F5 BIG-IP Pool, Virtual Serverの設定方法とバックアップとsync方法

F5 networks BIG-IP pool, virtual serverの設定方法とバックアップとsync方法をご説明致します。
本人も忘れかけているので備忘録として書き留めておきます(^^♪

PoolとVirtual Serverの設定の前にpool memberの設定が完了していなければなりません。

1. poolの設定

Configuration → ”Basic” を選択
Name:入力
Health Monitors:hc_tcp を選択 ※どのport番号でもhc_tcpを選択

Resources
Load Balancing Methhod: “Round Robin” を選択 ※リクエストに応じて変更
Priority Group Activation: “Disabled” を選択(default)
Node Name:poolメンバーのIPアドレスにルートドメインの%xを付加する。
Address:poolメンバーのIPアドレスにルートドメインの%xを付加する。
Service port:サービスポートを入力
※上記以外の設定は基本的にdefautのまま
※ルートドメインの%xを付加とは、0.0.0.0%5 など

 

2. Virtual Serverの設定

General Properties
Name:poolメンバーの名前の前にvs_などを付けると分かりやすい
Type: Perfornamce(Layer 4) を選択
Source Address:0.0.0.0%x ルートドメインはpoolと合わせる
Destination Address/Mask:VIPにルートドメイン%x を付けて設定
Source Address Translation:Automap
※automapに設定するとBIG IPのインターフェイスのIPアドレス(self IP)になる。

Resources
Default Pool:事前に設定したpoolを選択する。
※上記以外の設定は基本的にdefautのまま

 

[事前のバックアップ方法]
1. systemメニューから Archivesメニューへ行き、”create”ボタンを押して、バックアップファイル名を入力したら”finished”をクリック。
2. “save”されたことを確認、最初の画面に戻り入力した名前のファイルが出来ていればバックアップは完了。
ちなみに、そのファイルをクリックすればダウンロードもできる。
https://www.infraeye.com/study/bigip3.html を参考にして下さい。

 

[Sync方法]
Device Management → Overview の画面へ遷移する。
1. Deviceにある”Recent Change” の “(self)”となった号機にチェックをする。
2. “Sync Options” の Sync device to Group チェック
3. “Syncing”の文字と絵が出れば実行中
4. “in Sync All device are in sync There are no changes pending” とメッセージが表示されれば完了。
https://www.infraeye.com/study/bigip15.html にある⑨と⑩を参考にして下さい。

Linux CentOS 7 routeを変更するコマンド

今回は、CentOSでルーティングを変更したいって時に役に立つコマンドと設定方法をご紹介致します。

 ネットワーク172.16.0.0 宛を gw 172.16.0.1 へ向けるルーティング
route add -net 172.16.0.0 gw 172.16.0.1 netmask 255.255.0.0 eth0

 ホスト172.16.0.10 宛をgw 172.16.0.1 へ向けるルーティング
route add -host 172.16.0.10 gw 172.16.0.1 eth0

 gw 172.16.0.1 へ向いてるネットワーク172.16.0.0 のルーティングを削除
route delete -net 172.16.0.0 gw 172.16.0.1 netmask 255.255.0.0 eth0

 gw 172.16.0.1 へ向いてるホスト172.16.0.10 のルーティングを削除
route delete -host 172.16.0.10 gw 172.16.0.1 eth0

上記のコマンドはルーティングを変更できるが一時的でありLinuxを再起動すると設定ファイルのルーティング情報が読み込まれるので、permanent設定をするには以下のファイルに設定を行う。
 vi /etc/sysconfig/network-scripts/route-インターフェイス名

[設定例]/etc/sysconfig/network-scripts/route-インターフェイス名

 

ADDRESS0=172.16.0.0
NETMASK0=255.255.0.0
GATEWAY0=172.16.0.1
ADDRESS1=172.17.0.0
NETMASK1=255.255.0.0
GATEWAY1=172.17.0.1

 

設定が完了したらnetwork.serviceを再起動
systemctl restart network

 

その他、ip route コマンドでもルーティングを変更することができる。

 ネットワーク172.16.0.0 宛を gw 172.16.0.1 へ向けるルーティング
ip route add 172.16.0.0/16 via 172.16.0.1 dev eth0

 ホスト172.16.0.10 宛をgw 172.16.0.1 へ向けるルーティング
ip route add 172.16.0.10 via 172.16.0.1 dev eth0

 ネットワーク172.16.0.0 のルーティングを削除
ip route del 172.16.0.0/16

 ホスト172.16.0.10 のルーティングを削除
ip route del 172.16.0.10

/etc/sysconfig/network-scripts/route-インターフェイス名の設定ファイルをviで開いて編集しなくても nmcliコマンドを使えばpermanentの設定ができる。
nmcli con eth0 +ipv4.routes “172.18.0.0/16 172.18.0.1”

cat /etc/sysconfig/network-scripts/route-eth0

 

ADDRESS0=172.16.0.0
NETMASK0=255.255.0.0
GATEWAY0=172.16.0.1
ADDRESS1=172.17.0.0
NETMASK1=255.255.0.0
GATEWAY1=172.17.0.1
ADDRESS3=172.18.0.0
NETMASK3=255.255.0.0
GATEWAY3=172.18.0.1

 

ADDRESS3、NETMASK3、GATEWAY3が新たに追加される。

 

pfxファイルから秘密鍵情報を取り出し、パスワードを解除

今回は、nginxで port#443(ssl) で通信をする際に必要となる証明書についてご説明をさせて頂きます。

 

nginxで クライアントからのport#443(ssl)  のリクエストに対しては、サーバ証明書と中間証明書、秘密鍵(プライベートキー)が必要となります。

※中間証明局CAから署名されていない証明書の場合は中間証明書の必要がありません。

 

一方、windowsサーバで利用されているのがpfxファイルの証明書です。

pfxとは、KCS#12 の旧称でPersonal Information Exchangeの略です。

サーバ証明書・中間証明書・秘密鍵を共に1つのファイルで格納できる形式を指します。

その為、nginx や apache では取り扱いできないのでそのpfxファイルからサーバ証明書・中間証明書・秘密鍵を取り出す必要があります。

 

その取り出し方法が以下となります。

 pfxファイルからサーバ証明書を取り出す

openssl pkcs12 -in ./20191203.pfx -clcerts -nokeys -out severcerts.crt

 

 Pfxファイルから中間CA証明書情報を取り出す

openssl pkcs12 -in ./20191203.pfx -cacerts -nokeys -out cyukanCA.crt

 

 SSLサーバー証明書と中間証明書を結合

 cat severcerts.crt cyukanCA.crt > sercertCA_combined.cer

 

 Pfxファイルから秘密鍵情報を取り出す。

openssl pkcs12 -in ./20191203.pfx -nocerts -nodes -out himitsu.rsa

 

 秘密鍵情報からパスワードを解除。

openssl rsa -in himitsu.rsa -out himitsu_nopass.key

 

オプション 内容
-clcerts  クライアントの証明書のみを出力する (CA 証明書は出力しない)。
-cacerts  CA 証明書のみを出力する (クライアント証明書は出力しない) 。
-nokeys  秘密鍵情報は一切出力されない。
-nocerts  証明書は一切出力されない。
-nodes  desで暗号化しない

 

このpfxファイルからサーバ証明書・中間証明書・秘密鍵を取り出す場合はパスワードが必要となりますのでご注意下さい。