが必要なければ
無効とすることをお勧めします。
TOP OF THE NETWORK×NETWORK機能がデフォルト有効となっています。
この機能が有効となっている場合ルーティングテーブルに
関係なく受信パケットを送ってきた機器に返します。
これは送信元機器のMACアドレス情報を記録しているため
可能となります。
L3ではなくL2のテーブルで振分けを実施している
イメージですかね。非常に便利な反面問題も起きやすいです。
だってルーティングテーブルの通り動作してくれない
とか問題起きても解決しづらいですよね。。
◆機器リプレース時
F5から別のロードバランサーへリプレースするとき
→Auto Last Hop機能を利用していたのに別のロードバランサー
へ入れ替えてAuto Last Hopに相当する機能がないとき
◆上位機器で冗長構成
F5が接続している上位機種がHSRPやVRRPなどで冗長化をしているとき
→ActiveからStandbyへ切り替わりが発生するときに通信が
できなくなってしまう恐れがある
→冗長化の技術では仮想MACアドレスを利用するが、仮想MACを
利用するのは受信の場合だけが多いため
→送信時は仮想MACアドレスではなく、送信機器の物理MACアドレス
を利用して送信している場合
逆に便利なのは上位機種がActive/Active構成の時ですかね。
送信と受信の戻りが必ず一致するので便利です。
設定はグローバル適用とバーチャルサーバー単位で設定する
方法があります。
◆グローバル設定
System>Configuration>Local Traffic>General
Properties>Auto Last Hop>Enabled
◆バーチャルサーバー設定
Local Traffic>Virtual Servers>バーチャルサーバー選択
Properties>Configuration[Advanced]>Auto Last Hop
Default:グローバル設定を引継ぐ
Enabled:このバーチャルサーバーで有効
Disabled:このバーチャルサーバーで無効
デフォルト有効となる設定ですが必要なければ
無効とすることをお勧めします。
NETWORK×NETWORK
F5 BIG-IP 起動/停止/再起動
F5 BIG-IPを起動したり、停止したり、再起動したりするとき。
■BIG-IP起動方法
1.電源挿入
本体背面の電源差込口に電源ケーブル挿入。
前面パネルが起動すると0.0.0.0と表示されるのでタップします。
2.[System]をタップ
3.画面をスクロールして[Power On]をタップ
4.Power on?と聞かれるので[Confirm]をタップ
5.5分くらいかかるので、じっと待ちましょう。
起動したらマネジメントアドレスが表示されます。
■BIG-IP停止方法
1.電源停止
前面パネルをタップします。
2.[System]をタップ
3.画面をスクロールして[Power Off]をタップ
4.Power off?と聞かれるので[Confirm]をタップ
5.しばらく待ってから背面電源を抜きましょう。
■BIG-IP GUI再起動方法
1.Main>System>Configuration>Device>Reboot
2.Are you sure you want to reboot this device?と表示されるので
[OK]を選択します。
3.Please wait while this BIG-IP device reboots...の画面が出力されます。
すべての項目に緑チェックが入ったら再起動完了です。
ユーザー及びパスワードを入力してログインしてみましょう。
TOP OF THE NETWORK×NETWORK■BIG-IP起動方法
1.電源挿入
本体背面の電源差込口に電源ケーブル挿入。
前面パネルが起動すると0.0.0.0と表示されるのでタップします。
2.[System]をタップ
3.画面をスクロールして[Power On]をタップ
4.Power on?と聞かれるので[Confirm]をタップ
5.5分くらいかかるので、じっと待ちましょう。
起動したらマネジメントアドレスが表示されます。
■BIG-IP停止方法
1.電源停止
前面パネルをタップします。
2.[System]をタップ
3.画面をスクロールして[Power Off]をタップ
4.Power off?と聞かれるので[Confirm]をタップ
5.しばらく待ってから背面電源を抜きましょう。
■BIG-IP GUI再起動方法
1.Main>System>Configuration>Device>Reboot
2.Are you sure you want to reboot this device?と表示されるので
[OK]を選択します。
3.Please wait while this BIG-IP device reboots...の画面が出力されます。
すべての項目に緑チェックが入ったら再起動完了です。
ユーザー及びパスワードを入力してログインしてみましょう。
NETWORK×NETWORK
F5 Big-IP 障害時の取得情報 qkview
BIG-IPでログ情報を取得するならとりあえずqkviewは必須です。
調査対象となるBIG-IPにWEBUIで接続しましょう。
■Big-IPでQKView作成方法
Main>System>Support
New Support Snapshot
Health Utility>Generate QKView
以下項目にすべてにチェックを入れてStart
・Exclude Audit Files
・Exclude Core Files
・Exclude Secure Files
・Exclude Bash History
・Unlimited snaplen
QKViewファイルの生成がはじまります
気長に待ちましょう
Complete A QKView was successfully generatedと表示されたら完了です。
ダウンロードしてPCローカルに保存しましょう。
ファイルをダウンロード後は削除しましょう
ポップアップでDelete QKViewを選択して完了です
TOP OF THE NETWORK×NETWORK調査対象となるBIG-IPにWEBUIで接続しましょう。
■Big-IPでQKView作成方法
Main>System>Support
New Support Snapshot
Health Utility>Generate QKView
以下項目にすべてにチェックを入れてStart
・Exclude Audit Files
・Exclude Core Files
・Exclude Secure Files
・Exclude Bash History
・Unlimited snaplen
QKViewファイルの生成がはじまります
気長に待ちましょう
Complete A QKView was successfully generatedと表示されたら完了です。
ダウンロードしてPCローカルに保存しましょう。
ファイルをダウンロード後は削除しましょう
ポップアップでDelete QKViewを選択して完了です
NETWORK×NETWORK
F5 Big-IP OS EOL EOS
F5 Big-IPを導入する際に考えないといけないのがOSのバージョン。
最新のOSを導入するのがサポートや保守の観点から言うと一番いい。
技術サポートを受けられる期間(End of Technical Support)が長くなるから。
13.1.Xは未だによく見かけますね。
なんだかんだこれが一番安定してるのかな。
14.1.Xなんて13.1.Xより数日短いし。
AskF5見てるとX.1がLong-Term Stability Releaseバージョンとのこと。
お客様に導入する際はX.1がついてるのがよさげですね。
K5903: BIG-IP software support policy
------------------------------------------------------------------------
Each x.1.0 release marks the start of the Long-Term Stability Release.
