【BIG-IP(F5)】 AWS環境でホスト名を固定する方法
<結論>
- BIG-IP上でdhcp設定のオプション情報からホスト名オプションを削除し、改めてホスト名を明示設定する
<手順>
- K45728203: AWS generates the BIG-IP VE instance host name to include the host name's private IP address
https://support.f5.com/csp/article/K45728203
<補足>
- デフォルトではAWSから応答されるDHCPのオプション情報に基づいてホスト名がBIG-IPに設定される
- 上記AWS側の設定変更でホスト名オプションを無効にしてもよいが、その他のインスタンスにも影響が出る。
- BIG-IPのホスト名だけ固定したいのであれば筐体の設定変更が妥当
【BIG-IP(F5)】 Access Policy Manage(APM)のサイジング
結論
・ユーザが希望する最大同時接続数を意識しておけばとりあえず困りません
・APMにユーザライセンスを追加する事で同時接続数を後から増やすこともできます
・筐体ごとに限界値はあるのでそこは事前に把握しておきましょう
補足
➀筐体ごとの最大同時接続数を調べる
・まずはこちらに飛んで以下のCCU値を確認しましょう
※旧プラットフォームはこちら
・CCUてなんぞ?だと思いますが、一旦置いておいてください
・CCUが少なくともユーザ側で希望している最大同時接続数を上回っていないと筐体のスペック制限にかかる可能性があります
・BaseCCUは追加のユーザライセンスを買っていない標準状態での限界値
・Max. CCUは筐体の限界値なので、後からユーザの接続数が足りなくなったからと言ってi2600に1,000ユーザライセンスをつっこんでも500までしか無理ですという話
➁CCUとAccess sessionsについて
・このあたりをよくわからないでサイジングをしている人が多いです
※単純なSSL-VPN用途では、Access sessionsは意識しなくても大丈夫だったりするからかも
・本来は要件に応じてCCUとAccess sessionsの値は意識しないといけません
・データシートにコッソリと重要なポイントの記載があります
ポイントは以下のあたり
- BIG-IP APM use is based on two types of user sessions: access sessions and concurrent connection use (CCU) sessions.
- Access sessions apply to authentication sessions, VDI,and similar situations.
- CCU is applicable for network access, such as full VPN access,application tunnels, or web access.
なんのこっちゃ?かもしれませんが、要はCCU、Access sessionsはVPN接続時にアサインするリソースの種類で消費が変わるって事です
次にライセンス消費の例をお見せします
➂ライセンス使用状況の確認方法
・導入後にお客さんからライセンスの使用状況確認依頼がきて、ちゃんと調べたら実は追加ライセンスがいらなかった。。。なんて事もあります
・確認方法
コマンド:# tmsh show apm license
※出力結果で見るポイントは上記の2つ
=========================================================
通信前
=========================================================
# tmsh show apm license
--------------------------------------------
Global Access License Details:
--------------------------------------------
total access sessions: 20.0K
current active sessions: 0
current established sessions: 0
access sessions threshold percent: 75
total connectivity sessions: 20.0K
current connectivity sessions: 0
connectivity sessions threshold percent: 75
total swg sessions: 10.0K
current swg sessions: 0
swg sessions threshold percent: 75
total swg limited sessions: 20.0K
current swg limited sessions: 0
swg limited sessions threshold percent: 75
=========================================================
=========================================================
通信例1 ※WebtopのTypeがPortal Accessの場合はCCUを消費しない事が分かる
=========================================================
--------------------------------------------
Global Access License Details:
--------------------------------------------
total access sessions: 20.0K
current active sessions: 1
current established sessions: 1
access sessions threshold percent: 75
total connectivity sessions: 20.0K
current connectivity sessions: 0
connectivity sessions threshold percent: 75
total swg sessions: 10.0K
current swg sessions: 0
swg sessions threshold percent: 75
total swg limited sessions: 20.0K
current swg limited sessions: 0
swg limited sessions threshold percent: 75
=========================================================
=========================================================
通信例2 ※WebtopのTypeがFullの場合はCCU/Access sessionsを共に消費
=========================================================
--------------------------------------------
Global Access License Details:
--------------------------------------------
total access sessions: 20.0K
current active sessions: 1
current established sessions: 1
access sessions threshold percent: 75
total connectivity sessions: 20.0K
current connectivity sessions: 1
connectivity sessions threshold percent: 75
total swg sessions: 10.0K
current swg sessions: 0
swg sessions threshold percent: 75
total swg limited sessions: 20.0K
current swg limited sessions: 0
swg limited sessions threshold percent: 75
=========================================================
・ちなみにSAMLを使う場合はAccess sessionsがゴリゴリ使われます
idpとしてAPMを使う場合は1userあたり1Access sessionを消費
SPとしてAPMを使う場合は各SPの、各UserごとにAccess sessionを消費
■ 参考リンク
・ハードウェアスペックシート:パフォーマンス情報はこちら
・APMのデータシート:まぁ大したこと書いてません
・Getting Started with BIG-IP Access Policy Manager (APM):無料のトレーニングが受けれます
・K95135311: The BIG-IP APM platform session capacity (iSeries):iシリーズのCCUとAccess sessionsの情報はこちら
・K15624537: The BIG-IP APM platform session capacity:旧シリーズのCCUとAccess sessionsの情報はこちら
・K13267: BIG-IP APM connectivity license use:CCUの消費とリソースの関係についてはこちら
【BIG-IP(F5)】 評価ライセンスの取得手順
■ BIG-IP Evaluation Request Form | Free Trials | F5
・検証用のeval(評価)ライセンスがもらえます
・期限は30日
・使えるモジュールは以下の通り
- BIG-IP Local Traffic Manager(LTM)
- BIG-IP Global Traffic Manager(GTM ※現在はDNSに名称変更)
- BIG-IP Application Acceleration Manager(AAM)
- BIG-IP Advanced Firewall Manager(AFM)
- BIG-IP Access Policy Manager(APM)
- BIG-IP Application Security Manager(ASM)
- BIG-IP Carrier-Grade NAT(CGN)
- BIG-IP Policy Enforcement Manager(PEM)
・オプションでSWGやIPインテリジェンス、SSLフォワードプロキシも有効なので検証で困ることはないです
■ BIG-IP VE & BIG-IQ VE Free Trial | F5
・評価用のVEが直ぐに手に入ります
・期限は90日
・使えるモジュールは以下の通り
- BIG-IP Local Traffic Manager(LTM)
※LTMだけ
■ BIG-IP Lab License | Low-Cost Trials | F5
・有償ライセンスです
※あくまで評価用途なので商用環境では使えません
・使用期限は無し
・使えるモジュールは上記30日のevalライセンスと同じで機能制限は無し
【BIG-IP(F5)】 ソフトウェアサポートポリシー
■ K5903: BIG-IP software support policy
・現時点(20170810)ではv12.1.2を選びましょう。
・v13.0.0はサポート期間が短いのでv13.1.xがリリースされるまでサポート期間が短いので注意。
・最新のv12はv12.1.2ですが、v12.1.3がリリースされる時期や条件が定義されていません。
※v12.1.2のHFを集約して1v2.1.3という形でリリースされる事になりますが、導入日直前・直後にシレッとリリースされたりする事はお約束です。
■ K2200: Most recent versions of F5 software
・各バージョンの最新リビジョンはこちらで確認しましょう。
■ K3225: F5 End of Life policy
・EoNSS、EoSCRとか聞いた事ありますか?
このあたりの用語はこちらで確認しましょう。
【BIG-IP(F5)】 リンク集
■ ASK F5(Top):何だかんだで一番見ます
■ ASK F5(Downloads):OSのダウンロードとか
■ ASK F5(Case Open):英語で意思疎通って難しい
■ ASK F5(iHealth):ここのBug一覧とASKF5の記事は同期に時間差があるので正確ではないです
■ ASK F5(White Papers):いつか読もう・・・
■ ASK F5(Software Knowledge Centers):階層たどるよりSearchから検索したほうが早いんですよね
■ Devcentral(Top):コミュニティサイトなのでメーカの担保はありませんあしからず
■ Devcentral(Wiki):たまにリンク切れてます
■ Devcentral(iRules):これはお気に入り
■ Devcentral(Articles):たまーーーに見ます
■ F5 Networks, Inc.(youtube):再生数が寂しいのでみんな見てね
■ F5 DevCentral(youtube):有益ですよ
■ ハードウェアスペックシート:パフォーマンス情報はこちら