BIG-IP LTMのHA構成によるWebアクセス負荷分散#

本構成はFJcloud-O 東日本/西日本リージョン3向けとなります。

本ページは、2021年7月時点の参考情報です。
公開中のテンプレートには、以下のイメージが含まれます。

  • BIG-IP ASM 1G
  • CentOS 7.9 64bit (English) 01

恐れ入りますが、最新版のBIG-IP・Linuxイメージをご使用の上、構築してください。

要求事項#

  • 複数のWebサーバへ負荷分散したい
  • 複数のWebサーバへ安全に接続したい
  • 構築作業の品質を保ちながら効率化したい

対応するデザインパターン概要#

1. 構築の概要#

本パターンではBIG-IP Local Traffic Managerロードバランサー(以下:BIG-IP LTMと記載)のHA構成を構築し、Webサーバへの負荷分散とセキュアなHTTPS接続を実現します。
構築作業ではFJcloud-Oオーケストレーション機能とAnsibleを活用し、自動化を行います。

  • FJcloud-Oオーケストレーション機能によるテンプレートの実行
  • Ansibleによるテンプレートの実行
    • BIG-IP LTMの設定作業を自動化

2. Ansibleについて#

本パターンで使用するAnsibleの特長は以下の通りです。

  • Red Hat社が開発するオープンソースの構成管理ツール
  • Playbookというyaml形式のテンプレートファイルを実行することで構成を管理
  • サーバやクラウドインフラにかかわる様々な作業を自動化
  • エージェントレスで実行可能であり、接続にはSSH接続が必須
  • モジュールを利用することで高い拡張性を実現
    • BIG-IPのモジュールは こちら にて公開

構造(イメージ図)#

構成図#

括弧内の値は、本ガイドにて紹介するテンプレートを使用して構築した際の設定値です。

image

ネットワーク論理構成図#

テストクライアントサーバからの通信はBIG-IP LTMにてSSLオフロードされ、常時httpでWebサーバにアクセスされます。

image

image

実装サンプル#

1. ネットワーク関連リソースの作成#

下記のテンプレートファイルをダウンロードし、API実行環境に展開してください。

環境構築テンプレートファイル

Note

本ガイドで使用する各テンプレートファイルは、設定ファイル(yaml形式)とパラメータファイル(json形式)で構成され、相互に依存関係が存在します。
IaaSポータルの「テンプレート」⇒「スタック一覧」画面からのAPIの実行はできません。
以下のガイドに記載の例に従い、LinuxベースのAPI実行環境を配備の上実行してください。

  • FUJITSU Hybrid IT Service FJcloud-O 初期構築ガイド API実行編

    • (1) 仮想ネットワーク・仮想ルータの作成#

    APIを使用してスタックを作成することで、以下の仮想ネットワーク(サブネット含む)・仮想ルータを作成します。

    • 内部ネットワークA0~A4
    • 仮想ルータA0~A2

    事前準備として、以下を実施してください。

    • IaaSポータルの「ネットワーク」⇒「仮想ネットワーク」⇒「fip-net」と選択した画面で、仮想ネットワークIDを控えます。
    • 展開したPARAMETER_BIGIP-CDP-NETWORK.jsonファイル”fip_net”の値を、上記で控えた値に書き換えます。
    • 設定項目(REST API)
    リクエストパラメータ名 変数例 設定値例 内容
    - $TEMPLATE_FILE "TEMPLATE_BIGIP-CDP-NETWORK.yaml" ダウンロードしたテンプレートファイルTEMPLATE_BIGIP-CDP-NETWORK.yamlのパスを指定
    - $PARAMETER_FILE "PARAMETER_BIGIP-CDP-NETWORK.json" ダウンロードしたパラメータファイルPARAMETER_BIGIP-CDP-NETWORK.jsonのパスを指定
    "stack_name" $STACK_NAME "bigip-CDP-network" 作成するスタック名を指定
    "template" $TEMPLATE $(cat ${TEMPLATE_FILE} | sed -z -e 's/\n/\\n/g') 変数$TEMPLATE_FILEには、ダウンロードしたテンプレートファイルTEMPLATE_BIGIP-CDP-NETWORK.yamlのパスを指定
    "parameters" $PARAMETER $(cat ${PARAMETER_FILE}) 変数PARAMETER_FILEには、ダウンロードしたパラメータファイルPARAMETER_BIGIP-CDP-NETWORK.jsonのパスを指定
    • 実行API例 
      STACK_NAME=bigip-CDP-network
TEMPLATE_FILE=TEMPLATE_BIGIP-CDP-NETWORK.yaml
PARAMETER_FILE=PARAMETER_BIGIP-CDP-NETWORK.json
TEMPLATE=$(cat ${TEMPLATE_FILE} | sed -z -e 's/\n/\\n/g')
PARAMETER=$(cat ${PARAMETER_FILE})

curl -k $ORCHESTRATION/v1/${PROJECT_ID}/stacks -X POST \
-H "X-Auth-Token: $OS_AUTH_TOKEN" -H "Content-Type: application/json" \
-d @- <<EOL
{
  "stack_name": "${STACK_NAME}",
  "template": "${TEMPLATE}",
  "parameters": ${PARAMETER}
}
EOL

    (2) ルータA2用ファイアウォール作成#

    APIを使用してスタックを作成することで、ルータA2に付与するファイアウォールを作成します。
    作成するファイアウォールには以下のファイアウォールルールが設定されます。

    No. ファイアウォールルール名 action IPプロトコル 接続元IPアドレス 接続元使用ポート 接続先IPアドレス 接続先使用ポート
    1 firewall_ingress_rule_allow_vpncider allow tcp 192.168.246.0/24
    (SSL-VPNクライアントIPプール)    		 any 192.168.50.0/24 any
    2 firewall_ingress_rule_allow_vpnendpoint allow tcp 0.0.0.0/0 any 192.168.90.5
    (※1)    		 443
    3 firewall_egress_rule_allow_all allow any 192.168.50.0/24 any any any
    4 firewall_rule_all_deny allow any any any any any

    ※1:
    192.168.90.5/32はSSL-VPN ConnectionリソースのIPアドレスとして利用されます。
    詳細は 機能説明書 をご参照ください。

    事前準備として、以下を実施してください。

    • IaaSポータルの「ネットワーク」⇒「仮想ルータ」⇒「management-net-router」と選択した画面で、仮想ルータIDを控えます。
    • 展開したPARAMETER_BIGIP-CDP-FW_MANAGEMENT.jsonファイル”router_id”の値を、上記で控えた値に書き換えます。
    • 設定項目(REST API)
    リクエストパラメータ名 変数例 設定値例 内容
    - $TEMPLATE_FILE "TEMPLATE_BIGIP-CDP-FW_MANAGEMENT.yaml" ダウンロードしたテンプレートファイルTEMPLATE_BIGIP-CDP-FW_MANAGEMENT.yamlのパスを指定
    - $PARAMETER_FILE "PARAMETER_BIGIP-CDP-FW_MANAGEMENT.json" ダウンロードしたパラメータファイルPARAMETER_BIGIP-CDP-FW_MANAGEMENT.jsonのパスを指定
    "stack_name" $STACK_NAME "bigip-CDP-management-fw" 作成するスタック名を指定
    "template" $TEMPLATE $(cat ${TEMPLATE_FILE} | sed -z -e 's/\n/\\n/g') 変数$TEMPLATE_FILEには、ダウンロードしたテンプレートファイルTEMPLATE_BIGIP-CDP-FW_MANAGEMENT.yamlのパスを指定
    "parameters" $PARAMETER  $(cat ${PARAMETER_FILE}) 変数PARAMETER_FILEには、ダウンロードしたパラメータファイルPARAMETER_BIGIP-CDP-FW_MANAGEMENT.jsonのパスを指定
    • 実行API例
      STACK_NAME=bigip-CDP-management-fw
TEMPLATE_FILE=TEMPLATE_BIGIP-CDP-FW_MANAGEMENT.yaml
PARAMETER_FILE=PARAMETER_BIGIP-CDP-FW_MANAGEMENT.json
TEMPLATE=$(cat ${TEMPLATE_FILE} | sed -z -e 's/\n/\\n/g')
PARAMETER=$(cat ${PARAMETER_FILE})

curl -k $ORCHESTRATION/v1/${PROJECT_ID}/stacks -X POST \
-H "X-Auth-Token: $OS_AUTH_TOKEN" -H "Content-Type: application/json" \
-d @- <<EOL
{
  "stack_name": "${STACK_NAME}",
  "template": "${TEMPLATE}",
  "parameters": ${PARAMETER}
}
EOL

    (3) セキュリティグループの作成#

    APIを使用してスタックを作成することで、以下5つのセキュリティグループを作成します。
    作成する5つのセキュリティグループにはそれぞれ、全ての通信を許可する以下表のセキュリティグループルールが設定されます。
    これらのセキュリティグループは、以下手順にて仮想サーバを作成する際、各サーバのポートに対し自動で設定されます。

    • セキュリティグループ

      • internal-security-group
      • external-security-group
      • ha-security-group
      • application-security-group
      • management-security-group

