◆ BIG-IP のHA ( High Availability )
BIG-IPでの冗長化は、Active/Standby構成、Active/Active構成のどちらかで実装することができます。
HAを構成する上で以下の4つの概念(Trust Domain、Device Trust、Device Group、Traffic Group)
を理解しましょう。V11.xから生まれた概念であり設定項目としてもこれらの用語が使われます。
用語 |
説明 |
Trust Domain |
お互いに信頼し合うBIG-IPデバイスの集合体。信頼関係の最も外枠となる論理グループ。 |
Device Trust |
BIG-IPの持つX.509証明書の交換により、相互認証を行い信頼関係を構築したBIG-IPデバイス。 |
Device Group |
Device Trustによって形成される論理的なグループ。2種類があります。
・Sync-Failover device group : コンフィグ同期とFailoverを実行できるグループ。通常はこれを使用。
・Sync-Only device group : 同じDevice Groupデバイス間でコンフィグ同期のみを実行できるグループ。
|
Traffic Group |
BIG-IP上で実行するコンフィグオブジェクトの集合体。トラフィックの論理的なグループ(以下2種類)
・Floating : Floating IPやVSにアサインするTraffic Group。
・Non Floating : Self-IPにアサインするTraffic Group。
|
Active/Standby構成の場合、Traffic Groupは1つで構成できますが、Active/Active構成にするためには
Traffic Groupを2つにします。例えばTraffic Group1のActiveを1系、Standbyを2系、Traffic Group2
の
Activeを2系、Standbyを1系にします。障害時には、片側のBIG-IPが2つのTraffic GroupのActiveとなる。
以上の事から Active/Standby 構成とは機器ごとではなく「Traffic Groupごと」であることが分かります。
◆ Device Group : Sync-Failover device group
Failoverを実現するSync-Failver device groupのグループに設定できるBIG-IPデバイスの条件は以下。
1. 同一のソフトウェアバージョン、HF
2. 同一のライセンス
3. 同一のVLAN名
※ V11.xから同じハードウェアでなくても冗長化できるようになりました。
※ V11.xからSync-Failver device groupのグループに最大8台まで参加させられます。
※ 各BIG-IPデバイスが参加できるSync-Failver device groupのグループは1グループのみとなります。
◆ Traffic-group (non-floating)とは
Traffic-group (non-floating)は、BIG-IPデバイスの物理IPアドレス(Self IPアドレス)にアサインする
Traffic-groupであり各BIG-IPデバイスで独立した設定であり、コンフィグレーション同期の対象外です。
各BIG-IPデバイスにはTraffic-group-local-only (non-floating)がデフォルトで作成済みであり、Self
IP
を設定する際にTraffic-Groupにこのグループを適用します。※ グループ名の追加、変更などは出来ません。
◆ Traffic-group (floating)とは
Traffic-group(floating)は、BIG-IPデバイスのFloating IPアドレスまたはVirtual Server IPアドレスに
アサインするTraffic Group。Device Trust共通の設定でありコンフィグレーション同期の対象となります。
デフォルトで存在するトラフィックグループ(traffic-group-1)に追加して、新規に作成することも可能。
Device Groupごとに最大15個のTraffic Groupを作成することが可能です。また、Traffic Groupごとに
「ActiveとなるDefault Device」を指定することができます。当然、各Traffic Groupは、Activeとして
動作できるデバイスを1デバイスのみ指定できます。設計の観点からでなく運用/保守という観点からも
片寄せ(完全なActive/Standby)をお勧めです。
BIG-IPデバイスの内部では互いの証明書を交換することにより、Device Trustとして識別させています。
そして、Device TrustでDevice Groupを定義することで信頼関係を構築(Trsut Domainを形成)します。
|