My Home NW Lab

逸般の誤家庭のネットワーク

BIG-IP SSLO (SSL Orchestrator)により生成される設定群の確認方法

BIG-IP

BIG-IP SSLOのConfiguration画面で設定した内容は、BIG-IPの標準的な設定としてデプロイされています。 どのような設定が生成されたかを把握するのはSSLOの理解を深めるのに繋がるため、確認方法を記載します。 まずは下記にサンプル画面を掲載します。

f:id:myhomenwlab:20211216204800j:plain
サンプル画面

下記の記事でセットアップした内容をサンプルとして、生成される設定群を確認する方法を紹介します。

myhomenwlab.hatenablog.com

目次

バージョン情報

本記事は下記のバージョンで検証を行っております。

  • F5 BIG-IP Virtual Edition Version 16.1.2
    BIG-IPのモジュールは、LTM, APM, SSLOを有効化しております。

  • SSL Orchestrator Package Version 16.1.0
    SSLOはiApps LXのパッケージとして提供されているため、個別のバージョン情報があります。 今回はBIG-IP VE v16.1.2にデフォルトで含まれていたバージョンを使用しております。

元になるSSLOの設定

メニュー: SSL Orchestrator > Configuration の設定画面にはいくつかタブがあるため、SSLOとして生成された設定を先に確認します。 後述しますが、iAppsのApplicationとして sslo_DEMO , ssloP_DEMO , ssloT_DEMO (サフィックス部分が DEMO のApplication)の設定が生成されています。
意図的に設定していない項目があるため、設定が表示されていない設定画面のサンプルも含まれております。

f:id:myhomenwlab:20211216201721j:plain
Topologies

f:id:myhomenwlab:20211216201746j:plain
Interception Rules

f:id:myhomenwlab:20211216201802j:plain
Services

f:id:myhomenwlab:20211216201815j:plain
Service Chains

f:id:myhomenwlab:20211216201830j:plain
Security Policies

f:id:myhomenwlab:20211216201849j:plain
SSL Configurations

f:id:myhomenwlab:20211216201900j:plain
Authentication

SSLOが生成したiAppsのApplicationの可視化

SSLOにて生成された設定群はiAppsのApplicationから確認が可能ですが、デフォルトでは非表示になっています。そのため、可視化の設定方法を記載します。
ただし、注意点があります。 SSLOがデフォルトで表示を隠ぺいして、SSLOのUser Interfaceからの操作を基本にしているのを、あえて設定変更してしまうため、あくまでも検証環境で設定変更して理解を促す用途などで活用してください。

  • メニュー: iApps > Application Services > Applications で下記の画面のようにApplicationが表示されるように設定を変更していきます。

f:id:myhomenwlab:20211216202418j:plain
iAppsのApplication

  • 設定変更対象のApplicationを下記のコマンドで確認します。
tmsh list sys application service recursive | grep 'sys application service'
  • 出力例は下記のようになります。
[root@bigip01:Active:In Sync] config # tmsh list sys application service recursive | grep 'sys application service'
sys application service ssloF_global.app/ssloF_global {
sys application service ssloGS_global.app/ssloGS_global {
sys application service ssloP_DEMO.app/ssloP_DEMO {
sys application service ssloT_DEMO.app/ssloT_DEMO {
sys application service sslo_DEMO.app/sslo_DEMO {
[root@bigip01:Active:In Sync] config #

今回はサフィックス部分が DEMO のApplicationである sslo_DEMO , ssloP_DEMO , ssloT_DEMO が設定変更の対象となります。

  • 下記のコマンドを例にして、設定を変更して保存します。環境に応じて異なるため、設定対象は適宜読み替えてください。
tmsh modify sys application service sslo_DEMO.app/sslo_DEMO description none
tmsh modify sys application service ssloP_DEMO.app/ssloP_DEMO description none
tmsh modify sys application service ssloT_DEMO.app/ssloT_DEMO description none

tmsh save sys config partitions all
  • 冗長化構成の場合は、適宜設定の同期を行ってください。

生成された設定群の確認

  • メニュー: iApps > Application Services > Applications で表示された各Applicationを開くと、Applicationに紐づく設定群が表示されます。

f:id:myhomenwlab:20211216202418j:plain
iAppsのApplication

  • sslo_DEMO (サンプル設定)

    f:id:myhomenwlab:20211216203026j:plain
    sslo_DEMO (サンプル設定)

  • ssloP_DEMO (サンプル設定)

    f:id:myhomenwlab:20211216203041j:plain
    ssloP_DEMO (サンプル設定)

  • ssloT_DEMO (サンプル設定)

    f:id:myhomenwlab:20211216203054j:plain
    ssloT_DEMO (サンプル設定)

最後に

SSLOはiApps LXの仕組みを利用しており、BIG-IPの各種モジュール (LTMやAPMなど)の中でもかなり癖があります。 本番運用に乗り出す前に、可能な限り理解を深めておかないとSSLOは扱いが難しいので、本内容をうまく活用して頂けると幸いです。