    • セキュリティグループルール

    No. ルール 方向 オープンポート ポート番号 接続先 CIDR
    1 ALL TCP 送信 ポート番号 1 - 65535
    2 ALL UDP 送信 ポート番号 1 - 65535
    3 ALL TCP 受信 ポート番号 1 - 65535
    4 ALL UDP 受信 ポート番号 1 - 65535
    • 設定項目(REST API)
    リクエストパラメータ名 変数例 設定値例 内容
    - $TEMPLATE_FILE "TEMPLATE_BIGIP-CDP-SECURITY_GROUP.yaml" ダウンロードしたテンプレートファイルTEMPLATE_BIGIP-CDP-SECURITY_GROUP.yamlのパスを指定
    "stack_name" $STACK_NAME "bigip-CDP-security-group" 作成するスタック名を指定
    "template" $TEMPLATE $(cat ${TEMPLATE_FILE} | sed -z -e 's/\n/\\n/g') 変数$TEMPLATE_FILEには、ダウンロードしたテンプレートファイルTEMPLATE_BIGIP-CDP-SECURITY_GROUP.yamlのパスを指定
    • 実行API例
      STACK_NAME=bigip-CDP-security-group
TEMPLATE_FILE=TEMPLATE_BIGIP-CDP-SECURITY_GROUP.yaml
TEMPLATE=$(cat ${TEMPLATE_FILE} | sed -z -e 's/\n/\\n/g')

curl -k $ORCHESTRATION/v1/${PROJECT_ID}/stacks -X POST \
-H "X-Auth-Token: $OS_AUTH_TOKEN" -H "Content-Type: application/json" \
-d @- <<EOL
{
  "stack_name": "${STACK_NAME}",
  "template": "${TEMPLATE}"
}
EOL

    2. BIG-IP LTMの作成#

    (1) BIGIP用 共有ポート作成#

    APIを使用してスタックを作成することで、BIG-IP LTM用の共有ポートを作成します。
    以下の共有ポートが作成されます。

    • 代表IPアドレス:192.168.10.99
    • ロードバランス用バーチャルサーバIPアドレス:192.168.10.201
    • 代表IPアドレス:192.168.20.99
    • 設定項目(REST API)
    リクエストパラメータ名 変数例 設定値例 内容
    - $TEMPLATE_FILE "TEMPLATE_BIGIP-CDP-VIRTUAL_PORT.yaml" ダウンロードしたテンプレートファイルTEMPLATE_BIGIP-CDP-VIRTUAL_PORT.yamlのパスを指定
    "stack_name" $STACK_NAME "bigip-CDP-virtual-port" 作成するスタック名を指定
    "template" $TEMPLATE $(cat ${TEMPLATE_FILE} | sed -z -e 's/\n/\\n/g') 変数$TEMPLATE_FILEには、ダウンロードしたテンプレートファイルTEMPLATE_BIGIP-CDP-VIRTUAL_PORT.yamlのパスを指定
    • 実行API例
      STACK_NAME=bigip-CDP-virtual-port
TEMPLATE_FILE=TEMPLATE_BIGIP-CDP-VIRTUAL_PORT.yaml
TEMPLATE=$(cat ${TEMPLATE_FILE} | sed -z -e 's/\n/\\n/g')

curl -k $ORCHESTRATION/v1/${PROJECT_ID}/stacks -X POST \
-H "X-Auth-Token: $OS_AUTH_TOKEN" -H "Content-Type: application/json" \
-d @- <<EOL
{
  "stack_name": "${STACK_NAME}",
  "template": "${TEMPLATE}"
}
EOL

    (2) BIG-IP LTM(Active)の作成#

    APIを使用してスタックを作成することで、 BIG-IP LTM(Active)を作成します。

    • 設定項目(REST API)
    リクエストパラメータ名 変数例 設定値例 内容
    - $TEMPLATE_FILE "TEMPLATE_BIGIP-CDP-BIGIP-SERVER.yaml" ダウンロードしたテンプレートファイルTEMPLATE_BIGIP-CDP-BIGIP-SERVER.yamlのパスを指定
    - $PARAMETER_FILE "PARAMETER_BIGIP-CDP-BIGIP-SERVER-active.json" ダウンロードしたパラメータファイルPARAMETER_BIGIP-CDP-BIGIP-SERVER-active.jsonのパスを指定
    "stack_name" $STACK_NAME "bigip-CDP-server-active" 作成するスタック名を指定
    "template" $TEMPLATE $(cat ${TEMPLATE_FILE} | sed -z -e 's/\n/\\n/g') 変数$TEMPLATE_FILEには、ダウンロードしたテンプレートファイルTEMPLATE_BIGIP-CDP-BIGIP-SERVER.yamlのパスを指定
    "parameters" $PARAMETER  $(cat ${PARAMETER_FILE}) 変数PARAMETER_FILEには、ダウンロードしたパラメータファイルPARAMETER_BIGIP-CDP-BIGIP-SERVER-active.jsonのパスを指定
    • 実行API例
      STACK_NAME=bigip-CDP-server-active
TEMPLATE_FILE=TEMPLATE_BIGIP-CDP-BIGIP-SERVER.yaml
PARAMETER_FILE=PARAMETER_BIGIP-CDP-BIGIP-SERVER-active.json
TEMPLATE=$(cat ${TEMPLATE_FILE} | sed -z -e 's/\n/\\n/g')
PARAMETER=$(cat ${PARAMETER_FILE})

curl -k $ORCHESTRATION/v1/${PROJECT_ID}/stacks -X POST \
-H "X-Auth-Token: $OS_AUTH_TOKEN" -H "Content-Type: application/json" \
-d @- <<EOL
{
  "stack_name": "${STACK_NAME}",
  "template": "${TEMPLATE}",
  "parameters": ${PARAMETER}
}
EOL

    (3) BIG-IP LTM(Standby)の作成#

    APIを使用してスタックを作成することで、 BIG-IP LTM(Standby)を作成します。

    • 設定項目(REST API)
    リクエストパラメータ名 変数例 設定値例 内容
    - $TEMPLATE_FILE "TEMPLATE_BIGIP-CDP-BIGIP-SERVER.yaml" ダウンロードしたテンプレートファイルTEMPLATE_BIGIP-CDP-BIGIP-SERVER.yamlのパスを指定
    - $PARAMETER_FILE "PARAMETER_BIGIP-CDP-BIGIP-SERVER-standby.json" ダウンロードしたパラメータファイルPARAMETER_BIGIP-CDP-BIGIP-SERVER-standby.jsonのパスを指定
    "stack_name" $STACK_NAME "bigip-CDP-server-standby" 作成するスタック名を指定
    "template" $TEMPLATE $(cat ${TEMPLATE_FILE} | sed -z -e 's/\n/\\n/g') 変数$TEMPLATE_FILEには、ダウンロードしたテンプレートファイルTEMPLATE_BIGIP-CDP-BIGIP-SERVER.yamlのパスを指定
    "parameters" $PARAMETER  $(cat ${PARAMETER_FILE}) 変数PARAMETER_FILEには、ダウンロードしたパラメータファイルPARAMETER_BIGIP-CDP-BIGIP-SERVER-standby.jsonのパスを指定
    • 実行API例
      STACK_NAME=bigip-CDP-server-standby
TEMPLATE_FILE=TEMPLATE_BIGIP-CDP-BIGIP-SERVER.yaml
PARAMETER_FILE=PARAMETER_BIGIP-CDP-BIGIP-SERVER-standby.json
TEMPLATE=$(cat ${TEMPLATE_FILE} | sed -z -e 's/\n/\\n/g')
PARAMETER=$(cat ${PARAMETER_FILE})

curl -k $ORCHESTRATION/v1/${PROJECT_ID}/stacks -X POST \
-H "X-Auth-Token: $OS_AUTH_TOKEN" -H "Content-Type: application/json" \
-d @- <<EOL
{
  "stack_name": "${STACK_NAME}",
  "template": "${TEMPLATE}",
  "parameters": ${PARAMETER}
}
EOL

    3. Webサーバの作成#

    (1) キーペア作成#

    サーバにログインするためのキーペアを作成します。

    • IaaSポータルの「コンピュート」⇒「キーペア」と選択した画面で、右上の「+」ボタンをクリックしキーペアを作成します。
    • キーペア名「BigipKeypair」を入力し「次へ」をクリックし、任意の場所にダウンロードします。

