
F5 BIG-IP یکی از تجهیزات مهم شرکت F5 Networks است که از مجموعهی متشکل از چندین مؤلفه به نام “TMOS” (Traffic Management Operating System) برخوردار است. TMOS از تواناییها و اجزاء مختلفی تشکیل شده است که در مدیریت ترافیک شبکه و بهینهسازی عملکرد برنامهها و سرویسها نقش دارند. در زیر، اجزای اصلی TMOS در BIG-IP را معرفی میکنیم:

- Local Traffic Manager (LTM):
- توضیحات: LTM بخش اصلی BIG-IP است و در مدیریت ترافیک محلی نقش دارد. این قسمت از TMOS مسئول توزیع ترافیک و باربندی بین سرورها است، همچنین قابلیتهایی نظیر حفاظت از شبکه و بهینهسازی TCP/IP را نیز دارا میباشد.
- Global Traffic Manager (GTM):
- توضیحات: GTM جهت مدیریت ترافیک در مقیاس گستردهتر و افزایش قابلیت اطمینان سیستم در مواقع فشار زیاد استفاده میشود. این بخش از TMOS به توزیع ترافیک بین مراکز داده مختلف، حفظ تعادل بار، و مدیریت بهینهتر DNS (Domain Name System) میپردازد.
- Application Security Manager (ASM):
- توضیحات: ASM جلوی حملات امنیتی را به برنامهها و وب سرویسها گرفته و از جمله ویژگیهای آن میتوان به مدیریت و کنترل دسترسیها، جلوگیری از حملات نفوذ، و پیشگیری از حملات OWASP (Open Web Application Security Project) اشاره کرد.
- Access Policy Manager (APM):
- توضیحات: APM به مدیریت دسترسیها و اجازهدهی به کاربران به منابع شبکه و برنامهها میپردازد. این بخش از TMOS قابلیتهای VPN (Virtual Private Network)، احراز هویت توکنمحور، و کنترل دقیق دسترسی را فراهم میکند.
- Advanced Firewall Manager (AFM):
- توضیحات: AFM جهت ایجاد دیوارههای آتش بسیار پیشرفته بر اساس قوانین و سیاستهای امنیتی استفاده میشود. این قسمت از TMOS حفاظت از سیستم در برابر حملات DDoS (Distributed Denial of Service) و سایر حملات امنیتی را فراهم میکند.
همچنین، این اجزاء میتوانند به صورت یکپارچه ترکیب شده و با یکدیگر همکاری کرده تا یک سیستم یکپارچه و قدرتمند در مدیریت ترافیک و امنیت شبکه ایجاد کنند.
مروری بر توازن بار و راهاندازی
F5 Networks، با محصول بزرگ خود به نام F5 BIG-IP، امکانات متعددی برای مدیریت ترافیک شبکه فراهم کرده است. در این مقاله، به مرور توازن بار و راهاندازی خواهیم پرداخت و به تبیین اجزای اصلی TMOS (Traffic Management Operating System) در BIG-IP خواهیم پرداخت.
توازن بار: اگرچه F5 میخواهد ما را ترغیب کند که BIG-IP را به عنوان یک محصول فراتر از یک توازنگر بار تصور کنیم، حقیقت این است که توازن بار عملکرد اصلی BIG-IP است که آن را به این اندازه معروف کرده است. حالا به سرعت به مرور توازن بار میپردازیم و برای این کار از DNS به عنوان یک مکانیزم توازن بار استفاده میکنیم.

مکانیزم توازن بار با استفاده از DNS: فرض کنید یک سرور DNS وجود دارد که در رکوردهای DNS ورودی برای webserver.Globomantics.com
دارد و آدرسهای IP آن از 10.100.1.11
تا 10.100.1.14
میباشد. این سرور DNS با انتخاب یکی از آدرسها به ترتیب به عنوان پاسخ به درخواستهای DNS پاسخ میدهد. این مکانیزم مبتنی بر basic round robin است، اما اگر یک یا چند سرور پشتیبان آفلاین شوند، سرور DNS از این موضوع خبر ندارد و همچنان ترافیک را به آنها ارسال میکند.
نقش Load Balancer اختصاصی: در اینجا وارد نقش یک Load Balancer اختصاصی میشویم. یک Load Balancer اختصاصی قادر است سلامت هر یک از سرورهای پشتیبان را تعیین کرده و عملکرد سرورها را درک کند. علاوه بر این، قابلیتهای پیچیدهتری از توازن بار را نیز پشتیبانی میکند. BIG-IP به عنوان یک Application Delivery Manager همچنین قابلیتهای بیشتری نسبت به یک توازنگر بار معمولی دارد و میتواند به تحلیل ترافیک نگاه کند و تصمیمات بیشتری در مورد مسیردهی ترافیک بگیرد.

Proxy و Reverse Proxy: یک ویژگی مهم دیگر در BIG-IP این است که به عنوان یک Reverse Proxy عمل میکند. این بدان معناست که F5 به عنوان یک واسط بین کلاینتها و سرورها عمل میکند. این ویژگی این امکان را به ما میدهد که مسیردهی ترافیک را به سمت منابع خاص انجام دهیم و قابلیتهای مانیتورینگ و تصمیمگیری پیچیدهتری داشته باشیم.
دو دستگاه BIG-IP با نامهای “load balancer one” و “load balancer two” را در یک H/A (High Availability) Pair راهاندازی میکنیم. این دستگاهها دارای آدرسهای IP مدیریتی و تنظیمات شبکهای مشخصی هستند. همچنین، از ترکیب VLAN و Self IP جهت توازن بار و مدیریت ارتباطات بین اجزاء استفاده میشود.
راهاندازی و لایسنسدهی دستگاه F5 BIG-IP
در این قسمت، نحوه راهاندازی یک دستگاه F5 BIG-IP از نوع deployment جدید را به شما نشان خواهم داد. از دستور Config برای تنظیم آدرس IP مدیریتی استفاده میکنیم و پس از تنظیم این آدرس IP، به واسط گرافیکی مبتنی بر مرورگر برای لایسنسدهی به F5 خواهیم پرداخت.
مراحل راهاندازی:
- ورود به CLI: ابتدا به کنسول F5 BIG-IP متصل شده و با استفاده از نام کاربری “root” و گذرواژه “default” وارد شوید.
- تغییر گذرواژه: بلافاصله به شما درخواست تغییر گذرواژه خواهد داد. گذرواژه جدید را وارد کرده و تغییرات را ثبت کنید.
- تنظیمات شبکه: از دستور “config” برای ورود به ابزار تنظیمات شبکه استفاده کنید. تنظیمات IP را انجام دهید و پس از اعمال، به F5 این امکان را میدهید که از این آدرس مدیریتی استفاده کند.
- ورود به محیط گرافیکی: از مرورگر به آدرس IP تنظیم شده دستگاه F5 متصل شوید. این مراحل به شما امکان لایسنسدهی از طریق ابزارهای تنظیمات را میدهد.
لایسنسدهی F5:
- انتخاب روش لایسنسدهی: شما میتوانید از کلید ثبتنام پایه خود استفاده کنید یا به صورت دستی اقدام به لایسنسدهی کنید. این اقدام نیاز به اتصال اینترنت دستگاه دارد.
- ورود اطلاعات: اگر از روش دستی استفاده کنید، F5 یک dossier ایجاد خواهد کرد که باید آن را در سرور لایسنسدهی F5 وارد کنید.
- پذیرش توافقنامه: بعد از وارد کردن اطلاعات، F5 شما را به توافقنامه کاربر نهایی هدایت میکند که باید آن را پذیرفته و لایسنسدهی را تکمیل کنید.
- اعمال تنظیمات: پس از تایید توافقنامه، F5 تنظیمات لایسنس را اعمال میکند و قابلیتهای خریداریشده را فعال میکند.
- انتخاب ماژولها: در این مرحله، شما مشخص میکنید که کدام ماژولها را میخواهید فعال کنید. برای مثال، ما در اینجا تنها ماژول LTM (Local Traffic Manager) را فعال میکنیم.
- تکمیل تنظیمات عمومی: در این مرحله، اطلاعاتی مانند نام میزبان (Hostname)، زمان محلی (Timezone) و رمز عبور root را تنظیم میکنید.
با انجام این مراحل، دستگاه F5 BIG-IP شما آماده به کار است و میتوانید از امکانات توازن بار و مدیریت ترافیک پیشرفته آن بهرهمند شوید.
پیکربندی تنظیمات شبکه بر روی دو دستگاه F5 Load Balancer
ما قصد داریم تا فرآیند تنظیمات نهایی را بر روی دستگاه Load Balancer اول به اتمام برسانیم. این شامل تعیین اینکه آیا از استقرار مجدد (redundancy) استفاده خواهیم کرد یا خیر، پیکربندی VLANها و رابطها برای شبکه داخلی، شبکه خارجی و شبکه با قابلیت در دسترس بالا میشود. همچنین، تنظیمات NTP و DNS نیز انجام خواهیم داد و در نهایت به F5 میگوییم چگونه باید هماهنگی پیکربندی بین دو دستگاه F5 را انجام دهد. سپس همین فرآیند را بر روی دستگاه Load Balancer دوم تکرار خواهیم کرد.
بخش دوم: پیکربندی تنظیمات شبکه استاندارد
حالا به تنظیمات شبکه استاندارد میپردازیم. از ابزار setup utility استفاده میکنیم، به Next کلیک میکنیم و سوال اول این است که آیا میخواهیم از مدل های موجودیت بالا (high availability) استفاده کنیم یا خیر. حتی اگر قصد استفاده از یک دستگاه دیگر را نداشته باشید، من توصیه میکنم همواره تنظیمات high availability را انجام دهید تا در آینده اگر تصمیم به اضافه کردن دستگاه دوم داشتید، کافی است آن را آنلاین کرده و گروه HA را به راحتی پیکربندی کنید.
بخش سوم: پیکربندی VLANها
حالا باید VLANهای مختلف را پیکربندی کنیم. ابتدا برای شبکه داخلی آن را پیکربندی میکنیم. IP آدرسی که برای این دستگاه انتخاب کردهایم 10.100.0.160 است. برای ماسک زیرشبکه از 24 بیت استفاده میکنیم. پورتهای پیشفرض را میگذاریم و همچنین IP شناوری را برای اشتراک آن بین این دستگاه و دستگاه استندبایی مشخص میکنیم. برای شبکه خارجی و شبکه با قابلیت در دسترس بالا نیز همین مراحل را تکرار میکنیم. در نهایت، به F5 میگوییم که چگونه هماهنگی پیکربندی بین دو دستگاه F5 را انجام دهد.
بخش چهارم: پیکربندی NTP و DNS
حالا نوبت به پیکربندی NTP و DNS میرسد. توصیه میشود از یک سرور NTP محلی بر روی شبکه استفاده کنید، اما در محیط آزمایشی ما از pool.ntp.org استفاده میکنیم. سپس به تنظیمات DNS میپردازیم و DNSهای لازم را اضافه میکنیم.
بخش پنجم: پیکربندی هماهنگی پیکربندی
حالا نوبت به انتخاب رابطهایی میرسد که برای هماهنگی پیکربندی بین دو دستگاه F5 استفاده خواهیم کرد. این قسمت را از داخل به HAVLand تغییر میدهیم.
بخش ششم: پیکربندی سایر تنظیمات
در این مرحله به تنظیمات دیگری میپردازیم از جمله تنظیمات failover UNIX و تنظیمات میر. سپس پیکربندی Peer را انجام داده و انتظار میکشیم تا هماهنگی اولیه انجام شود.
همچنین در زیر نیز لیستی از “Allow Default” پورت های F5 نیز قرار داده شده است.

در ادامه گام به گام ارتباطات بین دو دستگاه F5 Load Balancer را با استفاده از رابط HA را بررسی میکنیم و نحوه همگامسازی اولیه پیکربندی را انجام می دهیم.
بخش اول: انتخاب دستگاه اول به عنوان فعال
در این قسمت، ما میخواهیم اطمینان حاصل کنیم که دو دستگاه F5 Load Balancer به درستی از طریق رابط HA با یکدیگر ارتباط برقرار کردهاند و همچنین همگامسازی اولیه پیکربندی انجام شده است. بعد از این مرحله، یک مسیر استاتیک به سمت سرورهای داخلی ایجاد خواهیم کرد.
