挨拶
はじめまして、アドウェイズのインフラ部署に所属している久保です。
今回は弊社オンプレミス環境のロードバランサー兼ファイアーウォール機器として利用しているBIG-IPをリプレースした話を書きたいと思います。
なぜリプレースしたのか?
リプレースした理由は下記2点となります。
- ソフトウェアの保守期限満了を迎えるから
- 機器を使い始めて5年以上経過したため故障率が上がると考えたから
弊社でのBIG-IPの構成
弊社では、下記のようなActive/StandbyのHA構成を組んでおります。
やりたい事
今回のリプレースで達成したい事は「BIG-IPを瞬断レベルでリプレースする!」です。
こちらを念頭に置いて今回のリプレースに取り組みました。
結論
結論から話すと、異なるハードウェアプラットフォーム同士でHA構成を組み、Active/Standbyを切り替えることによってやりたい事は実現できました。
リプレース方法
では、実際にどんな設定をしてどのようにリプレースを実施したのか注意点を踏まえながら説明していきます。(今回細かな設定等の記載は割愛しておりますがご了承ください)
- リプレース方法内で登場する機器
- BIG-IP1(旧機器)
- BIG-IP2(旧機器)
- BIG-IP3(新機器)
- BIG-IP4(新機器)
手順1:HAインターフェースを作成(BIG-IP3、4で作業実施)
Failoverや外・内側等に通信するためのインターフェースを作成するため、新機器でTrunk、VLANs、Self IPsの設定追加を実施します。
手順2:デバイス接続の構成を設定(BIG-IP3、4で作業実施)
手順1で作成したFailover用のインターフェースをConfig Syncに設定します。
この設定をすることにより構成オブジェクトをローカルデバイスに同期する際、BIG-IPが利用するIPアドレスを指定する事が出来ます。
次にFailover NetworkでFailover用のインターフェースとManagement IPアドレスを設定します。
Failover Networkは、Device Group内の別デバイスがローカルデバイスにフェイルオーバーするときにBIG-IPシステムが使用するネットワークとなります。
また、2つのアドレスを指定する理由は、どちらか一方接続が切れてもActive/Standbyの切り替わりが発生しないようにするためです。
手順3:Device Trust(BIG-IP1で作業実施)
旧機器より、新機器2台に対して信頼関係を構築し、BIG-IP4台でDevice Trustを確立します。
手順4:Device Group(BIG-IP1で作業実施)
すでに利用している、BIG-IP1,2のFailove用のDevice GroupにBIG-IP3,4を追加します。
この際、BIG-IPの仕様上Mamagement IPアドレスが大きいデバイスがActiveとなって認識されてしまうためBIG-IP1よりほかのデバイスのManagement IPアドレスが大きい場合はほかのデバイスを「Force Offline」状態にしてDevice Groupに追加することをおすすめします。
ここまでの設定でBIG-IP1をActiveとしたActive/Standbyの4台構成が出来上がっております。
手順5:Sync(BIG-IP1で作業実施)
BIG-IP1のVirtual Server、Pools、iRule等の設定をStandby機に同期します。
これでようやくリプレースの準備が整いました。
手順6:旧機器から新機器への切り替え(全BIG-IP機器で実施)
BIG-IP1をActive、BIG-IP3をStandbyとし、BIG-IP2,4はForce Offlineにしておきます。
この時点で旧機器と新機器のActive/Standby構成となるのでFailoverを実施します。
Failoverが完了したら最後にBIG-IP4をRelease Offline、BIG-IP1をForce Offlineにして、BIG-IP3,4のActive/Standby構成となったら旧機器から新機器への切り替えは完了です。
手順7:旧機器を構成から外す(新機器での実施)
最後にBIG-IP1,2をDevice Trust、Device Groupの設定から外します。
これらの手順を実施することで、新機器でのActive/StandbyのHA構成となり、リプレースは完了となります!
さいごに
BIG-IPを瞬断レベルでリプレース出来て本当によかったです!
また、この記事が今後BIG-IPのリプレースを考えている方の参考に少しでも繋がると幸いです。