    (2) Webサーバ1の作成#

    APIを使用してスタックを作成することで、Webサーバ1を作成します。
    本手順により、以下の設定が自動で行われます。

    • Rootユーザのパスワード設定
      • 任意のパスワードへの変更は、PARAMETER_BIGIP-CDP-WEBSERVER1.json内の"root_password"の値を修正
    • yum updateの実行
    • httpdのインストール
    • 設定項目(REST API)
    リクエストパラメータ名 変数例 設定値例 内容
    - $TEMPLATE_FILE "TEMPLATE_BIGIP-CDP-WEBSERVER.yaml" ダウンロードしたテンプレートファイルTEMPLATE_BIGIP-CDP-WEBSERVER.yamlのパスを指定
    - $PARAMETER_FILE "PARAMETER_BIGIP-CDP-WEBSERVER1.json" ダウンロードしたパラメータファイルPARAMETER_BIGIP-CDP-WEBSERVER1.jsonのパスを指定
    "stack_name" $STACK_NAME "bigip-CDP-webserver1" 作成するスタック名を指定
    "template" $TEMPLATE $(cat ${TEMPLATE_FILE} | sed -z -e 's/\n/\\n/g') 変数$TEMPLATE_FILEには、ダウンロードしたテンプレートファイルTEMPLATE_BIGIP-CDP-WEBSERVER.yamlのパスを指定
    "parameters" $PARAMETER  $(cat ${PARAMETER_FILE}) 変数PARAMETER_FILEには、ダウンロードしたパラメータファイルPARAMETER_BIGIP-CDP-WEBSERVER1.jsonのパスを指定
    • 実行API例
      STACK_NAME=bigip-CDP-webserver1
TEMPLATE_FILE=TEMPLATE_BIGIP-CDP-WEBSERVER.yaml
PARAMETER_FILE=PARAMETER_BIGIP-CDP-WEBSERVER1.json
TEMPLATE=$(cat ${TEMPLATE_FILE} | sed -z -e 's/\n/\\n/g')
PARAMETER=$(cat ${PARAMETER_FILE})

curl -k $ORCHESTRATION/v1/${PROJECT_ID}/stacks -X POST \
-H "X-Auth-Token: $OS_AUTH_TOKEN" -H "Content-Type: application/json" \
-d @- <<EOL
{
  "stack_name": "${STACK_NAME}",
  "template": "${TEMPLATE}",
  "parameters": ${PARAMETER}
}
EOL

    (3) Webサーバ2の作成#

    APIを使用してスタックを作成することで、 Webサーバ2を作成します。
    本手順により、以下の設定が自動で行われます。

    • Rootユーザのパスワード設定
      • 任意のパスワードへの変更は、PARAMETER_BIGIP-CDP-WEBSERVER2.json内の"root_password"の値を修正
    • yum updateの実行
    • httpdのインストール
    • 設定項目(REST API)
    リクエストパラメータ名 変数例 設定値例 内容
    - $TEMPLATE_FILE "TEMPLATE_BIGIP-CDP-WEBSERVER.yaml" ダウンロードしたテンプレートファイルTEMPLATE_BIGIP-CDP-WEBSERVER.yamlのパスを指定
    - $PARAMETER_FILE "PARAMETER_BIGIP-CDP-WEBSERVER2.json" ダウンロードしたパラメータファイルPARAMETER_BIGIP-CDP-WEBSERVER2.jsonのパスを指定
    "stack_name" $STACK_NAME "bigip-CDP-webserver2" 作成するスタック名を指定
    "template" $TEMPLATE $(cat ${TEMPLATE_FILE} | sed -z -e 's/\n/\\n/g') 変数$TEMPLATE_FILEには、ダウンロードしたテンプレートファイルTEMPLATE_BIGIP-CDP-WEBSERVER.yamlのパスを指定
    "parameters" $PARAMETER  $(cat ${PARAMETER_FILE}) 変数PARAMETER_FILEには、ダウンロードしたパラメータファイルPARAMETER_BIGIP-CDP-WEBSERVER2.jsonのパスを指定
    • 実行API例
      STACK_NAME=bigip-CDP-webserver2
TEMPLATE_FILE=TEMPLATE_BIGIP-CDP-WEBSERVER.yaml
PARAMETER_FILE=PARAMETER_BIGIP-CDP-WEBSERVER2.json
TEMPLATE=$(cat ${TEMPLATE_FILE} | sed -z -e 's/\n/\\n/g')
PARAMETER=$(cat ${PARAMETER_FILE})

curl -k $ORCHESTRATION/v1/${PROJECT_ID}/stacks -X POST \
-H "X-Auth-Token: $OS_AUTH_TOKEN" -H "Content-Type: application/json" \
-d @- <<EOL
{
  "stack_name": "${STACK_NAME}",
  "template": "${TEMPLATE}",
  "parameters": ${PARAMETER}
}
EOL