The initial release (x.1.0) contains new features, stability improvements,
and new hardware support. Subsequent maintenance releases (x.1.1 to x.1.n)
address product defects, security fixes, diagnostic and supportability
improvements, minor functional improvements, and new hardware support.
Software Development support activities will occur only on the latest
maintenance release of each Long-Term Stability Release (x.1.latest)
while the Long-Term Stability Release is within the Standard Support phase.
------------------------------------------------------------------------
導入バージョンを決定する際はEOLやEOSなども考慮する必要がありますね。
TOP OF THE NETWORK×NETWORK最新のOSを導入するのがサポートや保守の観点から言うと一番いい。
技術サポートを受けられる期間(End of Technical Support)が長くなるから。
13.1.Xは未だによく見かけますね。
なんだかんだこれが一番安定してるのかな。
14.1.Xなんて13.1.Xより数日短いし。
AskF5見てるとX.1がLong-Term Stability Releaseバージョンとのこと。
お客様に導入する際はX.1がついてるのがよさげですね。
K5903: BIG-IP software support policy
------------------------------------------------------------------------
Each x.1.0 release marks the start of the Long-Term Stability Release.
The initial release (x.1.0) contains new features, stability improvements,
and new hardware support. Subsequent maintenance releases (x.1.1 to x.1.n)
address product defects, security fixes, diagnostic and supportability
improvements, minor functional improvements, and new hardware support.
Software Development support activities will occur only on the latest
maintenance release of each Long-Term Stability Release (x.1.latest)
while the Long-Term Stability Release is within the Standard Support phase.
------------------------------------------------------------------------
導入バージョンを決定する際はEOLやEOSなども考慮する必要がありますね。
NETWORK×NETWORK
F5フロントパネルSecure Mode
F5 BIG-IPでバージョンアップ作業を行っていると
フロントパネルが「Secure Mode」と表示されるようになった。
へー、セキュリティレベルがあがったんだ程度に思っていた。
パネルの下のほうには-touch anywhere to begin-と記載があるので
タッチするといつものマネジメントIPが表示されると思っていた。
グルグルアイコンが回ってまた「Secure Mode」に戻ってしまう。
調べてみるとなんとバグである。クソが!!
ってか影響バージョン幅広すぎるだろ。最近のほぼ含まれとるやん!
Bug ID 970829: iSeries LCD incorrectly displays secure mode
ワークアラウンドなしだって。
ってなしってなんやねん。はよ直せや!!
各バージョンでSecure Mode不具合用のENG-Hotfixがでてるようなので
サポートに問い合わせてもらいましょう。
OSダウンロードサイトには置いてない気がする。
ちなみにENG-Hotfixはengineering hotfixes (also known as critical issue hotfixes)
緊急パッチということ。大惨事やないか。
TOP OF THE NETWORK×NETWORKフロントパネルが「Secure Mode」と表示されるようになった。
へー、セキュリティレベルがあがったんだ程度に思っていた。
パネルの下のほうには-touch anywhere to begin-と記載があるので
タッチするといつものマネジメントIPが表示されると思っていた。
グルグルアイコンが回ってまた「Secure Mode」に戻ってしまう。
調べてみるとなんとバグである。クソが!!
ってか影響バージョン幅広すぎるだろ。最近のほぼ含まれとるやん!
Bug ID 970829: iSeries LCD incorrectly displays secure mode
ワークアラウンドなしだって。
ってなしってなんやねん。はよ直せや!!
各バージョンでSecure Mode不具合用のENG-Hotfixがでてるようなので
サポートに問い合わせてもらいましょう。
OSダウンロードサイトには置いてない気がする。
ちなみにENG-Hotfixはengineering hotfixes (also known as critical issue hotfixes)
緊急パッチということ。大惨事やないか。
NETWORK×NETWORK
