Unsere F5 Load Balancer führen Version 10.2.4 aus. Wir haben von Cisco Load Balancer-Karten auf dem Catalyst 6500 migriert und konnten früher xterm-Sitzungen auf unseren Solaris- und Linux-Servern ausführen, ohne dass die Sitzungen nach 15 Minuten unterbrochen wurden.
Unser Chef hat Angst, die 900-Sekunden-Zahl in unserem F5-TCP-Profil zu erhöhen, weil er dies bei einer anderen Firma getan hat und alle Ressourcen im F5 durch blockierte Verbindungen erschöpft sind.
Gibt es eine andere Möglichkeit, das Zurücksetzen der Sitzungen zu verhindern, ohne das Zeitlimit zu ändern? Dies ist unsere Konfiguration
profile fastL4 fwd_fastL4_15m {
defaults from fastL4
idle timeout 900
}
virtual route_outbound {
destination any:any
mask none
ip forward
profile fwd_fastL4_15m
}
ipv4
tcp
f5
load-balancer
user2561
quelle
quelle
Antworten:
Sie haben bereits erwähnt, dass Keepalives auf Ihrem alten Cisco Load Balancer nicht verwendet wurden, daher werde ich mich darauf konzentrieren, was Sie mit dem F5 tun können.
Es gibt zwei Probleme, die Sie lösen müssen ...
Diese beiden Probleme scheinen miteinander verbunden zu sein, aber sie haben beim F5 unterschiedliche Lösungen.
Lösen von TCP-Resets :
F5 setzt standardmäßig abgelaufene TCP-Sitzungen zurück. Sie können dieses Verhalten
reset on timeout disablein Ihrem TCP-Profil deaktivieren . Dies verhindert jedoch nur, dass der F5 die Clientverbindung zurücksetzt. Die Sitzung läuft jedoch weiterhin aus der Statustabelle des F5 ab, wenn jemand das nächste Mal einige Stunden Pause macht, und bewegt dann den Mauszeiger erneut im xterm .Lösen des Sitzungsablaufs im F5 :
Verwenden Sie
loose initiation enablein Ihrem TCP-Profil.loose initiationErmöglicht dem F5, einen Eintrag in der TCP-Statustabelle zu erstellen, wenn ein unbekanntes TCP-Paket angezeigt wird. Solange diese Verbindungen vertrauenswürdig sind und sich in Ihrem Unternehmen befinden, ist das Einschalten problemlos möglichloose initiation.Im Wesentlichen
loose initiationverhält sich der F5 eher wie ein Router als wie ein Load-Balancer, was Sie in dieser Situation benötigen. xterm-Sitzungen erstellen einen TCP-Socket, der von TCP / 6000 an den Client gesendet wird. In diesem Fall gleichen Sie die xterm-Sitzungen ohnehin nicht aus.Endgültige Lösung :
Ihr endgültiges Profil sollte so aussehen ...
Technisch gesehen können Sie das Zeitlimit von 900 Sekunden auf 300 Sekunden ändern, da Sie die Initiierung einer losen Sitzung für den
route_outboundDienst aktivieren . F5 Lösungsdokument 7595 ist eine gute Referenz für die Weiterleitung von Konfigurationen virtueller Server wie diese ... siehe Abschnitt "Emulieren des zustandslosen IP-Routings mit virtuellen BIG-IP LTM-Weiterleitungsservern".quelle
Ich glaube, dass die beste Option für Semestersitzungen die Verwendung von App- oder OS-Keepalives ist zu verwenden, um die Verbindung über die SLB aufrechtzuerhalten, sodass Sie Ihr Leerlaufzeitlimit dort halten können, wo Sie es möchten.
Dies ist abhängig von der App und dem Betriebssystem. Siehe Verhindern, dass Ihre Linux-SSH-Sitzung die Verbindung trennt als eine Methode, die möglicherweise funktioniert.
Die Sorge Ihres Managers, das Leerlaufzeitlimit zu erhöhen, ist höchst subjektiv. Die typische Durchflussrate (conn / sec) und die Leerlaufdauer zwischen Ihrer Umgebung und seiner letzten können sehr unterschiedlich sein. Wenn Ihre Durchflussrate oder Leerlaufdauer viel geringer ist, können Sie es sich leisten, das Timeout zu verlängern. Sie müssen die Durchflusskapazität auf Null setzen, was Sie frei haben und wie schnell Sie sie durchlaufen.
Das Standard-Leerlaufzeitlimit des CSM beträgt 3600. Gleiches gilt für den ACE für inaktive TCP-Verbindungen .
quelle