    4. Ansibleサーバの作成#

    APIを使用してスタックを作成することで、Ansibleサーバを作成します。
    本手順により、以下の設定が自動で行われます。

    • Rootユーザのパスワード設定
      • 任意のパスワードへの変更は、PARAMETER_BIGIP-CDP-AnsibleSERVER.json内の"root_password"の値を修正
    • yum updateの実行
    • epel-release, ansible のインストール
    • 設定項目(REST API)
    リクエストパラメータ名 変数例 設定値例 内容
    - $TEMPLATE_FILE "TEMPLATE_BIGIP-CDP-AnsibleSERVER.yaml" ダウンロードしたテンプレートファイルTEMPLATE_BIGIP-CDP-AnsibleSERVER.yamlのパスを指定
    - $PARAMETER_FILE "PARAMETER_BIGIP-CDP-AnsibleSERVER.json" ダウンロードしたパラメータファイルPARAMETER_BIGIP-CDP-AnsibleSERVER.jsonのパスを指定
    "stack_name" $STACK_NAME "bigip-CDP-ansibleserver" 作成するスタック名を指定
    "template" $TEMPLATE $(cat ${TEMPLATE_FILE} | sed -z -e 's/\n/\\n/g') 変数$TEMPLATE_FILEには、ダウンロードしたテンプレートファイルTEMPLATE_BIGIP-CDP-AnsibleSERVER.yamlのパスを指定
    "parameters" $PARAMETER  $(cat ${PARAMETER_FILE}) 変数PARAMETER_FILEには、ダウンロードしたパラメータファイルPARAMETER_BIGIP-CDP-AnsibleSERVER.jsonのパスを指定
    • 実行API例
      STACK_NAME=bigip-CDP-ansibleserver
TEMPLATE_FILE=TEMPLATE_BIGIP-CDP-AnsibleSERVER.yaml
PARAMETER_FILE=PARAMETER_BIGIP-CDP-AnsibleSERVER.json
TEMPLATE=$(cat ${TEMPLATE_FILE} | sed -z -e 's/\n/\\n/g')
PARAMETER=$(cat ${PARAMETER_FILE})

curl -k $ORCHESTRATION/v1/${PROJECT_ID}/stacks -X POST \
-H "X-Auth-Token: $OS_AUTH_TOKEN" -H "Content-Type: application/json" \
-d @- <<EOL
{
  "stack_name": "${STACK_NAME}",
  "template": "${TEMPLATE}",
  "parameters": ${PARAMETER}
}
EOL

    5. テストクライアントサーバの作成#

    APIを使用してスタックを作成することで、テストクライアントサーバを作成します。
    本手順により、以下の設定が自動で行われます。

    • Rootユーザのパスワード設定
      • 任意のパスワードへの変更は、PARAMETER_BIGIP-CDP-testclient.json内の"root_password"の値を修正
    • 設定項目(REST API)
    リクエストパラメータ名 変数例 設定値例 内容
    - $TEMPLATE_FILE "TEMPLATE_BIGIP-CDP-testclient.yaml" ダウンロードしたテンプレートファイルTEMPLATE_BIGIP-CDP-testclient.yamlのパスを指定
    - $PARAMETER_FILE "PARAMETER_BIGIP-CDP-testclient.json" ダウンロードしたパラメータファイルPARAMETER_BIGIP-CDP-testclient.jsonのパスを指定
    "stack_name" $STACK_NAME "bigip-CDP-testclient" 作成するスタック名を指定
    "template" $TEMPLATE $(cat ${TEMPLATE_FILE} | sed -z -e 's/\n/\\n/g') 変数$TEMPLATE_FILEには、ダウンロードしたテンプレートファイルTEMPLATE_BIGIP-CDP-testclient.yamlのパスを指定
    "parameters" $PARAMETER  $(cat ${PARAMETER_FILE}) 変数PARAMETER_FILEには、ダウンロードしたパラメータファイルPARAMETER_BIGIP-CDP-testclient.jsonのパスを指定
    • 実行API例
      STACK_NAME=bigip-CDP-testclient
TEMPLATE_FILE=TEMPLATE_BIGIP-CDP-testclient.yaml
PARAMETER_FILE=PARAMETER_BIGIP-CDP-testclient.json
TEMPLATE=$(cat ${TEMPLATE_FILE} | sed -z -e 's/\n/\\n/g')
PARAMETER=$(cat ${PARAMETER_FILE})

curl -k $ORCHESTRATION/v1/${PROJECT_ID}/stacks -X POST \
-H "X-Auth-Token: $OS_AUTH_TOKEN" -H "Content-Type: application/json" \
-d @- <<EOL
{
  "stack_name": "${STACK_NAME}",
  "template": "${TEMPLATE}",
  "parameters": ${PARAMETER}
}
EOL

    6. 管理用SSL-VPNの作成#

    BIG-IP LTMへのセキュアな接続を実現するため、管理用のSSL-VPNを作成します。

    (1) VPNサービス作成#

    • ルータA2にVPNサービスを設定
    パラメータ名 設定値例
    仮想ルータ名 management-net-router
    サブネット名 management-subnet
    VPNサービス名 BIGIP-CDP-VPN
    管理状態 true

