F5 Big IP VM

Neste post vou demonstrar a configuração do balanceador de carga Big IP LTM da F5 através do VMware.

Como as interfaces do balanceador são configuradas através de VLAN’s, precisaremos de um equipamento L3, neste caso eu farei uso do firewall Fortigate.

Topologia utilizada para demonstrar as configurações:

f5_ins_01

No post /f5-big-ip-elearning estão disponíveis os links para o download da imagem do Big IP.

Uma vez com a imagem basta importa-la ao VMware

f5_ins_02

Para este exemplo, foi necessário configurar no VMware 3 interfaces, sendo que cada uma atribuída um endereçamento, de acordo com a topologia.

f5_ins_03

Uma vez configurado fisicamente o Big IP, basta inicia-lo.

f5_ins_04

Credencias de acesso padrão:

Login: root
Password: default

Primeiramente iremos configurar a interface de gerencia, para isso basta digitar o comando abaixo

root@bigip# config

Ira exibir a tela abaixo, pressione OK

f5_ins_05

Por padrão a interface de gerencia já vem setada com um endereço IP, basta altera-lo para o utilizado. Neste caso pressione não e prossiga com a informação do endereço / mascado da rede de gerencia.

f5_ins_06

Informando o endereço IP

f5_ins_06

Configurando a rota default para a interface de gerencia

f5_ins_07

Confirmando os endereçamentos

f5_ins_08

Após esta configuração, basta acessar através do navegador o endereço configurado na interface de gerencia, no nosso exemplo será o IP http://10.31.0.2

f5_ins_09

Credencias de acesso padrão:

Login: admin
Password: admin

Agora será necessário realizar a ativação do Big IP, no post /f5-big-ip-elearning informado o link da F5 para uma licença trial de 90 dias.

Ao logar pela primeira vez será executado o Setup Utility, onde será configurado passo a passo o setup da caixa, a primeira configuração se refere a licença, no meu caso a mesma já se encontra ativa.

f5_ins_10

Após a ativação, partiremos para a forma que a caixa deve tratar seus recursos

f5_ins_11

Agora iremos configurar o hostname, alterar as senhas de acesso padrão, entre outras opções

f5_ins_12

Agora iremos selecionar a opção Basic Network Configuration, onde iremos começar a configurar as VLANs.

f5_ins_13

Na imagem abaixo exemplifica melhor a questão sobre como o F5 trabalha com as VLANs

f5_ins_15

Primeiramente será solicitado a informação da rede externa, neste exemplo foi configurado a VLAN 100, fazendo uso da interface 1.1 (ETH1).

f5_ins_14

Agora iremos configurar a rede interna, para isso iremos navegar até a opção Netwotk > VLANs

f5_ins_16

Pressione na opção Create

f5_ins_17

Agora iremos fazer uso da VLAN 200 para a rede interna, configurando na interface 1.2 (ETH2).

f5_ins_18

Agora navegue até a opção Self IPs

f5_ins_42

Pressione Create

Agora iremos adicionar o endereço 10.30.0.130 na VLAN200

f5_ins_43

Após este processo a configuração das interfaces estão OK. Como eu comentei no começo, teremos que fazer uso de um L3 devido a configuração das interfaces do F5 serem em VLANs, neste caso estaremos fazendo uso do Fortigate.

Antes de iniciarmos as configurações de balanceamento do Big IP, iremos configurar as interfaces do Fortigate.

Configuração das Interfaces do FG

f5_ins_19

VLAN 200

f5_ins_20

Conforme topologia, estamos fazendo uso de 4 sub-redes, sendo duas delas baseadas em VLANs, e duas delas diretamente conectadas.

Uma vez configuradas as interfaces, teremos que criar as regras de acesso, pois a ideia é que o 10.30.0.130 (VLAN200) se conecte nos servidores que estão na port2(int).

Para este exemplo liberei ANY de ambos os lados, porém não se faz necessário

f5_ins_21

Ainda no Fortigate, iremos liberar o acesso dos SRV01/SRV02 para a internet. Como pode ser visto, foi necessário fazer uso de NAT (Enable NAT).

f5_ins_22

Conforme topologia, a rede da minha WAN é 192.168.2.0/25, neste caso eu não tenho acesso direto a rede 192.168.2.128/25. Neste caso a forma de eu conseguir acessar esta rede será através de DNAT, fazendo uso da rede WAN.

Neste caso, no Fortigate iremos criar um objeto DNAT

f5_ins_24

Dentro deste menu, pressione em Create New

f5_ins_25

Uma vez com o objeto criado, basta criar a regra de acesso, fazendo o uso deste objeto

f5_ins_23

Mais o porque de fazer DNAT para o IP 192.168.2.140? Bem iremos utilizar esse IP como o endereço VIP para o balanceamento entre os servidores SRV01/SRV02.

Após esta regra, iremos voltar ao Big IP.

Primeiramente, iremos adicionar os servidores SRV01/SRV02 no Big IP

Navegue até a guia Nodes

f5_ins_29

Pressione na opção Create para adicionar os servidores

f5_ins_30

Uma vez adicionados, iremos até o menu Local Traffic > Pools

f5_ins_31

Pressione Create. Nesta opção iremos selecionar os servidores SRV01/SRV02 para fazendo parte do Pool apache_http.

Reparem que é nesta opção que definimos o tipo de balanceamento, no nosso caso o Round Robin

f5_ins_32

Pressione Finished.

Agora iremos criar o VIP 192.168.2.140 no Big IP, este IP vai ser o usado para realizar o acesso externo aos servidores.

Navegue até o menu  Local Traffic > Virtual Servers

f5_ins_26

Nesta opção, pressione Create

Agora iremos informar a porta de serviço e o endereço do VIP, por padrão a opção Type vai vir como Stardard, porém para o funcionamento deste exemplo, faremos uso da opção Performance (HTTP). Na opção Default Pool, iremos selecionar o apache_http.

f5_ins_33

Imagem de demonstra a forma que o Performance (HTTP) trabalha

f5_ins_28

Após informação as opções, pressione em Finished.

Assim finalizamos a configuração do VIP, agora iremos testar o acesso fazendo uso através do endereço HTTP://192.168.2.8, que ira realizar um DNAT para o endereço do VIP 192.168.2.140.

f5_ins_34

O acesso através do VIP esta funcionando, agora vamos analisar o LOG dos servidores apache.

SRV01

f5_ins_35

Como por ser visto, são apenas GETs utilizamos pelo Big IP para saber se o serviço esta disponível.

SRV02

f5_ins_36

No caso do SRV02, ele recebeu minha requisição de acesso

No exemplo a seguir irei parar o serviço apache do servidor SRV02

f5_ins_37

Neste caso, o Big IP ira jogar todo o trafego para o SRV01

f5_ins_38

Reparem que o IP de VIP continua UP

f5_ins_39

Uma vez que os dois servidores estivem indisponíveis, o endereço do VIP ficará indisponível também

f5_ins_41

VIP indisponível

f5_ins_40

E assim finalizamos este post, tem muitas opções para serem exploradas que não foram demonstradas neste post, espero que tenham gostado.

 

Tags: