BIG-IPのアプライアンス版リプレースしてみた

挨拶

はじめまして、アドウェイズのインフラ部署に所属している久保です。
今回は弊社オンプレミス環境のロードバランサー兼ファイアーウォール機器として利用しているBIG-IPをリプレースした話を書きたいと思います。

なぜリプレースしたのか?

リプレースした理由は下記2点となります。

  • ソフトウェアの保守期限満了を迎えるから
  • 機器を使い始めて5年以上経過したため故障率が上がると考えたから

弊社でのBIG-IPの構成

弊社では、下記のようなActive/StandbyのHA構成を組んでおります。
f:id:AdwaysEngineerBlog:20211111220152p:plain

やりたい事

今回のリプレースで達成したい事は「BIG-IPを瞬断レベルでリプレースする!」です。
こちらを念頭に置いて今回のリプレースに取り組みました。

結論

結論から話すと、異なるハードウェアプラットフォーム同士でHA構成を組み、Active/Standbyを切り替えることによってやりたい事は実現できました。

リプレース方法

では、実際にどんな設定をしてどのようにリプレースを実施したのか注意点を踏まえながら説明していきます。(今回細かな設定等の記載は割愛しておりますがご了承ください)

  • リプレース方法内で登場する機器
    • BIG-IP1(旧機器)
    • BIG-IP2(旧機器)
    • BIG-IP3(新機器)
    • BIG-IP4(新機器)

手順1:HAインターフェースを作成(BIG-IP3、4で作業実施)

Failoverや外・内側等に通信するためのインターフェースを作成するため、新機器でTrunk、VLANs、Self IPsの設定追加を実施します。

手順2:デバイス接続の構成を設定(BIG-IP3、4で作業実施)

手順1で作成したFailover用のインターフェースをConfig Syncに設定します。
この設定をすることにより構成オブジェクトをローカルデバイスに同期する際、BIG-IPが利用するIPアドレスを指定する事が出来ます。
次にFailover NetworkでFailover用のインターフェースとManagement IPアドレスを設定します。
Failover Networkは、Device Group内の別デバイスがローカルデバイスにフェイルオーバーするときにBIG-IPシステムが使用するネットワークとなります。
また、2つのアドレスを指定する理由は、どちらか一方接続が切れてもActive/Standbyの切り替わりが発生しないようにするためです。

手順3:Device Trust(BIG-IP1で作業実施)

旧機器より、新機器2台に対して信頼関係を構築し、BIG-IP4台でDevice Trustを確立します。
f:id:AdwaysEngineerBlog:20211111220218p:plain

手順4:Device Group(BIG-IP1で作業実施)

すでに利用している、BIG-IP1,2のFailove用のDevice GroupにBIG-IP3,4を追加します。
この際、BIG-IPの仕様上Mamagement IPアドレスが大きいデバイスがActiveとなって認識されてしまうためBIG-IP1よりほかのデバイスのManagement IPアドレスが大きい場合はほかのデバイスを「Force Offline」状態にしてDevice Groupに追加することをおすすめします。
ここまでの設定でBIG-IP1をActiveとしたActive/Standbyの4台構成が出来上がっております。
f:id:AdwaysEngineerBlog:20211111220233p:plain

手順5:Sync(BIG-IP1で作業実施)

BIG-IP1のVirtual Server、Pools、iRule等の設定をStandby機に同期します。
これでようやくリプレースの準備が整いました。

手順6:旧機器から新機器への切り替え(全BIG-IP機器で実施)

BIG-IP1をActive、BIG-IP3をStandbyとし、BIG-IP2,4はForce Offlineにしておきます。
この時点で旧機器と新機器のActive/Standby構成となるのでFailoverを実施します。
Failoverが完了したら最後にBIG-IP4をRelease Offline、BIG-IP1をForce Offlineにして、BIG-IP3,4のActive/Standby構成となったら旧機器から新機器への切り替えは完了です。
f:id:AdwaysEngineerBlog:20211111220249p:plain

手順7:旧機器を構成から外す(新機器での実施)

最後にBIG-IP1,2をDevice Trust、Device Groupの設定から外します。

これらの手順を実施することで、新機器でのActive/StandbyのHA構成となり、リプレースは完了となります!

f:id:AdwaysEngineerBlog:20211111220304p:plain

さいごに

BIG-IPを瞬断レベルでリプレース出来て本当によかったです!
また、この記事が今後BIG-IPのリプレースを考えている方の参考に少しでも繋がると幸いです。