    (2) SSL-VPNコネクションの作成#

    パラメータ名 設定値例
    SSL-VPN接続名 BIGIP-CDP-SSLVPN
    管理状態 true
    証明書 FJCloud証明書(デフォルト)
    クライアントIPプール 192.168.246.0/24

    7. BIG-IP LTMの設定#

    構築したBIG-IP LTM2台に対し、以下の設定を行います。

    • ライセンス認証
      • ライセンス認証の実施
    • Ansible実行による設定
      • 初期パスワード変更
      • 各種設定変更
        • 基本設定 (ホスト名、IPアドレス、VLANなど)
        • HA構成の設定
        • Floating-IPアドレスの設定
      • ロードバランスに必要な設定の実施
        • Webサーバ1・2へのスタティックルートの設定
        • Webサーバ1・2へのロードバランスの設定

    (1) ライセンス認証#

    BIG-IP LTMにSSHログインし、ライセンス認証を実施します。
    FUJITSU Hybrid IT Service FJcloud-O IaaS BIG-IP スタートガイド(PDF形式)第5 章 BIG-IP ライセンス登録を参照の上、実施してください。

    (2) Ansible実行による設定#

    (A) 事前準備#

    以下の手順で、Ansible実行のための事前準備を実施します。

    • テンプレートファイルのダウンロード

    • Ansibleサーバへログイン

      • rootユーザを使用し、SSL-VPN経由でSSHログイン

    • /etc/ansible/roles/inventoryディレクトリを作成し、移動

      • 実行例: 
        [root@ansible-server ~]# mkdir /etc/ansible/roles/inventory
[root@ansible-server ~]# cd /etc/ansible/roles/inventory

    • ダウンロードしたbigip_ansible.zipを解凍した以下のファイル・サブディレクトリ一式を、API実行環境から上記のディレクトリに転送
      image

    (B) Playbookの実行#

    以下3つのPlaybook(yaml形式)を実行することで、BIG-IP LTM2台の設定を実行します。
    必要に応じて各yamlファイルを修正のうえご活用ください。

    yamlファイル 設定内容
    01_setup.yaml 初期パスワード変更
    02_configureHA.yaml 各種設定変更
  • 基本設定 (ホスト名、IPアドレス、VLANなど)
  • HA構成の設定
  • Floating-IPアドレスの設定
    		•
    03_create_virtualserver.yaml ロードバランスに必要な設定の変更
  • Webサーバ1・2へのスタティックルートの設定
  • Webサーバ1・2へのロードバランスの設定
    		•
    • 01_setup.yamlの実行
      • BIG-IPサーバ2台の初期パスワード変更を含む設定を実施
      • インベントリファイル(制御したいホストを定義するファイル)としてhostsファイルを指定し、この中の"ansible_ssh_pass"の値を修正することで初期パスワードを設定可能
      • hostsファイルでは、以下の制御対象ホストとグループを定義
        • BIG-IP LTM(Active) ホスト名:"bigip01"
        • BIG-IP LTM(Standby) ホスト名:"bigip02"
        • 上記2ホストが所属するグループ名:"bigip"
          同ファイル内13行目に"[bigip]"と記載し定義
      • 実行例:
        [root@ansible-server inventory]# ansible-playbook -i hosts 01_setup.yaml

    • 02_configureHA.yamlの実行

      • BIG-IPサーバ2台の各種設定変更を実施
      • インベントリファイルとしてhostsファイルを指定
      • 各設定パラメータはhost_vars/bigip01.yamlhost_vars/bigip02.yamlgroup_vars/bigip.yamlファイルの対応箇所を修正
      • 実行例: 
        [root@ansible-server inventory]# ansible-playbook -i hosts 02_configureHA.yaml

    • bigip01.yaml02_configureHA.yamlファイルの対応例
      以下を参考に、各設定パラメータを設定してください。
      image

    • 03_create_virtualserver.yamlの実行
      • ロードバランスに必要な設定の変更を、BIG-IP LTM(Active)に投入
      • インベントリファイルとしてhostsファイルを指定
      • 各設定パラメータはbigip01.yamlファイルの対応箇所を修正
      • 実行例: 
        [root@ansible-server inventory]# ansible-playbook -i hosts 03_create_virtualserver.yaml

    (3) Ansibleの実行に関する補足#

    (A) 冪(べき)等性に関して#

    Ansibleを利用した構成管理では、Playbookには視認性の高い「構築後のあるべき姿」が記載されます。
    同一のPlaybookを複数回実行する場合、何度実行しても同一の結果を得ることが可能です。(冪(べき)等性)

