My Home NW Lab

逸般の誤家庭のネットワーク

BIG-IP SSLOでの設定のロック (Strict Updates)とドキュメンテーションの重要性

BIG-IP

BIG-IP SSLO (SSLO Orchestrator)のGuided ConfigurationによりBIG-IPの標準設定としてデプロイされると、 SSLOの管理配下のオブジェクトの一部にはロックがかかります。そして、ロックがかかっていると、紐付くオブジェクトの設定変更はできなくなります。 また、ロックは鍵マークのアイコンとして視覚的に表現されます。

f:id:myhomenwlab:20220131112016j:plain
SSLO Configuration Guideの鍵マーク

内部的な動きを補足しますが、ロックの仕組みはSSLOによりデプロイされたオブジェクト群は実際にはiAppsに紐づいており、 iAppsのStrict Updatesの機能により実現されています。

そのため、下記の記事のようにiAppsとしての設定を意図的に表示するとStrict Updatesと連動しているのを確認できます。

myhomenwlab.hatenablog.com

f:id:myhomenwlab:20220131112116j:plain
iAppsの設定として見た場合のStrict Updates

ロックを外す際のドキュメンテーションの重要性

まず前提としてロックは不用意に外すべきではありません。 SSLOのGuided Configuration側で実際のBIG-IP標準の設定としてデプロイする都合上、ロックを外すとSSLOもしくはBIG-IP標準設定としての2通りの管理方法ができてしまいます。
そして、SSLOのGuided Configuration側では設定変更をトラッキングできない設定項目もあるため、不用意にSSLOでデプロイしなおすと、ロックを外して個別に設定していたBIG-IP標準設定が上書きされる可能性があります。

SSLO v16系でPreview Merge Configurationが登場して、デプロイ前の変更点のトラッキングが行いやすくなりましたが、 オペレーションのミスの原因になるやり方は必要性がない限り避けるべきです。

そのため、どうしてもSSLOのGuided Configurationでロックを外す際は、設定の変更状況をトラッキングできるように必ずドキュメントに変更点を記録してください。
実際、ドキュメンテーションの重要性は公式のドキュメントにも記載があります。

SSL Orchestrator known issues and workarounds
https://support.f5.com/csp/article/K00805840

If you need to disable Strict Updates, make sure to document the change in case you need to change the configuration later. After you make a change to the SSL Orchestrator, you should go back and verify that your earlier modifications to the underlying objects still exist and, if they don't, you should re-implement the removed or modified objects.

もしドキュメンテーションが杜撰な管理になっていると、 VersionのUpgrade時にGuided Configurationの設定を一度消してからUpgradeが必要となるパターンがあるため、再構築が行えなくなる可能性があります。

また、簡単にドキュメンテーションすると言っても、BIG-IP SSLOが生成するオブジェクト群は大量にあります。
パラメータ シートで設定を管理していると大量の情報の記載が必要になるため、必要十分なドキュメンテーションのための時間確保が必要になります。

補足

BIG-IP SSLOのVersion: 16.0.0-8.0のリリースより、Topologiesタブでのロックは表示されなくなりました。

AskF5 | Release Notes: F5 SSL Orchestrator Release Notes version 16.0.0-8.0
https://techdocs.f5.com/kb/en-us/products/ssl-orchestrator/releasenotes/product/relnote-ssl-orchestrator-16-0-0-iapp-8-0.html#rn_apm_1120_fixes

ID number Description
906329 In SSL Orchestrator, the strict-update (strictness) option icon is shown for Existing Application topologies in the topology tab view. However, strict-update is not applicable for Existing Application topologies and should not be shown. The strictness icon should be available only in the Services and Security Policies tab view for services and security policies created as part of an Existing Application topology. Fix: The strictness icon is no longer shown for Existing Application topologies in the topology tab view.

f:id:myhomenwlab:20220131112357j:plain
SSLO v16系でのTopologiesタブの表示

実務観点での話

筆者が経験した際はSSLO v15系でPreview Merge Configurationがなかったため、PoCで機能検証するために設定変更が度重なり設定が上書きされてしまい、SSLO自体の特殊性による扱いにくさとドキュメンテーションの重要性を痛感しています。 また、パラメータ シートの作成は時間との戦いになるため、プロジェクト期間が短い場合は要注意となります。 実際に筆者の場合は、パラメータ シートへ記載するための情報量が多く、時間の捻出のために複数人で休日出勤しての対応も必要となりました。