بخش دوم: ایجاد مسیر به سرورهای داخلی
ما به دنبال ایجاد یک مسیر استاتیک به سمت سرورهای داخلی هستیم، زیرا سرورهای داخلی در شبکهای متفاوت نسبت به رابط داخلی دستگاه F5 واقع شدهاند. برای این کار، به قسمت مدیریت شبکه و سپس مسیرها میرویم و یک مسیر به سرورهای داخلی اضافه میکنیم.
بخش سوم: فعالسازی همگامسازی خودکار
در این قسمت، تنظیمات را به گونهای فعالسازی میکنیم که هرگاه تغییری در دستگاهها صورت گیرد، تنظیمات به صورت خودکار همگامسازی شوند. برای این کار، به بخش گروههای دستگاه میرویم، نوع همگامسازی را از دستی به خودکار تغییر میدهیم تا تمام تغییرات به صورت خودکار اعمال شوند.
حالا که دو دستگاه F5 Load Balancer با موفقیت ارتباط برقرار کرده و همگامسازی اولیه انجام شده است، آمادهایم تا با یکی از اجزای اساسی که دستگاه F5 را به یک کنترلکننده تحویل برنامه تبدیل میکند، یعنی سرورهای مجازی، آشنا شویم.
Virtual Servers و Pools و Pool Members و Nodes در F5
سرورهای مجازی، استخرها، اعضای استخر و گرهها به عنوان اجزاء اساسی F5 Load Balancer، نقش مهمی در بهبود کارایی، دسترسی و امنیت سیستمهای شبکه ایفا میکنند. با توجه به این مفاهیم، استفاده هوشمندانه از این اجزاء در تنظیمات و پیکربندیهای مختلف، به بهینهسازی عملکرد و افزایش قابلیت اطمینان دستگاه F5 Load Balancer کمک میکند.

1. سرورهای مجازی: سرورهای مجازی، بخش مهمی از عملکرد F5 Load Balancer را تشکیل میدهند. این سرورها نقشی اساسی در توزیع بار بین اعضای استخر دارند و با تخصیص منابع وظایف خود را به بهترین شکل انجام میدهند. همچنین، سرورهای مجازی از لحاظ عملکردی و امنیتی بهبودهای چشمگیری را فراهم میکنند. این بخش از دستگاه F5 Load Balancer، قسمتی است که کاربران از طریق آن با IP و پورت ارتباط برقرار میکنند.
2. استخرها: استخرها به عنوان مجموعهای از سرورهای مجازی با قابلیت اشتراک منابع و وظایف مشترک، نقش مهمی در مدیریت و توزیع بار ایفا میکنند. هر استخر میتواند شامل یک یا چندین سرور مجازی باشد که وظیفه پردازش درخواستهای کاربران را بههنگام توزیع بار بر عهده دارند. این یک گروه از سرورهای پشتیبان است که همگی از یک سرور مجازی برنامه خاص پشتیبانی میکنند.
3. اعضای استخر: هر استخر شامل اعضای استخر است که معمولاً سرورهای مجازی هستند. این اعضا هماهنگی لازم را با یکدیگر دارند تا وظایف توزیع بار و ایجاد توازن در بارکاری را به بهترین شکل انجام دهند. همچنین، اعضای استخر میتوانند بهطور پویا اضافه و حذف شوند، این ویژگی امکان افزایش قابلیت افزایشپذیری سیستم را فراهم میکند. این سرورهای فردی هستند که هر کدام از برنامه مجازی را هاست میکنند و در یک استخر گروهبندی شدهاند.
4. گرهها: گرهها نقاط اتصال استخرها به شبکههای داخلی یا خارجی را نشان میدهند. این اجزاء مسئولیت انتقال درخواستها از سرورهای مجازی به مقصد نهایی را بر عهده دارند. همچنین، گرهها با ارائه امکانات اتصال امن و مدیریت شبکه، به بهبود عملکرد و امنیت کلی سیستم کمک میکنند. اینها IP یا نام دامنه کامل (FQDN) سرورهای فردی را نشان میدهند، بدون در نظر گرفتن برنامههایی که ممکن است میزبانی کنند.
3 دیدگاه ها