    以下に、Playbook(02_configureHA.yaml)を複数回、2台のBIG-IP LTMに対して実行した場合のイメージを記載します。

    image

    image

    image

    上側のキャプチャは初回実行時、下側は2回目実行時のものです。
    初回実行時、設定内容は"changed"と表示されますが、2回目の実行時は変更なしのため"ok"と表示されます。

    (B) Ansible設定ファイルに関して#

    本パターンでのAnsible設定ファイルに関する補足情報を以下に記載します。

    • Ansible設定ファイルの内容
      • 主なAnsible設定ファイルとその設定内容は以下の通りです。
    ファイル名 内容
    bigip.yaml bigip01、bigip02に設定する共通パラメータ
    bigip01.yaml BIG-IP LTM(Active)の固有パラメータ
    bigip02.yaml BIG-IP LTM(Standby)の固有パラメータ
    • hostsファイルの設定内容
      • hostsファイルでのサーバホスト・グループに関する設定内容は以下の通りです。 
        # This is the default ansible 'hosts' file.
#
# It should live in /etc/ansible/hosts
#
#   - Comments begin with the '#' character
#   - Blank lines are ignored
#   - Groups of hosts are delimited by [header] elements
#   - You can enter hostnames or ip addresses
#   - A hostname/ip can be a member of multiple groups



[bigip] #bigipというグループ名を設定しbigipのIPアドレスユーザーパスワードを設定(以下例ではパスワード"aaa"と指定)
bigip01 ansible_host=192.168.50.11 ansible_user=admin ansible_ssh_pass=aaa'
bigip02 ansible_host=192.168.50.12 ansible_user=admin ansible_ssh_pass=‘aaa'

[bigip_master] #特定条件で指定したインスタンスのみ処理をしたい場合に記載
bigip01

[bigip_slave]  #特定条件で指定したインスタンスのみ処理をしたい場合に記載
bigip02
    • hostsファイルと01_setup.yamlファイルの関連性
      • 01_setup.yamlファイルの実行時、hostsファイル内に記載のグループ"bigip"にあるインスタンスにて実行されます。
      • 01_setup.yamlファイルでの設定内容は以下をご確認ください。 
        ---
- name: bigip setup
  hosts: bigip  #hostsファイルのグループbigipにあるインスタンスにて実行
  gather_facts: no
  connection: local
  collections:
  - f5networks.f5_modules
~~省略~~
    • hostsファイルと02_configureHA.yamlファイルの関連性
      • 02_configureHA.yamlの実行時、"when"と記載された行では、hostsファイルにある特定のグループのみ処理が実行されます。
      • 02_configureHA.yamlファイルでの設定内容は以下をご確認ください。 
        ~~省略~~
 - name: Add-to-trust to be executed only from master to slave
      bigip_device_trust:
        provider: "{{ provider }}"
        peer_server: "{{ peer_mgmt }}"
        peer_hostname: "{{ peer_hostname }}"
        peer_user: "{{ admin_user }}"
        peer_password: "{{ admin_password }}"
      when: inventory_hostname in groups[‘bigip_master’]  
      
      #when:~ hostsファイルにある特定のグループのみ処理を実行
~~省略~~

    メリット・効果#

    本パターンではFJcloud-Oオーケストレーション機能およびAnsibleを活用します。
    これにより、以下のメリットを享受可能です。

    • 環境(テスト・本番)が変わっても同一の内容で構築可能
    • 構築が自動化されることでオペレーションミスを防止し、構築期間を短縮
    • テンプレートによる構築作業を実施することで、詳細な構築手順書等の事前準備が不要
    • テンプレートのバージョン管理による容易な構成管理が実現

    注意事項#

    • 本パターンは、2021年7月時点のFJcloud-O 東日本/西日本リージョン3にて動作検証をしています。
    • 本パターンは、Ansibleサーバにインストールされたansible 2.9.23にて動作確認済です。
    • 本パターンは、AnsibleサーバにインストールされたPython 2.7.5にて動作確認済です。
    • Ansibleのファイル記載方式・実行方法の詳細は、Ansibleの 公式ドキュメント を参照ください。
    • 本パターンにおけるBIG-IP LTMの設定や冗長方式のパラメータ、ロードバランス方式などはあくまでも一例です。
      実際に利用される場合、ご使用の環境に適したパラメータ・方式にて導入ください。
    • BIG-IP LTMの設定にあたっては、以下の資料を適宜ご参照ください。
      FUJITSU Hybrid IT Service FJcloud-O IaaS BIG-IP スタートガイド(PDF形式)