My Home NW Lab

逸般の誤家庭のネットワーク

BIG-IP SSLOで設定の保持情報が崩壊した状態の例 (設定崩壊の例)

BIG-IP SSLO (SSL Orchestrator)は、BIG-IP標準機能ではなくiApps LXで動作しており、Active機からStandby機に対して設定の流し込みによる設定同期をREST APIで行います。 特記しますが、一般的なBIG-IPの設定の同期処理はConfigSyncで行われますが、SSLOはREST APIによる独自の実装処理となっています。 その処理過程で問題が発生すると、SSLOが保持している設定情報の崩壊が起こる可能性があります。
設定情報の崩壊とは、あるべき正常な設定に戻せなくなった状態を指しています。

バージョン情報

本記事は下記のバージョンで検証を行っております。

  • F5 BIG-IP Virtual Edition Version 16.1.2
    BIG-IPのモジュールは、LTM, APM, SSLOを有効化しております。

  • SSL Orchestrator Package Version 16.1.0
    SSLOはiApps LXのパッケージとして提供されているため、個別のバージョン情報があります。

事例紹介

筆者がPreview Merge Configの検証を試みてた際に何度も遭遇した例を紹介します。

送信元NATの設定をAuto MapからSNAT Poolに変更するために、 SSOのGuided Configurationで一部の設定を修正してPreview Merge Configで事前に設定差分を確認しようとすると下記のエラー メッセージが表示されました。

Config processor is not available: java.util.concurrent.TimeoutException: Unavailable: http://localhost:8100/mgmt/shared/iapp/processors/f5-iappslx-ssl-orchestrator-gc

f:id:myhomenwlab:20220201175222j:plain
BIG-IP SSLOの設定崩壊 (1/2)

そして、SSLOのGuided Configurationのメイン メニューでは下記のようなメッセージが表示された上で、 再デプロイしても何度も失敗し、設定の削除も行えなくなってしまい詰んだ状況となりました。

The Topology sslo_DEMO has a pending configuration. Complete the pending configuration and deploy it, or, delete it. If the pending configuration is in error state, fix the error and redeploy the configuration, or, delete it. If you have an existing deployed instance, it cannot be updated or deleted, nor a new instance created, until addressing the pending configuration.

f:id:myhomenwlab:20220201175234j:plain
BIG-IP SSLOの設定崩壊 (2/2)

SSLOの設定を削除できれば、設定のし直しで対処できるパターンを筆者は何度か経験してますが、 今回は設定の削除がSSLOのUser Interfaceからは行えないため、この状態からの復旧は断念してスナップショットから正常な状態に切り戻ししています。

あくまでも筆者の推察で確証はありませんが、 検証環境がBIG-IP Virtual Edtiionで仮想マシンへのリソース配分が足りなくなった可能性があるため、 その状況下で大量のオブジェクト群の差分比較の処理 (Preview Merge Config)となりハング アップした可能性が考えられます。

また、検証環境だとサポート契約を結んでいないため、サポートに問い合わせて問題解決できないようなパターンも多々考えられます。 実際のところ、筆者も検証環境にはサポート契約がないため、問題の解決は断念しております。 そのため、実案件での対応時は検証用途であってもサポート契約の検討をオススメします。

この他には、Active機とStandby機でConfigSyncをしていない状態でSSLOで設定をデプロイしようとすると、 Active機とStandby機で設定差分に起因して設定崩壊を引き起こすパターンに遭遇した経験もあります。 この場合は、SSLOのGuided Configurationでのデプロイ前にConfigSyncによる事前の設定同期で回避できます。

本記事では、設定の保持情報が崩壊するパターンがある点を、 SSLOの案件を担当される方に認識して頂きたいので、レア ケースかもしれませんが例として紹介しております。

伝えたい意図 (教訓)

本記事で伝えたい意図としては、 SSLOでのデプロイ作業時に設定の保持情報が崩壊する可能性は少なからずあるので、作業前にはActive機とStandby機でUCSファイルのバックアップを取得したり。 仮想マシンであればスナップショットを取得しておき、設定崩壊が起きた場合はすぐに戻せるようにしておくべき点です。

また、最悪の場合は、SSLOの設定を削除してから設定し直す可能性も出てくるので、元に戻せるように設定情報のドキュメンテーションが重要になってきます。